躲藏攻击面,提升防DDoS信息安全防范能力-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 躲藏攻击面,提升防DDoS信息安全防范能力

躲藏攻击面,提升防DDoS信息安全防范能力

小墨安全管家 2020-06-02 12:07 CC防护 89 ℃
DDoS防御

服务器主机防火墙默认DROP所有请求的数据包,所以攻击者不能经过扫描器确认服务器是否存活,以及服务器上开放的任何端口。

 1. 攻击面在安全攻防中的价值

洛克希德-马丁公司的网络杀伤链(Kill Chain )模型描述的攻击过程普通包括7个时期:侦察跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令与操纵、目标达成。侦察时期要紧实现对攻击目标(如服务器,公司网站,内网等)的各类信息收集,其中就包括经过各种技术手段举行主机和端口扫描,猎取存活IP地址、系统类型、开放端口、服务版本等差不多信息。

经过修改数据包源IP地址,攻击者能够破坏Port-Knocking认证过程,然而SPA服务器仅允许访咨询SPA载荷中最初加密的IP(幸免MITM)

目前在其他行业如游戏行业,零信任或“连接之前首先举行身份验证”的安全理念也有一些实践成果,经过游戏客户端内嵌专用sdk和游戏服务端建立连接并举行合法性验证,可有效预防和落低DDOS和CC攻击,如阿里云游戏盾,缔盟云太极盾等。

隐藏攻击面,提升防DDoS信息安全防范能力

SPA传递的授权包信息类似:

Port-Knocking实现原理介绍

SPA能够讲是下一代的端口敲门技术,和Port-Knocking实现机制不同的是,SPA把敲门所需要的信息即授权包PA(Authorization Packet),编码在单个数据包内,接着发送给服务器的任意端口。

访咨询服务器上对外开放端口所对应的服务需要预先知晓敲门顺序,于是即使对外开放的服务如SSH等存在哪怕是0day漏洞,攻击者也无法利用。不存在暴力破解、字典攻击、协议漏洞等安全咨询题。

我们能够试着想象一下这种场景:攻击者在攻击第一时期举行资产漏洞扫描时,假如防守方忽然经过某种方式给信息资产穿上了一层隐身衣,会是怎么样一种情形?攻击者会发觉不管是fping、nmap、zmap又或者是openvas、nessus、wvs等各种扫描工具均无功而返,全然不能和想攻击的服务器或应用建立任何的网络层连接,之前预先预备好的各种攻击工具、POC和0Day漏洞等招数全部降空,一脸郁闷吧。虽然现实中的实际事情不大概那样绝对,但假如防守方能够把关键信息资产(如对外开放的公网服务、内部办公应用系统等)举行统一隐身治理,必定能够大大落低公司整体信息资产风险,显著提升公司安全防范能力。

漏洞服务不大概对外暴露

这种隐身想法,除物理断网外,现有的一些安全技术也能够达到类似的攻击面躲藏效果,如Port-knocking、SPA及SDP解决方案。

端口敲门是一种经过服务器上关闭的端口来传输约定信息的想法,从而在用户访咨询受爱护服务之前对用户举行身份验证,要紧用于对公网开放的服务如sshd举行安全防护。

主机防火墙默认规则是DROP所有请求包,从外网来讲,没有任何想法能够确认服务器是否存活(备注:因为DROP规则不大概发送响应包,从而幸免扫描器依照响应包确认端口的开放事情。REJECT/DENY规则会发送ICMP_PORT_UNREACHABLE返回给客户端,扫描器如nmap可据此推断出端口状态是filter,从而暴露服务器本身是存活的,端口是开放的,但禁止扫描器IP访咨询);

Port-Knocking数据包到达服务端顺序不一致时会导致敲门暗语错误从而认证失败,SPA不存在类似咨询题

SDP标准的核心仍然是经过SPA协议对后端服务实现隐身后的防护,但扩展了SPA的应用场景。经过引入SDP操纵器,能够支持多种身份认证和授权服务,经过连接答应主机(AH)的网关模型,能够对网关后的多台服务器或应用服务举行隐身和防护,从而在Iaas、Paas、SaaS、远程办公、私有云、混合云等场景下实现信息资产的隐身爱护。

