2009年城域網應急預案

鄂爾多斯 電信 2009年城域網應急預案 2009年 8月 目錄 一、總則 . 3 1、編制目的 .3 2、編制依據 .3 3、分類分級 .3 4、適用范圍 .3 5、工作原則 .4 二、組織體系 . 5 1、領導機構與職責 .5 2、工作機構與職責 .5 3、技術支撐隊伍 與職責 .5 4、廠商售后服務隊伍與職責 .6 三、運行機制 . 6 1、預警機制 .6 2、應急處置 .12 3、應急處置后評估 .29 4、信息發(fā)布 .30 四、應急保障 . 30 1、人力保障 .30 2、備件保障 .33 五、監(jiān)督管理 . 33 1、預案演練 .33 2、宣傳和培訓 .33 六、附則 . 34 1、預案管理 .34 七、附件 . 34 1、事件分級標準 .34 2、應急管理工作流程 .36 一、總則 1、編制目的 為了保障數據網絡的正常運行，在出現突發(fā)性 故障或系統癱瘓時，能有效及時的組織相關維護人員，采取緊急措施，在最短的時間內恢復網絡的正常通信，將意外事故的損失減少到最低程度， 保障網絡提供服務的可 持續(xù)性，確保在服務品質協議（ SLA） 定義的時限內恢復所 承諾的服務 。 2、編制依據 依據運維 200627 號 -關于組織開展網絡安全評估和完善應急保障預案工作的通知 (1)，根據內蒙電信網絡發(fā)展現狀制定本預案。 3、分類分級 本預案按照網絡層次分級， 鄂爾多斯 電信數據 IP 網分為：城域網核心 層 、業(yè)務控制層、匯聚接入層。 4、適用范圍 本預案適用于 鄂爾多斯 電信 IP 城 域網。 5、工作原則 本預案工作原則：優(yōu)先恢復業(yè)務原則；城域網核心優(yōu)先于業(yè)務控制層，業(yè)務控制層優(yōu)先于匯聚接入層原則；按照業(yè)務重要等級優(yōu)先恢復原則；按照用戶服務等級優(yōu)先恢復原則。 （ 1）業(yè)務恢復原則 故障發(fā)生時，不同等級業(yè)務、業(yè)務網絡按照不同的優(yōu)先順序進行恢復的原則。 （ 2）應急預案體系 城域網數據網整體應急預案 城域網核心 業(yè)務控制層 匯聚接入層 電路中斷 設備故障 路由異常 電路中斷 設備故障 路由異常 電路中斷 設備故障 路由異常 二、組織體系 1、領導機構與職責 領導機構： 網運部主任： 燕龍 區(qū)公司數據專業(yè)主管：狄光 職責： 1、組織應急預案的定期更新； 2、協調處理預案實施、演練等工作。 2、工作機構與職責 工作機構： 維護中心數據專業(yè)維護人員：王斯日古楞、郝如意、 王劍 職責： 1、負責應急預案定期更新工作的具體實施； 2、具體進行預案實施、演練等工作。 3、技術支撐隊伍與職責 技術支撐隊伍： 區(qū)公司網運部、 鄂爾多斯 網運部 職責： 1、 負責應急預案中涉及城域網設備的預案實施； 2、解決 鄂爾多斯 分公司申請支撐的技術問題。 4、廠商售后服務隊伍與職責 廠家售后服務隊伍： 華為公司技術支撐隊伍 中興公司技術支撐隊伍 職責： 1、配合應急預案定期更新工作的具體實施； 2、配合具體進行預案實施、演練等工作。 三、運行機制 1、預警機制 （ 1）網絡分析評估 鄂爾多斯 針對網絡安全進行分析的工作機制和相關管理制度如下： 規(guī)定由網絡監(jiān)控人員通過數據網管 7*24小時對全省數據網（城域網 BAS設備到省出口間的各級電路流量、設備性能）進行監(jiān)控；每周 /月對全市 總出 入流量、盟市出入流量、 155M電路出入流量、 2.5G電路出入流量進行分析 ,針對帶寬能力進行分析、平均流速和峰值流速進行分析，確定是否設備資源使用情況，帶寬利用率、是否需要擴容、流量異常增長下降原因等。 