网络攻击事件应急预案网络攻击事件应急演练.docx
《网络攻击事件应急预案网络攻击事件应急演练.docx》由会员分享,可在线阅读,更多相关《网络攻击事件应急预案网络攻击事件应急演练.docx(12页珍藏版)》请在冰点文库上搜索。
网络攻击事件应急预案网络攻击事件应急演练
一.预案概述3
1.1目标3
1.2内容3
1.3参与人员4
二.抗DDoS攻击预案5
2.1预案拓扑示意5
2.2硬件准备5
2.3软件准备6
2.4如何判断已受到DDoS攻击6
2.5黑洞防护设备上线6
2.6攻击缓解8
2.7攻击日志8
三.Windows入侵的检测与防御9
3.1硬件与软件的准备9
3.2后门账户检测9
3.3日志分析9
3.4手工检查10
3.5软件检测11
3.6清除可疑文件11
3.7修复受损系统12
3.8加固服务器12
四.编写报告13
一.预案概述
一.1目标
拒绝服务攻击是利用TCP/IP协议栈缺陷发动破坏可用性的网络攻击行为,破坏力巨大,必须有专业的设备才能有效防护。
此预案包含了使用专用防护工具(黑洞专业抗DDoS设备)对抗DDOS攻击的内容,以提高应对DDOS攻击的能力。
另一方面,系统入侵与防御一直是网络安全的主要内容之一。
而木马以及rootkit是系统层面上存在的一个长期并且巨大的安全威胁。
如果提到网络安全人们就很自然地想到黑客,那么提到黑客大家也自然的能想到入侵。
入侵检测以及入侵防御一直以来都是网络安全的核心技术之和主要内容之一。
由于我公司绝大部分主机为windows操作系统,因此专门制定了windows平台下的入侵检测与防御预案。
目的就是提高应对目前流行的系统入侵行为的能力。
一.2内容
保证网络的可用性:
黑洞抗DDoS设备防止DDoS攻击预案
保证数据的机密性:
服务器入侵检测与防护预案
一.3参与人员
客户方联系人员名单表
姓名
职务
所属组织
移动电话
固定电话
电子邮件
总监
信息技术部
工程师
信息技术部
工程师
信息技术部
工程师
信息技术部
实施方联系人员名单表
姓名
职务
所属组织
移动电话
固定电话
电子邮件
项目经理
绿盟科技
项目经理
绿盟科技
二.抗DDoS攻击预案
为防御DDOS攻击,我公司在IDC机房部署了绿盟科技的黑洞抗DDoS设备,保护主站免受DDoS攻击。
二.1预案拓扑示意
图1
二.2硬件准备
应急时所需硬件:
设备名称/用途
数量
操作系统
IP地址(示意)
备注
Web访问测试机
1
Windows2000/2003/XP
较高档的PC或服务器
Web服务器
1
Windows2000
安装IIS
交换机
1
—
100M
黑洞
1
—
黑洞本身没有IP,设置的IP地址是为了方便远程管理
二.3软件准备
此次演练所需的攻击软件以及被攻击Web服务器:
软件名称
用途
运行环境
备注
StressTool7
测试客户端访问web服务器时的延时
Windows
安装在Web访问测试机
二.4如何判断已受到DDoS攻击
当内部服务器遭受DDoS攻击时,可以由以下方式判断:
1、服务器入口流量激增;
2、服务器进出口流量比异常;
3、服务器会话保持数超常;
4、服务器性能消耗急剧上升;
5、站点访问体验急剧下降。
一旦出现上述情况中的一种或者几种,均可考虑DDoS攻击发生的可能。
通过流量分析设备或管理员人为判断或准确的抓包分析判断出DDoS攻击发生,即可采用黑洞DDoS防护设备进行流量清洗。
二.5黑洞防护设备上线
根据客户业务量大小进行黑洞防护设备选型,通常100M链路采用黑洞200/600进行防护;1000M链路采用黑洞1600/2000进行防护。
此试验环境中采用黑洞600进行应急防护。
黑洞600防护设备拥有两个工作口(IN/OUT),一个管理口;将黑洞IN口连接外部网络,OUT连接被保护网络。
列出设备IP地址以及接口,如图所示:
图2
黑洞将根据初始防护模板将对流量进行判断和过滤,超过设定阈值即启动清洗过滤。
