目次
1. 事業中断の主な理由
1.ネットワーク攻撃:ネットワークのすべての層は、攻撃者のエントリ ポイントと呼ばれる可能性があります. 非アプリケーション層の攻撃により、基本的なネットワークが利用できなくなる可能性があります. たとえば、DDOS と DOS は、企業ネットワークの出口をほとんど利用できなくする可能性があります.アプリケーション層 CC 攻撃は、サーバーが外部サービスを正常に提供できなくなる可能性があり、攻撃がどの層を狙ったものであっても、お客様のビジネスが中断され、正常に動作しなくなる可能性があります。
サイバー攻撃の分類:
(1)トラフィックベースの攻撃: DDOS や DOS など、大量のトラフィックやアプリケーション層の接続を使用してビジネスを利用できなくする攻撃。攻撃レベルからネットワーク層とアプリケーション層に分けることができ、大量のパケットを構成することで、インターフェースのトラフィックの輻輳やデバイスのフリーズが発生することはなく、通常のサービスがタイムリーに処理できず、中断することになります。サービス。
ネットワーク層: 例: TCP フラッド、UDP フラッド、ICMP フラッド
アプリケーション層: 例: HTTP フラッド、HTTPS フラッド、DNS フラッド、SIP フラッド。
(1-1) TCPフラッド:攻撃者は最初にアドレスを偽造してサーバーにSYNリクエストを送信し、サーバーはメッセージを受信した後にACK + SYNメッセージで応答しますが、このとき実際のIPはリクエストを開始しません、応答がない場合、サーバーは 3 ~ 5 回リトライし、SYN 時間 (30 秒 ~ 2 分) 待った後、接続を破棄します。攻撃者が大量の偽造攻撃パケットを送信すると、サーバーはこの不正な要求の半接続を処理するために多くのリソースを消費します。CPU とメモリ リソースを消費します。その結果、サーバーが通常のビジネス リクエストを処理できなくなる可能性があります。
(1-2) UDP フラッド:攻撃者は大量の UDP プロトコル データ パケットをサービスに送信し、サーバーの帯域幅とシステム リソースを枯渇させ、通常のビジネスにサービスを提供できなくなります。攻撃者が大量の小さな UDP パケットを使用して、DNS サーバー、RADIUS 認証サーバー、ストリーミング ビデオ サーバーなどを攻撃することはより一般的です。UDP フラッド攻撃には、大きなパケットと小さなパケットの 2 つの攻撃方法があります。
(1-3) ICMP フラッド:攻撃者は、ツールを使用して大量の偽造 IP ICMP メッセージを送信し、大量のサーバー帯域幅とリソースを占有し、サーバーに大きな負荷をもたらし、サーバーの通常のサービスに影響を与えます。ファイアウォールは ICMP パケットを直接フィルタリングするため、ICMP フラッド攻撃の頻度は比較的低くなります。
(1-4) HTTP フラッド: 一般的な http フラッド攻撃のタイプは、http get フラッドと http post フラッドに分けられます。これは、アプリケーション層の HTTP プロトコルを使用して大量の http 要求をサーバーに送信することを指します。サーバーがビジー状態になり、リソースが枯渇し、サービスが通常どおり提供されなくなります。HTTPS フラッドは HTTP フラッドに似ていますが、HTTPs に基づく攻撃です。
(1-5) DNS フラッド : DNS クエリ フラッドと DNS リプライ フラッドに分けられます。
(2) シングルパケット攻撃: 一般的には個人のハッカーが仕掛ける攻撃であり、攻撃メッセージは比較的単純であり、攻撃は破壊型が強いが、攻撃の特徴をつかめば比較的簡単に攻撃できる。守る。スキャンおよびスヌーピング攻撃: 例: IP アドレス スキャン、ポート スキャン 不正なパケット攻撃: smurf、land、ip フラグメンテーション、ip スプーフィング、tcp パケット フラグ、ping of Death、ティアドロップなど 特殊なパケット攻撃: 超大規模な ICMP パケット テキスト攻撃、ICMP リダイレクション攻撃、ICMP 到達不能攻撃、保留ルーティング タグ アイテムの IP パケット攻撃、tracert パケット攻撃、タイムスタンプ オプションを使用した IP パケット攻撃など。
(2-1)不正パケット攻撃:通常、攻撃者が大量の欠陥のあるパケットを送信し、そのようなパケットを処理するときにホストまたはサーバーがクラッシュすることを意味します。欠陥のある IP パケットをターゲット ホストに送信することにより、ターゲット ホストはそのようなパケットを処理する際にエラーを発生させたり、システムをクラッシュさせたりして、ターゲット システムの正常な動作に影響を与えます。
(2-2)スキャン型攻撃:直接破壊的な動作を持たない潜在的な攻撃動作であり、通常、攻撃者が実際の攻撃を開始する前のネットワーク検出動作です。ping スキャン (ICMP および TCP を含む) を使用して、ネットワーク内の生き残ったシステムを示し、潜在的なターゲットを正確に特定します. tcp および udp ポート スキャンを使用すると、オペレーティング システムと、それをリッスンしている可能性のあるサービスを検出できます.スキャン対象のシステムが提供するサービスの種類と潜在的なセキュリティ ホールの概要を把握し、システムへのさらなる侵入に備えることができます。
(2-3)特殊制御パケット攻撃:潜在的な攻撃動作でもあり、直接的な破壊的な動作はありません. 通常、攻撃者は特殊な制御パケットを送信してネットワーク構造を検出し、その後の実際の攻撃に備えます. 攻撃者は通常、偵察とデータ検出のために正当なパケットを送信します. これらのパケットはすべて正当なパケット タイプですが、ネットワークで使用されることはめったにありません.
2.脆弱性:パッチが適時に適用されない脆弱性、0Day (0day 脆弱性とは、アプリケーションの責任者であるプログラマーまたはサプライヤーのソフトウェアの欠陥を指します) はすべて、企業のビジネスを危険な環境で実行させ、脆弱性を悪用する攻撃は可能性があります。ハッカーに違法にデータを盗ませ、ビジネスの中断、データの損失などを引き起こします。
3.ウイルス:ランサムウェア ウイルス (エターナル ブルー) に代表されるウイルスウイルスは、さまざまな方法でシステム サービスを利用できなくしたり、サーバー リソースの使用率が高くなったり、データが削除されたり、データが暗号化されたりする可能性があります。
2.攻撃防御
防火やアンチドスなどのセキュリティ製品を展開する
1. イントラネット保護: 1. セキュリティ グループ: 主な保護オブジェクトはエラスティック クラウド サーバー自体です 2. ネットワーク acl: 保護オブジェクトは vpc のサブネットです 2. 内部および外部のネットワーク境界保護
2. 内部および外部ネットワーク境界保護のための vNGFW
3. 外部ネットワーク境界保護 1. DDOS 高防御の展開 2. アンチ DDOS トラフィック クリーニング装置
3. 脆弱性の防止
脆弱性の防御 Web セキュリティに対する防御は、次の 2 つの側面に分けることができます。
1. ユーザー側: ユーザー側では、ユーザーがアクセスできる Web サイトの種類を制限したり、悪意のあるサイトを制限したりして、Web 攻撃から防御するという目的を達成します。
2. サイト側:サイトでの開発を標準化し、開発中の言語記述レベルからWeb攻撃を防御し、攻撃動作が実行できないようにする