安全事件應(yīng)急演練方案

#安全事件應(yīng)急演練方案一、本次應(yīng)急演練的背景和目的為貫徹落實(shí)集團(tuán)公司《關(guān)于印發(fā)“中國(guó)移動(dòng)十八大網(wǎng)絡(luò)與信息安全保障專項(xiàng)行動(dòng)工作方案“的通知》（中移綜發(fā)[2012]11號(hào)）的總體要求，用一個(gè)安全凈化的網(wǎng)絡(luò)迎接十八大勝利召開,根據(jù)集團(tuán)公司統(tǒng)一安排，各部門、各單位需組織各圍繞信息安全的突發(fā)事件和高發(fā)事件，完成一次綜合性的應(yīng)急演練。此次信息安全事件應(yīng)急演練是針對(duì)所轄系統(tǒng)在運(yùn)行過(guò)程中或者操作過(guò)程中可能出現(xiàn)的緊急問(wèn)題，其目的是提升對(duì)黑客入侵等安全事件的監(jiān)測(cè)應(yīng)急能力，提升對(duì)具有社會(huì)動(dòng)員能力系統(tǒng)突發(fā)事件的緊急處置能力，縮短系統(tǒng)中斷時(shí)間，降低業(yè)務(wù)損失，為十八大期間的信息安全保障工作的做好充分準(zhǔn)備。二、演練涉及的單位省公司網(wǎng)絡(luò)部、市場(chǎng)部、數(shù)據(jù)部、集團(tuán)客戶部、網(wǎng)管中心、數(shù)據(jù)中心、業(yè)務(wù)支撐中心、客戶服務(wù)中心、各市公司。三、應(yīng)急演練方法本次演練采用安全事件應(yīng)急過(guò)程的紙面演練與具體應(yīng)急措施的實(shí)際操作相結(jié)合的方式開展，以求真正達(dá)到應(yīng)急演練的目的。請(qǐng)各部門、各單位針對(duì)本方案設(shè)定的每個(gè)應(yīng)急演練項(xiàng)目（見下節(jié)），結(jié)合自身應(yīng)用系統(tǒng)的實(shí)際情況，選擇可能出現(xiàn)安全事件的應(yīng)用系統(tǒng),由該系統(tǒng)的應(yīng)急處理人員填寫如下應(yīng)急演練表格,實(shí)現(xiàn)應(yīng)急過(guò)程的紙面演練。附錄一給出了應(yīng)急演練表格。附錄二給出了應(yīng)急演練表格的填寫樣例，附錄三給出了針對(duì)本方案設(shè)定的應(yīng)急演練項(xiàng)目可采取的一些應(yīng)急處理措施，供各部門、單位參考。對(duì)于應(yīng)急處理措施，在填寫過(guò)程中應(yīng)結(jié)合所選應(yīng)用系統(tǒng)的實(shí)際軟硬件環(huán)境,給出具體的操作指令或工具.同時(shí)，應(yīng)急處理人員應(yīng)在應(yīng)用系統(tǒng)測(cè)試環(huán)境下進(jìn)行實(shí)際的操作練習(xí)。四、應(yīng)急演練項(xiàng)目本方案選擇5類共9個(gè)應(yīng)急演練項(xiàng)目，分別是：1.信息篡改（1個(gè)項(xiàng)目）:指未經(jīng)授權(quán)將系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件。例如網(wǎng)站首頁(yè)被替換的信息安全事件。2.病毒/蠕蟲/惡意代碼（2個(gè)項(xiàng)目）：指系統(tǒng)內(nèi)部主機(jī)遭受病毒、蠕蟲、惡意代碼的破壞,或從外網(wǎng)發(fā)起對(duì)系統(tǒng)的病毒、蠕蟲、惡意代碼感染事件。具體分成內(nèi)部事件和外部事件兩個(gè)項(xiàng)目.3.DOS攻擊（4個(gè)項(xiàng)目）：指利用信息系統(tǒng)缺陷、或通過(guò)暴力攻擊的手段，以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運(yùn)行為目的的信息安全事件。