网络攻击事件应急预案网络攻击事件应急演练.docx

上传人:b****6 文档编号:12286056 上传时间:2023-06-05 格式:DOCX 页数:12 大小:994.21KB
下载 相关 举报
网络攻击事件应急预案网络攻击事件应急演练.docx_第1页
第1页 / 共12页
网络攻击事件应急预案网络攻击事件应急演练.docx_第2页
第2页 / 共12页
网络攻击事件应急预案网络攻击事件应急演练.docx_第3页
第3页 / 共12页
网络攻击事件应急预案网络攻击事件应急演练.docx_第4页
第4页 / 共12页
网络攻击事件应急预案网络攻击事件应急演练.docx_第5页
第5页 / 共12页
网络攻击事件应急预案网络攻击事件应急演练.docx_第6页
第6页 / 共12页
网络攻击事件应急预案网络攻击事件应急演练.docx_第7页
第7页 / 共12页
网络攻击事件应急预案网络攻击事件应急演练.docx_第8页
第8页 / 共12页
网络攻击事件应急预案网络攻击事件应急演练.docx_第9页
第9页 / 共12页
网络攻击事件应急预案网络攻击事件应急演练.docx_第10页
第10页 / 共12页
网络攻击事件应急预案网络攻击事件应急演练.docx_第11页
第11页 / 共12页
网络攻击事件应急预案网络攻击事件应急演练.docx_第12页
第12页 / 共12页
亲,该文档总共12页,全部预览完了,如果喜欢就下载吧!
下载资源
资源描述

网络攻击事件应急预案网络攻击事件应急演练.docx

《网络攻击事件应急预案网络攻击事件应急演练.docx》由会员分享,可在线阅读,更多相关《网络攻击事件应急预案网络攻击事件应急演练.docx(12页珍藏版)》请在冰点文库上搜索。

网络攻击事件应急预案网络攻击事件应急演练.docx

网络攻击事件应急预案网络攻击事件应急演练

一.预案概述3

1.1目标3

1.2内容3

1.3参与人员4

二.抗DDoS攻击预案5

2.1预案拓扑示意5

2.2硬件准备5

2.3软件准备6

2.4如何判断已受到DDoS攻击6

2.5黑洞防护设备上线6

2.6攻击缓解8

2.7攻击日志8

三.Windows入侵的检测与防御9

3.1硬件与软件的准备9

3.2后门账户检测9

3.3日志分析9

3.4手工检查10

3.5软件检测11

3.6清除可疑文件11

3.7修复受损系统12

3.8加固服务器12

四.编写报告13

一.预案概述

一.1目标

拒绝服务攻击是利用TCP/IP协议栈缺陷发动破坏可用性的网络攻击行为,破坏力巨大,必须有专业的设备才能有效防护。

此预案包含了使用专用防护工具(黑洞专业抗DDoS设备)对抗DDOS攻击的内容,以提高应对DDOS攻击的能力。

另一方面,系统入侵与防御一直是网络安全的主要内容之一。

而木马以及rootkit是系统层面上存在的一个长期并且巨大的安全威胁。

如果提到网络安全人们就很自然地想到黑客,那么提到黑客大家也自然的能想到入侵。

入侵检测以及入侵防御一直以来都是网络安全的核心技术之和主要内容之一。

由于我公司绝大部分主机为windows操作系统,因此专门制定了windows平台下的入侵检测与防御预案。

目的就是提高应对目前流行的系统入侵行为的能力。

一.2内容

保证网络的可用性:

黑洞抗DDoS设备防止DDoS攻击预案

保证数据的机密性:

服务器入侵检测与防护预案

一.3参与人员

客户方联系人员名单表

姓名

职务

所属组织

移动电话

固定电话

电子邮件

总监

信息技术部

工程师

信息技术部

工程师

信息技术部

工程师

信息技术部

 

实施方联系人员名单表

姓名

职务

所属组织

移动电话

固定电话

电子邮件

项目经理

绿盟科技

项目经理

绿盟科技

二.抗DDoS攻击预案

为防御DDOS攻击,我公司在IDC机房部署了绿盟科技的黑洞抗DDoS设备,保护主站免受DDoS攻击。

二.1预案拓扑示意

图1

二.2硬件准备

应急时所需硬件:

设备名称/用途

数量

操作系统

IP地址(示意)

备注

Web访问测试机

1

Windows2000/2003/XP

较高档的PC或服务器

Web服务器

1

Windows2000

安装IIS

交换机

1

100M

黑洞

1

黑洞本身没有IP,设置的IP地址是为了方便远程管理

二.3软件准备

此次演练所需的攻击软件以及被攻击Web服务器:

软件名称

用途

运行环境

备注

StressTool7

测试客户端访问web服务器时的延时

Windows

安装在Web访问测试机

二.4如何判断已受到DDoS攻击

当内部服务器遭受DDoS攻击时,可以由以下方式判断:

1、服务器入口流量激增;

2、服务器进出口流量比异常;

