刊　首　语

让NetEye创新之泉 涓涓不息
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　文：路娜

　　每个企业和产品都有自己的核心竞争力，品牌、渠道、技术、服务、资本市场等等，各有看家本领。回顾中国安全之路，能走过10年的企业不多，每年都有安全产品和安全企业起起落落。对于有的用户来说，迎来送往，真是有点“人面不知何处去，花开花落在梦中”的感觉了。

　　东软NetEye10年的立市之本在于对技术不断创新的执着情怀。东软在国内安全技术领域里一直走在前列，2000年当国内防火墙领域还处于是仅仅单包分析的时候，东软NetEye就推出了状态检测技术，在TCP层面上也是东软在2000年最早实现的连接表技术。2002年，东软又推出了在全球市场来看都是一个领先的流过滤技术。从NP到FPGA，东软在技术创新方面一直不断的投入，技术创新就没有停止过。东软NetEye不仅根据用户的需求来不断创新地提出为用户服务的整体安全解决方案，同时，东软NetEye根据自己在技术上的积累和研究，还不断地努力去实现全球领先的安全技术。虽然东软NetEye不是一个完美主义者，但是东软依然希望将最新的且成熟的技术应用到用户业务中，并提供高效的、高价值的、可持续性的安全服务。

　　10年间，东软NetEye没有来去匆匆，在漫长的安全之路上留下的是一串串稳健的脚印。英国人把今天称为“present”，的确昨天已经成为了历史，明天还是谜语，今天对于每个人来说都是个礼物。东软安全人坚信创新不是负担，不会压垮我们，只会让我们越走越久远。

　　电信运营商业务承载类网络是高端网络的典型代表。而随着业务系统的逐年扩大，部分大型行业客户的网络系统也越来越多的体现出高端网络的特征，甚至包括电信运营商围绕承载网络而建设的业务支撑类网络系统的骨干区域也逐步加入到高端网络阵营。
　　高端网络最根本的运维要点在于如何向接入用户网络提供满足要求的服务质量承诺，如带宽、响应延迟等指标。DDoS攻击最直接的破坏效果恰恰表现在大幅度降低骨干链路的可用带宽资源和处理响应速度，所以高端网络几乎成为DDoS首选的攻击对象并进而沦落为拒绝服务攻击的重灾区。

　　高端网络痼疾—DDOS
　　普通企业网大量应用的一些传统安全技术几乎都不适用高端网络对DDoS的防范，高端网络几乎已经面临着无计可施的局面。

• 串接式设备举步维艰

　　普通企业网络通常会采用类似于防火墙、DDoS专项过滤器等设备，通过在企业网边界点上的部署防止DDoS流量由低等级区域向关键区域渗透。然而，这种解决思路并不适合高端网络，主要表现如下：

a) DDoS过滤器等串接设备显著降低高端网络的稳定性。高端网络是面向社会广大接入用户提供高速互联服务的中间网络，其宗旨在于通过高度稳定的网络带宽和服务质量满足接入用户互联互通的需求。为此，高端网络从网络设备、拓扑设计、链路资源、运维管理等各方面均不惜重金投入人力物力，为提高网络稳定性付出巨大的前期投入。然而，诸如防火墙或DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性，其系统MTBF指标比主流网络设备要逊色许多。在高端网络区域边界点上部署此类设备将直接造成两个负面影响：一是人为增加了单一故障点，二是把高端网络整体稳定性直接拉低为DDoS过滤器设备本身的稳定性。因此，在高端网络上部署串联式设备是得不偿失的；
b) DDoS过滤设备难以提供足够的处理性能。高端网络动辄采用的万兆以上链路是现有DDoS过滤器难以望之项背的。一般DDoS过滤器通常针对普通企业用户进行设计，其系统处理性能往往局限在1000M bps以下，因此无法提供与保护目标相称的处理能力；
c) DDoS过滤设备无法提供对应的接口类型。DDoS过滤设备主要面向下游接入网络提供服务，网络接口基本局限为100/1000M以太链路，而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程，这对于构建在通用硬件平台上的DDoS过滤设备来难以配置相应接口板卡。