拒絕服務(wù)發(fā)起時(shí)往往表現(xiàn)為CPU、內(nèi)存、帶寬等的高利用率，同時(shí)由于攻擊手法和形式的多樣性，造成對(duì)攻擊形式攻擊特征分析帶來(lái)一定的難度.具體演練項(xiàng)目包括：由內(nèi)部發(fā)起的DOS攻擊事件、由外部發(fā)起的利用主機(jī)漏洞的DOS攻擊事件、由外部發(fā)起的利用網(wǎng)絡(luò)設(shè)備漏洞的DOS攻擊事件、由外部發(fā)起的利用網(wǎng)絡(luò)協(xié)議/應(yīng)用漏洞的DOS攻擊事件.黑客控制系統(tǒng)：指黑客入侵后，對(duì)內(nèi)部系統(tǒng)和應(yīng)用進(jìn)行控制，并嘗試以此為跳板對(duì)其它內(nèi)部系統(tǒng)和應(yīng)用進(jìn)行攻擊。例如入侵后植入遠(yuǎn)程控制軟件，惡意修改系統(tǒng)管理員口令或者Web應(yīng)用管理員口令等。不良信息傳播：包含任何不當(dāng)?shù)摹⑽耆枵u謗的、淫穢的、暴力的及任何違反國(guó)家法律法規(guī)政策的內(nèi)容信息通過(guò)具備郵件等系統(tǒng)進(jìn)行傳播.五、應(yīng)急演練結(jié)果反饋針對(duì)五類9個(gè)項(xiàng)目按要求完成應(yīng)急演練，分別填寫應(yīng)急演練表反饋總部：?表1信息篡改事件應(yīng)急演練表?表2。1內(nèi)部病毒/蠕蟲/惡意代碼事件演練表表2。2外部病毒/蠕蟲/惡意代碼事件演練表表3.1由內(nèi)部發(fā)起的DOS攻擊事件演練表表3.2由外部發(fā)起的利用主機(jī)漏洞的DOS攻擊事件演練表表3.3由外部發(fā)起的利用網(wǎng)絡(luò)設(shè)備漏洞的DOS攻擊事件演練表表3.4由外部發(fā)起的利用網(wǎng)絡(luò)協(xié)議/應(yīng)用漏洞的DOS攻擊事件演練表表4黑客控制系統(tǒng)事件演練表表5不良信息傳播事件演練表

附錄一：應(yīng)急演練表應(yīng)急演練項(xiàng)目名稱外部病毒/蠕蟲/惡意代碼事件演練表應(yīng)用系統(tǒng)名稱某網(wǎng)站首頁(yè)事件描述IP地址為61。185.133。176的IISWEB服務(wù)器的頁(yè)面被惡意掛馬應(yīng)急處理時(shí)間應(yīng)急處理人員事件上報(bào)過(guò)程應(yīng)急處理過(guò)程收到服務(wù)器監(jiān)測(cè)軟件報(bào)警，在遠(yuǎn)程登陸界面試探查看是否存在shift后門，然后登陸服務(wù)器。先將已經(jīng)掛馬的頁(yè)面?zhèn)浞莸?*處作為入侵后備份取證資料，將前期備份恢復(fù)至整站。保障網(wǎng)站正常運(yùn)行。提取頁(yè)面掛馬代碼，利用暗組web防火墻批量清除整站掛馬代碼?再利用webshell掃描工具掃描整站中的webshell、畸形文件目錄、同日期新增或修改過(guò)的網(wǎng)頁(yè)，進(jìn)行分析清除。利用阿DSQL注入工具或明小子旁注工具檢測(cè)，發(fā)現(xiàn)網(wǎng)站同一服務(wù)器上其它網(wǎng)站存在注入漏洞，導(dǎo)致此網(wǎng)站旁注漏洞。對(duì)同服務(wù)器存在注入的網(wǎng)站按照注入漏洞封堵程序進(jìn)行打補(bǔ)丁進(jìn)行封堵。對(duì)本服務(wù)web日志進(jìn)行備份、分析查找攻擊源IP。并在服務(wù)器安全軟件上對(duì)其IP進(jìn)行72小時(shí)黑名單處理.處理完畢后，持續(xù)觀察注意服務(wù)器安全軟件提示.事件原因分析及后續(xù)工作建議網(wǎng)站同一服務(wù)器上其它網(wǎng)站存在注入漏洞，導(dǎo)致此網(wǎng)站旁注漏洞.對(duì)整個(gè)服務(wù)器上其它站點(diǎn)進(jìn)行批量sql或者弱密碼、默認(rèn)后臺(tái)、數(shù)據(jù)庫(kù)防下載等進(jìn)行檢查、監(jiān)測(cè)。事件處理結(jié)果上報(bào)