監(jiān)測人員每班進行三次據鏈路連通性測試并將測試結果保存以及隨時觀察網管告警情況結果。 數據鏈路連通性測試 A、連通性及時延、丟包測試 ping t 測試 （目前我省訪問 網站的 IP 地址： 8，用于檢測 鄂爾 多斯 NE80E 與省干設備鏈路狀況 ） ping 32 t 天津 DNS 測試 1 （用于檢測 鄂爾多斯 NE80E 與省干設備鏈路狀況，以及測試天津 DNS 是否可達，我省主用 DNS 是天津 DNS） ping 30 t 山東 DNS (測試山東 DNS 是否可達 , 我省備用 DNS 是山東 DNS) 路由測試 A、 tracert 網站： B、 tracert 天津 DNS: 網管監(jiān)控情況 鄂爾多斯 IP 城域網后期可以利用的監(jiān)控 終端有 N2000 網管做實時監(jiān)控網絡情況， N2000 網管可以監(jiān)控到 IP 網的城域網核心層、業(yè)務控制層以及匯聚接入層所有華為設備，并可通過 N2000 網管直接管理這些設備；通過 Netcool 告警平臺可以實時監(jiān)控省骨干層所有設備的運行情況，通過 IP 三期網管系統可以實時監(jiān)控 鄂爾多斯出城域網流量、 鄂爾多斯 互聯中繼流量、以及城域網各匯聚設備的流量的出入平均和峰值流量。 A、正常情況下流量分布情況： 鄂爾多斯中心局 NE80E 至呼市 M320 2.5G POS 鏈路正常情況下流量圖： 鄂爾多斯中心局 NE80E至通遼 Cisco 12416 2.5G POS 鏈路正常情況下流量圖： 鄂爾多斯火車站 NE80E 至呼市 M320 2.5G POS 鏈路正常情況下流量圖： 鄂爾多斯火車站 NE80E至 通遼 Cisco 12416 2.5G POS 鏈路正常情況下流量圖： 鄂爾多斯中心局 NE80E至鄂爾多斯火車站 NE80E 2.5G POS 鏈路正常情況下流量圖： 鄂爾多斯中心局 NE80E 至中心局 NE40E GE 鏈路正常情況下流量圖： 鄂爾多斯中心局 NE80E 至火車站 NE40E GE 鏈路正常情況下流量圖： 鄂爾多斯中心局 NE80E 至準旗 NE40E GE 鏈路正常情況下流量圖： 鄂爾多斯中心局 NE80E 至達旗局 NE40 GE 鏈路正常情況下流量圖： 鄂爾多斯火車站 NE80E 至中心局 NE40E GE 鏈路正常情況下流量圖： 鄂爾多斯火車站 NE80E 至火車站 NE40E GE 鏈路正常情況下流量圖： 鄂爾多斯火車站 NE80E 至準旗 NE40E GE 鏈路正常情況下流量圖： 鄂爾多斯火車站 NE80E 至達旗局 NE40-8 GE 鏈路正常情況下流量圖： 鄂爾多斯中心局 NE80E 至中心局 ME60-16 GE 鏈路正常情況下流量圖： 鄂爾多斯中心局 NE80E 至火車站 ME60-16 GE 鏈路正常情況下流量圖： 鄂爾多斯中心局 NE80E 至準旗 ME60-8 GE 鏈路正常情況下流量圖： 鄂爾多斯中心局 NE80E 至達旗 ME60-8 GE 鏈路正常情況下流量圖： 鄂爾多斯中心局 NE80E至伊旗 MA5200G-4 GE鏈路正常情況下流量圖： 鄂爾多斯中心局 NE80E 至棋盤井 MA5200G-2 GE 鏈路正常情況下流量圖： 鄂爾多斯火車站 NE80E 至中心局 ME60-16 GE 鏈路正常情況下流量圖： 鄂爾多斯火車站 NE80E 至火車站 ME60-16 GE 鏈路正常情況下流量圖： 鄂爾多斯火車站 NE80E 至準旗 ME60-8 GE 鏈路正常情況下流量圖： 鄂爾多斯火車站 NE80E 至達旗 ME60-8 GE 鏈路正常情況下流量圖： 鄂爾多斯火車站 NE80E至伊旗 MA5200G-4 GE鏈路正常情況下流量圖： 鄂爾多斯火車站 NE80E 至棋盤井 MA5200G-2 GE 鏈路正常情況下流量圖： 鄂爾多斯中心局 NE80E 至中心局 E1000 GE 鏈路正常情況下流量圖： 鄂爾多斯火車站 NE80E 至中心局 E1000 GE 鏈路正常情況下流量圖： B、鄂爾多斯 出城域網 2.5G 電路中斷時流量圖： 以下為相應的 A 設備 D 設備之間的流量圖。 