“僵尸网络”应急预案.pptVIP

2005年12月 天津移动通信有限责任公司网络部 “僵尸网络”应急预案 概述 应急方案启动条件 当在本省网络范围内，发现存在僵尸网络的客户端或服务器，将启用本应急方案。 应急方案执行原则 本应急方案坚持统一领导、分工负责、协作配合，以先恢复系统和保障业务的正常运行为原则，再进行事件分析和修补等措施。 适用范围 本预案适用于发现短信网关系统和省内用户网段出现僵尸网络的客户端或服务器。 概述 “僵尸网络”介绍 系统现状 应急流程 设备应急方法 效果 “僵尸网络”介绍 “僵尸网络”介绍 概述 “僵尸网络”介绍 系统现状 应急流程 设备应急方法 效果 系统现状——短信网关拓扑结构 系统现状——短信网关安全策略 概述 “僵尸网络”介绍 系统现状 应急流程 设备应急方法 效果 应急流程 僵尸网络安全事件的分级 僵尸网络安全事件根据危害和紧急程度分为 “四级/一般”、“三级/预警”、“二级/报警”、“一级/紧急”四种 应急流程 概述 “僵尸网络”介绍 系统现状 应急流程 设备应急方法 效果 设备应急方法 检查定位 抑制、根除、取证 系统检查加固 总结分析 设备应急方法——检查定位 （1）网络设备定位 查看防火墙的日志、连接和端口流量，开启debug （2）主机设备定位 端口连接 异常进程 设备应急方法——抑制、根除、取证 （1）网络设备 定位后，采取以下措施进行封堵 通过访问控制列表 检查封堵情况，确定封堵策略生效 通过sniffer进行抓包取证。 （2）主机设备 判断是否为双机设备中的一台，是否可在不影响业务的情况进行离线处理。如果可以，根据业务影响情况，进行取证和将有问题的主机离网。如果不可以，采取如下措施 查看系统资源占用情况 Top 查看连接和监听端口情况，找出异常的监听端口 Netstat –an 通过以下命令，查找开启异常监听端口的程序文件，找到后进行取证删除 Lsof –i和lsof 对于windows监控终端查看资源管理器 通过Netstat －an和Fport命令，来确定有问题的监听端口程序，然后进行取证删除。 设备应急方法——系统检查加固 系统详细分析检查 恢复系统受损文件 检查其他同类主机设备，是否存在同样问题 设备应急方法——总结分析 在进行调查之后，由相关人员提交一份对事件全过程的总结报告，并进行事后分析。集中所有相关人员来讨论所发生的事件以及得到的经验教训，并对现有的一些流程进行重新评审，对不适宜的环节进行修改。应该从系统中彻底删除诸如受到感染的文件。 概述 “僵尸网络”介绍 系统现状 应急流程 设备应急方法 效果 预案效果 可按照预案，可在保证业务的前提下，完成对僵尸网络进行抑制和根除。 湖北、江西、浙江、陕西、天津 2005年12月 天津移动通信有限责任公司网络部 目录 概述 “僵尸网络”介绍 系统现状 应急流程 设备应急方法 效果 破坏文件 无 无 干预传播 病毒 信息泄密 严重窃密 无 无 间谍软件 主机和网络资源 无/弱 无/弱 主动传播 蠕虫 完全控制 有 可控 无 木马 完全控制 有 高度可控 可控传播 僵尸网络 危害性 窃密性 可控性 传播性 类型/特点 特点： 大部分僵尸网络客户端与服务器通过ping/pong维持连接。 客户端和服务器一般至少有1台应该具有公网地址。 服务器和客户端都有相应的监听端口 危害： 所有应用主机访问外部主机源地址均为211.137.169.3 5 7890、7891、7900、7901、7930、7931、9168、1112 允许外部主机访问应用主机的应用端口 4 22 允许外部主机访问一台堡垒主机的管理端口 3 icmp 允许外部主机和内部主机的icmp通信 2 211.137.169.2——10.3.0.11； 211.137.169.9——10．3．0．7/10．3．0．8 211.137.169.10——10．3．0．9/10．3．0．10 私网地址和公网地址的转换 1 开放端口 策略说明 策略编号