應(yīng)急演練項(xiàng)目名稱由外部發(fā)起的利用主機(jī)漏洞的DOS攻擊事件演練表應(yīng)用系統(tǒng)名稱某企業(yè)服務(wù)器事件描述IP地址為61.185。133。176的主機(jī)網(wǎng)站無(wú)法正常訪問(wèn)應(yīng)急處理時(shí)間應(yīng)急處理人員事件上報(bào)過(guò)程應(yīng)急處理過(guò)程收到服務(wù)器監(jiān)測(cè)軟件報(bào)警，登陸服務(wù)器利用天鷹抗DDoS攻擊監(jiān)控器查看攻擊包類型，和攻擊峰值。暫時(shí)將該域名主機(jī)解析至127.0o0o1維護(hù)頁(yè)面，迅速啟用抗ddos硬件防火墻，再將域名解析修正正常，保障網(wǎng)站正常運(yùn)營(yíng)。在服務(wù)器終端利用netstat—antp查看端口開放情況，發(fā)現(xiàn)大量的鏈接存在著，并且都是在本機(jī)445端口處于ESTABLISHED狀態(tài)。在防火層中設(shè)立規(guī)則禁止本機(jī)445端口的出站。用xscan掃描本機(jī)存在的漏洞和服務(wù)，發(fā)現(xiàn)CommonInternetFileSystem(CIFS)服務(wù)處于打開狀態(tài)。關(guān)閉此服務(wù)，再次掃描本機(jī)查看是否開放危險(xiǎn)端口和服務(wù)。處理完畢事件原因分析及后續(xù)工作建議服務(wù)器開啟危險(xiǎn)端口和服務(wù)，造成外部入侵的DOS攻擊。后續(xù)工作建議時(shí)常監(jiān)測(cè)服務(wù)危險(xiǎn)端口和服務(wù)的開放情況，及時(shí)對(duì)服務(wù)器進(jìn)行操作系統(tǒng)和第三方軟件補(bǔ)丁的修補(bǔ)。事件處理結(jié)果上報(bào)

附錄二:應(yīng)急演練表填寫樣例演練項(xiàng)目名稱信息篡改事件應(yīng)用系統(tǒng)名稱XX門戶網(wǎng)站事件描述IP地址為10。1。230。63的IISWEB服務(wù)器的頁(yè)面被篡改。應(yīng)急處理時(shí)間2012-8-1514：45—16：30應(yīng)急處理人員趙xxxx公司（第三方代維廠商）；王五業(yè)務(wù)支撐中心。事件上報(bào)過(guò)程14：47，應(yīng)急處理人將事件內(nèi)容電話上報(bào)給業(yè)務(wù)支撐中心領(lǐng)導(dǎo)、網(wǎng)絡(luò)與信息安全辦公室14：50,網(wǎng)絡(luò)與信息安全辦公室將事件內(nèi)容電話上報(bào)給集團(tuán)、省管局.應(yīng)急處理過(guò)程14：45—14:50,管理員收到網(wǎng)站監(jiān)控軟件告警，頁(yè)面被篡改。按照應(yīng)急預(yù)案進(jìn)行處置和響應(yīng)，使用在【XX位置】備份的原始頁(yè)面，替換被篡改的頁(yè)面，實(shí)現(xiàn)系統(tǒng)的臨時(shí)恢復(fù)，告警消失。14：50-16：00,利用計(jì)算機(jī)管理功能，查看系統(tǒng)帳號(hào)，并檢查10。1.230.63服務(wù)器日志，持續(xù)監(jiān)控服務(wù)器登陸情況，及時(shí)發(fā)現(xiàn)再次的異常登錄攻擊行為。14：50—16：00,分析IISWeb應(yīng)用日志，發(fā)現(xiàn)存在sql注入漏洞的頁(yè)面conn。asp。登錄web應(yīng)用防火墻10。1。