當中心機房 NE80E至呼市 M320出現中斷時，中心機房 NE80E至通遼 Cisco 12416 流量圖： 2、應急處置 （ 1）應急管理調動處理流程 數據網絡主要包括 IP 網絡、基礎網絡以及相關的后臺支撐系統，在以上網絡或系統發(fā)生緊急網絡故障時，網絡維護部負責牽頭啟動應急調動預案進行故障處理的調度，現場維護部分按照相應的緊急故障處理預案處理故障 。 應急調動 流程如下圖： 處理流程圖如下： 設備整臺故障 板卡故障 電路中斷 路由問題 其他原 因 （ 2）應急響應 鄂爾多斯 電信 IP 城域網網絡結構如下： 城域網出口電路中斷 1、 中心機房 NE80E 至呼市 M320 2.5G POS 電路故障 立即上報內蒙古區(qū)公司網管中心及運維 部，如果 2.5G POS 鏈路中斷后，所有出城域網 流量都會通過 火車站 NE80E 至通遼 Cisco 12416 的 2.5G POS 鏈路轉發(fā)所以此時需密切注意 火車站 NE80E 至通遼 Cisco 12416 的 2.5G POS 鏈路流量情況；查看傳輸網管，如果是傳輸電路中斷引起的，則協調傳輸專業(yè)盡快處理；如果是 NE80E 路由器設備或單板故障，應積極區(qū)公司的指揮調度，做好現場維護工作，盡快解決問題。 2、 火車站 NE80E 至通遼 Cisco 12416 2.5G POS 電路故障 立即上報內蒙古區(qū)公司網管中心及運維部， 如果 2.5G POS 鏈路中斷后，所有出城域網流量都會通過中心機房 NE80E至 呼市 M320的 2.5G POS鏈路 轉發(fā)所以此時需密切注意 中心機房 NE80E 至 呼市 M320 的 2.5G POS 鏈路流量情況；查看傳輸網管，如果是傳輸電路中斷引起的，則協調傳輸專業(yè)盡快處理；如果是NE80E 路由器設備或單板故障，應積極區(qū)公司的指揮調度，做好現場維護工作，盡快解決問題。 城域網內部中繼電路中斷 1、 當 SR 或者 BRAS 設備與城域網核心路由器 NE80E 間鏈路單條鏈路出現中斷時，由于城域網內部運行動態(tài)路由協議 OSPF，此 時業(yè)務會瞬斷幾 秒 ， 待城域網路由收斂完成后， 所有業(yè)務均從另外一條正常鏈路上轉發(fā)數據； 此時，應進行以下操作： a.立即上報內蒙古區(qū)公司網管中心及運維部 ，應積極區(qū)公司的指揮調度，做好現場維護工作； b.檢查互聯端口 link 燈是否處于常亮狀態(tài)，若處于 down 狀態(tài)，此時應該第一時間重新布放尾纖恢復鏈路，再進行測試； c.若更換尾纖后，物理端口 link 燈仍不處于常亮狀態(tài)，則應更換相應的光模塊，以免光?？跓龎幕蛘咂渌闆r造成光口不能正常轉發(fā)數據； 2、 當其中一臺 SR 設備的兩條上行鏈路均出現問題時，若短時間內不能恢復鏈路，應將 該臺 SR 設備上的所有業(yè)務暫時割接至另一臺正常的 BRAS 設備上，再進行故障排除； 此時，應進行以下操作： a.立即上報內蒙古區(qū)公司網管中心及運維部 ，應積極區(qū)公司的指揮調度，做好現場維護工作； b.