15.1、入侵阻断 白名单 流量清洗技术

入侵阻断技术与应用

现在商业的入侵检测系统，它是既能做入侵检测，也能做入侵防御，有些厂商甚至就没有单纯的入侵检测。他把入侵检测集成到入侵防御里面去卖，有些厂商可能有单独的入侵检测和入侵防御

本质上入侵检测和入侵防御底层的软件差不多，只是给你装到了不同盒子里面，标成了不同的型号来卖给你。有些厂商就直接一个IPS，他入侵检测和入侵防御的事情都能干

主动防御的技术通过对目标对象的网络攻击行为进行阻断，从而达到保护目标对象的目的，常用的就是入侵防御系统，简称IPS，它能够根据网络包的特性以及上下文的攻击特征来控制包的转发工作机制，类似于路由器或者防火墙

IPS能串行部署和旁路部署，串行部署的话就要解决两个问题，第一个是通信的瓶颈问题，比如说我整个带宽都是十个G的， 你的IPS处理性能只有一个G，那我网络的最大性能就是1个G。第二个是高可用的问题，如果是串行部署，IPS挂了。 整个网络就访问不了互联网，访问不了外网

旁路部署就是监听网络流量，然后通过旁路方式，在我们的ips设备里面去注入流量，实现对报文的阻断

可以通过，策略路由或者是通过sdn控制器去引流，把流量引过来绕IPS走一圈，如果有问题就在IPS这儿给阻断了，如果没问题，直接转发，所以IPS它也是可以旁路部署的，而且旁路部署对网络延迟影响比较小

软件白名单技术与应用

主动还原的技术叫软件白名单技术，它主要的方法是设置可信任的软件名单列表，阻止恶意软件在我们相关的一些系统上去运行。 第一点是构建安全可信的移动互联网安全生态。我们在手机上，下载一个APP，一般如果你是苹果的话就去苹果商店下

安全生态，说白了就是合规软件下载的平台

第二个针对恶意代码的防护，传统的恶意代码防护，主要是基于黑名单的扫描，你的软件里面有没有一些病毒的特征，如果有的话，我们这个系统就不能安装

白名单的思路就是，运用白名单的技术只允许可信的软件安装和执行

比如说你要想在手机上安装一个软件， 像有些手机它就很严格，就是你一定要在我的应用商城里面下，才能安装，这个后台可以设策略，如果是非法随便在网上百度去下的一个软件，会安装不了， 提示你没有这个权限，这叫白名单技术，只相信可信的

还有更高级一点的叫白环境的保护，它是基于白名单的安全策略。 只有安全的设备才能接入我们受控制的网络，只有可信任消息才能在网络上传送，而且只有可信任的软件才能够被执行。相当于它这个白名单牵涉到了多个层面，从设备、网络消息到软件是一个全方位的防护。

像金融证券、一些军事领域要求我们要有一个白环境的保护，一个层面都不能出错，这是软件白名单

软件白名单技术工作的一个原则。就是检测软件有没有在白名单里面，我们一般用的是哈希值。

通过一个软件的哈希值，然后去检查你的列表， 对比一下哈希值， 然后发现，你在白名单里边，那么我们就正常的去，如果没有在白名单里面，那你就加载运行失败。

网络流量清洗技术原理

流量清洗主要是针对大型的互联网出口或者大型局域网出口。一般的中小型网络可能出口放个防火墙、入侵检测就够了，根本用不上流量清洗。

流量清洗既可以买流量清洗的设备，也可以买阿里云、腾讯云，他们有专业的流量清洗服务。 它的核心技术原理是通过异常流量的检测， 将原来发送给目标系统的流量牵引到流量清洗中心，清理完之后，再把留存的正常流量转回到目标系统。

它的过程一共是三步，第一步做流量的检测，检测有没有攻击，用分布式多核硬件技术，基于深度包检测，分析我们的网络数据，然后是快速的识别隐藏在流量中的攻击包，以便实现精准的识别和后续的清洗

