access-list list-number {deny | permit} source [source-wildcard] [log] II.扩展访问控制列表
access-list list-number {deny | permit} protocol source source-wildcard source-qualifiers
destination destination-wildcard destination-qualifiers [ log | log-input]
3) 确认造成系统cpu、内存占用高的进程或者应用。对UNIX,
Ps –ef会列出系统正在运行的所有进程 Top 查看占用资源较高的进程或应用
4) 确认系统存在的漏洞,根据漏洞信息和安全建议采取相应的控制措施,安装相应
的补丁修复程序。
5) 修复漏洞后切换到原运行系统。
3.3由外部发起 - 利用网络设备漏洞
外部破坏者利用的网络设备的操作系统漏洞发起对系统的拒绝服务攻击。 1) 如果系统服务无法正常响应,迅速切换到备用系统; 2) 利用防火墙或网络设备配置ACL,过滤DoS发起源的连接。
? netscreen防火墙:
set policy id * top from untrust to trust \外部ip\ ? cisco防火墙
I.标准访问控制列表
access-list list-number {deny | permit} source [source-wildcard] [log] II.扩展访问控制列表
access-list list-number {deny | permit} protocol source source-wildcard source-qualifiers
destination destination-wildcard destination-qualifiers [ log | log-input]
3) 确认当前IOS版本,确认此版本是否存在DOS的漏洞。
? cisco 设备
show version 命令查看版本信息(cisco 设备)
4) 根据漏洞信息和相应安全建议采取相应的控制措施,安装相应的补丁修复程序。 5) 修复漏洞后切换到原运行系统。
11
3.4 由外部发起 - 利用网络协议/应用协议漏洞
网络协议类攻击是以发起大量连接或数据包为基础,造成被攻击方连接队列耗尽或CPU、内存资源的耗尽。应用类主要是指针对web服务发起的攻击,表现在分布式的大量http请求,以耗尽web服务的最大连接数或者消耗数据库资源为目的。比如:对某一大页面的访问或者对某一页面的数据库搜索。主要措施:
1) 通过网络流量分析软件,确定数据包类型特征,比如利用的是udp、tcp还是icmp
协议
2) 在防火墙配置访问控制策略。
? netscreen防火墙:
set policy id * top from untrust to trust \外部ip\ ? cisco防火墙
I.标准访问控制列表
access-list list-number {deny | permit} source [source-wildcard] [log] II.扩展访问控制列表
access-list list-number {deny | permit} protocol source source-wildcard source-qualifiers
destination destination-wildcard destination-qualifiers [ log | log-input]
4、 黑客控制系统事件应急处理措施
1) 迅速记录(复制)所有的正在运行的网络连接、系统进程、活动用户、打开文
件以及内存、缓冲和临时目录中的信息;
2) 对已被黑客控制系统及应用进行切换备机,断网隔离; 3) 通过在防火墙或网络设备设置访问控制策略,限制外部的访问。
4) 在问题系统及应用上,通过分析保存的信息、所有有关日志文件(包括防火墙
和入侵检测系统的安全日志),确定攻击者可能使用的技术手段,查找黑客入侵的途径;
5) 在问题系统及应用上,确定黑客植入的恶意后门程序,可以通过与备机或类似
机使用filemon对系统状况等软件比对;
12
6) 发现恶意后门后,先停止相关进程,再进行删除;
7) 在问题系统及应用上,查找黑客创建的帐号并进行删除,查找被黑客篡改、删
除的帐号,进行帐号口令重置。
8) 在网络设备及相关安全设备上进行相应配置调整使之自动检测和阻止该类攻击
的再次发生
9) 必要时,重新安装系统及应用,对系统及应用进行安全加固,恢复系统及应用。
5、 不良信息传播事件应急处理措施(以不良信息邮件为例)
1) 必要时,将收到不良信息的邮件服务器脱网,防止不良邮件在内部的扩散和更
多不良邮件发送进来,并将邮件服务器上的日志导出并备份;
2) 对不良邮件进行分析,找出标题、发送人地址,分析邮件内容,找出其中的关
键词;
3) 查看并分析邮件服务器的日志,并结合对不良邮件的分析结果,找出该不良邮
件发送的SMTP服务器和IP地址;
4) 登录防垃圾邮件系统,将该不良邮件的标题、发送人地址、关键词设置为过滤
条件;
5) 通过防垃圾邮件系统和人工的方式,清除所有的不良邮件; 6) 确认所有不良邮件清除完成后,恢复邮件服务器的运行; 7) 通告所有用户,删除已收到个人收件箱的不良邮件。
2012年8月16日
13