230.50開啟安全朿略，同時(shí)對(duì)conn.asp進(jìn)行修復(fù)，加入過(guò)濾代碼。使用阿D注入檢測(cè)工具進(jìn)行驗(yàn)證，問(wèn)題解決。15:00—16：00,進(jìn)行深入風(fēng)險(xiǎn)檢查。使用任務(wù)管理器查找惡意進(jìn)程；使用Netstat.exe命令行實(shí)用工具，顯示TCP和UDP的所有打開的端口；使用webshell掃描清理工具查找后門程序。發(fā)現(xiàn)windows\system32目錄下sethc.exe，并刪除。16：00—16：20,查看網(wǎng)站監(jiān)控軟件的告警狀況，確認(rèn)網(wǎng)站已經(jīng)安全。事件原因分析及后續(xù)建議遭到SQL注入攻擊，事件結(jié)果是10。1。230。63服務(wù)器網(wǎng)站頁(yè)面被篡改.對(duì)網(wǎng)站的代碼進(jìn)行代碼審核，找到存在sql注入漏洞的頁(yè)面conn.asp，進(jìn)行了代碼修改，刪除后門程序，系統(tǒng)恢復(fù).后續(xù)考慮對(duì)該網(wǎng)站進(jìn)行安全加固，例如刪除Wscript.Shell組件，避免黑客使用webshell執(zhí)行DOS命令等。事件處理結(jié)果上報(bào)16：25，將事件處理結(jié)果電話上報(bào)給業(yè)務(wù)支撐中心領(lǐng)導(dǎo)、網(wǎng)絡(luò)與信息安全辦公室.16：30網(wǎng)絡(luò)與信息安全辦公室將事件處理結(jié)果電話上報(bào)給集團(tuán)公司、省管局。注：關(guān)于安全事件上報(bào)參見十八大保障應(yīng)急預(yù)案、安全事件管理細(xì)則。附錄三：應(yīng)急處理措施參考1、信息篡改事件應(yīng)急處理措施進(jìn)行系統(tǒng)臨時(shí)性恢復(fù),迅速恢復(fù)系統(tǒng)被篡改的內(nèi)容。必要時(shí)，將發(fā)生安全事件的設(shè)備脫網(wǎng)，做好安全審計(jì)及系統(tǒng)恢復(fù)準(zhǔn)備。必要時(shí)，將遭受攻擊的主機(jī)上系統(tǒng)日志、應(yīng)用日志等導(dǎo)出備份，并加以分析判斷。分析web應(yīng)用日志，確認(rèn)有無(wú)惡意文件上傳、跨站腳本、SQL注入的非正常查詢。分析主機(jī)系統(tǒng)日志，確認(rèn)主機(jī)上有無(wú)異常權(quán)限用戶非法登陸,并記錄其IP地址、登陸時(shí)間等信息.例如對(duì)UNIX：?使用w命令查看utmp日志，獲得當(dāng)前系統(tǒng)正在登錄帳戶的信息及來(lái)源?使用last命令查看wtmp日志，獲得系統(tǒng)前N次登錄記錄Su命令日志記錄了每一次執(zhí)行su命令的動(dòng)作:時(shí)間日期、成功與否、終端設(shè)備、用戶ID等?有些UNIX具有單獨(dú)的su日志，有些則保存在syslog中.Cron日志記錄了定時(shí)作業(yè)的內(nèi)容，通常在/var/log/cron或默認(rèn)日志目錄中一個(gè)稱為cron的文件里分析系統(tǒng)目錄以及搜索整盤近期被修改的和新創(chuàng)建的文件，查找是否存在可疑文件和后門程序.例如對(duì)UNIX：find/etc-ctimen-print在/etc查找n天以前文件狀態(tài)被修改過(guò)的所有文件find/etc-mtimen-print在/etc查找n天以前文件內(nèi)容被修改過(guò)的所有文件分析系統(tǒng)服務(wù)，檢查有無(wú)新增或者修改過(guò)的服務(wù)，有無(wú)可疑進(jìn)程,有無(wú)可疑端口.