第一步是检测有没有攻击，没有攻击直接过，有攻击的话就要进行下一步，流量牵引，把我们的流量牵引到相应的清洗系统

检测到有攻击的时候，比如说大规模的dos攻击，我们的牵引技术会把目标流量动态的给它引到清洗中心来进行清洗，使恶意的流量无法影响到目标系统。

第二步，需要注意的是清洗主要最核心的是针对ddos攻击，特别是一些大规模的ddos攻击。

ddos攻击叫分布式拒绝服务，这里面再给大家去加深一下印象，通过一个例子，我开了一个餐馆，然后有人来这儿吃饭，有一个人他就很特别，他就点一盘花生米，然后他待十个小时。从早上一直待到晚上打烊，他就只点了一盘花生米，这就叫DOS攻击，拒绝服务，至少这一桌，在这一整天就只卖了一盘花生米，我不能为其他的用户提供服务，比如说后面排着十个人要来吃饭，人家没桌子，但这个哥们儿就把桌子给我占了，造成了拒绝服务

第一种拒绝服务叫DOS攻击，第二种叫ddos分布式拒绝服务，就他一个人来吃饭，他还不过瘾。他把他的七大姑八大姨都叫来，而且大家都坐一张桌子，把我的桌子全部坐满了。但是每个人就只点一盘花生米，从早上吃到晚上，其他很多人看到完全没桌子，那肯定就走了，这叫分布式拒绝服务

分布式拒绝服务，说实话其实是比较难防的，防火墙、入侵检测能解决小规模的。厂商的这类产品，基本上都说防ddos攻击，但是说实话，稍微大规模一点的ddos，这些设备根本是完全不行的，有些时候检测不出来，有些时候检测出来之后，设备自己也被干掉了，所以针对稍微大规模一点的ddos攻击，基本上比较靠谱的就是流量清洗

整个流量清洗的第二步，就是牵引和清洗。第三步就是把清洗之后的干净流量给它回注到目标系统，让正常的用户，不受影响，我们就想方设法的把这些捣蛋用户给它干掉，然后我们正常的用户，就正常的吃饭。这是流量清洗的三个过程

比如说攻击者，他控制一堆的攻击节点，我们也把它叫做僵尸主机或者僵尸网络，然后由这些僵尸主机发起dds攻击，另外一些是合法的用户。这些流量都经过互联网，然后到达我们的目标网络或者目标服务器，如果不做流量清洗，所有的流量都会到这儿，就是瞬间你的资源、带宽或者你的服务器内存、CPU被占满。占满了之后正常的用户上不去了，所以如果有流量清洗，第一步，做一个检测，检测到有流量异常，反正不是常规的流量，我们把流量牵引到清洗中心，让清洗中心去清洗，清洗之后，把一些黑客的流量，比如牵引过来的，这个黑客的流量，全部干掉。正常用户的流量也牵引过来检测，没问题再返回去。这就是它的整个工作的一个过程

第一步检测，第二步牵引、清洗，第三步是回注。

流量清洗中心可能是硬件设备，也可能是云服务。云服务的，比如说把流量直接牵引到阿里云或者腾讯云上去

网络流量清洗技术应用

第一个是畸形数据报文过滤，利用我们的流量清洗系统可以对常见的畸形报文进行过滤，比如LAND、Fraggle、Smurf、Winnuke、Ping of Death、Tear Drop和TCP Error Flag等攻击。

抗拒绝服务攻击

Web应用保护，主要是一些大访问量的网页，比如像电子政务。还有像互联网公司的一些网页，它一般都会用流量清洗，像我们普通的网站，可能这玩意儿都用不太上，因为你流量没有那么大，也没有谁去攻击你，因为你价值没那么大

ddos高防IP服务，主要是通过代理技术来进行防护我们的服务器网站，也就是原站，这个业务流量会被迁移到高仿的IP，并对拒绝服务的流量进行过滤和清洗，再将正常的流量回注回去。