针对DDoS攻击规模,可以通过Web界面实时调整防护模版阈值;针对DDoS攻击类型的不同,也可以启用专用防护模版。
截取部分黑洞DDoS防护截图示例:
图3SYN-Flood攻击防护
图4ACK-Flood攻击防护
二.6攻击缓解
演练过程中,攻击流量被黑洞过滤,正常访问流量不受影响
流量流向图如下所示:
图5流量流向图
二.7攻击日志
攻击结束之后,黑洞可以对DDoS攻击的类型以及次数进行统计。
方便日后对服务器进行有针对性地加固。
三.Windows入侵的检测与防御
三.1硬件与软件的准备
预案所需硬件:
设备名称/用途
数量
操作系统
IP地址(示意)
备注
服务器
1以上
windows2000/2003
10.1.201.17
服务器
预案所需软件:
软件名称
用途
运行环境
备注
IceSword1.22
sreng2
autoruns.exe
procexp.exe
信息收集,查看
Windows
BlackLight
PAVARK.exe
RootkitRevealer
RootkitDetector
自动化检测,扫描
Windows
三.2后门账户检测
依次打开管理工具-〉计算机管理-〉本地用户和组-〉用户,进行查看,检查帐号是否有异常。
检查guest帐户是否有管理员权限,排除克隆帐号可能。
使用命令查看:
在命令行下,使用netuser命令检查用户。
可以使用netuserguest详细查看单个用户。
三.3日志分析
手工检查:
依次点击开始->管理工具->事件查看器,可以查看windows系统日志。
包括三部分:
系统日志,应用程序日志,安全日志。
工具软件分析:
NetworkEventViewer
NetworkEventViewer该软件让系统管理员可以同时地管理,浏览,排序和搜索多个WindowsXP/2000/NT操作系统事件日志文件。
事件日志可以从每台配置好的计算机和存档当中下载。
正在下载的服务可以让日志按照配置好的日程安排表进行下载以便日后重新浏览或者通过电子邮件发送指定的事件。
事件日志可以被合并为一个浏览和浏览过滤设置。
事件可以按照日志,级别,主机,时间,资源,类别,事件ID,和用户进行排序。
三.4手工检查
有木马,就一定有服务端程序。
因此一定会在磁盘上存在可疑文件。
这是我们手工检查的一个重要原则和依据。
而新生成的木马文件为了达到隐藏的目的,通常以隐藏文件的形式出现。
并且在我们对服务器进行长期检测情况下,木马进入的时间通常不长,因此按照时间排序查找最新修改的文件通常比较奏效。
直接寻找文件:
打开文件夹选项,选择显示隐藏文件。
分别查看c:
\,c:
\windows,c:
\windows\system32三个文件夹,按照日期排序,看是否有近期被修改过的.exe文件,看是否有隐藏的.exe文件。
工具辅助分析:
图1冰刃查看进程
图2autorun查看启动项
由于是手工检测,此过程和实施工程师的技能和经验密切相关,分析和检测方法和具体入侵场景密切相关。
无法事先预料到每一种场景和状况,因此在上面只列出了手工检测的思路和步骤。
如果需要,灵活运用绿盟科技入侵检测工具包总的相关工具进行分析。
三.5软件检测
这里有大量的入侵家侧软件可供使用,绿盟科技专门制作了《windows入侵检测工具集》。
三.6清除可疑文件
将木马等可以文件删除。
通常会遭遇到注册表,驱动保护等问题,造成无法删除文件。
可以这时候要首先停止启动项,阻止其加载到内存中。
或者停止保护驱动程序,并找出关联文件,删除。
图3强行删除文件
三.7修复受损系统
在删除文件的过程中,可能导致系统受损,长见的如winsock受损。
这时候可以用响应的修复软件修复,比如winsockfix修复受损的网络连接。
图4修复受损的网络连接
三.8加固服务器
对检测,清楚完毕的服务器进行全面加固。
四.编写报告
全面,详细记录入侵的解决过程。
升级会员 