(4) 设置连接超时时间。根据网络负载和应用情况进行判断。
比如http为短连接应用协议,这样可以把超时时间缩短,将大大减少攻击频度。
第二步 协助用户检查入侵来源、时间、方法等
我们协助用户找到此次DDOS攻击中,直接攻击者出现频度较大列表如下:
×. ×. ×.143 ××电信ADSL
×. ×. ×176 ××电信ADSL 、
×. ×. ×.249 ××电信ADSL
×. ×. ×.95 ××电信ADSL
×. ×. ×.238 ××省××市ADSL
×. ×. ×.110 ××电信ADSL
×. ×. ×.103 ××电信
×. ×. ×.18 ××有线
×. ×. ×.94 ××有线宽频
×. ×. ×.139 ××电信
第三步 对网络进行内外评估,找出其他网络安全风险
从系统的内因和外因两方面进行评估:
内因:系统自身配置有缺陷,如有严重漏洞,后门等。
(1)对此Web服务器做远程安全评估,判断是否存在远程访问应用级风险漏洞,排除。
(2)对此Web服务器做内部安全评估,判断是否存在后门或者本地漏洞,在SNMP等服务配置方面存在漏洞,但是由于防火墙对此端口进行了屏蔽,因此排除服务器配置存在漏洞。
结论:Web服务器采用了windows操作系统加IIS服务器,攻击门槛较低。并且没有对服务器信息进行屏蔽,客观上增强了攻击者的信心,成为攻击产生的诱因。
外因:DOS攻击,DDOS攻击
DOS攻击很难完成三次握手,一般来说会伪造源地址,会使用一种单一的状态,典型的就是syn flooding;因为三次握手没有完成,很少有服务器对这种连接记录日志;但是防syn攻击的防火墙可以很好的应付这种旨在消耗服务器资源的攻击。
在同一时刻出现大量不同的访问源,并且完成正常的连接开始,但是不进行正常的连接结束,此时可以判断系统正在遭受DDOS攻击。
第四步 事件分析报告
我们一直努力想把应急响应的被动响应做成主动服务,力求与其他安全服务有机融合,因此事后我们向用户提交了一份详细的工程记录文档和安全策略建议,建议中提到还存在安全技术手段使用不足的问题,虽然采用了防火墙和防毒系统,但是却没有充分利用好保护网络安全的工具和资源,目的是让用户知道怎么出的问题、问题出在哪里、怎么解决的问题、今后该注意什么?由应急响应做到网络评估再做到用户培训和安全咨询,随时随地关注用户网络安全,这充分体现了天融信全套安全服务解决方案的优势。
这次遭受攻击的服务为HTTP服务,混合syn flooding在正常的connect中。这样对节点防护设备的要求就更高一些。而危害更大,既消耗服务器资源又占用带宽的DDOS,会使用udp和icmp做载体进行攻击,我们在应急响应案例中处理过针对域名服务器53端口的udp flooding;还有考验网络设备处理分片能力的大icmp包,比如发送大小标识为为65500字节的icmp echo request包,经过路由器、防火墙等节点设备需要对分片包重组,而攻击者故意不发最后一个分片包,造成内存资源耗尽。此类发送达到一定频度就会使节点设备瘫痪。