例如對(duì)UNIX:Netstat-an列出所有打開的端口及連接狀態(tài)sof-i只顯示網(wǎng)絡(luò)套接字的進(jìn)程Ps-ef會(huì)列出系統(tǒng)正在運(yùn)行的所有進(jìn)程使用第三方檢查工具檢查是否存在木馬后門程序；結(jié)合上述日志審計(jì)，確定攻擊者的方式、入侵后所獲得的最大管理權(quán)限以及是否對(duì)被攻擊服務(wù)器留有后門程序。通過(guò)防火墻或網(wǎng)絡(luò)設(shè)備策略的配置嚴(yán)格限制外網(wǎng)惡意地址對(duì)該服務(wù)器的遠(yuǎn)程登錄及訪問(wèn)請(qǐng)求。?netscreen防火墻：setpolicyid*topfromuntrusttotrust"外部ip""any”"any"denylog?cisco防火墻：I?標(biāo)準(zhǔn)訪問(wèn)控制列表access—listlist-number{deny|permit}source[source-wildcard][log]II。擴(kuò)展訪問(wèn)控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]對(duì)web服務(wù)軟件和數(shù)據(jù)庫(kù)進(jìn)行安全配置；對(duì)存在問(wèn)題的web頁(yè)面代碼進(jìn)行安全修改；如果攻擊者放置了后門、木馬等惡意程序,建議對(duì)主機(jī)重新安裝操作系統(tǒng)，并恢復(fù)數(shù)據(jù)庫(kù)系統(tǒng)，對(duì)系統(tǒng)進(jìn)行加固；恢復(fù)業(yè)務(wù)數(shù)據(jù)，進(jìn)行業(yè)務(wù)測(cè)試，確定系統(tǒng)完全恢復(fù)后系統(tǒng)上網(wǎng)運(yùn)行。2、病毒/蠕蟲/惡意代碼事件應(yīng)急處理措施2.1內(nèi)部事件定位事件的源頭?通過(guò)防病毒管理中心，可以監(jiān)控到哪些設(shè)備和哪些類型病毒爆發(fā)的狀況。?通過(guò)網(wǎng)絡(luò)流量分析系統(tǒng)(tcpdump、sniffer等)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包分析、網(wǎng)絡(luò)連接分析,即定位事件的源頭.?查看重要主機(jī)的日志，檢查主機(jī)是否受到蠕蟲病毒的入侵或者是否感染蠕蟲病毒隔離主機(jī):在確認(rèn)有主機(jī)感染蠕蟲之后，將被感染主機(jī)隔離，以免其進(jìn)一步擴(kuò)散，并根據(jù)需要啟動(dòng)備用主機(jī)以保持業(yè)務(wù)連續(xù)性.在問(wèn)題終端或主機(jī)上，確定病毒、蠕蟲、惡意代碼的特征：進(jìn)程、端口等.對(duì)UNIX，Netstat-an列出所有打開的端口及連接狀態(tài)Lsof-i只顯示網(wǎng)絡(luò)套接字的進(jìn)程Ps-ef會(huì)列出系統(tǒng)正在運(yùn)行的所有進(jìn)程清除病毒、蠕蟲、惡意代碼，一般先停止惡意進(jìn)程,同時(shí)將其相關(guān)文件和注冊(cè)表項(xiàng)刪除。對(duì)UNIX，Kill停止進(jìn)程Rm-f刪除文件如果人工無(wú)法清除，則需要防病毒系統(tǒng)廠商提供針對(duì)該病毒的專殺工具，使用專殺工具來(lái)清除病毒。當(dāng)本單位技術(shù)力量無(wú)法完成時(shí)，應(yīng)及時(shí)尋求專業(yè)病毒服務(wù)廠商支持.升級(jí)所有終端、主機(jī)防病毒系統(tǒng)的特征庫(kù)到最新版本，確認(rèn)蠕蟲、病毒被徹底清除。如果出現(xiàn)難以快速清除的病毒、蠕蟲、惡意代碼等，建議重新安裝操作系統(tǒng)。對(duì)各主機(jī)進(jìn)行加固，保證不會(huì)再次感染。