1、目录一.预案概述31.1 目标31.2 内容31.3 参与人员4二.抗DDOS攻击预案52.1预案拓扑示意52.2硬件准备52.3软件准备62.4如何判断已受到DDoS攻击62.5黑洞防护设备上线62.6攻击缓解82.7攻击日志8三.WINDOWS入侵的检测与防御93.1硬件与软件的准备93.2后门账户检测93.3日志分析93.4手工检查103.5软件检测113.6清除可疑文件113.7修复受损系统123.8加固服务器12四.编写报告1312一. 预案概述1.1 目标拒绝服务攻击是利用TCP/IP协议栈缺陷发动破坏可用性的网络攻击行为,破坏力巨大,必须有专业的设备才能有效防护。此预案包含了使用
2、专用防护工具(黑洞专业抗DDoS设备)对抗DDOS攻击的内容,以提高应对DDOS攻击的能力。另一方面,系统入侵与防御一直是网络安全的主要内容之一。而木马以及rootkit是系统层面上存在的一个长期并且巨大的安全威胁。如果提到网络安全人们就很自然地想到黑客,那么提到黑客大家也自然的能想到入侵。入侵检测以及入侵防御一直以来都是网络安全的核心技术之和主要内容之一。由于我公司绝大部分主机为windows操作系统,因此专门制定了windows平台下的入侵检测与防御预案。目的就是提高应对目前流行的系统入侵行为的能力。1.2 内容保证网络的可用性:黑洞抗DDoS设备防止DDoS攻击预案保证数据的机密性:服务
3、器入侵检测与防护预案1.3 参与人员客户方联系人员名单表姓名职务所属组织移动电话固定电话电子邮件总监信息技术部工程师信息技术部工程师信息技术部工程师信息技术部实施方联系人员名单表姓名职务所属组织移动电话固定电话电子邮件二. 抗DDoS攻击预案为防御DDOS攻击,我公司在IDC机房部署了绿盟科技的黑洞抗DDoS设备,保护主站免受DDoS攻击。2.1 预案拓扑示意图12.2 硬件准备应急时所需硬件:设备名称/用途数量操作系统IP地址(示意)备注Web访问测试机1Windows 2000/2003/XP192.168.1.102较高档的PC或服务器Web服务器1Windows2000192.168.
4、1.100安装IIS交换机1100M黑洞1192.168.1.101黑洞本身没有IP,设置的IP地址是为了方便远程管理2.3 软件准备此次演练所需的攻击软件以及被攻击Web服务器:软件名称用途运行环境备注Stress Tool 7测试客户端访问web服务器时的延时Windows安装在Web访问测试机2.4 如何判断已受到DDoS攻击当内部服务器遭受DDoS攻击时,可以由以下方式判断:1、服务器入口流量激增;2、服务器进出口流量比异常;3、服务器会话保持数超常;4、服务器性能消耗急剧上升;5、站点访问体验急剧下降。一旦出现上述情况中的一种或者几种,均可考虑DDoS攻击发生的可能。通过流量分析设备
5、或管理员人为判断或准确的抓包分析判断出DDoS攻击发生,即可采用黑洞DDoS防护设备进行流量清洗。2.5 黑洞防护设备上线根据客户业务量大小进行黑洞防护设备选型,通常100M链路采用黑洞200/600进行防护;1000M链路采用黑洞1600/2000进行防护。此试验环境中采用黑洞600进行应急防护。黑洞600防护设备拥有两个工作口(IN/OUT),一个管理口;将黑洞IN口连接外部网络,OUT连接被保护网络。列出设备IP地址以及接口,如图所示:图2黑洞将根据初始防护模板将对流量进行判断和过滤,超过设定阈值即启动清洗过滤。针对DDoS攻击规模,可以通过Web界面实时调整防护模版阈值;针对DDoS攻
6、击类型的不同,也可以启用专用防护模版。截取部分黑洞DDoS防护截图示例:图3SYN-Flood攻击防护图4ACK-Flood攻击防护2.6 攻击缓解演练过程中,攻击流量被黑洞过滤,正常访问流量不受影响流量流向图如下所示:图5 流量流向图2.7 攻击日志攻击结束之后,黑洞可以对DDoS攻击的类型以及次数进行统计。方便日后对服务器进行有针对性地加固。三. Windows入侵的检测与防御3.1 硬件与软件的准备预案所需硬件:设备名称/用途数量操作系统IP地址(示意)备注服务器1以上windows 2000/200310.1201.17服务器预案所需软件:软件名称用途运行环境备注IceSword1.2
7、2sreng2autoruns.exeprocexp.exe信息收集,查看Windows BlackLightPAVARK.exeRootkit RevealerRootkit Detector自动化检测,扫描Windows3.2 后门账户检测依次打开管理工具-计算机管理-本地用户和组-用户,进行查看,检查帐号是否有异常。检查guest帐户是否有管理员权限,排除克隆帐号可能。使用命令查看:在命令行下,使用net user命令检查用户。可以使用net user guest详细查看单个用户。3.3 日志分析手工检查:依次点击开始-管理工具-事件查看器,可以查看windows系统日志。包括三部分:系
8、统日志,应用程序日志,安全日志。工具软件分析:Network Event ViewerNetwork Event Viewer 该软件让系统管理员可以同时地管理,浏览,排序和搜索多个 Windows XP/2000/NT 操作系统事件日志文件。事件日志可以从每台配置好的计算机和存档当中下载。正在下载的服务可以让日志按照配置好的日程安排表进行下载以便日后重新浏览或者通过电子邮件发送指定的事件。事件日志可以被合并为一个浏览和浏览过滤设置。事件可以按照日志,级别,主机,时间,资源,类别,事件 ID,和用户进行排序。3.4 手工检查有木马,就一定有服务端程序。因此一定会在磁盘上存在可疑文件。这是我们手
9、工检查的一个重要原则和依据。而新生成的木马文件为了达到隐藏的目的,通常以隐藏文件的形式出现。并且在我们对服务器进行长期检测情况下,木马进入的时间通常不长,因此按照时间排序查找最新修改的文件通常比较奏效。直接寻找文件:打开文件夹选项,选择显示隐藏文件。分别查看c: ,c:windows ,c:windowssystem32三个文件夹,按照日期排序,看是否有近期被修改过的.exe文件,看是否有隐藏的.exe文件。工具辅助分析:图1冰刃查看进程图2autorun查看启动项由于是手工检测,此过程和实施工程师的技能和经验密切相关,分析和检测方法和具体入侵场景密切相关。无法事先预料到每一种场景和状况,因此
10、在上面只列出了手工检测的思路和步骤。如果需要,灵活运用绿盟科技入侵检测工具包总的相关工具进行分析。3.5 软件检测这里有大量的入侵家侧软件可供使用,绿盟科技专门制作了windows入侵检测工具集。3.6 清除可疑文件将木马等可以文件删除。通常会遭遇到注册表,驱动保护等问题,造成无法删除文件。可以这时候要首先停止启动项,阻止其加载到内存中。或者停止保护驱动程序,并找出关联文件,删除。图3强行删除文件3.7 修复受损系统在删除文件的过程中,可能导致系统受损,长见的如winsock受损。这时候可以用响应的修复软件修复,比如winsockfix修复受损的网络连接。图4修复受损的网络连接3.8 加固服务器对检测,清楚完毕的服务器进行全面加固。四. 编写报告全面,详细记录入侵的解决过程。