互联网服务拒绝服务攻击事件.docx
- 文档编号:23536018
- 上传时间:2023-05-18
- 格式:DOCX
- 页数:15
- 大小:161.34KB
互联网服务拒绝服务攻击事件.docx
《互联网服务拒绝服务攻击事件.docx》由会员分享,可在线阅读,更多相关《互联网服务拒绝服务攻击事件.docx(15页珍藏版)》请在冰豆网上搜索。
互联网服务拒绝服务攻击事件
中国移动通信集团**公司
互联网服务拒绝服务攻击事件
应急处理预案
应急预案目的
本文是在《中国移动安全事件管理办法(试行版)》指导下,从**分公司DNS服务系统现状出发,结合业务特点及目前网络安全状况分析,建立用以“发现、检测、抑制和恢复”可能发生的主要网络安全事件的处置预案,这些事件的监控、检测、处置与系统设备密切相关。
本预案以安全事件已发现和确认为背景,重在安全事件发生后的处理。
针对本系统可能发生的其它安全事件的监控、检测、处置可直接参照《中国移动网络安全事件判别及处理手册(试行版)》进行应急处理。
范围
本应急预案适用于中国移动**公司**分公司IDC业务系统,中国移动**公司**分公司IDC业务系统面临的主要安全风险是拒绝服务攻击:
●拒绝服务:
包括从外部发起,针对IDC业务系统的拒绝服务攻击,也包括移动内部被非法控制的主机,作为傀儡机发起的拒绝服务。
拒绝服务攻击
拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。
拒绝服务发起时往往表现为cpu、内存、带宽等的高利用率,同时由于攻击手法和形式的多样性,造成对攻击形式攻击特征分析带来一定的难度。
当此类攻击发生后,可根据如下几种归类,确认和处理此类安全事件。
由外部发起
外部破坏者发起对DNS服务器的拒绝服务攻击。
1.1.1系统漏洞类
此类攻击利用的软件或者操作系统的漏洞造成服务停止响应。
1.1.1.1针对主机漏洞
1、如果系统服务无法正常响应,迅速切换到备用系统;
2、通过防火墙或网络设备配置访问控制列表,过滤DoS发起源的连接。
3、确认造成系统cpu、内存占用高的进程或者应用。
4、确认系统存在的漏洞(cve漏洞发布组织查看此版本应用是否存在DoS的漏洞);
5、根据漏洞信息和相应安全建议采取相应的控制措施;
6、安装相应的补丁修复程序,修复漏洞后切换到原运行系统。
1.1.1.2针对网络设备漏洞
1、如果系统服务无法正常响应,迅速切换到备用系统;
2、利用防火墙或网络设备配置ACL,过滤DoS发起源的连接
3、确认当前VRP版本
4、到cve漏洞发布组织查看此版本应用是否存在DoS的漏洞
5、根据漏洞信息和相应安全建议采取相应的控制措施
6、安装相应的补丁修复程序
7、切换到主系统
1.1.2网络协议类
协议类攻击是以发起大量连接或数据包为基础,造成被攻击方连接队列耗尽或cpu、内存资源的耗尽。
此类攻击为最常见。
比如:
synflood。
1、通过网络流量分析软件,确定数据包类型特征,比如利用的是udp、tcp还是icmp协议
2、在防火墙配置访问控制策略
3、调整防护设备规则,提高检查的灵敏度或者门限值
1.1.3应用类
应用类,主要是指针对通信服务发起的攻击,表现在分布式的大量smpp请求,以耗尽通信服务的最大连接数或者消耗数据库资源为目的。
比如:
对某一大页面的访问或者对某一页面的数据库搜索。
1、通过网络流量分析软件,确定数据包类型特征,
2、在防火墙或网络设备上配置访问控制策略,限制或过滤发送源地址的访问
3、配置防护设备的防御策略
由内部发起