　　正是由于传统DDoS串接防护设备显而易见的局限性，决定了其无法在高端网络中进行应用部署。

• 无法准确界定DDOS

　　当寻求传统DDoS解决方案受挫后，高端网络运维部门转而在网络设备管理维护体系中进行尝试，采取的方式通常包括在网络路由设备中增加静态ACL、手动调整QoS流量整形策略等。但这似乎由一个极端走向了另一个极端，完全忽略了一个现实问题——DDoS本质上是一种人<—>人对垒的网络安全斗争，而非人<—>机之间刻板的流量管理配置。这主要是由于以下原因造成的：

a) ACL列表不可能事前得到DDoS流量特征。DDoS流量的源IP地址是极为分散的（这主要取决于Botnet），目的IP地址也并不固定（这是因为DDoS的真正目标并不在于目的IP所指向的网络单元，而是迫使DDoS流经的骨干链路遭受“池鱼之灾”即可），因此静态ACL过滤无法准确命中DDoS流量；
b) DDoS流量无法通过简单的流量统计数字进行识别。一个简单的例子可以说明： 同样是10K bps/s的ICMP ECHO流量，在5G bps/s背景负载情况下并不能说明什么问题，而对于5M bps/s的背景负载则几乎等同于一次Flooding攻击。因此，通过人工调整的流量整形策略无法在链路瞬息万变的各种流量比例关系中快速定位异常流量的发生；
c) 网络设备难以识破DDoS的伪装。部分DDoS具备良好的伪装能力，能够混杂在正常业务应用中而使网络设备无法通过传输层以下的表象特征进行识别，这种应用层伪装能力已远远超出网络设备的能力范围。

　　由此可见，高端网络在应对DDoS威胁时所需要的既不是脆弱的传统DDoS过滤设备，也不能是简单粗暴的网络层ACL访问控制机制。高端网络需要的是一种既可保持网络系统健壮性又能提供较高检测命中率的新颖思路。

　　东软NTars的DDOS应对之道
　　NetEye异常流量分析与响应系统（NTars）是东软公司面向高端网络领域推出的流量分析系统，并由于一脉相承的血统缘故，NTars不仅具备一般网络流量分析系统的仪表功能，而且着重突出系统在异常流量分析方面的专长技能并提供多种响应处理手段。作为异常流量的常见表现形式，DDoS行为被列为NTars系统的基本防范目标之一。
　　NTars系统通过综合采用ICA复合采集机制、高效检测引擎和自动响应能力等多项技术，为高端网络DDoS流量防护给出全新的解决路线，并充分保障了目标网络的原有稳定性。

• 疏密有致的ICA复合采集机制

　　NTars所实现的ICA复合采集机制，广泛吸取Netflow、Sflow、Cflowd、NetStream、Port Mirroring、SNMP等各项技术的综合优势，通过多种渠道获得采集对象的传输层以下各协议层特征甚至可按需获得可疑流量应用层完整信息，为准确检测海量背景压力下混杂的DDoS流量提供多元化的基础数据。ICA复合采集机制所呈现的技术优势表现在以下几方面：

a) 旁路接入设计：ICA复合采集机制完全通过旁路接入方式实现对监控网络的分析采集，能够彻底排除串联式DDoS防护机制给原有网络稳定性所引入的负面影响，同时还利用现有设备内嵌的各类Agent自动完成数据提取，可无缝支持各种物理/链路层规程接口，如POS、MPLS、万兆以太等；
b) 高度复合的数据采集能力：ICA技术所支持的各种采集方式不再是简单的并列平行 运作，而是能够按照检测策略要求在彼此之间进行智能化的复合关联，一种数据采集方式所产生的分析结果能够智能驱动其他数据采集方式的启用，自动引导数据进入不同层次的分析引擎中。如基于Flow/SNMP的采集数据所产生的分析报告，在NTars主控模块协调下能够自动触发SPAN、网元配置分析等操作，从而将可疑流量有选择的分流到高层分析模块中；
c) 疏密有致的检测作业分工：ICA多种采集方式直接对应到NTars不同的分析引擎， 各分析引擎提供针对不同层面的专项作业分工。通过不同引擎的配合，NTars不仅可以成功发现分布在传输层以下的DDoS流量，并且还有能力对应用层内部的DDoS行为进行准确检测。各引擎之间既分工独立又可智能协同，能够广泛适用于网络性能分析、异常流量检测、服务质量监控、应用层安全过滤等多种环境中。

