1目录目录一.预案概述.31.1目标.31.2内容.31.3参与人员.4二.抗DDOS攻击预案.52.1预案拓扑示意.52.2硬件准备.52.3软件准备.62.4如何判断已受到DDOS攻击.62.5黑洞防护设备上线.62.6攻击缓解.82.7攻击日志.8三.WINDOWS入侵的检测与防御.93.1硬件与软件的准备.93.2后门账户检测.93.3日志分析.93.4手工检查.103.5软件检测.113.6清除可疑文件.113.7修复受损系统.123.8加固服务器.12四.编写报告.132一一.预案概述预案概述1.1目标目标拒绝服务攻击是利用T协议栈缺陷发动破坏可用性的网络攻击行为,破坏力巨大,必须有专业的设备才能有效防护。此预案包含了使用专用防护工具(黑洞专业抗DDoS设备)对抗DDOS攻击的内容,以提高应对DDOS攻击的能力。另一方面,系统入侵与防御一直是网络安全的主要内容之一。而木马以及kit是系统层面上存在的一个长期并且巨大的安全威胁。如果提到网络安全人们就很自然地想到黑客,那么提到黑客大家也自然的能想到入侵。入侵检测以及入侵防御一直以来都是网络安全的核心技术之和主要内容之一。由于我公司绝大部分主机为windows操作系统,因此专门制定了windows平台下的入侵检测与防御预案。目的就是提高应对目前流行的系统入侵行为的能力。1.2内容内容保证网络的可用性:黑洞抗DDoS设备防止DDoS攻击预案保证数据的机密性:服务器入侵检测与防护预案31.3参与人员参与人员客户方联系人员名单表客户方联系人员名单表姓名姓名职务职务所属组织所属组织移动电话移动电话固定电话固定电话电子邮件电子邮件总监总监信息技术部信息技术部工程师工程师信息技术部信息技术部工程师工程师信息技术部信息技术部工程师工程师信息技术部信息技术部实施方联系人员名单表实施方联系人员名单表姓名姓名职务职务所属组织所属组织移动电话移动电话固定电话固定电话电子邮件电子邮件二二.抗抗DDoS攻击攻击预案预案为防御DDOS攻击,我公司在IDC机房部署了绿盟科技的黑洞抗DDoS设备,保护主站免受DDoS攻击。42.1预案拓扑预案拓扑示意示意傀傀儡儡机机1傀傀儡儡机机2傀傀儡儡机机3Web访访问问测测试试被被攻攻击击Web服服务务器器图图12.2硬件硬件准备准备应急时所需硬件:设备名称设备途用途数量数量操作系统操作系统IPIP地址(示意)地址(示意)备注备注WebWeb访问测试机访问测试机11WindowsWindows202.168.1.102192.168.1.102较高档的较高档的PCPC或服务器或服务器WebWeb服务器服务器11Windows2000WindowsXXX.168.1.10192.168.1.1000安装安装IISIIS交换机交换机11100M100M黑洞黑洞11192.168.1.1192.168.1.10101黑洞本身没有黑洞本身没有IPIP,设置的,设置的IPIP地址是为了方便远程管地址是为了方便远程管理理52.3软件软件准备准备此次演练所需的攻击软件以及被攻击Web服务器:软件名称软件名称用途用途运行环境运行环境备注备注StressStressToolTool77测试客户端访问测试客户端访问webweb服务器服务器时的延时时的延时WindowsWindows安装在安装在WebWeb访问测试机访问测试机2.4如何判断已受到如何判断已受到DDoS攻击攻击当内部服务器遭受DDoS攻击时,可以由以下方式判断:
1、服务器入口流量激增;
2、服务器进出口流量比异常;
3、服务器会话保持数超常;
4、服务器性能消耗急剧上升;
5、站点访问体验急剧下降。一旦出现上述情况中的一种或者几种,均可考虑DDoS攻击发生的可能。通过流量分析设备或管理员人为判断或准确的抓包分析判断出DDoS攻击发生,即可采用黑洞DDoS防护设备进行流量清洗。2.5黑洞防护设备上线黑洞防护设备上线根据客户业务量大小进行黑洞防护设备选型,通常100M链路采用黑洞20进行防护;1000M链路采用黑洞1600进行防护。此试验环境中采用黑洞600进行应急防护。黑洞600防护设备拥有两个工作口(T),一个管理口;将黑洞IN口连接外部网络,OUT连接被保护网络。列出设备IP地址以及接口,如图所示:6傀傀儡儡机机1傀傀儡儡机机2傀傀儡儡机机3Web访访问问测测试试被被攻攻击击Web服服务务器器192.168.1.102192.168.1.1192.168.1.2192.168.1.3192.168.1.100INOUT黑黑洞洞管管理理IP:192.168.1.101图图2黑洞将根据初始防护模板将对流量进行判断和过滤,超过设定阈值即启动清洗过滤。