中国移动**公司DDOS服务攻击
应急处理预案
1 应急预案目的
本文是在《中国移动安全事件管理办法(试行版)》指导下,从**移动CMNet城域网系统现状出发,结合业务特点及目前网络安全状况分析,建立用以“发现、检测、抑制和恢复”可能发生的主要网络安全事件的处置预案,这些事件的监控、检测、处置与系统设备密切相关。
本预案以安全事件已发现和确认为背景,重在安全事件发生后的处理。针对本系统可能发生的其它安全事件的监控、检测、处置可直接参照《中国移动网络安全事件判别及处理手册(试行版)》进行应急处理。
2 范围
本应急预案适用于中国移动**公司**分公司CMNet城域网系统,**移动CMNet城域网系统面临的主要安全风险是DDOS拒绝服务攻击:
? DDOS拒绝服务:DDOS是英文Distributed Denial of Service的缩写,意即\分布式拒绝服务\。
3 DDOS拒绝服务攻击
DDOS能导致合法用户不能够访问正常网络服务。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为\洪水式攻击\。
3.1 由外部发起
外部破坏者的攻击策略侧重于通过很多\僵尸主机\被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。
第2页 共4页
3.2 DDOS攻击方式
DDOS攻击的表现形式主要有两种:一种为流量攻击,另一种为连接型攻击。
3.2.1流量攻击
主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机。常见的有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。
3.2.2连接型攻击
主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。常见的有CC攻击、HTTPGet Flood等。
4 应急处置
4.1 攻击的发现
由于**CMNet城域网没有IDC业务,用户主体是WLAN、家庭宽带和集团单位,因此DDOS在**城域网的主要攻击方式是带宽消耗攻击和城域网设备系统资源消耗攻击。由于城域网内没有部署专业的DPI设备来检测分析互联网行为,目前攻击的发现只能依靠城域网设备性能监控告警和用户投诉来发现。
4.2 攻击的分析
带宽消耗攻击主要采用洪流攻击方式耗尽城域网的接入带宽,其主要方式是利用大量代理发送大量报文拥塞攻击目标的网络出口,通常用于发送的攻击报文有TCP、UDP、ICMP,三者可以单独使用,也可混合使用。
第3页 共4页
互联网拒绝服务攻击应急处理预案
