8.4.1 DDoS
分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击是指攻击者使用网 络上多个被攻陷的电脑作为攻击机器,向特定的目标发动DoS攻击。DoS(Denial of Service)攻击也称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或 系统资源耗尽,服务暂时中断或停止,导致合法用户不能够访问正常网络服务的行 为。
DDoS威胁父类型约有100多种子类型,态势感知基础版、标准版和专业版支持全部 DDoS的子类型威胁告警。
当检测到应用系统受到DDoS类威胁时,代表应用系统受到DDoS类攻击,属于“提 示”告警级别威胁,建议用户直接购买DDoS高防服务防护。
文档版本 45 (2022-02-11) 版权所有 © 华为技术有限公司 64
8.4.2 暴力破解
暴力破解法(BruteForce)是一种密码分析方法,基本原理是在一定条件范围内对所 有可能结果进行逐一验证,直到找出符合条件的结果为止。攻击者通常使用暴力破解
SSH暴力 破解
中危 检测到ECS实例被不 断尝试SSH登录,代 表有攻击者正在尝试 对ECS实例做SSH暴 力破解攻击尝试。
攻击发生主要原因是SSH端口开放到公 网,因此建议按照如下方式处理:
1. 在安全组设置中限制外部SSH访问;
2. 在ECS操作系统中配置hosts.deny。
RDP暴力 破解
中危 检测到ECS实例被不 断尝试RDP登录,代 表有攻击者正在尝试 对ECS实例做RDP暴 力破解攻击尝试。
攻击发生的主要原因是RDP端口开放到 公网,因此建议按照如下方式处理:
1. 在安全组设置中限制外部RDP访问;
2. 在ECS操作系统中配置远程桌面访问 控制,如配置Windows防火墙等。
Web暴力 破解
中危 检测到Web服务
(如登录页面等)被 不断尝试登录,代表 有攻击者正在尝试对 Web应用登录页面 等做暴力破解攻击尝 试。
攻击发生的主要原因是将应用的后台管 理页面(如phpMyAdmin、tomcat管理 页面等)开放到公网;需要开放到公网
MySQL 爆破
中危 检测到ECS实例上的 MySQL被不断尝试 登录,代表有攻击者 正在尝试对ECS实例 做MySQL暴力破解 攻击尝试。
攻击发生的主要原因是MySQL服务端口 开放到公网,因此建议按照如下方式处 理:
1. 在安全组中限制外部访问MySQL实 例;
2. 配置OS上的防火墙策略,限制外部访 问;
3. 解除安装MySQL实例的ECS与EIP的绑 定关系。
威胁告警 MS SQLServer被不 断尝试登录,代表有 攻击者正在尝试对 ECS实例做MS SQLServer暴力破解 攻击尝试。
攻击发生的主要原因是MS SQLServer服 务端口开放到公网,因此建议按照如下 方式处理:
1. 在安全组设置中限制外部访问MS SQLServer实例;
2. 配置OS上的防火墙策略,限制外部访 问;
3. 解除安装MS SQLServer实例的ECS与 EIP的绑定关系。
系统爆破
Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为。
常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。
态势感知支持检测38种子类型的Web攻击威胁,基础版不支持检测Web攻击类威胁,
标准版支持检测19种子类型威胁,专业版支持检测全部子类型威胁(其中有14种类型 需要购买Web应用防火墙服务,3种类型需购买企业主机安全服务)。
当检测到Web攻击类威胁时,代表有攻击者正在尝试对Web应用漏洞做攻击尝试,属 于“中危”及以下告警级别威胁。因此建议按照如下方式处理:
1. 检查Web应用逻辑是否有相应漏洞;
2. 购买Web应用防火墙服务防护。
8.4.4 后门木马