在大匯聚交換機上，將三層業(yè)務 vlan 透傳至正常 運行 的 BRAS 設備上； c.在 BRAS 設備上，配置三層業(yè)務的網關，同時發(fā)布該業(yè)務路由段； 3、 當其中一臺 BRAS 設備的兩條上行鏈路均出現問題時； 此時，應進行以下操作： a.立即上報內蒙古區(qū)公司網管中心及運維部 ，應積極區(qū)公司的指揮調度，做好現場維護工作； b.若是 單板故障引起，及時將備件單板換上，把原上行 2 路光纖更換到備板上，配置數據恢復上行 c.若是整機故障， 第一時間 將 大匯聚交換機 8905 跳纖到 ODF，通過局間光纜連接至另一局點的 BRAS 上 ，將 PPPOE 業(yè)務或者 Wlan 業(yè)務全部強制倒換至另一臺正常的 BRAS 進行認證； 為快速切換業(yè)務要提前布放 8905 至 ODF 和 BRAS至 ODF 的光纖。 （此條適用于大匯聚通過裸光纖上行至 BRAS） d若是整機故障，第一時間將另一局點正常運行的 BRAS 通過光纖連至傳輸7500/3500，協調傳輸人員將 8905 上行業(yè)務通道做到此正常的 BRAS 上，將PPPOE 業(yè)務或者 Wlan 業(yè)務全部強制倒換至這臺正常的 BRAS 進行認證；為快速切換業(yè)務要提前布放 BRAS 至傳輸設備的光纖。（此條適用于大匯聚通過傳輸上行至 BRAS） e.在正常的 BRAS 設備上，查看用戶上線數量，確保業(yè)務已經正常； Display access-user domain dslam_pppoe Display access-user domain lan_pppoe Display access-user domain wlan_web 4、 當 大匯聚交換機 8905 至 BRAS 設備互聯鏈路 出現中斷時； 此時，應進行以下操作： a. 立即上報內蒙古區(qū)公司網管中心及運維部 ，應積極區(qū)公司的指揮調度，做好現場維護工作； b. 查看傳輸網管，如果是傳輸電路中斷引起，則協調傳輸專業(yè)盡快處理； c. 若是光模塊燒壞或者其它情況造成光模塊不能正常轉發(fā)數據，則更換光模塊，則進行測試； d. 若是尾纖出現問題，則應將提前布放的備用尾纖直接接入傳輸設備的端口，再進行測試； e. 若是 8905 或 ME60 單板故障，立即調用備件，并調整 相關 數據到備板上 5、 當大匯聚交換機與兩臺 BRAS 或者兩臺 SR 設備互聯鏈路出現中斷時 ； 此時，應進行以下操作： a. 立 即上報內蒙古區(qū)公司網管中心及運維部 ，應積極區(qū)公司的指揮調度，做好現場維護工作 ； b. 第一時間聯系傳輸人員及數據維護人員進行鏈路恢復； 鄂爾多斯 城域網設備故障 1、 NE40E/NE80E 出現異常 a.按照上面鏈路故障的方法先將業(yè)務恢復至正常的設備上 ； b.立即上報內蒙古區(qū)公司網管中心及運維部 ，應積極區(qū)公司的指揮調度，做好現場維護工作； c.硬件障礙： 1)嘗試用 telnet、遠程撥號方式登陸，查看告警路由器告警信息，并根據在現場看到的設備面板告警信息，判斷障礙點。 2)若判斷為板卡電源模塊等硬件故障，需要確 認是否有冗余板位，如果有可以將業(yè)務調整到冗余板位；如果有可用端口，將故障端口割接到可用端口。 3)若為關鍵板件（如路由引擎、電源等）故障，且啟用冗余板位后業(yè)務仍不能恢復，立即調撥備件，備件上架后，及時與區(qū)公司網運部聯系，配置軟件信息，恢復業(yè)務。 4)若由于設備板卡吊死等不明原因引起的故障，則將搜集至的設備告警和板卡狀態(tài)等信息上報給區(qū)公司網運部和網管中心，并將業(yè)務割接至備用板卡上。