城域网防DDOS安全应急预案

（城域网）服务拒绝服务攻击事件

应急处理预案

1应急预案目的

本文是在《中国移动安全事件管理办法（试行版）》指导下，从**移动CMNET城域网系统现状出发，结合业务特点及目前网络安全状况分析，建立用以“发现、检测、抑制和恢复”可能发生的主要网络安全事件的处置预案，这些事件的监控、检测、处置与系统设备密切相关。

本预案以安全事件已发现和确认为背景，重在安全事件发生后的处理。

针对本系统可能发生的其它安全事件的监控、检测、处置可直接参照《中国移动网络安全事件判别及处理手册（试行版）》进行应急处理。

2范围

本应急预案适用于**移动CMNET城域网，**移动CMNET城域网面临的主要安全风险是拒绝服务攻击：

DoS(DenialofService,拒绝服务)攻击由于其攻击简单、容易达到目的等特点而成为现在常见的攻击方式DoS（Denial Of Service），拒绝服务的缩写，是指故意攻击网络协议实现的缺陷或直接通过野蛮手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务，使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。

城域网承载大量的宽带业务，为集团单位客户和家庭客户提供提供互联网接入服务，因此当客户被DOS攻击或因黑客控制而攻击其他用户时，城域网需要进行相关操作来阻断攻击保护客户。

2.1.1攻击的发现：

由于城域网没有IDC业务，用户主体是家庭宽带和集团单位，城域网内没有部署专业的DPI设备来检测分析互联网行为，目前攻击的发现只能依靠城域网设备性能监控告警和用户申告。

2.1.2攻击的分析：

由于DOS或DDOS的攻击方法和目标多种多样，其应对方法也不同，因此在应对时必须先分析其攻击方法和攻击类型。目前常见的攻击有：

①针对攻击对象的应用服务程序或操作系统（进程）进行特种攻击，其攻击特点是攻击目标的特定进程或端口，且攻击数据包是正常的互联网数据，攻击流量小，攻击目标特定，不会影响其他客户。典型的攻击类型为CC攻击。

②通过大量的网络流量来拥塞攻击目标的网络出口，达到攻击目的。此类攻击的特点是网络上有大量流量冲击攻击目标，当流量过大时会影响其他用户。常见的有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。

③针对运营商互联网设备的攻击，消耗设备资源（如CPU，内存）从而影响用户。此类攻击会导致设备性能急剧下降，设备会产生告警，严重时影响设备下所有用户。

2.1.3攻击的处理

当城域网设备出现性能下降告警，或者用户申告遭到DOS或DDOS攻击时，针对不同的攻击类型按照不同方案处理。

①针对攻击对象的应用服务程序或操作系统（进程）进行特种攻击，由

于流量小，且均是正常访问启用，运营商无法识别，其处理办法是用

户在其服务器修改配置（如更换应用程序端口，更换域名），当用户

提出请求要求在城域网封堵来自某些IP的攻击报文时，可以在用户

城域网接口处部署过滤策略，过滤报文。

acl number 3010

step 1

rule 1 deny tcp source 198.162.18.9

rule 2 deny udp source 198.162.18.9

traffic classifier Deny-Jiangshi operator or

if-match acl 3010

traffic behavior deny

deny

traffic policy Deny-Jiangshi

share-mode

classifier Deny-Jiangshi behavior deny

interface Eth-Trunk5.106

vlan-type dot1q 106

description jayd-xuexi-server

ip address 211.141.118.137 255.255.255.252

ip urpf strict allow-default

statistic enable

traffic-policy Deny-Jiangshi outbound

trust upstream default

②针对通过网络协议或带宽流量来拥塞攻击目标网络出口的攻击，根据

用户申告或网络流量监控，确定攻击目标。当流量很大影响其他客户

时，要启动流量黑洞。

当攻击流量为1-2GE时，此时流量仅会拥塞用户的接入端口，此时可以在BRAS/SR上对攻击目标IP进行黑洞路由或限速，设备会丢弃多余报文，从而保护与攻击目标同接口的其他用户。

当攻击流量在2-8GE时，此时在接入BRAS/SR限速已经无效，要在地市核心针对目标进行黑洞路由，并将情况上报省网络部和省网管中心，申请支援。

当攻击攻击超过8GE时，攻击会影响地市城域网所有业务，属于重大攻击，此时要及时上报省网络部和省网管中心，申请在省干核心部署黑洞路由，

或者请省公司使用流量清洗设备清洗流量。

黑洞路由脚本：

ip route-static 198.162.18.9 255.255.255.255 nulll0

限速脚本：

interface Eth-Trunk5.106

vlan-type dot1q 106

description jayd-xuexi-server

ip address 211.141.118.137 255.255.255.252

ip urpf strict allow-default

statistic enable

traffic-policy Deny-Jiangshi outbound

trust upstream default

qos car cir 10240 pir 11264 cbs 2048000 pbs 2048000 green pass yellow pass red discard inbound

qos car cir 10240 pir 11264 cbs 2048000 pbs 2048000 green pass yellow pass red discard outbound

③针对网络设备的攻击，首先查看设备告警，常见的网络攻击会在log

中显示，如SSH攻击，arp攻击。同时日常要做好设备防护，关闭不

必要的应用和访问限制，过滤常见的病毒端口（如限制SNMP访问地

址，更改SNMP初始密钥；关闭FTP，CDP协议、telnet；限制登入设

备IP，部署URPF）。当网络出现未知攻击时，联系厂家研发人员，通

过底层命令查看判断攻击，并部署相关的策略过滤攻击。常用的查看

设备正常命令有：

display health

display cpu-usage

display log

disp interface

disp memory

防止BRAS/SR设备CPU接收异常报文处理脚本，通过查看丢包计数确定上

送报文丢包类型后，调整该类型报文的CPCAR值，减少其对设备的影响。