“僵尸網(wǎng)絡(luò)”應(yīng)急預(yù)案詳解課件_第1頁
“僵尸網(wǎng)絡(luò)”應(yīng)急預(yù)案詳解課件_第2頁
“僵尸網(wǎng)絡(luò)”應(yīng)急預(yù)案詳解課件_第3頁
“僵尸網(wǎng)絡(luò)”應(yīng)急預(yù)案詳解課件_第4頁
“僵尸網(wǎng)絡(luò)”應(yīng)急預(yù)案詳解課件_第5頁
已閱讀5頁,還剩16頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、“僵尸網(wǎng)絡(luò)”應(yīng)急預(yù)案湖北、江西、浙江、陜西、天津第1頁,共21頁。目錄概述“僵尸網(wǎng)絡(luò)”介紹系統(tǒng)現(xiàn)狀應(yīng)急流程設(shè)備應(yīng)急方法效果2第2頁,共21頁。概述應(yīng)急方案啟動條件當(dāng)在本省網(wǎng)絡(luò)范圍內(nèi),發(fā)現(xiàn)存在僵尸網(wǎng)絡(luò)的客戶端或服務(wù)器,將啟用本應(yīng)急方案。應(yīng)急方案執(zhí)行原則本應(yīng)急方案堅持統(tǒng)一領(lǐng)導(dǎo)、分工負責(zé)、協(xié)作配合,以先恢復(fù)系統(tǒng)和保障業(yè)務(wù)的正常運行為原則,再進行事件分析和修補等措施。 適用范圍本預(yù)案適用于發(fā)現(xiàn)短信網(wǎng)關(guān)系統(tǒng)和省內(nèi)用戶網(wǎng)段出現(xiàn)僵尸網(wǎng)絡(luò)的客戶端或服務(wù)器。3第3頁,共21頁。概述“僵尸網(wǎng)絡(luò)”介紹系統(tǒng)現(xiàn)狀應(yīng)急流程設(shè)備應(yīng)急方法效果4第4頁,共21頁?!敖┦W(wǎng)絡(luò)”介紹5第5頁,共21頁?!敖┦W(wǎng)絡(luò)”介紹類型/特點傳

2、播性可控性竊密性危害性僵尸網(wǎng)絡(luò)可控傳播高度可控有完全控制木馬無可控有完全控制蠕蟲主動傳播無/弱無/弱主機和網(wǎng)絡(luò)資源間諜軟件無無嚴(yán)重竊密信息泄密病毒干預(yù)傳播無無破壞文件特點:大部分僵尸網(wǎng)絡(luò)客戶端與服務(wù)器通過ping/pong維持連接。 客戶端和服務(wù)器一般至少有1臺應(yīng)該具有公網(wǎng)地址。服務(wù)器和客戶端都有相應(yīng)的監(jiān)聽端口危害:6第6頁,共21頁。概述“僵尸網(wǎng)絡(luò)”介紹系統(tǒng)現(xiàn)狀應(yīng)急流程設(shè)備應(yīng)急方法效果7第7頁,共21頁。系統(tǒng)現(xiàn)狀短信網(wǎng)關(guān)拓撲結(jié)構(gòu)8第8頁,共21頁。系統(tǒng)現(xiàn)狀短信網(wǎng)關(guān)安全策略策略編號策略說明開放端口1私網(wǎng)地址和公網(wǎng)地址的轉(zhuǎn)換211.137.169.210.3.0.11;211.137.169.9

3、10307/10308211.137.169.1010309/1030102允許外部主機和內(nèi)部主機的icmp通信icmp3允許外部主機訪問一臺堡壘主機的管理端口224允許外部主機訪問應(yīng)用主機的應(yīng)用端口7890、7891、7900、7901、7930、7931、9168、11125所有應(yīng)用主機訪問外部主機源地址均為211.137.169.39第9頁,共21頁。概述“僵尸網(wǎng)絡(luò)”介紹系統(tǒng)現(xiàn)狀應(yīng)急流程設(shè)備應(yīng)急方法效果10第10頁,共21頁。應(yīng)急流程僵尸網(wǎng)絡(luò)安全事件的分級僵尸網(wǎng)絡(luò)安全事件根據(jù)危害和緊急程度分為 “四級/一般”、“三級/預(yù)警”、“二級/報警”、“一級/緊急”四種 11第11頁,共21頁。應(yīng)

4、急流程12第12頁,共21頁。概述“僵尸網(wǎng)絡(luò)”介紹系統(tǒng)現(xiàn)狀應(yīng)急流程設(shè)備應(yīng)急方法效果13第13頁,共21頁。設(shè)備應(yīng)急方法檢查定位抑制、根除、取證系統(tǒng)檢查加固總結(jié)分析14第14頁,共21頁。設(shè)備應(yīng)急方法檢查定位(1)網(wǎng)絡(luò)設(shè)備定位查看防火墻的日志、連接和端口流量,開啟debug(2)主機設(shè)備定位端口連接異常進程15第15頁,共21頁。設(shè)備應(yīng)急方法抑制、根除、取證(1)網(wǎng)絡(luò)設(shè)備定位后,采取以下措施進行封堵通過訪問控制列表檢查封堵情況,確定封堵策略生效通過sniffer進行抓包取證。(2)主機設(shè)備判斷是否為雙機設(shè)備中的一臺,是否可在不影響業(yè)務(wù)的情況進行離線處理。如果可以,根據(jù)業(yè)務(wù)影響情況,進行取證和將有

5、問題的主機離網(wǎng)。如果不可以,采取如下措施查看系統(tǒng)資源占用情況Top查看連接和監(jiān)聽端口情況,找出異常的監(jiān)聽端口Netstat an 通過以下命令,查找開啟異常監(jiān)聽端口的程序文件,找到后進行取證刪除Lsof i和lsof對于windows監(jiān)控終端查看資源管理器通過Netstat an和Fport命令,來確定有問題的監(jiān)聽端口程序,然后進行取證刪除。 16第16頁,共21頁。設(shè)備應(yīng)急方法系統(tǒng)檢查加固系統(tǒng)詳細分析檢查恢復(fù)系統(tǒng)受損文件檢查其他同類主機設(shè)備,是否存在同樣問題 17第17頁,共21頁。設(shè)備應(yīng)急方法總結(jié)分析在進行調(diào)查之后,由相關(guān)人員提交一份對事件全過程的總結(jié)報告,并進行事后分析。集中所有相關(guān)人員來討論所發(fā)生的事件以及得到的經(jīng)驗教訓(xùn),并對現(xiàn)有的一些流程進行重新評審,對不適宜的環(huán)節(jié)進行修改。應(yīng)該從系統(tǒng)中徹底刪除諸如受到感染的文件。18第18頁,共21頁。概述“僵尸網(wǎng)絡(luò)”介紹系統(tǒng)現(xiàn)狀應(yīng)急流

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論