后门木马又称特洛伊木马(Trojan Horse),是一种后门程序。后门木马具有很高的伪 装性,通常表现为一个正常的应用程序或文件,以获得广泛的传播和目标用户的信
当检测到后门木马类威胁时,ECS实例存在木马程序网络请求,代表ECS实例已经存在 被植入木马的特征,如尝试做wannacry勒索病毒相关DNS解析请求、尝试下载exe类 木马程序等,属于“高危”告警级别威胁。因此建议按照如下方式处理:
MySQL 漏洞攻击
低危 检测到ECS实例被尝 试利用MySQL漏洞 攻击,代表ECS实例 被尝试使用MySQL 漏洞进行攻击。
攻击发生主要原因是ECS实例在公网上开 放了MySQL服务,因此建议按照如下方 式处理:
1. 配置安全组规则,限制MySQL服务公 网访问;
2. 解绑ELB,关闭MySQL服务公网访问 入口。
Redis漏 洞攻击
低危 检测到ECS实例被尝 试利用Redis漏洞攻 击,代表ECS实例被 尝试使用Redis漏洞 进行攻击。
攻击发生主要原因是ECS实例在公网上开 放了Redis服务,因此建议按照如下方式 处理:
1. 配置安全组规则,限制Redis服务公网 访问;
2. 解绑ELB,关闭Redis服务公网访问入 口。
8.4.6 僵尸主机
僵尸主机亦称傀儡机,是由攻击者通过木马蠕虫感染的主机,大量僵尸主机可以组成 僵尸网络(Botnet)。攻击者通过控制信道向僵尸网络内的大量僵尸主机下达指令,
令其发送伪造包或垃圾数据包,使攻击目标瘫痪并“拒绝服务”,这就是常见的DDoS 攻击。此外,随着虚拟货币(如比特币)价值的持续增长,以及挖矿成本的逐渐增 高,攻击者也开始利用僵尸主机进行挖矿和牟利。
态势感知支持检测7种子类型的僵尸主机威胁,基础版不支持检测僵尸主机类威胁,标 准版支持检测5种子类型威胁,专业版支持检测全部子类型威胁。
当检测到僵尸主机类威胁时,检测到ECS实例存在挖矿特性行为(如访问矿池地址 等)、对外发起DDoS攻击或暴力破解攻击,代表ECS实例可能已经被植入挖矿木马或
后门程序,可能变成僵尸网络,属于“高危”告警级别威胁。因此建议按照如下方式
异常行为(Abnormal Behavior)主要指在主机中发生了一些不应当出现的事件。例 如,某用户在非正常时间成功登录了系统,一些文件目录发生了计划外的变更,进程 出现了非正常的行为等。这些异常的行为事件很多是有恶意程序在背后作乱。所以在 发生这类异常行为时,管理员应当引起重视。态势感知中的异常行为数据主要来源于 主机安全服务和Web应用防火墙服务。
态势感知支持检测21种子类型的异常行为威胁,基础版不支持检测异常行为类威胁,
标准版支持检测7种子类型威胁,专业版支持检测全部子类型威胁(其中有7种类型需 要购买Web应用防火墙,11种类型需要购买企业主机安全服务)。
当检测到异常行为类威胁时,各子类型威胁处理建议参见表8-4。
域名生成算法(Domain Generation Algorithm,DGA)是一种利用随机字符生成命 令与控制(Command and Control,C&C)域名的技术,常被用于逃避域名黑名单功 能的检测。攻击者利用DGA产生恶意域名后,选择部分域名进行注册并指向C&C服务 器。当受害者运行恶意程序后,主机将通过恶意域名连接至C&C服务器,攻击者即可 远程操控主机。
态势感知支持检测3种子类型的命令与控制类威胁,基础版和标准版不支持检测命令与 控制类威胁,专业版支持检测全部子类型威胁。
当检测到命令与控制类威胁时,ECS实例存在访问DGA域名、访问远程C&C服务器或建 立了连接C&C的通道,一种恶意软件访问或连接行为,代表ECS实例可能正在被C&C远 程控制,可能变成僵尸网络,属于“高危”告警级别威胁。因此建议按照如下方式处 理:
1. 对ECS实例做病毒木马查杀,查杀失败则关闭该实例;
2. 检查实例所在子网的其他主机是否被入侵;
文档版本 45 (2022-02-11) 版权所有 © 华为技术有限公司 68
3. 购买企业主机安全服务防护。