1、深度安全抵御目錄Table of Contents安全威脅發展趨勢安全威脅發展趨勢應用層安全威脅分析應用層安全威脅分析深度安全抵御深度安全抵御1999年以前的網絡安全模型 ExtranetExtranetPrivate WANPrivate WANInternetInternetUsersUsersAvg. BW = 100MbpsAvg. BW = 100MbpsAvg. BW = 100MbpsAvg. BW = 100MbpsAvg. BW = 1GbpsAvg. BW = 1GbpsAvg. BW = 100MbpsAvg. BW = 100Mbps- - 有公共有公共DMZDMZ的具

2、安全廣播域的具安全廣播域 - - IDSIDS用于信息安全的辯析和審計用于信息安全的辯析和審計 DMZDMZWebWebFTPFTPSMTPSMTPDNSDNSL2 SwitchL2 SwitchL3 SwitchIDSALERT!ALERT!IDSALERT!ALERT!IDSALERT!ALERT!Avg. BW = Avg. BW = N x 1.54MbpsN x 1.54MbpsN x 45.3 MbpsN x 45.3 Mbps1,000s of Network Elements1,000s of Network Elements廣域網邊緣廣域網邊緣局域網邊緣局域網邊緣核心局域網核

3、心局域網局域網分發層局域網分發層 局域網接入局域網接入趨勢一：網絡邊界的消失移動辦公的普及90%以上的計算機會感染了間諜軟件、廣告軟件、木馬和病毒等惡意軟件后果：重要數據丟失，機器被遠程控制，病毒和蠕蟲在內網恣意傳播漏洞數漏洞數 x 系統數系統數 = 不可完成的任務不可完成的任務 趨勢二：威脅和應用息息相關: :InternetInternal UsersPort 80Web servicesWeb enabled appsIM trafficRich mediaInternet access43%43%55%43%98%80 HTTP“75的成功針對WEB服務器的攻擊是通過應用層完成的，而不

4、是網絡層來完成的。應用層威脅可以穿透防火墻趨勢三：威脅涌現和傳播速度越來越快Zero Day Attack！趨勢三：威脅涌現和傳播速度越來越快CodeRed案例：SQL Slammer案例： 每8.5 秒感染范圍就擴展一倍在10分鐘內感染了全球90有漏洞的機器趨勢三：威脅涌現和傳播速度越來越快趨勢四：越來越多的威脅變成利益驅動技術驅動isdomoney利益驅動某ICP受到DDoS攻擊威脅 2005年11月1日英國人Devid Levi因為“網絡釣魚”被判刑4年利用ebay騙取$355,000 間諜軟件/廣告軟件背后大量的利益空間趨勢五：攻擊變的越來越簡單目錄Table of Contents安

5、全威脅發展趨勢安全威脅發展趨勢應用層安全威脅分析應用層安全威脅分析深度安全抵御深度安全抵御應用層威脅簡介TippingPoint綜合威脅抵御蠕蟲/病毒DoS/DDoS間諜軟件網絡釣魚帶寬濫用垃圾郵件蠕蟲蠕蠕 蟲蟲什么是計算機蠕蟲？定義：計算機蠕蟲是指通過計算機網絡傳播的病毒，泛濫時可以導致網絡阻塞甚至癱瘓。第一個Internet蠕蟲是出現于1988年的Morris病毒蠕蟲特點傳播快、傳播廣蠕蟲特點危害高網絡擁擠2004年初，I-Worm/Netsky、I-Worm/BBEagle、I-Worm/MyDoom三大蠕蟲病毒一齊爆發，蠶食25%網絡帶寬DoS（Denial of Service）攻擊

6、I-Worm/MyDoom.a蠕蟲定于爆發后1星期對發動DoS攻擊。sco網站雖積極備戰，但由于感染點過多，在遭受攻擊當天即陷入癱瘓經濟損失巨大I-Worm/CodeRed: 20億美元 I-Worm/Sobig: 26億美元計算機蠕蟲的類型系統漏洞型群發郵件型共享型寄生型混合型系統漏洞型蠕蟲特點：利用系統設計漏洞主動感染傳播紅色代碼(CodeRed)：MS01-033，微軟索引服務器緩沖區溢出漏洞，TCP 80SQL SLAMMER：MS02-039，SQL服務器漏洞，UDP 1434沖擊波(Blaster)MS03-026，RPC DCOM服務漏洞，TCP 135 139等等震蕩波(Sas

