参考答案:
【问题1】 WAF服务并不提供针对四层及以下流量的防护,例如:ACK Flood、UDP Flood等攻击,这类攻击建议使用DDoS及IP高防服务进行防护。 【问题3】
(1)安全预案
(2)安全策略
【问题2】
(3)UDP泛洪攻击
(4)SYN flooding攻击
(5)A
(6)UDP泛洪(UDP flood):攻击者通过向目标主机发送大量的UDP报文,导致目标主机忙于处理这些UDP报文,而无法处理正常的报文请求或响应。
(7)SYN flooding攻击,通常发生在TCP连接需要进行三次握手过程中。当客户端向服务端发出请求时,首先会发送一个TCP SYN数据包。而后响应一个SYN ACK数据包。服务器随后将等待从客户端收到一个ACK 数据包。如果服务器没有收到ACK 数据包,TCP连接将处于半打开状态,直到服务器从客户端收到ACK数据包或者连接因为计时器超时为止。当一个攻击者有意地、重复地向服务器发送 SYN数据包,但不对服务器发回的SYN ACK 数据包答复ACK数据包时,就会发生TCP SYN flooding攻击。这时,服务器将会失去对资源的控制,无法建立任何新的合法TCP连接。WAF防护应用层流量的拒绝服务攻击,适合防御HTTP Get攻击等。
(8)mysql
(9)Apache
(10)SQL注入攻击
(11)使用参数化的过滤性语句
(12)使用专业的漏洞扫描工具、IPS、WAF等设备。
详细解析:
【问题1】
(1)网络与信息安全应急预案:为了切实做好财政系统网络与信息安全突发事件的防范和应急处理工作,提高财政系统预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保财政系统网络与信息安全,结合工作实际,制定本预案。在安全预案中需要明确安全等级划分、安全管理机构、处置机构、处置流程、处置方法等内容。
(2)安全策略是对信息系统安全管理的目标和意图的描述,是对信息系统安全进行管理和保护的指导原则,是指导管理人员的行为、保护信息网络安全的指南,在安全策略的指导下制定安全管理制度、组织实施、检查改进、保证信息系统安全保护工作的整体性、计划性和规范性,确保技术保护措施和管理手段的正确实施,使得信息系统数据的完整性、机密性和可用性受到全面的保护
【问题2】
(3)(4)(6)(7)发现该服务器与外部未知地址有大量的UDP连接和TCP半连接,可以判断为SYN flooding攻击和UDP泛洪攻击。
UDP泛洪(UDP flood):攻击者通过向目标主机发送大量的UDP报文,导致目标主机忙于处理这些UDP报文,而无法处理正常的报文请求或响应。
SYN flooding攻击,通常发生在TCP连接需要进行三次握手过程中。当客户端向服务端发出请求时,首先会发送一个TCP SYN数据包。而后响应一个SYN ACK数据包。服务器随后将等待从客户端收到一个ACK 数据包。如果服务器没有收到ACK 数据包,TCP连接将处于半打开状态,直到服务器从客户端收到ACK数据包或者连接因为计时器超时为止。当一个攻击者有意地、重复地向服务器发送 SYN数据包,但不对服务器发回的SYN ACK 数据包答复ACK数据包时,就会发生TCP SYN flooding攻击。这时,服务器将会失去对资源的控制,无法建立任何新的合法TCP连接。
(5)A
【问题3】
(8)从图中可以清晰地看出是mysql数据库,web服务器使用的软件是Apache,改WEB服务器存在SQL注入攻击漏洞,防范措施可以使用参数化的过滤性语句、使用专业的漏洞扫描工具、使用IPS、WAF等设备。