网络攻击事件应急预案.doc

《网络攻击事件应急预案.doc》由会员分享，可在线阅读，更多相关《网络攻击事件应急预案.doc（12页珍藏版）》请在三一文库上搜索。

1、1 目录目录 一.预案概述.3 1.1 目标.3 1.2 内容.3 1.3 参与人员.4 二.抗 DDOS 攻击预案5 2.1预案拓扑示意 .5 2.2硬件准备.5 2.3软件准备.6 2.4如何判断已受到 DDOS 攻击.6 2.5黑洞防护设备上线 .6 2.6攻击缓解.8 2.7攻击日志.8 三.WINDOWS 入侵的检测与防御.9 3.1硬件与软件的准备 .9 3.2后门账户检测 .9 3.3日志分析.9 3.4手工检查.10 3.5软件检测.11 3.6清除可疑文件 .11 3.7修复受损系统 .12 3.8加固服务器 .12 四.编写报告.13 2 一一. 预案概述预案概述 1.1

2、目标目标 拒绝服务攻击是利用 TCP/IP 协议栈缺陷发动破坏可用性的网络攻击行为，破坏力巨 大，必须有专业的设备才能有效防护。此预案包含了使用专用防护工具（黑洞专业抗 DDoS 设备）对抗 DDOS 攻击的内容，以提高应对 DDOS 攻击的能力。另一方面，系统 入侵与防御一直是网络安全的主要内容之一。而木马以及 rootkit 是系统层面上存在的一个 长期并且巨大的安全威胁。如果提到网络安全人们就很自然地想到黑客，那么提到黑客大 家也自然的能想到入侵。入侵检测以及入侵防御一直以来都是网络安全的核心技术之和主 要内容之一。由于我公司绝大部分主机为 windows 操作系统，因此专门制定了 wi

3、ndows 平台下的入侵检测与防御预案。目的就是提高应对目前流行的系统入侵行为的能力。 1.2 内容内容 保证网络的可用性： 黑洞抗 DDoS 设备防止 DDoS 攻击预案 保证数据的机密性： 服务器入侵检测与防护预案 3 1.3 参与人员参与人员 客户方联系人员名单表客户方联系人员名单表 姓名姓名职务职务所属组织所属组织移动电话移动电话固定电话固定电话电子邮件电子邮件 总监总监信息技术部信息技术部 工程师工程师信息技术部信息技术部 工程师工程师信息技术部信息技术部 工程师工程师信息技术部信息技术部 实施方联系人员名单表实施方联系人员名单表 姓名姓名职务职务所属组织所属组织移动电话移动电话固定

4、电话固定电话电子邮件电子邮件 二二. 抗抗 DDoS 攻击攻击预案预案 为防御 DDOS 攻击，我公司在 IDC 机房部署了绿盟科技的黑洞抗 DDoS 设备，保护 主站 免受 DDoS 攻击。 4 2.1 预案拓扑预案拓扑示意示意 傀傀儡儡机机1 傀傀儡儡机机2 傀傀儡儡机机3 Web 访访问问测测试试 被被攻攻击击Web 服服务务器器 图图 1 2.2 硬件硬件准备准备 应急时所需硬件： 设备名称设备名称/ /用途用途数量数量操作系统操作系统IPIP 地址（示意）地址（示意）备注备注 WebWeb 访问测试机访问测试机 1 1WindowsWindows 2000/2003/XP2000/

5、2003/XP 192.168.1.102192.168.1.102 较高档的较高档的 PCPC 或服务器或服务器 WebWeb 服务器服务器 1 1Windows2000Windows2000192.168.1.10192.168.1.100 0 安装安装 IISIIS 交换机交换机 1 1100M100M 黑洞黑洞 1 1192.168.1.1192.168.1.10101 黑洞本身没有黑洞本身没有 IPIP，设置的，设置的 IPIP 地址是为了方便远程管地址是为了方便远程管 理理 5 2.3 软件软件准备准备 此次演练所需的攻击软件以及被攻击 Web 服务器： 软件名称软件名称用途用途运

6、行环境运行环境备注备注 StressStress ToolTool 7 7 测试客户端访问测试客户端访问 webweb 服务器服务器 时的延时时的延时 WindowsWindows 安装在安装在 WebWeb 访问测试机访问测试机 2.4 如何判断已受到如何判断已受到 DDoS 攻击攻击 当内部服务器遭受 DDoS 攻击时，可以由以下方式判断： 1、服务器入口流量激增； 2、服务器进出口流量比异常； 3、服务器会话保持数超常； 4、服务器性能消耗急剧上升； 5、站点访问体验急剧下降。 一旦出现上述情况中的一种或者几种，均可考虑 DDoS 攻击发生的可能。 通过流量分析设备或管理员人为判断或准确

7、的抓包分析判断出 DDoS 攻击发生，即可采用 黑洞 DDoS 防护设备进行流量清洗。 2.5 黑洞防护设备上线黑洞防护设备上线 根据客户业务量大小进行黑洞防护设备选型，通常 100M 链路采用黑洞 200/600 进行 防护；1000M 链路采用黑洞 1600/2000 进行防护。此试验环境中采用黑洞 600 进行应急 防护。 黑洞 600 防护设备拥有两个工作口（IN/OUT），一个管理口；将黑洞 IN 口连接外部 网络，OUT 连接被保护网络。列出设备 IP 地址以及接口，如图所示： 6 傀傀儡儡机机1 傀傀儡儡机机2 傀傀儡儡机机3 Web 访访问问测测试试 被被攻攻击击Web 服服务