7、ser)：MS04-011，LSASS本地安全認證子系統服務漏洞，TCP 445等ZotobMS05-39，windows PnP服務漏洞，TCP 445蠕蟲的組成彈頭傳播引擎目標選擇算法掃描引擎有效負荷彈頭緩沖區溢出、共享文件、電子郵件傳播引擎、HTTP目標選擇算法EMAIL地址、主機列表、DNS等等掃描引擎有效負荷后門、拒絕服務攻擊、其他操作蠕蟲的傳播和防御蠕蟲的傳播過程：探測探測滲透滲透扎根扎根傳播傳播破壞破壞隔離Text限制免疫治療防御蠕蟲過程為所有的系統及時打上漏洞補丁（中心補丁服務器)用IPS/IPS來檢查蠕蟲的活動用訪問控制來限制蠕蟲傳播用PVLAN來保護關鍵服務器用網管工具來追

8、蹤被感染的主機通過CAR來限制蠕蟲流量全網部署病毒掃描措施間諜軟件間諜軟件間諜軟件什么是間諜軟件？定義：間諜軟件駐留在計算機的系統中，收集有關用戶操作習慣的信息，并將這些信息通過互聯網悄無聲息地發送給軟件的發布者，由于這一過程是在用戶不知情的情況下進行，因此具有此類雙重功能的軟件通常被稱作SpyWare（間諜軟件）。 間諜軟件有什么危害？不斷向外連接和彈出廣告窗口，耗費了大量的網絡帶寬占用大量硬盤和CPU資源造成計算機計算緩慢、死機修改IE設置、安裝工具條，很難修改回去安裝后門、病毒和向外泄漏信息個人信息和密碼、上網習慣、EMAIL聯系人地址等等間諜軟件有哪些類型？瀏覽器劫持：例如，CoolW

9、ebSearchIE工具條和彈出窗口：例如，某些網絡廣告Winsock劫持中間人代理：MarketScore間諜軟件怎么傳播的？某些免費軟件帶有間諜軟件：如Kazaa、iMesh、eMule、WeatherBug等等下面的 EULA（最終用戶授權協議來自一個著名的間諜軟件：間諜軟件怎么傳播的？通過瀏覽器安裝間諜軟件濫用控件：如ActiveX利用瀏覽器程序漏洞：IE CHM文件處理漏洞下面一個網站試圖在您的計算機上安裝惡意軟件怎么防止間諜軟件？保持安全意識，對可能出現的安全威脅保持警惕如不隨便安裝下載的免費軟件正確設置IE安全域保持操作系統的升級打補丁安裝防間諜軟件：Anti-Spyware、基

10、于網絡的防御方式帶寬濫用帶寬濫用帶寬濫用什么是帶寬濫用？“帶寬濫用”是指對于企業網絡來說，非業務數據流（如P2P文件傳輸與即時通訊、垃圾郵件、病毒和網絡攻擊 ）消耗了大量帶寬，輕則影響企業業務無法正常運作，重則致使企業IT系統癱瘓。據研究機構Cachelogic調查，如今P2P占了全球網絡流量的一半以上P2P濫用的危害影響、癱瘓企業系統的正常運作網絡不斷擴容，總還不夠用ISP最頭疼的問題版權糾紛美國電影協會起訴BT網站帶寬殺手-P2P什么是P2P？ P2P，全稱叫做Peer-to-Peer，即對等互聯網絡技術（點對點網絡技術），它讓用戶可以直接連接到其它用戶的計算機，進行文件共享與交換。P2P

11、的典型應用BT、eMule、eDonkey、PoP文件共享傳輸IM即使通訊軟件 殺手中的頂尖高手-BTBT全稱：BitTorrent當前中國的P2P流量中BT占了60%英國網絡流量統計公司CacheLogic表示,去年全球有超過一半的文件交換是通過BT進行的 BT占了互聯網總流量的35這比所有點對點程序加起來還要多使得瀏覽網頁這些主流應用所占的流量相形見絀 BitTorrent創始人Bram Cohen Peer listpc1 202.45.3.pc2 65.80.21.pc3 145.10.9.pc4 202.78.1.pc5 65.31.13.BT原理通過通過HTTP訪問服務器，索要訪問

12、服務器，索要Peer列表列表pc1pc2pc3pc4pc5pc6通過通過bt客戶端指定端口，客戶端指定端口，與種子建立連接與種子建立連接pc0 如何防止帶寬濫用、限流BT封堵端口適用官方BT支持BT軟件層出不窮端口可以任意改變封堵BT服務器IPBT服務器多不勝數架設簡單，每天不斷增加BT客戶端端口范圍貪婪貪婪ABC可以手工設置BitComet沒有公開BitTorrent Plus可以手工設置BitTorrent68816889比特精靈比特精靈Bit Spirit16881DUDU加速下載加速下載沒有公開沒有公開如何防止帶寬濫用、限流BTBT建立連接過程IPS深度檢測，截斷/限

