上海世博会天融信安全运维小组从2010年4月进驻世博会至今,已经通过多种方式为票务、预约、培训平台、终端等业务提供了不同级别的安全服务支持。是一支行动快速、技术过硬、敢于挑战的团队。尤其是2010年9月的一次应急响应服务,更加证明了天融信安全运维世博小组有能力保障世博会信息化业务系统的安全。
2010年9月,上海世博会某在线业务平台持续遭受sql注入、web扫描、应用跨站、DDOS等组合攻击,影响范围包括其业务网站和后台数据库服务器。"养兵千日,用兵一时",天融信安全运维世博小组通过对安全管理平台的持续监控发现后该类攻击事件,第一时间通知了相关领导和业务部门,同时赶到用户现场, 在与用户充分沟通后,迅速启动应急方案和工作流程,有条不紊地为用户提供了一套合理而完整的应急响应服务。
1. 协助恢复系统正常工作
2. 协助检查入侵来源、时间、方法等
3. 对网络进行评估,找出其他网络安全风险
4. 作出事故分析报告
5. 跟踪用户运营情况
第一步 全力恢复系统正常工作。我们使用最有效的检测方法对攻击数据包进行分析,迅速判断出此次攻击主要针对80端口以及443端口,遭受攻击的网站由于资源消耗过大而无法再给用户提供正常的页面访问。我们深知世博业务可持续性运行的重要性,于是我们决定本着"先抢通后修复"的原则,先利用防火墙、UTM制定相应的安全策略协助该单位恢复系统正常工作。
我们对攻击数据包分析检测方法如下:
(1) 针对http(端口80)建立TCP连接,已完成三次握手,但是客户端不结束连接,消耗Web服务器(IIS)连接资源,造成正常用户很难访问此网站。同时提交各种注入语句攻击应用程序。
(2) 攻击地址随机分布,来自不同地域,为真实地址,源端口连续,每秒建立连接2000次左右。
(3) 通过查看安全管理平台(SOC)内容过滤日志,发现有GET / HTTP 1.1 url记录,此url出现通常表明有扫描程序在对Web Server进行扫描以判断Web Server类型。
根据对攻击数据包的分析,调整防火墙、UTM的策略如下:
(1) 在内核配置智能统计策略:
根据总体带宽和资源情况限制单位时间内单位IP地址的syn连接次数。
典型策略:先对此源地址的连接数据包延迟处理,但缩短超时时间。
如果该源地址的出现频度持续增加,将此地址列入黑名单,进行一次性规则限制。
(2) 在前端开启syn验证功能:对伪造源地址的syn flooding进行防范。\(3) 开启内容过滤功能:限制head关键字,多数扫描器实现时使用head代替GET.替换服务器信息,屏蔽" Microsoft-IIS/6.0",替换为"HelloChina"等不相关信息。使扫描器得不到正确的服务器信息,进而不能发出针对该类服务器定制的漏洞探测或者攻击包。
(4) 设置连接超时时间。根据网络负载和应用情况进行判断。
比如http为短连接应用协议,这样可以把超时时间缩短,将大大减少攻击频度。
第二步 协助用户检查入侵来源、时间、方法等
