“僵尸网络”应急预案详解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
监控 终端
8
系统现状——短信网关安全策略
策略编 号
1
2 3 4 5
策略说明
开放端口
私网地址和公网地址的转换
允许外部主机和内部主机的 icmp通信
允许外部主机访问一台堡垒 主机的管理端口
允许外部主机访问应用主机 的应用端口
所有应用主机访问外部主机 源地址均为211.137.169.3
211.137.169.2——10.3.0.11; 211.137.169.9——10.3.0.7/10.3.0
用户自行进行抑制
是
根除处理
否
记录、归档
将处理结果上报 省网络与信息安 全办公室
结束
将处理结果上报 集团公司网络与 信息安全办公室
分析总结
确认
将处理结果上报 省网络与信息安 全领导小组
12
▪ 概述 ▪ “僵尸网络”介绍 ▪ 系统现状 ▪ 应急流程 ▪ 设备应急方法 ▪ 效果
13
设备应急方法
▪ 检查定位 ▪ 抑制、根除、取证 ▪ 系统检查加固 ▪ 总结分析
▪ 适用范围
本预案适用于发现短信网关系统和省内用户网段出现僵尸网络 的客户端或服务器。
3
▪ 概述 ▪ “僵尸网络”介绍 ▪ 系统现状 ▪ 应急流程 ▪ 设备应急方法 ▪ 效果
4
“僵尸网络”介绍
5
“僵尸网络”介绍
➢ 特点: 大部分僵尸网络客户端与服务器通过ping/pong维持连接。 客户端和服务器一般至少有1台应该具有公网地址。 服务器和客户端都有相应的监听端口
16
设备应急方法——系统检查加固
▪ 系统详细分析检查 ▪ 恢复系统受损文件 ▪ 检查其他同类主机设备,是否存在同样问题
17
设备应急方法——总结分析
▪ 在进行调查之后,由相关人员提交一份对事 件全过程的总结报告,并进行事后分析。集 中所有相关人员来讨论所发生的事件以及得 到的经验教训,并对现有的一些流程进行重 新评审,对不适宜的环节进行修改。应该从 系统中彻底删除诸如受到感染的文件。
HS1 HS2 OK1 OK2 PS
COLACT-
STA-
L4
CONSOLE
L2
GW05 GW06
GW01 GW02 GW03 GW04
数据库业务统计服 全网数据库服
务器
务器
本地网关数据库 服务器
磁盘阵列
磁带库
GW09 GW10 梦网30业务主机
GW11
Web服务器 /堡垒机
GW07 GW08 梦网20业务主机
果可以,根据业务影响情况,进行取证和将有问题的主机离网。如果不可以, 采取如下措施 ▪ 查看系统资源占用情况 ▪ Top ▪ 查看连接和监听端口情况,找出异常的监听端口 ▪ Netstat –an ▪ 通过以下命令,查找开启异常监听端口的程序文件,找到后进行取证删除 ▪ Lsof –i和lsof ▪ 对于windows监控终端查看资源管理器 ▪ 通过Netstat -an和Fport命令,来确定有问题的监听端口程序,然后进行取证 删除。
➢ 危害: 类型/特点 僵尸网络 木马 蠕虫 间谍软件 病毒
传播性 可控传播 无 主动传播 无 干预传播
可控性 高度可控 可控 无/弱 无 无
窃密性 有 有 无/弱 严重窃密 无
Baidu Nhomakorabea危害性 完全控制 完全控制 主机和网络资源 信息泄密 破坏文件
6
▪ 概述 ▪ “僵尸网络”介绍 ▪ 系统现状 ▪ 应急流程 ▪ 设备应急方法 ▪ 效果
11
应急流程
集团或外省EMO S工单通报
网络监控发现异 常
通知省网络与信 息安全办公室
回单 网管中心判断安 全级别 自 维 设 备
自维设备or用户设备
用户设备
专业室根据安全级 别进行相应封堵
否 判断用户是否
抑制根除
通知用户
通知维护室
检查定位
抑制、根除、取证
是否解决 是
加固
否 请求厂家/集团公司 技术支援
“僵尸网络”应急预案
湖北、江西、浙江、陕西、天津
目录
➢ 概述 ➢ “僵尸网络”介绍 ➢ 系统现状 ➢ 应急流程 ➢ 设备应急方法 ➢ 效果
2
概述
▪ 应急方案启动条件
当在本省网络范围内,发现存在僵尸网络的客户端或服务器, 将启用本应急方案。
▪ 应急方案执行原则
本应急方案坚持统一领导、分工负责、协作配合,以先恢复系 统和保障业务的正常运行为原则,再进行事件分析和修补等措 施。
14
设备应急方法——检查定位
(1)网络设备定位 查看防火墙的日志、连接和端口流量,开启 debug
(2)主机设备定位 端口连接 异常进程
15
设备应急方法——抑制、根除、取证
(1)网络设备 定位后,采取以下措施进行封堵
▪ 通过访问控制列表 ▪ 检查封堵情况,确定封堵策略生效 ▪ 通过sniffer进行抓包取证。 (2)主机设备 ▪ 判断是否为双机设备中的一台,是否可在不影响业务的情况进行离线处理。如
.8 211.137.169.10——10.3.0.9/10.3.0
.10 icmp
22
7890、7891、7900、7901、7930、7931、 9168、1112
9
▪ 概述 ▪ “僵尸网络”介绍 ▪ 系统现状 ▪ 应急流程 ▪ 设备应急方法 ▪ 效果
10
应急流程
▪ 僵尸网络安全事件的分级 僵尸网络安全事件根据危害和紧急程度分为 “四级/一般”、“三级/预警”、“二级/报 警”、“一级/紧急”四种
18
▪ 概述 ▪ “僵尸网络”介绍 ▪ 系统现状 ▪ 应急流程 ▪ 设备应急方法 ▪ 效果
19
预案效果
▪ 可按照预案,可在保证业务的前提下,完成 对僵尸网络进行抑制和根除。
20
谢谢
21
7
系统现状——短信网关拓扑结构
IP网管 系统
BOSS系 统
IP网关前置机 016 网关
短信中 心
外省 ISMG
CMNET
MISC SP
短信中心路由 器
1 2 3 4 5 6 7 8 9101112
HS1 HS2 OK1 OK2 PS
COLACT-
STA-
CONSOLE
1 2 3 4 5 6 7 8 9101112