• 基于统计抽样的高效基线比对

　　NTars能够通过流量基线和流量阀值两种方式提供全局流量检测服务，流量基线和流量阀值分别描述了目标链路流量分布的“正常”和“异常”：

a) 基线描述了正常情况下目标链路的流量分布和变化规律。NTars既可以根据收集到的信息自动生成流量基线，也允许管理员手工调整定制，使得基线更加贴近目标链路的实际情况。基线功能可以通过对一个指定时间周期内各项流量图式指标的定义（如总体网络流量水平、流量波动、流量跳变等），建立流量异常监测的基础模型，并可在运行中不断自我修正以完成与实际运行特征的吻合，从而提高对异常流量报警的准确性；
b) 和流量基线相比，流量阀值则直接定义了目标链路中流量异常的情况。当指定范围内的流量指标超过该阀值时，系统则判定网络中出现流量异常，并作出报警和安全响应。

　　流量基线和流量阀值，分别从正常、异常两种视角对目标链路的健康状况进行描述，两者的结合使用有效促进NTars及时、准确的检测和定位异常行为，并为系统自动响应机制提供有关异常流量的规范性描述。

• 基于样本描述的精准特征匹配

　　同时，为了将混杂在正常业务应用流量中、大量消耗网络带宽的类DDoS异常行为（如Worm、Spam）准确识别出来，NTars专门增加了基于样本描述的特征匹配检测引擎，为应用层内部的异常行为进行专项检测，把DDoS防护范围从单纯的传输层以下进一步扩大到OSI所有层面。
　　NetEye安全实验室提供持续更新的特征规则库。NetEye特征库采用了东软公司自主产权的NEL语言对业内已知有关网络安全的异常行为进行了严格、精确的特征描述，是NTars进行应用层异常识别的技术基础。

• 多种响应手段

　　如果说基线概念的出现代表着网络性能分析阶段与异常行为检测阶段的临界点，那NTars系统所具备的多种响应能力则把行为检测与安全防护两大职能分类进行了有机统一。
　　NTars名字中的” R”(esponse)清晰地传达出东软公司对其防护能力所寄托的厚望。尽管采用旁路部署方式，NTars却轻松实现了对DDoS等异常行为的主动干预，从而将其与单纯的检测报警类设备泾渭分明的区别开来。

a) 黑洞路由导入：对于源目的IP或者服务类型较为确定的DDoS流量，NTars能够通过BGP、OSPF协议与指定路由设备进行通信或直接进行CLI静态路由配置，设置Black hole黑洞路由，从而使路由设备将异常流量直接抛弃。相对于ACL访问控制规则Deny操作而言，Black hole可实现更快的处理速度，避免NTars所加载的反响抑制措施对路由设备造成额外的处理负荷。
b) 流量牵引及净化：同时，NTars支持与外挂安全过滤设备的协同，如FW、IPS、防病毒过滤网关等。安全过滤设备将为NTars提供作为专业的流量过滤净化服务。为此，NTars在对异常流量作为正确判断后，将通过BGP或CLI方式对可疑流量进行选择性牵引，诱导路由设备将可疑流量转发至特定安全过滤设备，凭借专业化检测过略机制对可疑流量进行深度分析和控制。经过滤净化后的流量将按照管理员预设策略重新进入原有路由路径中，从而实现对高带宽流量有选择、分层次的深度过滤分析作业。