当内部主机被入侵后,如果放置了拒绝服务攻击程序,被黑客用来对其他系统发动拒绝服务攻击。
1.1.4紧急措施
1、通过网络流量分析软件(tcpdump、sniffer等),分析数据包特征
2、通过流量分析,确定对外发包的被控主机,条件允许将其断网隔离
3、调整防火墙或网络设备访问控制ACL策略,严格限制该机器的对外继续发包。
1.1.5抑制处理
1、检查并确认被控主机上的恶意进程或恶意程序,可以通过netstat、lsof等确定数据包发送的进程
2、清除恶意进程,一般先关闭进程,然后删除其相关文件
1.1.6根除
1、必要情况下重新安装系统,对系统进行安全加固。
2、重新恢复业务系统
3、上线运行
附录
1.Unix应急处理参考列表
Unix系统应急处理主要事项
Unix系统的入侵检测方法主要包括:
检查系统运行的进程,检查系统开放的端口,鉴定未授权的用户账号或组,检查相关程序(命令)、文件的权限,检查所有相关的日志,寻找异常或隐藏文件等。
可以采用手工和工具检查相结合的方式进行。
一、手工检查与审计
下面就各种检查项目做一下详细说明。
1、检查端口与网络连接
Netstat可以显示TCP和UDP所有打开的端口。
Arp可以显示系统当前IP-MAC对应表,而且能手动设置静态IP-MAC对应表。
如果发现的已打开的端口无法识别,则应对它们进行调查以确定在该计算机上是否需要对应的服务。
如果不需要该服务,则应禁用或删除相关的服务以防止计算机在该端口上监听。
也可以通过该命令检查有哪些相关的连接,也许恶意的连接就在这里。
以太网中的arp欺骗能改变数据流向,可用来窃听用户数据,其症状表现为异常的IP-MAC对应表。
方法:
Netstat–an列出所有打开的端口及连接状态
Arp–a列出当前系统arp表,重点检查网关MAC地址
2、检查账户安全
服务器被入侵之后,通常会表现在系统的用户账户上,可以在系统日志上察看相关的信息。
除了察看事件日志外,也应该检查所有账户的信息,包括他们所属的组和默认SHELL。
有些黑客入侵后常常将添加他们自己的账号,或者将那些系统内置的用户修改了权限,从而方便他们以后再次入侵。
方法:
查看/etc/passwd中是否有新增加的帐户名
查看/etc/passwd中除root外是否还有uid、gid为0的帐户
检查/etc/passwd中如nobody、lp等系统内置帐户是否设置了可登录的默认SHELL
如设置过限制帐户登录的策略应检查这些策略是否已经被修改或删除。
如/etc/default/login文件中CONSOLE=/dev/console是否被注释掉。
3、查找恶意进程
可以通过以下工具和方法检查系统运行的进程,找出异常的进程。
方法:
Ps–ef会列出系统正在运行的所有进程
4、检查自启动项
攻击者在获得系统控制权后通常会将其后门、木马等程序设置为自动运行,以达到长期控制的目的。
常见的自启动项有/etc/inittab、/etc下的RC脚本、/etc/inetd.conf、/var/spool/cron/crontabs或/var/spool/cron目录中的crontab文件
方法:
检查/etc/inittab中有无新增的项,重点查看id:
rstate:
action:
process中的process字段
仔细检查这些rc[?
].d目录,如果发现某个脚本文件不是到/etc/rc.d/init.d或/etc/init.d目录中某个脚本文件的符号连接,或者出现与上面文件名规则不相符的脚本文件,或者增加了某个脚本文件,它很可能是用来启动后门进程的,必须仔细检查这些脚本启动的程序。
确信rc[?
