我们协助用户找到此次DDOS攻击中,直接攻击者出现频度较大列表如下:×。 ×。 ×。143 ××电信ADSL×。 ×。 ×176 ××电信ADSL 、×。 ×。 ×。249 ××电信ADSL×。 ×。 ×。95 ××电信ADSL×。 ×。 ×。238 ××省××市ADSL×。 ×。 ×。110 ××电信ADSL×。 ×。 ×。103 ××电信×。 ×。 ×。18 ××有线×。 ×。 ×。94 ××有线宽频×。 ×。 ×。139 ××电信
第三步 对网络进行内外评估,找出其他网络安全风险
从系统的内因和外因两方面进行评估:
内因:系统自身配置有缺陷,如有严重漏洞,后门等。
(1)对此Web服务器做远程安全评估,判断是否存在远程访问应用级风险漏洞,排除。
(2)对此Web服务器做内部安全评估,判断是否存在后门或者本地漏洞,在SNMP等服务配置方面存在漏洞,但是由于防火墙对此端口进行了屏蔽,因此排除服务器配置存在漏洞。
结论:Web服务器采用了windows操作系统加IIS服务器,攻击门槛较低。并且没有对服务器信息进行屏蔽,客观上增强了攻击者的信心,成为攻击产生的诱因。外因:DOS攻击,DDOS攻击
DOS攻击很难完成三次握手,一般来说会伪造源地址,会使用一种单一的状态,典型的就是syn flooding;因为三次握手没有完成,很少有服务器对这种连接记录日志;但是防syn攻击的防火墙可以很好的应付这种旨在消耗服务器资源的攻击。
在同一时刻出现大量不同的访问源,并且完成正常的连接开始,但是不进行正常的连接结束,此时可以判断系统正在遭受DDOS攻击。
第四步 事件分析报告
我们一直努力想把应急响应的被动响应做成主动服务,力求与其他安全服务有机融合,因此事后我们向用户提交了一份详细的工程记录文档和安全策略建议,建议中提到还存在安全技术手段使用不足的问题,虽然采用了防火墙和防毒系统,但是却没有充分利用好保护网络安全的工具和资源,目的是让用户知道怎么出的问题、问题出在哪里、怎么解决的问题、今后该注意什么?由应急响应做到网络评估再做到用户培训和安全咨询,随时随地关注用户网络安全,这充分体现了天融信全套安全服务解决方案的优势。
这次遭受攻击的服务为HTTP服务,混合syn flooding在正常的connect中。这样对节点防护设备的要求就更高一些。而危害更大,既消耗服务器资源又占用带宽的DDOS,会使用udp和icmp做载体进行攻击,我们在应急响应案例中处理过针对域名服务器53端口的udp flooding;还有考验网络设备处理分片能力的大icmp包,比如发送大小标识为为65500字节的icmp echo request包,经过路由器、防火墙等节点设备需要对分片包重组,而攻击者故意不发最后一个分片包,造成内存资源耗尽。此类发送达到一定频度就会使节点设备瘫痪。
第五步 跟踪业务运营情况
"魔高一尺,道高一丈",防火墙策略生效之后,攻击逐渐减弱,通过外网访问web服务器,速度正常。至此初步判断:由于防火墙、UMT的防护和安全管理平台监测,已经令恶意攻击者知难而退,暂时停止实施攻击。现场观察几天网络一直到客户网络正常运行我们才离开,并进行远程跟踪。
此次案例只是在安全运维过程中发生的一个小故事,我们要具有在用户最危难的时候达到帮助他们解决问题的能力,我们要有面对安全危机时敢于挑战的信心,而能够做到这一切,是因为我们不断的学习安全的最前沿知识,不停的研究最新的安全技术,不断的积累安全应急服务经验。我们的团队是一支响应非常迅速、每个人技术都很过硬的团队,我们有信心未来可以为世博业务安全提供更全面、更细致的服务。
