分享
 
 
 

某运营商受DDOS攻击的应急响应内部文档

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

2004年4月,××电信运营商IDC持续遭受DDOS攻击,影响范围包括其业务网站和Mail服务器。“养兵千日,用兵一时”,东软计算机安全事件应急小组NCSIRT接到通知后,第一时间赶到用户现场,与用户充分的沟通后,迅速启动应急方案和工作流程,有条不紊地为用户提供了一套合理而完整的应急响应服务。

1. 协助恢复系统正常工作

2. 协助检查入侵来源、时间、方法等

3. 对网络进行评估,找出其他网络安全风险

4. 作出事故分析报告

5. 跟踪用户运营情况

第一步 分析攻击数据包

全力恢复系统正常工作。我们使用最有效的检测方法对攻击数据包进行分析,迅速判断出此次攻击主要针对80端口以及21端口,遭受攻击的网站由于资源消耗殆尽而无法再给用户提供页面访问。我们深知运营网络可持续性运行的重要性,于是我们决定本着“先抢通后修复”的原则,先利用NetEye防火墙制定相应的安全策略协助该单位恢复系统正常工作。

我们对攻击数据包分析检测方法如下:

(1) 针对http(端口80)建立TCP连接,已完成三次握手,但是客户端不结束连接,消耗Web服务器(IIS)连接资源,造成正常用户很难访问此网站。

(2) 攻击地址随机分布,来自不同地域,为真实地址,源端口连续,每秒建立连接2000次左右。

(3) 通过查看NetEye防火墙内容过滤日志,发现有GET / HTTP 1.1 url记录,此url出现通常表明有扫描程序在对Web Server进行扫描以判断Web Server类型。

根据对攻击数据包的分析,调整NetEye防火墙的策略如下:

(1) 在内核配置智能统计策略:根据总体带宽和资源情况限制单位时间内单位IP地址的syn连接次数。

典型策略:先对此源地址的连接数据包延迟处理,但缩短超时时间。如果该源地址的出现频度持续增加,将此地址列入黑名单,进行一次性规则限制。

(2) 在前端开启syn验证功能:对伪造源地址的syn flooding进行防范。

(3) 开启内容过滤功能:限制head关键字,多数扫描器实现时使用head代替GET。替换服务器信息,屏蔽”Microsoft-IIS/5.0”,替换为”HelloChina”等不相关信息。使扫描器得不到正确的服务器信息,进而不能发出针对该类服务器定制的漏洞探测或者攻击包。

(4) 设置连接超时时间。根据网络负载和应用情况进行判断。比如http为短连接应用协议,这样可以把超时时间缩短,将大大减少攻击频度。

第二步 协助用户检查入侵来源、时间、方法等

我们协助用户找到此次DDOS攻击中,直接攻击者出现频度较大列表如下:

×. ×. ×.143 ××电信ADSL

×. ×. ×176 ××电信ADSL

×. ×. ×.238 ××省××市ADSL

×. ×. ×.110 ××电信ADSL

×. ×. ×.103 ××电信

×. ×. ×.94 ××有线宽频

×. ×. ×.139 ××电信

第三步 对网络进行内外评估,找出其他网络安全风险

从系统的内因和外因两方面进行评估:

内因:系统自身配置有缺陷,如有严重漏洞,后门等。 (1)对此Web服务器做远程安全评估,判断是否存在远程访问应用级风险漏洞,排除。 (2)对此Web服务器做内部安全评估,判断是否存在后门或者本地漏洞,在SNMP等服务配置方面存在漏洞,但是由于PIX对此端口进行了屏蔽,因此排除服务器配置存在漏洞。结论:Web服务器采用Win2K Server + IIS 5.0,性能相对较差。并且没有对服务器信息进行屏蔽,客观上增强了攻击者的信心,成为攻击产生的诱因。

外因:DOS攻击,DDOS攻击

DOS攻击很难完成三次握手,一般来说会伪造源地址,会使用一种单一的状态,典型的就是synflooding;因为三次握手没有完成,很少有服务器对这种连接记录日志;但是防syn攻击的防火墙可以很好的应付这种旨在消耗服务器资源的攻击。

在同一时刻出现大量不同的访问源,并且完成正常的连接开始,但是不进行正常的连接结束,此时可以判断系统正在遭受DDOS攻击。

第四步 事件分析报告

我们一直努力想把应急响应的被动响应做成主动服务,力求与其他安全服务有机融合,因此事后我们向用户提交了一份详细的工程记录文档和安全策略建议,建议中提到还存在安全技术手段使用不足的问题,虽然采用了防火墙和防毒系统,但是却没有充分利用好保护网络安全的工具和资源,目的是让用户知道怎么出的问题、问题出在哪里、怎么解决的问题、今后该注意什么?由应急响应做到网络评估再做到用户培训和安全咨询,随时随地关注用户网络安全,这充分体现了东软全套安全服务解决方案的优势。

这次遭受攻击的服务为HTTP服务,混合syn

flooding在正常的connect中。这样对节点防护设备的要求就更高一些。而危害更大,既消耗服务器资源又占用带宽的DDOS,会使用udp和icmp做载体进行攻击,我们在应急响应案例中处理过针对域名服务器53端口的udp

flooding;还有考验网络设备处理分片能力的大icmp包,比如发送大小标识为为65500字节的icmp

echo

request包,经过路由器、防火墙等节点设备需要对分片包重组,而攻击者故意不发最后一个分片包,造成内存资源耗尽。此类发送达到一定频度就会使节点设备瘫痪。

第五步 跟踪用户运营情况

“魔高一尺,道高一丈”,防火墙策略生效之后,攻击逐渐减弱,通过外网访问web服务器,速度正常。至此初步判断:由于NetEye防火墙的防护,已经令DDOS攻击者知难而退,暂时停止实施攻击。现场观察几天网络一直正常运行,随后一段时间东软计算机安全应急小组并进行远程跟踪。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有