“僵尸網(wǎng)絡(luò)”應(yīng)急預(yù)案詳解課件

1、“僵尸網(wǎng)絡(luò)”應(yīng)急預(yù)案湖北、江西、浙江、陜西、天津第1頁(yè)，共21頁(yè)。目錄概述“僵尸網(wǎng)絡(luò)”介紹系統(tǒng)現(xiàn)狀應(yīng)急流程設(shè)備應(yīng)急方法效果2第2頁(yè)，共21頁(yè)。概述應(yīng)急方案啟動(dòng)條件當(dāng)在本省網(wǎng)絡(luò)范圍內(nèi)，發(fā)現(xiàn)存在僵尸網(wǎng)絡(luò)的客戶端或服務(wù)器，將啟用本應(yīng)急方案。應(yīng)急方案執(zhí)行原則本應(yīng)急方案堅(jiān)持統(tǒng)一領(lǐng)導(dǎo)、分工負(fù)責(zé)、協(xié)作配合，以先恢復(fù)系統(tǒng)和保障業(yè)務(wù)的正常運(yùn)行為原則，再進(jìn)行事件分析和修補(bǔ)等措施。 適用范圍本預(yù)案適用于發(fā)現(xiàn)短信網(wǎng)關(guān)系統(tǒng)和省內(nèi)用戶網(wǎng)段出現(xiàn)僵尸網(wǎng)絡(luò)的客戶端或服務(wù)器。3第3頁(yè)，共21頁(yè)。概述“僵尸網(wǎng)絡(luò)”介紹系統(tǒng)現(xiàn)狀應(yīng)急流程設(shè)備應(yīng)急方法效果4第4頁(yè)，共21頁(yè)?！敖┦W(wǎng)絡(luò)”介紹5第5頁(yè)，共21頁(yè)?！敖┦W(wǎng)絡(luò)”介紹類(lèi)型/特點(diǎn)傳

2、播性可控性竊密性危害性僵尸網(wǎng)絡(luò)可控傳播高度可控有完全控制木馬無(wú)可控有完全控制蠕蟲(chóng)主動(dòng)傳播無(wú)/弱無(wú)/弱主機(jī)和網(wǎng)絡(luò)資源間諜軟件無(wú)無(wú)嚴(yán)重竊密信息泄密病毒干預(yù)傳播無(wú)無(wú)破壞文件特點(diǎn)：大部分僵尸網(wǎng)絡(luò)客戶端與服務(wù)器通過(guò)ping/pong維持連接。 客戶端和服務(wù)器一般至少有1臺(tái)應(yīng)該具有公網(wǎng)地址。服務(wù)器和客戶端都有相應(yīng)的監(jiān)聽(tīng)端口危害：6第6頁(yè)，共21頁(yè)。概述“僵尸網(wǎng)絡(luò)”介紹系統(tǒng)現(xiàn)狀應(yīng)急流程設(shè)備應(yīng)急方法效果7第7頁(yè)，共21頁(yè)。系統(tǒng)現(xiàn)狀短信網(wǎng)關(guān)拓?fù)浣Y(jié)構(gòu)8第8頁(yè)，共21頁(yè)。系統(tǒng)現(xiàn)狀短信網(wǎng)關(guān)安全策略策略編號(hào)策略說(shuō)明開(kāi)放端口1私網(wǎng)地址和公網(wǎng)地址的轉(zhuǎn)換211.137.169.210.3.0.11；211.137.169.9