在廠商確認、區(qū)公司網運部及區(qū)公司網管中心認可后，在確定不會對現有業(yè)務有更嚴重影響的前提下 ，重啟部件或設備。 2、 ME60出現異常 a.按照上面鏈路故障的方法先將業(yè)務恢復至正常的設備上， b.立即上報內蒙古區(qū)公司網管中心及運維部 ，應積極區(qū)公司的指揮調度，做好現場維護工作； c.硬件障礙： 1)嘗試用 telnet、遠程撥號方式登陸，查看告警路由器告警信息，并根據在現場看到的設備面板告警信息，判斷障礙點。 2)若判斷為板卡電源模塊等硬件故障，需要確認是否有冗余板位，如果有可以將業(yè)務調整到冗余板位；如果有可用端口，將故障端口割接到可用端口。 3)若為關鍵板件（如 路由引擎、電源等）故障，且啟用冗余板位后業(yè)務仍不能恢復，立即調撥備件，備件上架后，及時與區(qū)公司網運部聯系，配置軟件信息，恢復業(yè)務。 4)若由于設備板卡吊死等不明原因引起的故障，則將搜集至的設備告警和板卡狀態(tài)等信息上報給區(qū)公司網運部和網管中心，并將業(yè)務割接至備用板卡上。在廠商確認、區(qū)公司網運部及區(qū)公司網管中心認可后，在確定不會對現有業(yè)務有更嚴重影響的前提下，重啟部件或設備。 3、 8905出現異常 a.按照上面鏈路故障的方法先將業(yè)務恢復至正常的設備上， b.立即上報內蒙古區(qū)公司網管中心及運維部 ，應積極區(qū)公司的指揮調度，做好現場維護工作； c.硬件障礙： 1)嘗試用 telnet、遠程撥號方式登陸，查看告警路由器告警信息，并根據在現場看到的設備面板告警信息，判斷障礙點。 2)若判斷為板卡電源模塊等硬件故障，需要確認是否有冗余板位，如果有可以將業(yè)務調整到冗余板位；如果有可用端口，將故障端口割接到可用端口。 3)若為關鍵板件（如路由引擎、電源等）故障，且啟用冗余板位后業(yè)務仍不能恢復，立即調撥備件，備件上架后，及時與區(qū)公司網運部聯系，配置軟件信息，恢復業(yè)務。 4)若由于設備板卡吊死等不明原因引起的故障，則將搜集至的設備告警和板卡狀態(tài)等信息上報給區(qū)公司網運部和網管中心，并將業(yè)務割接至備用板卡上。在廠商確認、區(qū)公司網運部及區(qū)公司網管中心認可后，在確定不會對現有業(yè)務有更嚴重影響的前提下，重啟部件或設備。 4、 DDOS攻擊情況 DDOS 攻擊概念： DoS 的攻擊方式有很多種，最基本的 DoS 攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。DDoS 攻擊手段是在傳統的 DoS 攻擊基礎之上產生的一類攻擊方式。其原理如下圖一所示。單一的 DoS 攻擊一 般是采用一對一方式的，當攻擊目標 CPU 速度低、內存小或者網絡帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網絡技術的發(fā)展，計算機的處理能力迅速增長，內存大大增加，同時也出現了千兆級別的網絡，這使得 DoS攻擊的困難程度加大了 -目標對惡意攻擊包的 消化能力 加強了不少，于是分布式的拒絕服務攻擊手段（ DDoS）就應運而生了。 DDoS 利用了更多的傀儡機來發(fā)起 DOS 攻擊，以比從前更大的規(guī)模來攻擊受害者。 DDOS 攻擊現象： 出現 DDOS 網絡攻擊時，被攻擊端網絡及主機會出現一下的現象： 1、被攻擊主機上有大量 等待的 TCP 連接 2、網絡中充斥著大量的無用的數據包，源地址為假 3、制造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊 4、利用受害主機提供的服務或傳輸協議上的缺陷，反復高速的發(fā)出特定的服務請求，使受害主機無法及時處理所有正常請求 5、嚴重時會造成系統死機，網絡嚴重擁塞 SYN-Flood 是目前最流行的 DDoS 攻擊手段，利用了 TCP/IP 協議的固有漏洞。