13、流BT協議報文、TCP三次握手、BT對等協議二次握手、握手成功，傳輸數據二次握手報文頭二次握手報文頭DoS/DDoSDoS/DDoS什么是DoS/DDoS攻擊？定義：DoS(Denial of Service，拒絕服務)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務。DDoS (Distributed Denial of Service，分布式拒絕服務)攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或者多個目標發動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。DoS/DDoS的危害服務器宕機，業務中斷大面積斷網，網絡癱瘓DoS 攻擊是導

14、致去年損失最為慘重的計算機犯罪事件，其帶攻擊是導致去年損失最為慘重的計算機犯罪事件，其帶來的損失是其它各類攻擊造成損失總和的兩倍有余。來的損失是其它各類攻擊造成損失總和的兩倍有余。” 2004 年年CSI/FBI 計算機犯罪及安全調查。計算機犯罪及安全調查。 網上黑客每周發起的網上黑客每周發起的DoS攻擊超過了攻擊超過了4000次次DoS/DDoS危害的特點黑客幕后操控，計劃性，針對性eBay等網上購物網站經常遭到DoS攻擊，導致惡意競拍,引起拍賣者不滿。日本政府網站在去年和今年先后三次造黑客DoS攻擊，導致網站無法正常開放。通過蠕蟲傳播，范圍性，破壞性2003年大名鼎鼎的Blaster不僅導

15、致計算機重啟，幕后操縱者還通過后門對微軟的安全補丁大本營網站的80端口發起了一場SYN flood攻擊。迫使微軟下決心每月發布漏洞補丁。2004年MyDoom蠕蟲成為有史以來傳播最快的郵件病毒，在一周之內感染十萬臺計算機，并控制被感染計算機向微軟網站發動DoS攻擊。微軟懸賞25萬美元，捉拿MyDoom的作者。DoS攻擊的分類資源占領型一對一進行攻擊 如：SYN Flood with IP Spoofing多對一進行攻擊 如：TFN系統漏洞型網絡層 如： Ping of Death應用層 如： Windows漏洞資源占用型一對一攻擊一對一半連接攻擊典型案例：SYN Flood with IP S

16、poofing發送帶有偽造源IP地址的SYN包，造成大量半連接耗盡服務器資源。特點：生命周期長，無法通過下載補丁，升級軟件等方式解決防范：通過TCP Proxy、TCP Cookie Hello?Where are you?I am here.正常TCP三次握手完成連接通過半連接耗盡正常服務資源Hello?Hello?Hello?Where are you?Where are you?Where are you?資源占用型多對一攻擊多對一資源比拼典型案例：DDoS攻擊（典型工具：TFN）通過發送大量的正常連接，侵占服務器帶寬資源。近乎于無賴式的攻擊。特點：危害大，完成三次握手難以防御，補丁、傳

17、統防火墻和服務器幾乎無法應對。防范: CPS(Connection Per Second)、限制固定IP最大連接數著名的DDoS攻擊工具TFNTFN(Tribe Flood Network)德國著名黑客Mixter編寫的分布式拒絕服務攻擊工具TFN由主控端程序和代理端組成攻擊者到主控端TCP綁定主控端到代理端ICMP_ECHOREPLY代理端對目標機SYN Flood、ICMP Flood、UDP Flood、Smurf 攻擊免費的DDoS攻擊工具，還包括Trinoo、TFN2k、Stacheldraht等，使得DDoS攻擊技術門檻降低更加普及，對網絡造成嚴重威脅MixterIDID字段包含命

18、令字段包含命令DDoS攻擊模型受害者攻擊者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸軍團系統漏洞型網絡層網絡層軟件漏洞導致典型：Ping of Death根據TCP/IP的規范，一個包的長度最大為65536字節。盡管一個包的長度不能超過65536字節，但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大于65536字節的包時，就是受到了Ping of Death攻擊，該攻擊會造成主機的宕機。 特點：種類繁多，一擊致命，攻擊方式生命周期短防范：防火墻匹配攻擊特征，升級系統。系統漏洞型應用層應用層的漏洞也會導致DoS攻擊MS04-29：當 RPC 運行時庫處理特制的消息時