3、10307/10308211.137.169.1010309/1030102允許外部主機(jī)和內(nèi)部主機(jī)的icmp通信icmp3允許外部主機(jī)訪問(wèn)一臺(tái)堡壘主機(jī)的管理端口224允許外部主機(jī)訪問(wèn)應(yīng)用主機(jī)的應(yīng)用端口7890、7891、7900、7901、7930、7931、9168、11125所有應(yīng)用主機(jī)訪問(wèn)外部主機(jī)源地址均為211.137.169.39第9頁(yè)，共21頁(yè)。概述“僵尸網(wǎng)絡(luò)”介紹系統(tǒng)現(xiàn)狀應(yīng)急流程設(shè)備應(yīng)急方法效果10第10頁(yè)，共21頁(yè)。應(yīng)急流程僵尸網(wǎng)絡(luò)安全事件的分級(jí)僵尸網(wǎng)絡(luò)安全事件根據(jù)危害和緊急程度分為 “四級(jí)/一般”、“三級(jí)/預(yù)警”、“二級(jí)/報(bào)警”、“一級(jí)/緊急”四種 11第11頁(yè)，共21頁(yè)。應(yīng)

4、急流程12第12頁(yè)，共21頁(yè)。概述“僵尸網(wǎng)絡(luò)”介紹系統(tǒng)現(xiàn)狀應(yīng)急流程設(shè)備應(yīng)急方法效果13第13頁(yè)，共21頁(yè)。設(shè)備應(yīng)急方法檢查定位抑制、根除、取證系統(tǒng)檢查加固總結(jié)分析14第14頁(yè)，共21頁(yè)。設(shè)備應(yīng)急方法檢查定位（1）網(wǎng)絡(luò)設(shè)備定位查看防火墻的日志、連接和端口流量，開(kāi)啟debug（2）主機(jī)設(shè)備定位端口連接異常進(jìn)程15第15頁(yè)，共21頁(yè)。設(shè)備應(yīng)急方法抑制、根除、取證（1）網(wǎng)絡(luò)設(shè)備定位后，采取以下措施進(jìn)行封堵通過(guò)訪問(wèn)控制列表檢查封堵情況，確定封堵策略生效通過(guò)sniffer進(jìn)行抓包取證。（2）主機(jī)設(shè)備判斷是否為雙機(jī)設(shè)備中的一臺(tái)，是否可在不影響業(yè)務(wù)的情況進(jìn)行離線處理。如果可以，根據(jù)業(yè)務(wù)影響情況，進(jìn)行取證和將有

5、問(wèn)題的主機(jī)離網(wǎng)。如果不可以，采取如下措施查看系統(tǒng)資源占用情況Top查看連接和監(jiān)聽(tīng)端口情況，找出異常的監(jiān)聽(tīng)端口Netstat an 通過(guò)以下命令，查找開(kāi)啟異常監(jiān)聽(tīng)端口的程序文件，找到后進(jìn)行取證刪除Lsof i和lsof對(duì)于windows監(jiān)控終端查看資源管理器通過(guò)Netstat an和Fport命令，來(lái)確定有問(wèn)題的監(jiān)聽(tīng)端口程序，然后進(jìn)行取證刪除。 16第16頁(yè)，共21頁(yè)。設(shè)備應(yīng)急方法系統(tǒng)檢查加固系統(tǒng)詳細(xì)分析檢查恢復(fù)系統(tǒng)受損文件檢查其他同類(lèi)主機(jī)設(shè)備，是否存在同樣問(wèn)題 17第17頁(yè)，共21頁(yè)。設(shè)備應(yīng)急方法總結(jié)分析在進(jìn)行調(diào)查之后，由相關(guān)人員提交一份對(duì)事件全過(guò)程的總結(jié)報(bào)告，并進(jìn)行事后分析。集中所有相關(guān)人員來(lái)討論所發(fā)生的事件以及得到的經(jīng)驗(yàn)教訓(xùn)，并對(duì)現(xiàn)有的一些流程進(jìn)行重新評(píng)審，對(duì)不適宜的環(huán)節(jié)進(jìn)行修改。應(yīng)該從系統(tǒng)中徹底刪除諸如受到感染的文件。18第18頁(yè)，共21頁(yè)。概述“僵尸網(wǎng)絡(luò)”介紹系統(tǒng)現(xiàn)狀應(yīng)急流