8、务器器 192.168.1.102 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.100 INOUT 黑黑洞洞管管理理IP： 192.168.1.101 图图 2 黑洞将根据初始防护模板将对流量进行判断和过滤，超过设定阈值即启动清洗过滤。针对 DDoS 攻击规模，可以通过 Web 界面实时调整防护模版阈值；针对 DDoS 攻击类型的不 同，也可以启用专用防护模版。 截取部分黑洞 DDoS 防护截图示例： 图图 3SYN-Flood 攻击防护攻击防护 7 图图 4ACK-Flood 攻击防护攻击防护 2.6 攻击缓解攻击缓解 演练过程中，攻击流量被黑

9、洞过滤，正常访问流量不受影响 流量流向图如下所示： 傀傀儡儡机机1 傀傀儡儡机机2 傀傀儡儡机机3 Web 访访问问测测试试 被被攻攻击击Web 服服务务器器 192.168.1.102 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.100 INOUT 黑黑洞洞管管理理IP： 192.168.1.101 图图 5 流量流向图流量流向图 2.7 攻击日志攻击日志 攻击结束之后，黑洞可以对 DDoS 攻击的类型以及次数进行统计。方便日后对服务器进行 有针对性地加固。 8 三三. Windows 入侵的检测入侵的检测与防御与防御 3.1 硬件与软件的准备

10、硬件与软件的准备 预案所需硬件： 设备名称设备名称/ /用途用途数量数量操作系统操作系统IPIP 地址（示意）地址（示意）备注备注 服务器服务器1 1 以上以上 windowswindows 2000/20032000/2003 10.110.1201.17201.17服务器服务器 预案所需软件： 软件名称软件名称用途用途运行环境运行环境备注备注 IceSword1.22IceSword1.22 sreng2sreng2 autoruns.exeautoruns.exe procexp.exeprocexp.exe 信息收集，查看信息收集，查看 WindowsWindows BlackLigh

11、tBlackLight PAVARK.exePAVARK.exe RootkitRootkit RevealerRevealer RootkitRootkit DetectorDetector 自动化检测，扫描自动化检测，扫描 WindowsWindows 3.2 后门账户检测后门账户检测 依次打开管理工具-计算机管理-本地用户和组-用户，进行查看，检查帐号是否有异 常。检查 guest 帐户是否有管理员权限，排除克隆帐号可能。 使用命令查看：在命令行下，使用 net user 命令检查用户。 可以使用 net user guest 详细查看单个用户。 3.3 日志分析日志分析 手工检查： 依

12、次点击开始-管理工具-事件查看器，可以查看 windows 系统日志。包括三部分： 系统日志，应用程序日志，安全日志。 工具软件分析： Network Event Viewer 9 Network Event Viewer 该软件让系统管理员可以同时地管理，浏览，排序和搜索多 个 Windows XP/2000/NT 操作系统事件日志文件。事件日志可以从每台配置好的计算机 和存档当中下载。正在下载的服务可以让日志按照配置好的日程安排表进行下载以便日后 重新浏览或者通过电子邮件发送指定的事件。事件日志可以被合并为一个浏览和浏览过滤 设置。事件可以按照日志，级别，主机，时间，资源，类别，事件 ID

13、，和用户进行排序。 3.4 手工检查手工检查 有木马，就一定有服务端程序。因此一定会在磁盘上存在可疑文件。这是我们手工检 查的一个重要原则和依据。而新生成的木马文件为了达到隐藏的目的，通常以隐藏文件的 形式出现。并且在我们对服务器进行长期检测情况下，木马进入的时间通常不长，因此按 照时间排序查找最新修改的文件通常比较奏效。 直接寻找文件： 打开文件夹选项，选择显示隐藏文件。分别查看 c: ，c:windows ，c:windowssystem32 三个文件夹，按照日期排序，看是否有近期被修改过的.exe 文件， 看是否有隐藏的.exe 文件。 工具辅助分析： 图图 1 冰刃查看进程冰刃查看进程

14、 10 图图 2autorun 查看启动项查看启动项 由于是手工检测，此过程和实施工程师的技能和经验密切相关，分析和检测方法和具 体入侵场景密切相关。无法事先预料到每一种场景和状况，因此在上面只列出了手工检测 的思路和步骤。 如果需要，灵活运用绿盟科技入侵检测工具包总的相关工具进行分析。 3.5 软件检测软件检测 这里有大量的入侵家侧软件可供使用，绿盟科技专门制作了windows 入侵检测工具集 。 3.6 清除可疑文件清除可疑文件 将木马等可以文件删除。通常会遭遇到注册表，驱动保护等问题，造成无法删除文件。 可以这时候要首先停止启动项，阻止其加载到内存中。或者停止保护驱动程序，并找出关 联文件，删除。 11 图图 3 强行删除文件强行删除文件 3.7 修复受损系统修复受损系统 在删除文件的过程中，可能导致系统受损，长见的如 winsock 受损。这时候可以用响 应的修复软件修复，比如 winsockfix 修复受损的网络连接。 图图 4 修复受损的网络连接修复受损的网络连接 3.8 加固服务器加固服务器 对检测，清楚完毕的服务器进行全面加固。 12 四四. 编写报告编写报告 全面，详细记录入侵的解决过程。