19、，存在一個信息泄露和拒絕漏洞MS05-45：網絡連接管理器中的漏洞可能允許拒絕服務特點：層出不窮 一擊致命，防火墻無法防御。防范：及時打補丁利用數字疫苗技術IPS進行精確阻斷。網絡釣魚網絡釣魚網絡釣魚什么是網絡釣魚（Phishing）？“網絡釣魚”攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數據，如信用卡號、賬戶用戶名、口令和社保編號等內容。詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，在所有接觸詐騙信息的用戶中，有高達5%的人都會對這些騙局做出響應。在美國和英國已經開始出現專門反網絡釣魚的組織，越來越多在線企業、技術公司、安全機

20、構加入到反“網絡釣魚”組織的行列，比如微軟、戴爾都宣布設立專案分析師或推出用戶教育計劃，微軟還捐出4.6萬美元的軟件，協助防治“網絡釣魚”。網絡釣魚示例典型的釣魚過程釣魚者釣魚者Victim Web Server受害用戶受害用戶發送釣魚郵件發送釣魚郵件受害者點擊釣魚受害者點擊釣魚URL釣魚網站被瀏覽釣魚網站被瀏覽受害者發送機密信息受害者發送機密信息入侵主機，入侵主機，安裝釣魚網安裝釣魚網站和站和垃圾郵件箱垃圾郵件箱Mail Drop Service信息被發送到另外一個郵箱信息被發送到另外一個郵箱釣魚者索取信息釣魚者索取信息網絡釣魚成功的關鍵要素被釣魚的人必須是某個品牌的客戶（如PayPal、C

21、itibank、中國工商銀行等等）被釣魚的人必須對釣魚者發來的信息非常信任，認為它和該網站的交流是正確有效有保護的被釣魚的人必須馬上采取措施以避免某種損失或災害網絡釣魚進行進行欺騙的技術手段偽造發件人地址 ：發件人可以是 可以是 ，但是實際上不是偽造虛假連接：圖像連接其他欺騙技術其他欺騙技術高級釣魚話題利用XSS漏洞跨站腳本漏洞（Cross Site Script）允許在一個合法的站點上插入非法的腳本惡意的腳本在客戶機上被執行，而這個客戶機信任該站點客戶機上的信息被惡意腳本獲得，包括用戶login的名字，cookie等等特別具有欺騙性，用戶看到的界面是“合法的站點”，包括URL、數字證書等等，

22、但是由于服務器的漏洞，導致客戶機上機密信息被盜取如何防釣魚？客戶機：不要隨便點擊EMAIL、ICQ和聊天室里的鏈接不要連接到不信任的網絡和使用不信任的計算機啟用個人防火墻不斷的更新客戶機軟件（防病毒、WEB瀏覽器、EMAIL客戶端）用數字證書企業：使用IPS教育用戶，并讓他們的軟件保持更新部署防垃圾郵件和防病毒措施目錄Table of Contents安全威脅發展趨勢安全威脅發展趨勢應用層安全威脅分析應用層安全威脅分析深度安全抵御深度安全抵御網絡層次越高資產價值越大L5-L7: Application LayerL4: Transport LayerL3: Network LayerL2: L

23、nk LayerL1: Phy. LayerRouterTraditionalFirewallTCP/IP StackNICOSesWeb ServersWeb ApplicationFrameworksApplications風險越高越迫切需要被保護Application DataSession IDHTTP Request/RespondTCP ConnectionIP PacketEthernet PacketBit on Wire深度安全抵御的必要條件: 深度業務感知 深度安全抵御的必要條件: 線內操作方式 只有在線內對流量進行處理，才能真正阻擋出現在網絡上出現的攻擊服務器服務器防火墻

24、防火墻IDS報警報警 !發送TCPRST指令，終止TCP連接 to 重新配置防火墻，使其能阻擋來自攻擊地址的流量TCP resets 和 重新Firewall 不能真正工作 整個操作要花100毫秒的時間 ，這對現代的網絡來說是一個巨大的時間窗口 不能阻擋類似于Slammer(單個UDP數據報)的攻擊 IPS能在一個攻擊發生危害之前，對其實施阻擋 它根據每個數據包，作出允許還是拒絕的決定 服務器防火墻IDS線內操作，并且以網速運行，只要檢測到攻擊，就進行阻擋深度安全抵御的其他必要條件對威脅的動態自適應抵御能力蠕蟲、帶寬濫用、間諜軟件、網絡釣魚、DDoS、垃圾郵件高性能延遲吞吐量高可靠易部署和管理

