网络攻击事件应急预案.doc
《网络攻击事件应急预案.doc》由会员分享,可在线阅读,更多相关《网络攻击事件应急预案.doc(12页珍藏版)》请在三一办公上搜索。
1、目录一.预案概述31.1 目标31.2 内容31.3 参与人员4二.抗DDOS攻击预案52.1预案拓扑示意52.2硬件准备52.3软件准备62.4如何判断已受到DDoS攻击62.5黑洞防护设备上线62.6攻击缓解82.7攻击日志8三.WINDOWS入侵的检测与防御93.1硬件与软件的准备93.2后门账户检测93.3日志分析93.4手工检查103.5软件检测113.6清除可疑文件113.7修复受损系统123.8加固服务器12四.编写报告13一. 预案概述1.1 目标拒绝服务攻击是利用TCP/IP协议栈缺陷发动破坏可用性的网络攻击行为,破坏力巨大,必须有专业的设备才能有效防护。此预案包含了使用专用
2、防护工具(黑洞专业抗DDoS设备)对抗DDOS攻击的内容,以提高应对DDOS攻击的能力。另一方面,系统入侵与防御一直是网络安全的主要内容之一。而木马以及rootkit是系统层面上存在的一个长期并且巨大的安全威胁。如果提到网络安全人们就很自然地想到黑客,那么提到黑客大家也自然的能想到入侵。入侵检测以及入侵防御一直以来都是网络安全的核心技术之和主要内容之一。由于我公司绝大部分主机为windows操作系统,因此专门制定了windows平台下的入侵检测与防御预案。目的就是提高应对目前流行的系统入侵行为的能力。1.2 内容保证网络的可用性:黑洞抗DDoS设备防止DDoS攻击预案保证数据的机密性:服务器入
3、侵检测与防护预案1.3 参与人员客户方联系人员名单表姓名职务所属组织移动电话固定电话电子邮件总监信息技术部工程师信息技术部工程师信息技术部工程师信息技术部实施方联系人员名单表姓名职务所属组织移动电话固定电话电子邮件二. 抗DDoS攻击预案为防御DDOS攻击,我公司在IDC机房部署了绿盟科技的黑洞抗DDoS设备,保护主站免受DDoS攻击。2.1 预案拓扑示意图12.2 硬件准备应急时所需硬件:设备名称/用途数量操作系统IP地址(示意)备注Web访问测试机1Windows 2000/2003/XP192.168.1.102较高档的PC或服务器Web服务器1Windows2000192.168.1.
4、100安装IIS交换机1100M黑洞1192.168.1.101黑洞本身没有IP,设置的IP地址是为了方便远程管理2.3 软件准备此次演练所需的攻击软件以及被攻击Web服务器:软件名称用途运行环境备注Stress Tool 7测试客户端访问web服务器时的延时Windows安装在Web访问测试机2.4 如何判断已受到DDoS攻击当内部服务器遭受DDoS攻击时,可以由以下方式判断:1、服务器入口流量激增;2、服务器进出口流量比异常;3、服务器会话保持数超常;4、服务器性能消耗急剧上升;5、站点访问体验急剧下降。一旦出现上述情况中的一种或者几种,均可考虑DDoS攻击发生的可能。通过流量分析设备或管
5、理员人为判断或准确的抓包分析判断出DDoS攻击发生,即可采用黑洞DDoS防护设备进行流量清洗。2.5 黑洞防护设备上线根据客户业务量大小进行黑洞防护设备选型,通常100M链路采用黑洞200/600进行防护;1000M链路采用黑洞1600/2000进行防护。此试验环境中采用黑洞600进行应急防护。黑洞600防护设备拥有两个工作口(IN/OUT),一个管理口;将黑洞IN口连接外部网络,OUT连接被保护网络。列出设备IP地址以及接口,如图所示:图2黑洞将根据初始防护模板将对流量进行判断和过滤,超过设定阈值即启动清洗过滤。针对DDoS攻击规模,可以通过Web界面实时调整防护模版阈值;针对DDoS攻击类
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 攻击 事件 应急 预案
链接地址:https://www.31ppt.com/p-4477970.html