服务隐身,如iptables recent模块,knockd项目,fwknop项目

2.5. 参考资料

PASSWORD : 客户端口令(和服务端共享)

https://ir.lib.uth.gr/xmlui/handle/11615/48775

安全防守方普通基于传统的纵深谨防理念,在物理、网络、系统、应用、数据、流程、人员治理等不同维度使用技术和治理手段,对各种攻击行为举行威慑、预防、检测、响应和恢复。针对攻击过程第一时期的扫描行为,安全防守方能够采取的措施包括梳理并减少对外暴露的攻击面,举行系统和应用的安全基线加固,补丁更新、banner躲藏、日志和网络流量审计等手段,一方面减少和落低攻击者能够发觉的风险资产数据,并且对早期的攻击行为及时举行预警。

MD5_HASH : 上述值的hash计算结果

建立多层谨防体系

能够确信的是,基于ZTNA的颠覆性安全理念,几年后云计算、IOT、工业操纵、卫星通信等多个行业必将有更多的SDP实现方案和案例降地。

Port-Knocking带来的安全性提升

随着云时代的来临,2013年云安全联盟(CSA)提出了软件定义边界(Software Defined Perimeter,SDP)的概念,并于2014年公布了《SDP标准规范1.0》,为各安全厂商构建自个儿的SDP产品提供指南。

2. 躲藏攻击面的几种想法

2.1. 端口敲门技术(Port-Knocking)

2.2. 单包授权技术(Single Packet Authorization)

网段内服务和应用隐身,SDP产品厂商如deepcloud,Pulse Secure等

RANDOM : 客户端发包前生成的随机数,幸免重放攻击

SPA传输的数据是加密的,而Port-Knocking数据包中包括了明文端口敲门顺序(sniffer)

服务器是否在线对攻击者来讲不可感知

依照实战经验,攻击者在侦察时期收获的目标资产数据量多少和风险高低,某种程度上决定了后续攻击行动的难易程度和最后来的攻击成果。一些HW行动中,经常会看到红方人员早期的拔线操作,其最后来目标算是尽大概减少蓝方能够猎取到的攻击面风险资产数据。所以从某种方式来看,最初的攻击面扫描和安全防护,对攻防双方来讲有些像争夺滩头阵地。关于攻击者来讲,需要尽大概拿到更多的攻击面信息,以便下一步开展武器化攻击活动;关于防守方来讲,需要尽大概经过各种想法减少暴露的攻击面信息,以在攻击初期就能够截断攻击者后续的各类攻击行为。

SDP技术方案的真正降地涉及到治理人员的安全认知改变,SDP产品性能和功能完善,IT基础架构及应用使用场景的身份认证和授权机制的改造,目前要紧依旧以取代远程VPN访咨询、内办公平台统一安全治理等内部应用场景。有关SDP的介绍和其他应用场景可参考之前公布的《零信任和软件定义边界》一文。

隐藏攻击面,提升防DDoS信息安全防范能力

SPA仅需发送一具数据包,而Port-Knocking需要发送多个敲门数据包 (数据量大小)

fwknop项目

和Port-Knocking技术相比,SPA具有如下优点:

https://zeroflux.org/projects/knock knockd项目

2.3. 软件定义边界技术(Software Defined Perimeter)

NEW_SEED : 下次事务的新种子

2.4. 实现工具

隐藏攻击面,提升防DDoS信息安全防范能力

SPA数据包中包括一具一次性随机字段,能够幸免重放攻击(重放攻击)

隐藏攻击面,提升防DDoS信息安全防范能力

AID : 发送数据包的客户端唯一ID,明文传输以便服务端依照该ID查到对应的解密密钥


DDoS防御

当前位置:主页 > CC防护 > 躲藏攻击面,提升防DDoS信息安全防范能力

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119