25、華為3Com TippingPoint 核心屬性屬性Value為IPS特性特定定制ASIC硬件平臺為實現高安全性和網絡提供可擴展硬件平臺 50Mb 5Gb 性能為網絡周邊和內部網絡提供可升級的解決方案 交換機似的延時要實現網絡線內部署時，絲毫不影響網絡性能線內攻擊阻擋有效地、前瞻性終止攻擊速率整形實現帶寬管理和網絡性能保護 完善的過濾器方方法精確并且全面的攻擊過濾器now with SYN 代理機制和連接速率限制 為各類進化的DDOS攻擊，提供最先進的保護TippingPoint威脅防御引擎（TSE） 基于特定NP+ASIC+FPGA的硬件解決方案 支持10,000條平行過濾器 微秒級的延時（

26、150微秒）10 專利流流狀態狀態表表Multi-flow Analysis 基線基線 異常流量檢測異常流量檢測IP 碎片重組碎片重組TCP流重組流重組 第七層的數據包第七層的數據包流進行檢查流進行檢查 并行處理并行處理 正則表達式匹配正則表達式匹配 協議解碼協議解碼流量整形流量整形數據流數據流分類和標識分類和標識數據包數據包丟棄和重定向丟棄和重定向報警和通知報警和通知標準化標準化n可編程過濾器可編程過濾器1 2 3TippingPoint對新威協的自適應性專門設計硬件引摯，支持多達1萬條的過濾器基于軟件解決方案擴展性差在過濾器設計深度和廣度尋求平衡點TippingPoint 今天已超過160

27、0 個過濾器每周都在增長數字疫苗服務緊緊跟進Sans報告的危急漏洞 TippingPoint 控測引摯支持:基于簽名的過濾器基于協議異常過濾器基于流量異常過濾器基于漏洞的過濾器大量協議解碼器TippingPoint 過濾器的方法用法用法: 固定模式 正則表達式檢測和防止檢測和防止 : 病毒 特洛伊木馬 已知攻擊 P2P應用 未經授權的即時通訊 用法用法: 遵守RFC 協議解碼器 SYN 代理服務器 標準化檢測和防止檢測和防止 : 規避 未知的攻擊 流量異常 未經授權的訪問 SYN Floods用法用法: 協議解碼器 正則表達式 應用消息分析 檢測和防止檢測和防止 : 未知攻擊 蠕蟲/Walk-

28、in 蠕蟲 未經授權的訪問用法用法: 流量閾值 連接限制 連接速率限制檢測和防止檢測和防止: DDoS 攻擊 未知的攻擊 流量異常高可用性和基于狀態網絡冗余 熱插撥，雙電源支持 內置監控 Watchdog 計時器安全和管理引擎 自動或手動切換到L2 交換機方式99.999% 網絡可靠性網絡狀態冗余Active-ActiveActive-Passive沒有 IP 地址或 MAC 地址對路由協議透明 HSRP, VRRP, OSPF基于狀態網絡冗余基于狀態網絡冗余內置的高可用性內置的高可用性TippingPoint 提供更多的入侵防御保護 超高的性能定制的硬件 5 Gbps 呑吐量t 交換機似的延

29、時 2百萬個會話數 每秒鐘建立25萬個會話 整個數據流的全面檢查 64k速率整形隊列 1萬個并行過濾器 基礎設施保護 應用保護性能保護當今的業務需求 性能、可靠性、保護相互間不能影響應用保護 用戶和服務器提供防護 對第二層到第七層實行全部的檢查 對存在的漏洞提供保護 對網絡邊界和內部網絡提供保護 實現零時差攻擊保護 不必緊急實施為危險漏洞打補丁 防止應用程序和操作系統損壞或宕機 保護: Microsoft 應用軟件 & 操作系統 Oracle應用 Linux O/S VoIP來自: 蠕蟲/Walk-in 蠕蟲 病毒 特洛伊木馬 DDoS 攻擊 內部攻擊 未經授權的訪問 基礎設施保護應用保護性能

30、保護基礎設施保護 為網絡設備提供防護 對網絡設備的漏洞提供保護 對出現的反常流量進行防范 自動測量流量基線 速率限制, 阻擋, 或對超過閥值的流量報警 支持用戶定義的 IP filters, ACLs保護: 路由器 交換機 防火墻 VoIP來自: 蠕蟲/Walk-in 蠕蟲 病毒 特洛伊木馬 DDoS 攻擊 SYN Floods攻擊 異常流量基礎設施保護應用保護性能保護自動對異常流量進行控制 對指定的流量類型設置主要和次要閥值 對路由器和交換機提供保護 對未知攻擊進行的零時差攻擊進行防御 采取措施采取措施: 速率整形到速率整形到 2 Mbps主要閾主要閾2 Mbpstime指定流量的帶寬指定流