几乎所有主流防火墙、IPS、防病毒过滤网关等系统都可以成为NTars外挂设备，NTars将根据外挂设备的具体处理能力决定牵引流量的上限带宽，从而保证外挂过滤设备的介入不会对原有网络转发能力造成负面影响。除此之外，外挂设备处理能力的上限阀值也可以被NTars作为重要参考因素，并据此完成同类别外挂设备之间的负载分流。
c) 自动调整ACL及traffic shaping：另外，NTars还具备通过CLI调整指定路由设备配置文件的能力。NTars可遵循由NEL语言预设的语法规则，完成与特定路由设备的命令行交互，按照各分析引擎的检测结果自动调整路由设备的ACL和流量整形策略，迫使路由设备拒绝相应DDoS流量或按照指定阀值自动抛弃超出部分流量，对DDoS流量进行有效抑制。

　　通过NTars的多种响应手段，网络运维人员得到的不再是令人眼花缭乱的空洞报警，而是系统针对DDoS流量自动采取控制机制的切实收益。

　　博采众长，多技傍身
　　东软NetEye NTars不仅仅是网络性能/流量分析系统，而是更具网络安全特征的异常行为检测系统；NTars也不仅仅是单纯的DDoS防护设备，而且还能够对蠕虫传播、垃圾邮件、P2P通信、应用层内容安全以及网元设备节点监控提供一站式的服务。

a) 其他网络滥用行为的检测：通过内置的样本特征库定义，NTars可以通过行为分析、特征匹配等手段准确检测蠕虫、垃圾邮件或P2P通信的发生，并允许以此作为生成流量分析报告的过滤条件(Filter)。NetEye安全实验室为NTars样本特征库提供在线升级服务；
b) 应用层内容监测：针对常见应用协议，如HTTP、FTP、Telnet、SMTP、POP3、NNTP、IMAP、DNS、Rlogin、Rsh、MSN、Yahoo Messenger等，NTars均可对其进行关键指令、重要URL和敏感内容进行实时监测；
c) 网元设备监控：NTars认为“链路”和“节点”是构成一张拓扑图的基本要素，因此“流量图式分析”和“网元状态监控”对于判断一个网络系统内部访问秩序都是必不可少的重要依据。NTars通过内嵌的网络设备监控模块将系统分析对象从单纯的链路流量扩展到节点内部运行状态，为异常流量准确判断和定位提供了有效保证。

　　总之，东软NetEye NTars是集检测与响应于一身的混合型防护设备，不仅通过旁路部署的方式避免了对高端网络稳定性的影响，而且又利用BGP/CLI等方式完成了对可疑流量的反向抑制。对于高端网络运维而言，NTars综合提供了统计分析、异常检测和反向抑制三大部分功能，是对DDoS进行有效反制的不二之选。

在融合中超越

　　在六中全会讨论构建和谐社会的重大决定的前夕，中国IT软件界也正在探讨和谐与融合发展的新思维。——2006年9月底，中国IT业界一年一度的盛会“东软解决方案论坛”在沈阳东软软件园拉开帷幕，一向引领中国软件产业发展趋势的东软，在本届论坛上隆重推出了“解决方案的融合之道”的大会主题，提出中国信息化建设应该“在融合中超越，在发展中创新”的观点。

　　来自国家信息产业部、辽宁省及沈阳市的各级领导，来自国内电信、电力、社保、金融、医疗、教育、税务、交通、制造、烟草等行业和企业的CIO，以及来自Oracle、INTEL、IBM、HP、EMC、SUN、赛门铁克、微软等国际知名IT企业的高层领导和各新闻媒体共500多人聚会东软软件园，共探讨中国信息化建设所取得的经验与教训，寻找在全球化背景下的中国软件产业和信息化建设的成功之道。