據現網監(jiān)測上的統計，目前網絡中存在大量的 DDOS 攻擊，在 ChinaNet 網絡中，平均每天監(jiān)測到的攻擊有 500 個左右。所有的攻擊中， TCP SYN 攻擊占全部 DDOS 攻擊的 90%左右，而其中攻擊流量較大的類型是 TCP SYN、 ICMP、 TCP RST。面向連接的 TCP 三次握手是 Syn Flood 存在的基礎。 TCP/IP 建立連接需要經過三次握手，而攻擊者在發(fā)送了第一次 Syn 后，不再發(fā)送第二次 Syn 信息，導致被攻擊者一直等待發(fā)送方的 Syn 信息直到超時，而攻擊方通過發(fā)送大量的 Syn 信息，導致被攻擊方 cpu 資源耗盡而無法提供正常服務。 DDOS 檢測措施： 在省骨干網和城域網匯聚層以上網絡，可以利用北方 IP 三期數據網管97:2003/nms/login.jsp 以及北方 DDOS 攻檢測工具 Arbor Networks Peakflow 50/ 進行日常監(jiān)控、當然還可以通過在設備上查看 Access-List 匹配方式來檢測網絡攻擊。在城域網匯聚層以下的網絡中，由于 IP 三期數據網管不能檢測到該層面的電路流量情況，因此，可以使用北方 DDOS 攻檢測工具Arbor Networks Peakflow 50/ 和Access-List 的檢測等方法，還 可以采用一些二層網絡的檢測及使用協議分析技術進行攻擊檢測。 利用北方 IP 三期數據網管進行日常監(jiān)控 各盟市以及區(qū)維護中心網絡監(jiān)控以及維護人員可登錄該系統，然后查看網絡所監(jiān)控范圍內的電路波動圖，如發(fā)現流量異常突然增加，則可初步考慮是否受到了 DDOS 攻擊，然后查找被攻擊主機以及攻擊源，即時上報并實施封堵或者清洗工作。 下面是包頭一用戶遭受來至通遼方向省外 DDOS 攻擊時，包頭 IP 城域網上行呼和以及通遼出口 2.5G 電路流量檢測情況。分析流量圖可以發(fā)現在區(qū)呼和出口方向流量正常的情況下，去通遼出口方向入流量突然增加 ，可以初步判斷是包頭 IP 城域網內 IP 地址遭到了來自通遼方向省外 DDOS 攻擊。 InPCore 包頭 R3-呼和浩特 R1 2.5G流量觀察基準端 :A 端 啟動即時流量監(jiān)控 A 端 |NM-BT-AE-A-3.163:Pos3/0/0(10) B 端|NM-HH-HCZ-A-1.163 :so-7/0/0.0(09) InPCore 包頭 ML.A1-通遼 A1 2.5G流量觀察基準端 :A 端 啟動即時流量監(jiān)控 A 端 |NM-BT-ML-A-1.163:Pos1/0/0(4) B 端|NM-TL-HP-A-1.163:POS9/0/0(3) InPCore 包頭 R3-呼和浩特 R1 2.5G流量觀察基準端 :A 端 啟動即時流量監(jiān)控 利用北方 DDOS 攻檢測工具 Arbor Networks Peakflow 進行檢測 各盟市以及區(qū)維護中心網絡監(jiān)控以及維護人員可登錄該系統，查看Alerts 菜單下的 Summary 子菜單，在 All Alerts 列表中可以監(jiān)控到已經匹配了 Networks 設置的過濾特征值的 DDOS 攻擊，其中包括攻擊源在北方九省以及被攻擊地址在北方九省的所有匹配特征 DDOS 攻擊。 