31、量的帶寬2 Mbps(e.g., ICMP traffic)采取措施采取措施: 發出預警郵件發出預警郵件次要閾次要閾4 Mbps7 Mbps基礎設施保護 為網絡設備提供防護 保護: 帶寬 服務器 關健的應用和流量 來自: P2P應用 未經授權的即時通信 未經授權的應用 DDoS 攻擊性能保護 對網絡性能提供防護 即使在沒有受到攻擊的情況下，提高網絡的性能 對非關健應用進行速率限制 消除對帶寬的占用 控制一些不講道德應用 消除對網絡誤用和濫用 控制P2P的流量 基礎設施保護應用保護性能保護性能保護TippingPoint 覆蓋P2P的應用 TippingPoint 能對98%的P2P的進行限速和

32、阻擋 Kazaa (48%)Morpheus (22%)Imesh (10%)AudioGalaxy (6%)BearShare (4%)LimeWire (3%)Grokster (2%)WinMX (1%)Blubster (1%)eDonkey (1%)Other (2%)Top 10 P2P ApplicationsSource: AssetMetrix Research Labs性能保護帶寬管理對流量的影響 為關健應用提帶寬保保護 對誤用和濫用網絡進行控制 02040608010012014016018020013:0019:001:007:0013:0019:001:007:001

33、3:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:00Mbps (Average per Hour)OracleE-mailHTTPP2P Rate LimitKazaaeDonkeyWinMX數字疫苗在線更新機制 SANSCERTVendor AdvisoriesBugtraqVulnWatchPacketStormSecuriteam漏洞分析系統智能化原始數據采集疫苗生成大規模的分發系統通過AkamaiCND在56個國家的 9,700 服務器進行分

34、發 RISKWeekly Report過濾器類型簽名（Signature） 漏洞（Vulnerability） 異常流量和（或）異常流量統計保護的時間過程時間間隙：“安全窗口”時間從以前的幾個月到現在的幾天一旦蠕蟲出現，有漏洞危險的主機受到保護 蠕蟲在幾分鐘內會全球擴散 Slammer蠕蟲在10分鐘內攻擊了90%有漏洞的機器 攻擊者在準備攻擊，危險即將來臨. 沖擊波蠕蟲（Blaster）是在攻擊碼 出現二天后開始的攻擊漏洞公布漏洞公布攻擊碼攻擊碼出現出現蠕蟲蠕蟲出現出現所有所有有漏洞的主機有漏洞的主機受到威協受到威協TippingPoint數字疫苗數字疫苗在幾小時或幾天內在幾小時或幾天內分發到

35、客戶分發到客戶Huawei-3Com 為客戶提供保護數字疫苗覆蓋范圍和發展為應對各種動態攻擊和滿足用戶需求，Huawei-3Com不斷開發針對不同領域的數字疫苗：Feb 2002TippingPoint Launches first IPS漏洞防護漏洞防護Jan, 2004Mydoom.A Explodes病毒防護病毒防護VoIP基于應用流量整形基于應用流量整形 (P2P , IM, etc.)高級高級 DDOSJune, 2004New VoIP Digital Vaccine capabilities announcedAugust, 2004Advanced DDOS capabilit

36、ies announcedNovember, 2004First IPS to provide Spyware Coverage 間諜軟件間諜軟件虛擬軟件補丁技術一個漏洞（弱點）就是軟件程序中存有的一個安全缺陷一個攻擊就是能充分一個存在的安全缺陷，從而實現不需任何授權就能對易受攻擊（有漏洞）的系統進行訪問的程序簡單攻擊過濾器只是僅僅針對一個特定的攻擊編寫的過濾器由于受到處理器引擎性能限制，過濾器開發人員只能采用這種最基本的過濾器結果：漏報、誤報、繼續受到攻擊IPS的弱點過濾器實際應是一個虛擬軟件補丁，它能覆蓋整個漏洞漏洞“特征碼”攻擊 A “特征碼”攻擊 B“特征碼”(由攻擊A的粗糙的簽名造成

37、遺漏的攻擊）誤報(粗糙的簽名）簡單的攻擊A的過濾器虛擬軟件補丁TippingPoint 安全管理系統（SMS）SMS是一個硬件產器，軟件在出廠時已預安裝安裝簡單擴展性強企業級安全策略管理基于端口策略管理基于設備的策略管理TippingPoint抵御蠕蟲紅色代碼(CodeRed)：MS01-033，微軟索引服務器緩沖區溢出漏洞，通過TCP 80傳播Filter Name: 0260: HTTP: Code Red WormSQL SLAMMER：MS02-039，SQL服務器漏洞，通過UDP 1434進行傳播Filter Name: 1456: MS-SQL: Slammer-Sapphire

