网络攻击事件应急预案.doc
《网络攻击事件应急预案.doc》由会员分享,可在线阅读,更多相关《网络攻击事件应急预案.doc(12页珍藏版)》请在三一文库上搜索。
1、1 目录目录 一.预案概述.3 1.1 目标.3 1.2 内容.3 1.3 参与人员.4 二.抗 DDOS 攻击预案5 2.1预案拓扑示意 .5 2.2硬件准备.5 2.3软件准备.6 2.4如何判断已受到 DDOS 攻击.6 2.5黑洞防护设备上线 .6 2.6攻击缓解.8 2.7攻击日志.8 三.WINDOWS 入侵的检测与防御.9 3.1硬件与软件的准备 .9 3.2后门账户检测 .9 3.3日志分析.9 3.4手工检查.10 3.5软件检测.11 3.6清除可疑文件 .11 3.7修复受损系统 .12 3.8加固服务器 .12 四.编写报告.13 2 一一. 预案概述预案概述 1.1
2、目标目标 拒绝服务攻击是利用 TCP/IP 协议栈缺陷发动破坏可用性的网络攻击行为,破坏力巨 大,必须有专业的设备才能有效防护。此预案包含了使用专用防护工具(黑洞专业抗 DDoS 设备)对抗 DDOS 攻击的内容,以提高应对 DDOS 攻击的能力。另一方面,系统 入侵与防御一直是网络安全的主要内容之一。而木马以及 rootkit 是系统层面上存在的一个 长期并且巨大的安全威胁。如果提到网络安全人们就很自然地想到黑客,那么提到黑客大 家也自然的能想到入侵。入侵检测以及入侵防御一直以来都是网络安全的核心技术之和主 要内容之一。由于我公司绝大部分主机为 windows 操作系统,因此专门制定了 wi
3、ndows 平台下的入侵检测与防御预案。目的就是提高应对目前流行的系统入侵行为的能力。 1.2 内容内容 保证网络的可用性: 黑洞抗 DDoS 设备防止 DDoS 攻击预案 保证数据的机密性: 服务器入侵检测与防护预案 3 1.3 参与人员参与人员 客户方联系人员名单表客户方联系人员名单表 姓名姓名职务职务所属组织所属组织移动电话移动电话固定电话固定电话电子邮件电子邮件 总监总监信息技术部信息技术部 工程师工程师信息技术部信息技术部 工程师工程师信息技术部信息技术部 工程师工程师信息技术部信息技术部 实施方联系人员名单表实施方联系人员名单表 姓名姓名职务职务所属组织所属组织移动电话移动电话固定
4、电话固定电话电子邮件电子邮件 二二. 抗抗 DDoS 攻击攻击预案预案 为防御 DDOS 攻击,我公司在 IDC 机房部署了绿盟科技的黑洞抗 DDoS 设备,保护 主站 免受 DDoS 攻击。 4 2.1 预案拓扑预案拓扑示意示意 傀傀儡儡机机1 傀傀儡儡机机2 傀傀儡儡机机3 Web 访访问问测测试试 被被攻攻击击Web 服服务务器器 图图 1 2.2 硬件硬件准备准备 应急时所需硬件: 设备名称设备名称/ /用途用途数量数量操作系统操作系统IPIP 地址(示意)地址(示意)备注备注 WebWeb 访问测试机访问测试机 1 1WindowsWindows 2000/2003/XP2000/
5、2003/XP 192.168.1.102192.168.1.102 较高档的较高档的 PCPC 或服务器或服务器 WebWeb 服务器服务器 1 1Windows2000Windows2000192.168.1.10192.168.1.100 0 安装安装 IISIIS 交换机交换机 1 1100M100M 黑洞黑洞 1 1192.168.1.1192.168.1.10101 黑洞本身没有黑洞本身没有 IPIP,设置的,设置的 IPIP 地址是为了方便远程管地址是为了方便远程管 理理 5 2.3 软件软件准备准备 此次演练所需的攻击软件以及被攻击 Web 服务器: 软件名称软件名称用途用途运
6、行环境运行环境备注备注 StressStress ToolTool 7 7 测试客户端访问测试客户端访问 webweb 服务器服务器 时的延时时的延时 WindowsWindows 安装在安装在 WebWeb 访问测试机访问测试机 2.4 如何判断已受到如何判断已受到 DDoS 攻击攻击 当内部服务器遭受 DDoS 攻击时,可以由以下方式判断: 1、服务器入口流量激增; 2、服务器进出口流量比异常; 3、服务器会话保持数超常; 4、服务器性能消耗急剧上升; 5、站点访问体验急剧下降。 一旦出现上述情况中的一种或者几种,均可考虑 DDoS 攻击发生的可能。 通过流量分析设备或管理员人为判断或准确
7、的抓包分析判断出 DDoS 攻击发生,即可采用 黑洞 DDoS 防护设备进行流量清洗。 2.5 黑洞防护设备上线黑洞防护设备上线 根据客户业务量大小进行黑洞防护设备选型,通常 100M 链路采用黑洞 200/600 进行 防护;1000M 链路采用黑洞 1600/2000 进行防护。此试验环境中采用黑洞 600 进行应急 防护。 黑洞 600 防护设备拥有两个工作口(IN/OUT),一个管理口;将黑洞 IN 口连接外部 网络,OUT 连接被保护网络。列出设备 IP 地址以及接口,如图所示: 6 傀傀儡儡机机1 傀傀儡儡机机2 傀傀儡儡机机3 Web 访访问问测测试试 被被攻攻击击Web 服服务
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 攻击 事件 应急 预案
链接地址:https://www.31doc.com/p-4289751.html