服务器上面运行网站。
端口1:操作系统后台
端口2:网页访问(访问业务)
端口3:远程控制(运维)
传统防火墙,最核心的功能就是“访问控制”,即定义谁能访问这个端口/封禁端口。
但是只用防火墙也不够,攻击者还可以利用漏洞来攻击。
防火墙只看IP信息,相当于寄快递时审查寄件人信息和收件人信息,但对寄的是什么内容不管。
网络层的防护需要分析应用层的数据是不是有攻击行为,网络防护中的"X光检测仪”就是入侵防御产品(IPS),不止看IP信息,还检查网络数据包里的数据,匹配到特征之后进行拦截。
网站是由http协议支持的,http协议一般是由多个TCP包组成的,IPS主要检测的是TCP包,所以针对很多协议支持的不是很完善,没办法还原出整包,所以对于IPS来说就是盲人摸象,不了解具体情况。
一个网站上的文件是被分成若干个网络数据包进行传输的,然后在接收端进行重组还原。有的攻击特征比较明显,即使分片传输也可以被监测出来,但有些复杂的,就很难被监测出来。
而且对于IPS来说无法实现对应用层协议的重组和编译,因为应用层协议有很多,如http、ftp、snmp等,一台设备很难全部支持,而且像http协议,重组完之后还要支持各种各样的编译手段。
攻击者可以利用这一点,通过多种拼装对数据包的内容进行混淆,使每段看起来都没问题,以绕过IPS的防护。
来源:B站“不可逆的矩阵”,讲师阿焜
在B站发现了个宝藏up主阿焜,其用“小明攻击教务系统偷改考试成绩”的故事讲解网络安全产品,我竟然听懂啦。