38、Worm 沖擊波(Blaster)：MS03-026，RPC DCOM服務漏洞，利用TCP 135 139等傳播Filter Name: 2289: MS-RPC: DCOM ISystemActivator Overflow 震蕩波(Sasser)：MS04-011，LSASS本地安全認證子系統服務漏洞，利用TCP 139 445端口傳播Filter Name: 2754: MS-RPC: LSASS Active Directory Interface Overflow zotob：MS05-39，windows PnP服務漏洞，利用TCP 445端口進行傳播Filter Name: 36

39、77: MS-RPC: Windows PlugnPlay Request Anomaly TippingPoint抵御間諜軟件1Kazaa自帶間諜軟件：免費版本夾帶了Cydoor、Gator(GAIN)、MyWaySearch Toolbar和Altnet P2P網絡組件與Kazaa綁定TippingPoint解決方案：TippingPoint透過防止間諜軟件的滲透來提升網絡使用網絡管理者可以設定IPS偵測并阻擋基于用戶瀏覽習慣的目標廣告要求，防止出現有害廣告阻擋所有數據傳輸或登入Altnet PeerPoints Manager TippingPoint抵御間諜軟件2問題描述：越來越多間諜

40、軟件透過Internet Explorer的安全漏洞來完成安裝漏洞舉例：MHTML通訊協議處理程序的跨網域漏洞。TippingPoint解決方案：Filter 2736：IE CHM Vulnerability（IE CHM文件處理漏洞）保護網頁瀏覽器中的安全漏洞，其提供的過濾器它專門阻擋對Internet Explorer漏洞的利用它可以防止該漏洞導致的進一步間諜軟件下載TippingPoint抵御帶寬濫用以BT為例Filter Name: 2265: BitTorrent: .torrent Category: Performance Protection - Misuse & Abuse

41、 這個filter可以阻止下載機器通過HTTP協議發送下載種子文件的請求Filter Name: 2268: BitTorrent: .torrent Category: Performance Protection - Misuse & Abuse這個filter可以阻止通過HTTP協議的種子文件下載Filter Name: 2269: BitTorrent: Tracker Contact Category: Performance Protection - Misuse & Abuse 這個filter可以阻止下載機器和Tracker的連接 Filter Name: 2270: BitT

42、orrent: Peer-to-Peer Communications Category: Performance Protection - Misuse & Abuse 這個filter可以阻止或者限流BT對端之間的下載和上傳流量TippingPoint抵御DDoSSYN Proxy技術防Syn Flood 攻擊流量異常檢測流量模型學習和基線閾值設置連接限制（Established Connection Flood）連接速率限制（Connection Per Second Flood）TippingPoint抵御網絡釣魚釣魚者釣魚者Victim Web Server受害用戶受害用戶發送釣魚郵

43、件發送釣魚郵件受害者點擊釣魚受害者點擊釣魚URL釣魚網站被瀏覽釣魚網站被瀏覽受害者發送機密信息受害者發送機密信息入侵主機，入侵主機，安裝釣魚網安裝釣魚網站和站和垃圾郵件箱垃圾郵件箱Mail Drop Service信息被發送到另外一個郵箱信息被發送到另外一個郵箱釣魚者索取信息釣魚者索取信息123TippingPoint抵御釣魚1. 1. 發送釣魚郵件發送釣魚郵件TippingPoint TippingPoint 通過基于行為的過濾器、結合內容檢測等技術阻止釣魚郵件通過基于行為的過濾器、結合內容檢測等技術阻止釣魚郵件 2. 2. 釣魚網站被瀏覽釣魚網站被瀏覽 WebWeb站點的顯示內容被站點的顯

44、示內容被IPSIPS評估是否利用了系統漏洞來進行欺騙評估是否利用了系統漏洞來進行欺騙 3. 3. 受害者提交敏感形象受害者提交敏感形象IPSIPS可以阻止敏感信息的傳送可以阻止敏感信息的傳送TippingPoint 產品系列安全管理系統（安全管理系統（SMS）Up to 2.0 Gbps8x10/100/1000Copper/FiberUp to 1.2 Gbps8x10/100/1000Copper/FiberUpto 400 Mbps8x10/100/1000Copper/FiberUp to 200 Mbps4x10/100/1000CopperUp to 5.0 Gbps8x10/10

45、0/1000Copper/FiberUp to 100 Mbps2x10/100/1000CopperUp to 50 Mbps2x10/100/1000Copper(Active- Standby)行業對TippingPoint的需求機會點 政府：政府電子政務外網 金融：金融數據中心外聯網 電力：電廠、電力數據通信網 公共事業：大企業數據中心、高校校園網 商業網絡：中心企業網絡Internet出口 運營商：城域網、ICT研發研發財經財經市場市場DMZ區區SMTPPOP3WEBERPOACRM數據中心數據中心TIPI部署在Internet邊界，放在防火墻后面，可以抵御來自Internet的針對