].d目录中脚本文件都是到/etc/rc.d/init.d或/etc/init.d目录中某个脚本文件的符号连接后,再cd到/etc/rc.d/init.d或/etc/init.d目录下。
检查init.d目录下的脚本文件,如果某个脚本启动的服务进程与名称不符,或者脚本文件的内容被修改,加有别的什么东西启动了别的进程,必须仔细检查,极可能是被用来启动后门进程了。
检查/etc/inetd.conf,特别是最后两个字段,查看是否除通常的服务外新加有一行启动了别的服务。
如果有的话,仔细检查这项服务,很可能是在启动后门程序
检查/var/spool/cron/crontabs或/var/spool/cron目录中的crontab文件,可以使用crontab–l命令查看计划任务
5、检查系统日志
Unix日志对于系统安全的作用是很重要的,进行入侵检查时有着非常重要的作用。
方法:
使用w命令查看utmp日志,获得当前系统正在登录帐户的信息及来源
使用last命令查看wtmp日志,获得系统前N次登录记录
Su命令日志,记录了每一次执行su命令的动作:
时间日期,成功与否,终端设备,用户ID.有些UNIX具有单独的su日志,有些则保存在syslog中
Cron日志记录了定时作业的内容,通常在/var/log/cron或默认日志目录中一个称为cron的文件里
如果.bash_history被链接到/dev/null文件,或者环境变量中的$HISTFILE,$HISTFILESIZE两个变量值为0,那么很有可能是恶意修改了。
6、环境变量
运行env命令查看当前系统环境变量设置
检查内容:
是否有.或..在其中
是否有指向tmp等位置
8、检查应用
检查相关应用的日志信息:
方法:
检查/etc/syslog.conf以及其他守护进程的配置文件以确定应用日志的位置
Apache默认日志在/usr/local/apache/logs,最有用的日志是access_log,还有ssl_request_log,ssl_engine_log也能提供有价值的信息。
其中可能包含攻击前的扫描记录。
syslogd守护进程提供非常强大的日志功能,比如装载一个内核模块的登记,其配置文件为/etc/syslog.conf,通常它提供的最有用的日志是:
messages,secure,syslog.在syslog.conf中每一行含有三个字段:
facility字段表示产生该日志文件的子系统;priority字段表明事件的严重级别;action字段表明如何记录日志,它提供了远程网络记录的能力
2.Windows应急处理参考列表
Windows应急处理主要事项
Windows系统的入侵检测方法主要包括:
检查所有相关的日志,检查相关文件,鉴定未授权的用户账号或组,寻找异常或隐藏文件,检查系统的运行的进程,检查系统开放的端口等。
可以采用手工和工具检查相结合的方式进行。
一、手工检查与审计
下面就各种检查项目做一下详细说明。
1、检查端口与网络连接
Netstat.exe是一种命令行实用工具,可以显示TCP和UDP的所有打开的端口。
如果发现的已打开的端口无法识别,则应对它们进行调查以确定在该计算机上是否需要对应的服务。
如果不需要该服务,则应禁用或删除相关的服务以防止计算机在该端口上监听。
也可以通过该命令检查有哪些相关的连接,也许恶意的连接就在这里。
方法:
Netstat–an(系统命令)(windows2003使用命令Netstat–ano可检测出端口对应的进程)
Netstat–a(系统命令)(windows2003使用命令Netstat–ao可检测出端口对应的进程)
2、检查账户安全
服务器被入侵之后,通常会表现在系统的用户账户上,我们可以在系统日志上察看相关的信息。
除了察看事件日志外,也应该检查所有账户的信息,包括他们所属的组。
有些黑客入侵后常常将添加他们自己的账号,或者将那些偏僻的用户修改了权限,从而方便他们以后再次入侵。
方法:
可以在“计算机管理”—“用户管理”中查看系统帐号。
可以使用命令查看:
netuser;netlocalgroupadministrators;
3、查找恶意进程
可以通过以下工具和方法检查系统运行的进程,找出异常的进程。
方法:
任务管理器(系统工具)
Windows2000基本的系统进程如下:
smss.exeSessionManager会话管理
csrss.exe子系统服务器进程
winlogon.exe管理用户登录
services.exe包含很多系统服务
lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。
(系统服务)
svchost.exe包含很多系统服务
spoolsv.exe将文件加载到内存中以便迟后打印。
(系统服务)
explorer.exe资源管理器
internat.exe输入法
4、监视已安装的服务和驱动程序
许多针对计算机的攻击都是这样实现的:
攻击安装在目标计算机上的服务,或者将有效的驱动程序替换为包含特洛伊木马的驱动程序版本,以给予攻击者访问目标计算机的权限。
1、通过服务控制台查看服务。
服务MMC控制台用于监视本地计算机或远程计算机的服务,并允许管理员配置、暂停、停止、启动和重新启动所有已安装的服务。
可使用此控制台确定是否存在已配置为自动启动的服务当前未启动的情况。
2、通过注册表项查看服务和驱动程序:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
5、检查注册表的关键项:
一般来说,木马或者后门都会利用注册表来再次运行自己,所以,校验注册表来发现入侵也是常用的手法之一。
使用REGEDIT注册表编辑器可以查看注册表。
在注册表里,我们着重要查看
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\、HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\下面的子树。
特别是要查看Run,RunOnce,RunOnceEx,RunServices,和RunServicesOnce文件夹,查找是否存在异常的条目。
HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\WindowsNT\CurrentVersion\WinLogon也是需要检查的地方。
主要检查内容:
Shell项内容正常情况应该为Explorer.exe;Userinit项内容应该为C:
\WINNT\system32\userinit.exe;检查是否有增加的项目其内容包括.exe.sys.dll等各种可执行文件。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify是否有异常的项。
正常的项目主要有:
crypt32chain,cryptnet,cscdll,sclgntfy,SensLogn,wzcnotif.可能还会包括显卡、防病毒等项。
检查类似txt等文本或其它后缀映射是否正常。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions,映像劫持主要是用来调试程序。
通常此项下不应设置任何子项、值。
6、检查所有相关的日志
windows日志对于系统安全的作用是很重要的,网络管理员应该非常重视日志。
Windows的系统日志文件有应用程序日志,安全日志、系统日志等等。
可以通过“事件管理器”查看。
建议日志的文件大小不小于100M。
安全日志文件:
%systemroot%\system32\config\SecEvent.EVT
系统日志文件:
%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:
%systemroot%\system32\config\AppEvent.EVT
7、检查用户目录:
检查C:
\DocumentsandSettings\目录各用户的目录。
主要检查内容:
用户最近一次的登陆时间;检查用户目录下的文件内容;检查LocalSettings目录下的历史文件(History)、临时文件(Temp)、访问网页的临时文件(TemporaryInternetFiles)、应用数据文件(ApplicationData)等内容。
8、检查文件系统
检查C:
\、C:
\winnt、C:
\winnt\System、C:
\winnt\System32、C:
\winnt\\System32\dllcache、C:
\winnt\\System32\drivers、各个ProgramFiles目录下的内容,检查他们目录及文件的属性,若无版本说明,多为可疑文件;若某文件的建立时间异常,也可能是可疑的文件。
维护一份文件和目录的完整列表,定期地进行更新和对比,这可能会加重过度操劳的管理员的负担,但是,如果系统的状态不是经常变动的话,这是发现很多恶意行为踪迹最有效的方法。
9、环境变量
右键点击“我的电脑”-属性-选择“高级”-“环境变量”
检查内容:
temp变量的所在位置的内容;
后缀映射PATHEXT是否包含有非windows的后缀;
有没有增加其他的路径到PATH变量中;
(对用户变量和系统变量都要进行检查)
10、检查防病毒
检查防病毒系统是否正常工作、病毒库是否正常更新、是否有异常的报警。
11、检查应用
检查相关应用的日志信息:
Internet信息服务FTP日志默认位置:
%systemroot%\system32\logfiles\msftpsvc1\
Internet信息服务WWW日志默认位置:
%systemroot%\system32\logfiles\w3svc1\
DNS日志文件:
%systemroot%\system32\config
Scheduler服务日志默认位置:
%systemroot%\schedlgu.txt
Sqlserver的日志。
通过sqlserver控制台来查看。
有的管理员很可能将这些日志重定位。
其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。
Schedluler服务日志在注册表中的位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
12、文件签名
以上工作完成后,运行sigverif对%systemroot%\system32\下的*.exe、*.dll、*.sys等文件进行校验。
3.网络设备应急处理参考列表
1、shver
检查路由器版本信息,确定是否使用最新的稳定版本,确定软件特性和功能。
2、Showinterfacef0/1
检查接口状态
3、showmemory
查看设备资源占用情况。
3、ACL访问控制实例
access-list101permitip192.168.0.00.0.0.255any
access-list101denyipanyanylog
interfaceeth0/1
descriptioninsideinterfaceoftheperimeterrouter
ipaddress192.168.0.254255.255.255.0
ipaccess-group101in
4、synflood攻击防御实例
!
established访问列表
access-list106permittcpany192.168.0.00.0.0.255established
access-list106denyipanyanylog
interfaceeth0/2
description“externalEthernet”
ipaddress192.168.1.254255.255.255.0
ipaccess-group106in
!
TCP截获防范
iptcpinterceptlist107
iptcpinterceptwatch-timeout10
iptcpinterceptconnection-timeout60
access-list107permittcpany192.168.0.00.0.0.255
access-list107denyipanyanylog
interfaceeth0
ipaccess-group107in
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 互联网 服务 拒绝服务 攻击 事件