下面是 10 月 8 日內蒙電信一用戶 遭受 IP NULL 類型 DDOS 攻擊時檢測到的結果，我們可以很快速的發(fā)現被攻擊的 IP地址為 06，以及攻擊源、 PPS 檢測情況、攻擊流量 BPS 情況、攻擊開始時間、結束時間、攻擊類型等相關信息，這樣我們就可以快速的部署針對性的流量封堵以及申請集團 NOC 進行流量清洗。 通過 Access-List 匹配方式進行檢測 由于 Arbor Networks Peakflow 是基于特征值來進行 DDOS 攻擊檢測的，所有可能有些攻擊不能被檢測出來，所以我們可以在擁塞發(fā)生的端口上綁定 ACL，利用 ACL 匹 配來進行檢測。 利用抓包工具進行協議分析來進行檢測定位 由于攻擊可能會發(fā)生在省網或者某個城域網內部，這時我們無法借助北方系統進行檢測，這樣通過 PING、 TRACERT 等日常工具以及分析設備當時端口流量，將故障定位在小范圍內，然后通過使用協議分析工具進行檢測定位具體被攻擊者或者攻擊源。 如下圖所示，可以看到，在局域網中存在一個 IP 地址向隨機的目的IP 地址發(fā)送 ICMP 的 ECHO 信息，因此可以判斷該 IP 地址的主機正在攻擊別的主機，需要檢查該主機并阻斷攻擊源。 DDOS 防范措施： 目前集團公司已經組織各省建立了互聯網網絡安全事件防范與處理虛擬團隊，旨在加強電信公司內部及與外部安全組織間的信息溝通，加強對異常流量的監(jiān)測和分析，積極防范 DDOS 攻擊。并于 9 月 30 日前在京滬穗的出入口部署完成三套總共 6G 容量的異常流量清洗設備，為關鍵站點（黨政軍、重要新聞媒體網站和基礎域名服務器）提供網絡攻擊流量清洗手段。內蒙電信已在網絡邊緣部署策略進行虛假源地址流量和常見病毒流量的過濾，以充分遏止采用虛假源地址和蠕蟲病毒的攻擊行為，并完善了網絡安全事件上報流程以 及應急處置預案。 DDOS 攻擊應急處理流程： 當中國電信網內北京區(qū)域的重要網站遭受 DDOS 攻擊時，如果攻擊源在內蒙電信網內，則區(qū)維護中心應全力配合集團 NOC 判斷攻擊特征和溯源，進行流量清洗或者流量限速的方式對攻擊流量進行處理。 當內蒙電信網內的重要網站和域名服務器遭受 DDOS 攻擊時，受攻擊所在盟市公司維護部以及區(qū)維護中心應盡快確定被攻擊地址、判定攻擊特征，確定攻擊來源，同時應向集團北京 NOC 申請調用京滬穗出入口的流量清洗設備對攻擊流量進行清洗。如無法對攻擊進行有效處理時，在用戶同意時可使用“黑洞路由 ”或流量限速方式對攻擊流量進行處理。 當內蒙電信網內普通站點遭受 DDOS 攻擊，造成省網、城域網、 IDC 擁塞時，可使用“黑洞路由”或流量限速方式對攻擊流量進行處理。內蒙電信區(qū)維護中心負責提供 7x24 小時的 DDoS 攻擊應急響應和技術支撐。 當 DDOS 攻擊造成大量用戶投訴時，各盟市公司應在處理攻擊的同時，做好用戶解釋工作，和政府相關部門保持密切聯系，防止事態(tài)的惡化。 應急處理流程圖如下： （ 3）網絡復原后的處理 故障恢復后首先查看故障點是否完全恢復、確認網絡性能正常；其次進行業(yè)務測試；在確認 業(yè)務已恢復后進入觀察期并完成故障分析及報告。 網絡正常狀態(tài)的判別標準（全區(qū) NE80E 路由條目 18347） 根據網絡故障發(fā)生的層面可通過測試網絡連通性測試、網絡路由測試來確定網絡性能是否恢復正常， 下面是正常情況下從 鄂爾多斯中心局NE40E 到北京以及天津的網絡性能及路由。 