46、DMZ區服務器的應用層攻擊來自Internet的DDoS攻擊TIPI部署在數據中心：抵御來自內網攻擊，保護核心服務器和核心數據提供虛擬軟件補丁服務，保證服務器最大正常運行時間TIPI部署在內部局域網段之間，可以抑制內網惡意流量，如間諜軟件、蠕蟲病毒等等的泛濫和傳播抵御內網攻擊深度安全抵御保護網絡安全分支機構分支機構分支機構分支機構分支機構分支機構TIPI部署在廣域網邊界：抵御來自分支機構攻擊保護廣域網線路帶寬TIPI部署在外網Internet邊界，放在防火墻前面，可以保護防火墻等網絡基礎設施對Internet出口帶寬進行精細控制，防止帶寬濫用渠道增值服務“網絡B超”專業網絡體檢經過系統培訓，渠

47、道可以為客戶提供專業安全服務： 了解網絡問題 正常業務流量：如notes、CRM、ERP 濫用帶寬流量：如IM、P2P 惡意流量：如攻擊、間諜軟件、木馬、蠕蟲 找出問題根源 定位攻擊源、間諜軟件感染源、蠕蟲病毒源 提供個性化報表一目了然 提供專業安全建議后顧“無”憂EMAIL流量間諜軟件流量P2P文件共享IM流量notes和web流量怎樣尋找并抓住TippingPoint機會點？用戶有非常關心的安全熱點問題嗎？引導用戶進行“網絡網絡B超超”Y在線測試發現的問題怎么解決？把把IPS做進方案：做進方案：結合行業特點，針對熱點問題，給出解決方案讓用戶接受讓用戶接受IPS：用賣點和案例說明產品的獨一無

48、二，打消用戶顧慮等等，專家說，Cisco說，把把IPS產品介紹給用戶：產品介紹給用戶：在線測試在線測試！NIPS可以解決用戶關心的六大熱點問題六大熱點問題？網頁被篡改總在花錢升級網絡帶寬，但帶寬總也不夠（被P2P等無關流量消耗殆盡）服務器應用訪問很慢（這時，可能遇到大量的DoS和DDoS攻擊）病毒和蠕蟲泛濫間諜軟件泛濫服務器上的應用是關鍵應用，不能經常宕機維護，不能隨時打補丁TippingPoint AwardsFrost and Sullivan 2005 Network Security Infrastructure Protection Entrepreneurial Company o

49、f the YearTippingPoint was named the 2005 Network Security Infrastructure Protection Entrepreneurial Company of the Year by Frost & Sullivan.Information Security Magazine2004 Product of the YearTippingPoint was selected by Information Security Magazine as 2004 Product of the Year for Intrusion Preve

50、ntion Systems. SC Magazine Best Buy of 2004TippingPoints was selected by SC Magazine as a Best Buy in 2004 for intrusion prevention SC Global Awards 2005TippingPoint is a finalist in the 2005 SC Global Awards category of Best Security Solution. IDG Network Awards 2004 WinnerTippingPoint is the winne

51、r of the Network Protection Product of the Year from IDG and TechW. The prestigious IDG awards recognize the very best in the industry and reward companies for innovative and effective use of networking technology. SC Magazine Best BuyTippingPoint was selected by SC Magazine as a Best Buy in their g

52、roup test of intrusion prevention products. Common Criteria CertificationTippingPoint is the first Intrusion Prevention System (IPS) to obtain all four government-validated protection profiles: analyzer, sensor, scanner and system. SANS Trusted ToolTippingPoints Intrusion Prevention System has been

53、selected as a Trusted Tool by the SANS Institute, the worlds premier security research and training organization.NSS Gold AwardTippingPoints Intrusion Prevention System is the first and only product to win the coveted NSS Gold Award in the IPS space.eWeek Excellence AwardTippingPoints Intrusion Prev

54、ention Systems received the Enterprise Resource Protection eWeek Excellence Award announced in the April 5, 2004 issue of eWeek Magazine.InfoWorld 100University of Dayton, a TippingPoint customer, was recognized as a technological leader and awarded with the InfoWorld 100 for its advancements made through implementing TippingPoints Intrusion Prevention Systems. eWeek Labs Analysts Choice AwardTippingPoints IPS ably handled both real and staged attacks on eWEEK Labs test network, attached to the Internet for nearly a