3、服务器会话保持数超常;

4、服务器性能消耗急剧上升;

5、站点访问体验急剧下降。

一旦出现上述情况中的一种或者几种,均可考虑DDoS攻击发生的可能。

通过流量分析设备或管理员人为判断或准确的抓包分析判断出DDoS攻击发生,即可采用黑洞DDoS防护设备进行流量清洗。

二.5黑洞防护设备上线

根据客户业务量大小进行黑洞防护设备选型,通常100M链路采用黑洞200/600进行防护;1000M链路采用黑洞1600/2000进行防护。

此试验环境中采用黑洞600进行应急防护。

黑洞600防护设备拥有两个工作口(IN/OUT),一个管理口;将黑洞IN口连接外部网络,OUT连接被保护网络。

列出设备IP地址以及接口,如图所示:

图2

黑洞将根据初始防护模板将对流量进行判断和过滤,超过设定阈值即启动清洗过滤。

针对DDoS攻击规模,可以通过Web界面实时调整防护模版阈值;针对DDoS攻击类型的不同,也可以启用专用防护模版。

截取部分黑洞DDoS防护截图示例:

图3SYN-Flood攻击防护

图4ACK-Flood攻击防护

二.6攻击缓解

演练过程中,攻击流量被黑洞过滤,正常访问流量不受影响

流量流向图如下所示:

图5流量流向图

二.7攻击日志

攻击结束之后,黑洞可以对DDoS攻击的类型以及次数进行统计。

方便日后对服务器进行有针对性地加固。

三.Windows入侵的检测与防御

三.1硬件与软件的准备

预案所需硬件:

设备名称/用途

数量

操作系统

IP地址(示意)

备注

服务器

1以上

windows2000/2003

10.1.201.17

服务器

预案所需软件:

软件名称

用途

运行环境

备注

IceSword1.22

sreng2

autoruns.exe

procexp.exe

信息收集,查看

Windows

BlackLight

PAVARK.exe

RootkitRevealer

RootkitDetector

自动化检测,扫描

Windows

三.2后门账户检测

依次打开管理工具-〉计算机管理-〉本地用户和组-〉用户,进行查看,检查帐号是否有异常。

检查guest帐户是否有管理员权限,排除克隆帐号可能。

使用命令查看:

在命令行下,使用netuser命令检查用户。

可以使用netuserguest详细查看单个用户。

三.3日志分析

手工检查:

依次点击开始->管理工具->事件查看器,可以查看windows系统日志。

包括三部分:

系统日志,应用程序日志,安全日志。

工具软件分析:

NetworkEventViewer

NetworkEventViewer该软件让系统管理员可以同时地管理,浏览,排序和搜索多个WindowsXP/2000/NT操作系统事件日志文件。

事件日志可以从每台配置好的计算机和存档当中下载。

正在下载的服务可以让日志按照配置好的日程安排表进行下载以便日后重新浏览或者通过电子邮件发送指定的事件。

事件日志可以被合并为一个浏览和浏览过滤设置。

事件可以按照日志,级别,主机,时间,资源,类别,事件ID,和用户进行排序。

三.4手工检查

有木马,就一定有服务端程序。

因此一定会在磁盘上存在可疑文件。

这是我们手工检查的一个重要原则和依据。

而新生成的木马文件为了达到隐藏的目的,通常以隐藏文件的形式出现。

并且在我们对服务器进行长期检测情况下,木马进入的时间通常不长,因此按照时间排序查找最新修改的文件通常比较奏效。

直接寻找文件:

打开文件夹选项,选择显示隐藏文件。

分别查看c:

\,c:

\windows,c:

\windows\system32三个文件夹,按照日期排序,看是否有近期被修改过的.exe文件,看是否有隐藏的.exe文件。

工具辅助分析:

图1冰刃查看进程

图2autorun查看启动项

由于是手工检测,此过程和实施工程师的技能和经验密切相关,分析和检测方法和具体入侵场景密切相关。

无法事先预料到每一种场景和状况,因此在上面只列出了手工检测的思路和步骤。

如果需要,灵活运用绿盟科技入侵检测工具包总的相关工具进行分析。

三.5软件检测

这里有大量的入侵家侧软件可供使用,绿盟科技专门制作了《windows入侵检测工具集》。

三.6清除可疑文件

将木马等可以文件删除。

通常会遭遇到注册表,驱动保护等问题,造成无法删除文件。

可以这时候要首先停止启动项,阻止其加载到内存中。

或者停止保护驱动程序,并找出关联文件,删除。

 

图3强行删除文件

三.7修复受损系统

在删除文件的过程中,可能导致系统受损,长见的如winsock受损。

这时候可以用响应的修复软件修复,比如winsockfix修复受损的网络连接。

图4修复受损的网络连接

三.8加固服务器

对检测,清楚完毕的服务器进行全面加固。

四.编写报告

全面,详细记录入侵的解决过程。

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 医药卫生 > 基础医学

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2