鄂爾多斯中心局 NE40E 到北京：（ 2009 年 8 月 4 日測試 baidu 網站為例） 鄂爾多斯中心局 NE40E 到 天津 ： 1、 臨時搶通的業(yè)務電路復原流程 如果是通過傳輸層倒波后恢復的業(yè)務，那么在傳輸故障恢復后，在將電路倒回前需要做 以下工作：用儀表確認故障電路性能已經完全恢復 確定電路倒回時可能造成的影響并制定相應處理流程 根據業(yè)務狀況網絡層面確定操作時間、人員并通知相關部門 做好倒波前的準備工作 ,包括端口的確認、尾纖的測試、纖纜的布放等 按照倒波流程配合傳輸專業(yè)完成割接 在傳輸確認倒波完成后檢測 IP 網絡連通性、網絡路由、網絡性能。 2、 如果是通過路由調整恢復的業(yè)務，那么在將路由復原前需要做以下工作：如果是由于網絡病毒或異常流量導致的路由調整，那么確認病毒被查殺或隔離后在進行復 原 、或是異常流量被抑制或過濾后在進行 復員。 3、 如果是一個方向傳輸故障后通過路由調整將流量引到其他方向恢復的業(yè)務，那么需確認故障方向傳輸恢復后在將流量調整回來。 4、 如果是雙節(jié)點設備其中一臺設備故障，那么在將業(yè)務從另一臺倒回來前需確認故障設備性能沒有問題 在將故障設備接入網絡前先將流量全部調整到那臺正常設備上 將故障設備接入網絡并確認端口設備沒有問題可以正常轉發(fā)數據包 將路由調整復原并觀察網絡流量、網絡路由、網絡性能是否恢復。 3、應急處置后評估 分析故障處理是否啟用了相應的預案、為什么沒有啟用或為什么沒有相應的應急預案；分 析起用應急預案的效果，是否在規(guī)定時間內成功啟動了相應的應急預案，重點分析沒有成功起用的原因，或者成功了但那些方面還需要改進；分析故障是否在現有應急預案的考慮范圍，能否對類似故障制定出相應的應急預案；總結應急預案中不完善的地方并針對故障完善相應應急預案。 4、信息發(fā)布 在啟動應急預案前按照流程進行對各相關層面部門發(fā)送傳真的同時通過電子郵件、 OSS 進行預案的發(fā)布。信息內容應包括：應急預案啟動的原因、時間、地點、具體實施人員；針對的網絡層面；詳細的應急預案；可能影響的范圍等。在啟動應急預案完成后向相關部門、人員 發(fā)送本次應急的實施過程及分析。 四、應急保障 1、人力保障 下面是北方網管中心、省網監(jiān)中心、各地市網監(jiān)中心、各設備廠家相應的負責人及通信方式。根據不同的流程聯系不同層面的人員進行故障處理。 1、北方網管中心數據網管中心電話 序號 北方網管 聯系電話 1 殷宇晶15320180280 2 楊斌15320180818 3 系統代維4 值班電話 022 58810291， 58810292, 58810295 2、內蒙 電信省網管中心電話 序號 內蒙網管 聯系電話 1 狄光13327102217 2 王斯15335580159 3 郝如意15335580156 4 值班電話3、內蒙古電信 IP 網各地市電信分公司 24 小時值班熱線電話： 序號 單位 24 小時機房維護值班電話 1 區(qū)維護中心2 呼和浩特 0471 3386592 3 通遼 0475 6389000 4 包頭 0472 6980000 5 赤峰 0476 5880000 6 鄂爾多斯 0477 3980001 7 呼盟 0470 3990014 8 巴盟 0478 7990003 9 烏海 0473 6990002 10 烏盟 0474 4880001 11 錫盟 0479 6995511 12 阿盟 0483 3990000 13 興安盟 0482 3980000 4、內蒙古電信 IP 網各地市電信分公司數據專業(yè)聯系人電話： 序號 單位 姓 名 聯系電話 1 呼和浩特市 王學峰瑪西巴雅爾2 呼倫貝爾市 崔永軍3 包頭市 姚程亮4 烏海市 李剛5 烏蘭察布市 史涼冰6 通遼市 王輝 15