城域網(wǎng)防DDOS安全應(yīng)急預(yù)案

（城域網(wǎng)）服務(wù)拒絕服務(wù)攻擊事件

應(yīng)急處理預(yù)案1應(yīng)急預(yù)案目的本文是在《中國移動安全事件管理辦法（試行版）》指導(dǎo)下，從**移動CMNET城域網(wǎng)系統(tǒng)現(xiàn)狀出發(fā)，結(jié)合業(yè)務(wù)特點(diǎn)及目前網(wǎng)絡(luò)安全狀況分析，建立用以“發(fā)現(xiàn)、檢測、抑制和恢復(fù)”可能發(fā)生的主要網(wǎng)絡(luò)安全事件的處置預(yù)案，這些事件的監(jiān)控、檢測、處置與系統(tǒng)設(shè)備密切相關(guān)。本預(yù)案以安全事件已發(fā)現(xiàn)和確認(rèn)為背景，重在安全事件發(fā)生后的處理。針對本系統(tǒng)可能發(fā)生的其它安全事件的監(jiān)控、檢測、處置可直接參照《中國移動網(wǎng)絡(luò)安全事件判別及處理手冊（試行版）》進(jìn)行應(yīng)急處理。2范圍本應(yīng)急預(yù)案適用于**移動CMNET城域網(wǎng)，**移動CMNET城域網(wǎng)面臨的主要安全風(fēng)險是拒絕服務(wù)攻擊：DoS（DenialofService,拒絕服務(wù)）攻擊由于其攻擊簡單、容易達(dá)到目的等特點(diǎn)而成為現(xiàn)在常見的攻擊方式DoS（DenialOfService），拒絕服務(wù)的縮寫，是指故意攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或直接通過野蠻手段耗盡被攻擊對象的資源，目的是讓目標(biāo)計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)，使目標(biāo)系統(tǒng)停止響應(yīng)甚至崩潰。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開放的進(jìn)程或者允許的連接。這種攻擊會導(dǎo)致資源的匱乏，無論計算機(jī)的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的速度多快都無法避免這種攻擊帶來的后果。城域網(wǎng)承載大量的寬帶業(yè)務(wù)，為集團(tuán)單位客戶和家庭客戶提供提供互聯(lián)網(wǎng)接入服務(wù)，因此當(dāng)客戶被DOS攻擊或因黑客控制而攻擊其他用戶時，城域網(wǎng)需要進(jìn)行相關(guān)操作來阻斷攻擊保護(hù)客戶。2.1.1攻擊的發(fā)現(xiàn)：由于城域網(wǎng)沒有IDC業(yè)務(wù)，用戶主體是家庭寬帶和集團(tuán)單位，城域網(wǎng)內(nèi)沒有部署專業(yè)的DPI設(shè)備來檢測分析互聯(lián)網(wǎng)行為，目前攻擊的發(fā)現(xiàn)只能依靠城域網(wǎng)設(shè)備性能監(jiān)控告警和用戶申告。2.1.2攻擊的分析：由于DOS或DDOS的攻擊方法和目標(biāo)多種多樣，其應(yīng)對方法也不同，因此在應(yīng)對時必須先分析其攻擊方法和攻擊類型。目前常見的攻擊有：針對攻擊對象的應(yīng)用服務(wù)程序或操作系統(tǒng)（進(jìn)程）進(jìn)行特種攻擊，其攻擊特點(diǎn)是攻擊目標(biāo)的特定進(jìn)程或端口，且攻擊數(shù)據(jù)包是正常的互聯(lián)網(wǎng)數(shù)據(jù)，攻擊流量小，攻擊目標(biāo)特定，不會影響其他客戶。典型的攻擊類型為CC攻擊。通過大量的網(wǎng)絡(luò)流量來擁塞攻擊目標(biāo)的網(wǎng)絡(luò)出口，達(dá)到攻擊目的。此類攻擊的特點(diǎn)是網(wǎng)絡(luò)上有大量流量沖擊攻擊目標(biāo)，當(dāng)流量過大時會影響其他用戶。常見的有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等。針對運(yùn)營商互聯(lián)網(wǎng)設(shè)備的攻擊，消耗設(shè)備資源（如CPU，內(nèi)存）從而影響用戶。此類攻擊會導(dǎo)致設(shè)備性能急劇下降，設(shè)備會產(chǎn)生告警，嚴(yán)重時影響設(shè)備下所有用戶。2.1.3攻擊的處理當(dāng)城域網(wǎng)設(shè)備出現(xiàn)性能下降告警，或者用戶申告遭到DOS或DDOS攻擊時，針對不同的攻擊類型按照不同方案處理。針對攻擊對象的應(yīng)用服務(wù)程序或操作系統(tǒng)（進(jìn)程）進(jìn)行特種攻擊，由于流量小，且均是正常訪問啟用，運(yùn)營商無法識別，其處理辦法是用戶在其服務(wù)器修改配置（如更換應(yīng)用程序端口，更換域名），當(dāng)用戶提出請求要求在城域網(wǎng)封堵來自某些IP的攻擊報文時，可以在用戶城域網(wǎng)接口處部署過濾策略，過濾報文。