城域网)服务拒绝服务攻击事件应急处理预案1 应急预案目的本文是在《中国移动安全事件管理办法(试行版)》指导下,从**移动CMNET 城域网系统现状出发,结合业务特点及目前网络安全状况分析,建立用以“发现、检测、抑制和恢复”可能发生的主要网络安全事件的处置预案,这些事件的监控、检测、处置与系统设备密切相关。本预案以安全事件已发现和确认为背景,重在安全事件发生后的处理。针对本系统可能发生的其它安全事件的监控、检测、处置可直接参照《中国移动网络安全事件判别及处理手册(试行版)》进行应急处理。2 范围本应急预案适用于**移动 CMNET 城域网,**移动 CMNET 城域网面临的主要安全风险是拒绝服务攻击:DoS(DenialofService,拒绝服务)攻击由于其攻击简单、容易达到目的等特点而成为现在常见的攻击方式 DoS(DenialOfService),拒绝服务的缩写,是指故意攻击网络协议实现的缺陷或直接通过野蛮手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。城域网承载大量的宽带业务,为集团单位客户和家庭客户提供提供互联网接入服务,因此当客户被 DOS 攻击或因黑客控制而攻击其他用户时,城域网需要进行相关操作来阻断攻击保护客户。2.1.1 攻击的发现:由于城域网没有 IDC 业务,用户主体是家庭宽带和集团单位,城域网内没有部署专业的 DPI 设备来检测分析互联网行为,目前攻击的发现只能依靠城域网设备性能监控告警和用户申告。2.1.2 攻击的分析:由于 DOS 或 DDOS 的攻击方法和目标多种多样,其应对方法也不同,因此在应对时必须先分析其攻击方法和攻击类型。目前常见的攻击有:① 针对攻击对象的应用服务程序或操作系统(进程)进行特种攻击,其攻击特点是攻击目标的特定进程或端口,且攻击数据包是正常的互联网数据攻击流量小,攻击目标特定,不会影响其他客户。典型的攻击类型为 CC攻击。② 通过大量的网络流量来拥塞攻击目标的网络出口,达到攻击目的。此类攻击的特点是网络上有大量流量冲击攻击目标,当流量过大时会影响其他用户。常见的有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood 等。③ 针对...