利用終端安全管理系統(tǒng)，對(duì)所有終端自動(dòng)同步補(bǔ)丁,使全網(wǎng)終端的補(bǔ)丁能夠及時(shí)地更新.恢復(fù)主機(jī)系統(tǒng)的運(yùn)行,如果啟動(dòng)了備用主機(jī)，應(yīng)切換到原來(lái)的主機(jī)?；謴?fù)終端的正常使用。2.2外部事件當(dāng)系統(tǒng)外部網(wǎng)站遭受病毒、蠕蟲、惡意代碼攻擊時(shí),可能會(huì)以網(wǎng)絡(luò)連接、郵件、文件傳輸?shù)刃问皆噲D感染到系統(tǒng)內(nèi)部。當(dāng)此類攻擊發(fā)生時(shí)：通過(guò)網(wǎng)絡(luò)流量分析系統(tǒng)(tcpdump、sniffer等)，分析代碼網(wǎng)絡(luò)數(shù)據(jù)包特征，確定惡意代碼利用的端口及IP。在防火墻設(shè)置acl規(guī)則，過(guò)濾相關(guān)的IP和端口.netscreen防火墻：setpolicyid大topfromuntrusttotrust”外部ip”"any”"any”denylog同時(shí)根據(jù)惡意代碼的利用機(jī)理，在主機(jī)層面做一定防范，比如安裝補(bǔ)丁、修改配置、做訪問(wèn)控制等。3、DOS攻擊事件應(yīng)急處理措施3。1由內(nèi)部發(fā)起當(dāng)內(nèi)部主機(jī)被入侵后，如果放置了拒絕服務(wù)攻擊程序，被黑客用來(lái)對(duì)其他系統(tǒng)發(fā)動(dòng)拒絕服務(wù)攻擊：1）通過(guò)網(wǎng)絡(luò)流量分析軟件（tcpdump、sniffer等），分析數(shù)據(jù)包特征。2）通過(guò)流量分析，確定對(duì)外發(fā)包的被控主機(jī)，條件允許將其斷網(wǎng)隔離。3）調(diào)整防火墻或網(wǎng)絡(luò)設(shè)備訪問(wèn)控制ACL策略,嚴(yán)格限制該機(jī)器的對(duì)外繼續(xù)發(fā)包.netscreen防火墻：setpolicyid大topfromuntrusttotrust"外部ip""any""any"denylogcisco防火墻I。標(biāo)準(zhǔn)訪問(wèn)控制列表access-listlist—number{deny|permit}source[source-wildcard][log]擴(kuò)展訪問(wèn)控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]4）檢查并確認(rèn)被控主機(jī)上的惡意進(jìn)程或惡意程序。對(duì)UNIX,Netstat-an列出所有打開的端口及連接狀態(tài)Lsof-i只顯示網(wǎng)絡(luò)套接字的進(jìn)程Ps-ef會(huì)列出系統(tǒng)正在運(yùn)行的所有進(jìn)程5）清除惡意進(jìn)程，一般先關(guān)閉進(jìn)程，然后刪除其相關(guān)文件。對(duì)UNIX,Kill停止進(jìn)程Rm-f刪除文件6）必要情況下，重新安裝系統(tǒng)，對(duì)系統(tǒng)進(jìn)行安全加固，重新恢復(fù)業(yè)務(wù)系統(tǒng),上線運(yùn)行3.2由外部發(fā)起-利用主機(jī)漏洞外部破壞者利用主機(jī)操作系統(tǒng)的漏洞發(fā)起對(duì)系統(tǒng)的拒絕服務(wù)攻擊。對(duì)此,1）如果系統(tǒng)服務(wù)無(wú)法正常響應(yīng),迅速切換到備用系統(tǒng)。2）通過(guò)防火墻或網(wǎng)絡(luò)設(shè)備配置訪問(wèn)控制列表，過(guò)濾DoS發(fā)起源的連接。netscreen防火墻：setpolicyid大topfromuntrusttotrust"外部ip""any""any"denylogcisco防火墻I?