针对DDoS攻击规模,可以通过Web界面实时调整防护模版阈值;针对DDoS攻击类型的不同,也可以启用专用防护模版。截取部分黑洞DDoS防护截图示例:图图3SYN-Flood攻击防护攻击防护7图图4ACK-Flood攻击防护攻击防护2.6攻击缓解攻击缓解演练过程中,攻击流量被黑洞过滤,正常访问流量不受影响流量流向图如下所示:傀傀儡儡机机1傀傀儡儡机机2傀傀儡儡机机3Web访访问问测测试试被被攻攻击击Web服服务务器器192.168.1.102192.168.1.1192.168.1.2192.168.1.3192.168.1.100INOUT黑黑洞洞管管理理IP:192.168.1.101图图5流量流向图流量流向图2.7攻击日志攻击日志攻击结束之后,黑洞可以对DDoS攻击的类型以及次数进行统计。方便日后对服务器进行有针对性地加固。8三三.Windows入侵的检测入侵的检测与防御与防御3.1硬件与软件的准备硬件与软件的准备预案所需硬件:设备名称设备途用途数量数量操作系统操作系统IPIP地址(示意)地址(示意)备注备注服务器服务器11以上以上windowswindows200XXXX0310.110.1201.17201.17服务器服务器预案所需软件:软件名称软件名称用途用途运行环境运行环境备注备注XXXXXX.e_e信息收集,查看信息收集,查看XXXXXX自动化检测,扫描自动化检测,扫描WindowsWindows3.2后门账户检测后门账户检测依次打开管理工具-计算机管理-本地用户和组-用户,进行查看,检查帐号是否有异常。检查guest帐户是否有管理员权限,排除克隆帐号可能。使用命令查看:在命令行下,使用netuser命令检查用户。可以使用netuserguest详细查看单个用户。3.3日志分析日志分析手工检查:依次点击开始-管理工具-事件查看器,可以查看windows系统日志。包括三部分:系统日志,应用程序日志,安全日志。工具软件分析:NetworkEventViewer9NetworkEventViewer该软件让系统管理员可以同时地管理,浏览,排序和搜索多个Windows操作系统事件日志文件。事件日志可以从每台配置好的计算机和存档当中。正在的服务可以让日志按照配置好的日程安排表进行以便日后重新浏览或者通过电子邮件发送指定的事件。事件日志可以被合并为一个浏览和浏览过滤设置。事件可以按照日志,级别,主机,时间,资源,类别,事件ID,和用户进行排序。3.4手工检查手工检查有木马,就一定有服务端程序。因此一定会在磁盘上存在可疑文件。这是我们手工检查的一个重要原则和依据。而新生成的木马文件为了达到隐藏的目的,通常以隐藏文件的形式出现。并且在我们对服务器进行长期检测情况下,木马进入的时间通常不长,因此按照时间排序查找修改的文件通常比较奏效。直接寻找文件:打开文件夹选项,选择显示隐藏文件。分别查看c:,c:windows,c:windowssystem32三个文件夹,按照日期排序,看是否有近期被修改过的.e_e文件,看是否有隐藏的.e_e文件。工具辅助分析:图图1冰刃查看进程冰刃查看进程10图图2autorun查看启动项查看启动项由于是手工检测,此过程和实施工程师的技能和经验密切相关,分析和检测方法和具体入侵场景密切相关。无法事先预料到每一种场景和状况,因此在上面只列出了手工检测的思路和步骤。如果需要,灵活运用XXX入侵检测工具包总的相关工具进行分析。3.5软件检测软件检测这里有大量的入侵家侧软件可供使用,XXX专门制作了windows入侵检测工具集。3.6清除可疑文件清除可疑文件将木马等可以文件删除。通常会遭遇到注册表,驱动保护等问题,造成无法删除文件。可以这时候要首先停止启动项,阻止其加载到内存中。或者停止保护驱动程序,并找出关联文件,删除。11图图3强行删除文件强行删除文件3.7修复受损系统修复受损系统在删除文件的过程中,可能导致系统受损,长见的如winsock受损。这时候可以用响应的修复软件修复,比如winsockfi_修复受损的网络连接。图图4修复受损的网络连接修复受损的网络连接3.8加固服务器加固服务器对检测,清楚完毕的服务器进行全面加固。12四四.编写报告编写报告全面,详细记录入侵的解决过程。
