城域网安全应急预案

城域网安全应急预案

随着互联网的迅速发展,网络安全已经成为我们生活中密不可分的部分。而DoS(DenialofService,拒绝服务)攻击由于其攻击简单、容易达到目的等特点而成为现在常见的攻击方式DoS（Denial Of Service），拒绝服务的缩写，是指故意攻击网络协议实现的缺陷或直接通过野蛮手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务，使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。

城域网承载大量的宽带业务，为集团单位客户和家庭客户提供提供互联网接入服务，因此当客户被DOS攻击或因黑客控制而攻击其他用户时，城域网需要进行相关操作来阻断攻击保护客户。

1、攻击的发现：

由于城域网没有IDC业务，用户主体是家庭宽带和集团单位，城域

网内没有部署专业的DPI设备来检测分析互联网行为，目前攻击的

发现只能依靠城域网设备性能监控告警和用户申告。

2、攻击的分析：

由于DOS或DDOS的攻击方法和目标多种多样，其应对方法也不同，

因此在应对时必须先分析其攻击方法和攻击类型。目前常见的攻击有：

①针对攻击对象的应用或进程进行特种攻击，其攻击特点是攻击目标

的特定进程或端口，且攻击数据包是正常的互联网数据，攻击流量小，

攻击目标特定，不会影响其他客户。典型的攻击类型为CC攻击。

②通过大量的网络流量来拥塞攻击目标的网络出口，达到攻击目的。

此类攻击的特点是网络上有大量流量冲击攻击目标，当流量过大时会

影响其他用户。

③针对运营商互联网设备的攻击，消耗设备资源（如CPU，内存）

从而影响用户。此类攻击会导致设备性能急剧下降，设备会产生告警，严重时影响设备下所有用户。

3、攻击的处理

当城域网设备出现性能下降告警，或者用户申告遭到DOS或DDOS

攻击时，针对不同的攻击类型按照不同方案处理。

①针对攻击对象的应用或进程进行特种攻击，由于流量小，且均是正

常访问启用，运营商无法识别，其处理办法是用户在其服务器修改配

置（如更换应用程序端口，更换域名），当用户提出请求要求在城域

网封堵来自某些IP的攻击报文时，可以在用户城域网接口处部署过

滤策略，过滤报文。

acl number 3000

step 1

rule 1 deny tcp source 218.204.70.91

rule 2 deny udp source 218.204.70.91

traffic classifier jiangshi-deny operator or

if-match acl 3000

traffic behavior deny

deny

traffic policy jiangshi-deny

share-mode

classifier jiangshi-deny behavior deny

interface GigabitEthernet8/0/1.410

vlan-type dot1q 410

description WuLiGongWaoGongWangIP-4

ip address 192.168.1.1 255.255.255.248

traffic-policy jiangshi-deny-out outbound

trust upstream default

ip urpf strict allow-default

②针对通过网络流量来拥塞攻击目标网络出口的攻击，根据用户申告或网络流量监控，确定攻击目标。当流量很大影响其他客户时，要启动流量黑洞。

当攻击流量为1-2GE时，此时流量仅会拥塞用户的接入端口，此时可以在SR上对攻击目标IP进行黑洞路由或限速，设备会丢弃多余报文，从而保护与攻击目标同接口的其他用户。

当攻击流量在2-8GE时，此时在接入SR限速已经无效，要在地市核心针对目标进行黑洞路由，并将情况上报省网络部和省网管中心，申

请支援。

当攻击攻击超过8GE时，攻击会影响地市城域网所有业务，属于重大攻击，此时要及时上报省网络部和省网管中心，申请在省干核心部署黑洞路由，或者请省公司使用流量清洗设备清洗流量。

黑洞路由脚本：

ip route-static 192.168.100.100 255.255.255.255 nulll0

限速脚本：

interface Eth-Trunk1.500

vlan-type dot1q 500

ip address 192.168.1.97 255.255.255.252

qos car cir 10240 pir 11264 cbs 2048000 pbs 2048000 green pass yellow pass red discard inbound

qos car cir 10240 pir 11264 cbs 2048000 pbs 2048000 green pass yellow pass red discard outbound

③针对网络设备的攻击，首先查看设备告警，常见的网络攻击会在log 中显示，如SSH攻击，arp攻击。同时日常要做好设备防护，关闭不必要的应用和访问限制（如限制SNMP访问地址，更改SNMP初始密钥；关闭FTP，CDP协议、telnet；限制登入设备IP，部署URPF）。当网络出现未知攻击时，联系厂家研发人员，通过底层命令查看判断攻击，并部署相关的策略过滤攻击。常用的查看设备正常明如有：display cpu-usage

display log