標(biāo)準(zhǔn)訪問(wèn)控制列表access-listlist-number{denyIpermit}source[source-wildcard][log]II.擴(kuò)展訪問(wèn)控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[logIlog-input]確認(rèn)造成系統(tǒng)cpu、內(nèi)存占用高的進(jìn)程或者應(yīng)用。對(duì)UNIX,Ps-ef會(huì)列出系統(tǒng)正在運(yùn)行的所有進(jìn)程Top查看占用資源較高的進(jìn)程或應(yīng)用確認(rèn)系統(tǒng)存在的漏洞,根據(jù)漏洞信息和安全建議采取相應(yīng)的控制措施,安裝相應(yīng)的補(bǔ)丁修復(fù)程序。修復(fù)漏洞后切換到原運(yùn)行系統(tǒng)。3。3由外部發(fā)起—利用網(wǎng)絡(luò)設(shè)備漏洞外部破壞者利用的網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)漏洞發(fā)起對(duì)系統(tǒng)的拒絕服務(wù)攻擊.如果系統(tǒng)服務(wù)無(wú)法正常響應(yīng),迅速切換到備用系統(tǒng)；利用防火墻或網(wǎng)絡(luò)設(shè)備配置ACL,過(guò)濾DoS發(fā)起源的連接。netscreen防火墻：setpolicyid大topfromuntrusttotrust"外部ip""any”"any"denylogcisco防火墻I。標(biāo)準(zhǔn)訪問(wèn)控制列表access-listlist-number{deny|permit}source[source-wildcard][log]II。擴(kuò)展訪問(wèn)控制列表access-listlist-number{denyIpermit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[logIlog-input]確認(rèn)當(dāng)前IOS版本，確認(rèn)此版本是否存在DOS的漏洞。?cisco設(shè)備showversion命令查看版本信息(cisco設(shè)備)根據(jù)漏洞信息和相應(yīng)安全建議采取相應(yīng)的控制措施,安裝相應(yīng)的補(bǔ)丁修復(fù)程序修復(fù)漏洞后切換到原運(yùn)行系統(tǒng)。3。4由外部發(fā)起—利用網(wǎng)絡(luò)協(xié)議/應(yīng)用協(xié)議漏洞網(wǎng)絡(luò)協(xié)議類攻擊是以發(fā)起大量連接或數(shù)據(jù)包為基礎(chǔ),造成被攻擊方連接隊(duì)列耗盡或CPU、內(nèi)存資源的耗盡。應(yīng)用類主要是指針對(duì)web服務(wù)發(fā)起的攻擊，表現(xiàn)在分布式的大量http請(qǐng)求，以耗盡web服務(wù)的最大連接數(shù)或者消耗數(shù)據(jù)庫(kù)資源為目的。比如：對(duì)某一大頁(yè)面的訪問(wèn)或者對(duì)某一頁(yè)面的數(shù)據(jù)庫(kù)搜索。主要措施：通過(guò)網(wǎng)絡(luò)流量分析軟件,確定數(shù)據(jù)包類型特征，比如利用的是udp、tcp還是icmp協(xié)議在防火墻配置訪問(wèn)控制策略。netscreen防火墻:setpolicyid*topfromuntrusttotrust"外部ip”"any”"any”denylogcisco防火墻I。標(biāo)準(zhǔn)訪問(wèn)控制列表access—listlist-number{denyIpermit}source[source-wildcard][log]擴(kuò)展訪問(wèn)控制