本文目录导读:
入侵防御系统(IPS,Intrusion Prevention System)阻断攻击的核心逻辑是“检测-决策-执行”,它不像防火墙那样只检查IP和端口,而是深入到数据包内部,实时分析网络流量。
IPS通过以下几种方式实现阻断:
核心工作流程:实时在线阻断
IPS通常以串联方式部署在网络的关键路径上(比如公司内网与互联网的出口),所有流量都必须经过它,一旦它判定某流量是攻击,就会直接丢弃数据包,阻止其到达目标服务器。
具体的阻断技术手段
A. 基于签名匹配(Signature-based)——最常见的阻断方式
- 原理:就像杀毒软件的病毒库一样,IPS维护着一个庞大的“攻击特征签名库”,每个签名对应一种已知攻击(如SQL注入、缓冲区溢出、蠕虫病毒)的独特数据模式。
- 阻断过程:
- 流量进入IPS。
- IPS将数据包内容与签名库进行精确或模式匹配。
- 命中:如果发现数据包内容(例如HTTP请求中的“
' OR '1'='1”字符串)与“SQL注入攻击”的签名一致。 - 阻断:IPS立即丢弃该数据包,并记录日志,通常还会向网络管理员发送告警。
B. 基于异常行为分析(Anomaly-based)——阻断未知攻击
- 原理:IPS先“学习”网络在正常情况下的行为基线(如:平时哪台服务器访问什么IP、流量带宽有多大、使用什么协议)。
- 阻断过程:
- 建立基线后,IPS持续监控实时流量。
- 偏离:如果突然发现一台内网服务器开始向外网大量扫描445端口(而它平时从不做这事),这种行为与基线严重偏离。
- 阻断:IPS可以判定该服务器可能已被控、正在传播勒索病毒,于是动态阻断该服务器的所有外联流量,甚至自动将其隔离到虚拟局域网(VLAN)中。
C. 基于协议分析(Protocol Analysis)——阻断协议层面的攻击
- 原理:对TCP/IP、HTTP、SSL等协议进行深度解码和状态检查。
- 阻断过程:
- 检查数据包是否符合RFC(请求评论,即协议标准规范),一个HTTP请求被故意构造为畸形包,超过了缓冲区大小。
- 检查协议状态,一个客户端在没有完成三次握手的情况下,直接发送了FIN(结束连接)包。
- 阻断:IPS直接丢弃这些违反协议规范的或状态异常的数据包,阻止其对服务器造成崩溃或漏洞利用。
D. 基于行为与沙箱(Sandboxing)——阻断高级威胁
- 原理:对于可疑但未知的恶意文件(如带附件的邮件),IPS不立即放行,而是在虚拟化沙箱中执行该文件,观察其行为。
- 阻断过程:
- 流量到达IPS,发现一个.exe或.zip文件。
- IPS将该文件复制到沙箱中打开并模拟操作。
- 沙箱内的文件尝试修改注册表、连接已知恶意IP、或加密文件。
- 阻断:IPS判定为恶意软件,直接阻断原始流量,不允许该文件进入内网,并更新签名库以防御该变种。
阻断后的动作(不仅仅是丢包)
成功阻断攻击后,IPS通常会执行以下操作,以实现安全闭环:
- 丢弃数据包:直接销毁恶意流量。
- 重置连接:向通信双方发送TCP RST(复位)包,强制中断会话。
- 阻止源IP:将该攻击源IP加入黑名单,在一段时间内(如30分钟)阻止其所有流量。
- 隔离主机:如果内网主机已被攻陷,IPS会自动与交换机联动,将该主机踢出网络,放入隔离区。
- 记录与告警:生成详细的安全事件日志,并通过邮件/短信/仪表盘通知安全运维人员。
重要区别:IPS vs IDS vs 防火墙
| 工具 | 部署位置 | 核心能力 | 能否 实时阻断 ? |
|---|---|---|---|
| 防火墙 | 网络边界 | 基于IP、端口、协议的访问控制 | 能,但只看头,不深入检查内容 |
| IDS(入侵检测系统) | 旁路(复制流量) | 仅检测和告警 | 不能,只能“看到”攻击,无法干预 |
| IPS(入侵防御系统) | 串联(在线) | 实时检测并主动拦截 | 能,且是核心功能 |
IPS通过串联部署在流量路径上,结合签名库、异常模型、协议分析和沙箱技术来识别攻击,一旦判定为威胁,它会立即采取丢弃、重置连接、封禁IP等动作,在攻击到达目标前将其阻断。
标签: 攻击阻断
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