　　今年是东软产业发展15周年及公司上市10周年庆典，作为中国领先的解决方案提供商，东软15年的IT系统建设让使他们对融合有了更加深入的理解。东软股份高级副总裁兼运营总监卢朝霞女士认为，融合首先体现在软件与客户核心业务的融合，只有当软件融入到客户的业务中，为客户带来商业的价值，客户才会离不开软件，才有软件供应商生存与发展的空间；融合不仅是技术与业务简单的结合，成功的融合应是供应商与客户在组织体系和人力资源的高度结合，形成一种你中有我，我中有你，水乳交融的境界；融合是一种彼此相互的尊重，是一种彼此相互的信任，是一种共同面对困难、战胜困难的信念!没有彼此的尊重，没有相互的信任，没有共同的信念，融合只能是一种美好的愿望。

　　东软集团董事长兼CEO刘积仁博士在主题发言中强调要构造一个以客户为中心的生态系统，使创造客户价值这样一个承诺落到实处。他说，创造客户价值是东软生存和发展的基础，如果我们不能持续地为客户创造价值，就不会有东软的发展空间。

　　为此，我们可以看到，东软在总结自身15年的发展经验时，对合作伙伴和客户关系的认识正在向深入演化，东软认为，融合是一种彼此的尊重，它可以让两个公司形成一个系统，融合是一种力量的凝聚，它可以实现1加1大于2的效果，融合是一种思维的创新，它可以创造一个和谐共赢的世界。这一指导思想将贯穿于东软下一步发展战略的全过程。

　　>>>查看全文

　　最近对IMAIL RCPT存在的漏洞进行了相关调试，心得体会：

(1)、不要总盯着jmp/call esp，多看看eax、ebx、ecx、edx、esi、ed、ebp等寄存器是否含有shellcode位置，还要注意ESP+??，即函数参数中是否含有shellcode位置
(2)、关于shellcode的编码问题， shellcode不能含有如下7个字符：
<
>
@
:
空格
\r
\n
想法：测试输入字符过滤，可以用ASCII码表去覆盖缓冲区，然后用OllyDBG去看缓冲区的内容。

　　>>>查看全文

　　发布日期： 2006年11月 东软NetEye攻防小组

　　摘要

　　2006年11月，微软发布了6个安全公告，其中7个漏洞属于“紧急”风险级别。攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。

　　攻防小组对微软安全公告以及其他重要的安全公告进行了汇编。建议用户检查自己的系统是否受这些漏洞的影响，并安装补丁予以解决。

紧急 (9)

　　>>>查看全文

　　2006年11月6日，东软网络安全接到了来自公安部信息通信局的感谢信，信中对东软一直以来良好的信誉、优质的安全服务以及团队人员丰富的经验和专业的技术能力给予了充分的肯定和赞扬。

　　作为中国IT行业领先的软件和解决方案供应商，东软始终致力于为客户提供专业、系统、及时、高质的网络安全服务。其中，东软计算机安全事件应急小组NCSIRT作为首批国家计算机网络应急技术处理协调中心“公共互联网应急处理国家级服务试点单位”，近6年来为政府部门组织处理了包括大规模病毒爆发、网络入侵事件、拒绝服务攻击、主机或网络异常事件在内的紧急异常事件，以最快速度恢复系统的保密性、完整性和可用性，保障客户组织业务系统的连续性，阻止和减小安全事件带来的负面影响。

　　公安部信息通信局的表扬是对东软网络安全优质服务的一种肯定，但是更应将其视为一种鞭策。东软网络安全将秉承客户价值最大化的理念，继续以市场为导向不断创新、推出高品质的产品和专业化的信息安全服务，使客户的信息安全保障系统真正做到“因需而变，因御而安”。

　　>>>查看全文

　　其他相关动态

• 东软网络安全为“WTO规则与国家信息安全”报告会献计献策
• 东软NetEye喜获“中国信息安全行业十大品牌企业”荣誉称号
• 东软NetEye渠道五站培训圆满结束
• 东软Neteye出席2006北京网通宽带商务发展论坛

　　十分感谢您阅读NetEye安全月刊，我们真诚的希望大家通过这个平台交流NetEye使用经验，提出您的宝贵意见，东软资深安全顾问将竭诚为您提供全面服务。欢迎您发表高论：neteye@neusoft.com