aclnumber3010step1rule1denytcpsourcerule2denyudpsourcetrafficclassifierDeny-Jiangshioperatororif-matchacl3010trafficbehaviordenydenytrafficpolicyDeny-Jiangshishare-modeclassifierDeny-JiangshibehaviordenyinterfaceEth-Trunk5.106vlan-typedot1q106descriptionjayd-xuexi-serveripaddress3752ipurpfstrictallow-defaultstatisticenabletraffic-policyDeny-Jiangshioutboundtrustupstreamdefault針對通過網(wǎng)絡(luò)協(xié)議或帶寬流量來擁塞攻擊目標(biāo)網(wǎng)絡(luò)出口的攻擊，根據(jù)用戶申告或網(wǎng)絡(luò)流量監(jiān)控，確定攻擊目標(biāo)。當(dāng)流量很大影響其他客戶時，要啟動流量黑洞。當(dāng)攻擊流量為1-2GE時，此時流量僅會擁塞用戶的接入端口，此時可以在BRAS/SR上對攻擊目標(biāo)IP進(jìn)行黑洞路由或限速，設(shè)備會丟棄多余報文，從而保護(hù)與攻擊目標(biāo)同接口的其他用戶。當(dāng)攻擊流量在2-8GE時，此時在接入BRAS/SR限速已經(jīng)無效，要在地市核心針對目標(biāo)進(jìn)行黑洞路由，并將情況上報省網(wǎng)絡(luò)部和省網(wǎng)管中心，申請支援。當(dāng)攻擊攻擊超過8GE時，攻擊會影響地市城域網(wǎng)所有業(yè)務(wù)，屬于重大攻擊，此時要及時上報省網(wǎng)絡(luò)部和省網(wǎng)管中心，申請在省干核心部署黑洞路由，或者請省公司使用流量清洗設(shè)備清洗流量。黑洞路由腳本：iproute-static55nulll0限速腳本：interfaceEth-Trunk5.106vlan-typedot1q106descriptionjayd-xuexi-serveripaddress3752ipurpfstrictallow-defaultstatisticenabletraffic-policyDeny-Jiangshioutboundtrustupstreamdefaultqoscarcir10240pir11264cbs2048000pbs2048000greenpassyellowpassreddiscardinboundqoscarcir10240pir11264cbs2048000pbs2048000greenpassyellowpassreddiscardoutbound針對網(wǎng)絡(luò)設(shè)備的攻擊，首先查看設(shè)備告警，常見的網(wǎng)絡(luò)攻擊會在log中顯示，如SSH攻擊，arp攻擊。同時日常要做好設(shè)備防護(hù)，關(guān)閉不必要的應(yīng)用和訪問限制，過濾常見的病毒端口（如限制SNMP訪問地址，更改SNMP初始密鑰；關(guān)閉FTP，CDP協(xié)議、telnet；限制登入設(shè)備IP，部署URPF）。當(dāng)網(wǎng)絡(luò)出現(xiàn)未知攻擊時，聯(lián)系廠家研發(fā)人員，通過底層命令查看判斷攻擊，并部署相關(guān)的策略過濾攻擊。常用的查看設(shè)備正常命令有：displayhealthdisplaycpu-usagedisplaylogdispinterfacedispmemory防止BRAS/SR設(shè)備CPU接收異常報文處理腳本，通過查看丟包計數(shù)確定上送報文丟包類型后，調(diào)整該類型報文的CPCAR值，減少其對設(shè)備的影響。BRAS：cpu-defendpolicy1carindexCPCAR_SYSIDcir數(shù)值(CPCAR_SYSID可以參考華為CPCAR表)slot5cpu-defend-policy1slot6cpu-defend-policy1slot8cpu-defend-policy1SR：cpu-defendpolicy4carindexCPCAR_SYSIDcir數(shù)值(CPCAR_SYSID可以參考華為CPCAR表)slot6cpu-defend-policy1slot8cpu-defend-policy1查看城域網(wǎng)交換機(jī)健康狀態(tài)常用命令：showloggingalarmshowprocessor[details/mp(1-8)]/np(1-8)]城域網(wǎng)匯聚交換機(jī)防止tcpsynflood攻擊腳本:protecttcpsynflood-protectenabletcpsynflood-protectdefence0waittime30num1tcpsynflood-protectmax-connecthigh90low60tcpsynflood-protectone-minutehigh80low50當(dāng)接到相關(guān)部門通知城域網(wǎng)內(nèi)用戶存在攻擊其他用戶行為時，要及時阻斷攻擊。當(dāng)已知攻擊源和端口時，在攻擊源接入層部署策略過濾攻擊報文，必要時強(qiáng)制攻擊源離網(wǎng)。aclnumber3010step1rule1denytcpsource0source-porteq15339rule2denyudpsource0source-porteq15339trafficclassifierDeny-Jiangshioperatororif-matchacl3010trafficbehaviordenydenytrafficpolicyDeny-Jiangshishare-modeclassifierDeny-Jiangshibehavi