某运营商受DDOS攻击的应急响应内部文档

2004年4月，××电信运营商IDC持续遭受DDOS攻击，影响范围包括其业务网站和Mail服务器。“养兵千日，用兵一时”，东软计算机安全事件应急小组NCSIRT接到通知后，第一时间赶到用户现场,与用户充分的沟通后，迅速启动应急方案和工作流程，有条不紊地为用户提供了一套合理而完整的应急响应服务。

1. 协助恢复系统正常工作
2. 协助检查入侵来源、时间、方法等
3. 对网络进行评估，找出其他网络安全风险
4. 作出事故分析报告

5. 跟踪用户运营情况

第一步 分析攻击数据包

全力恢复系统正常工作。我们使用最有效的检测方法对攻击数据包进行分析，迅速判断出此次攻击主要针对80端口以及21端口，遭受攻击的网站由于资源消耗殆尽而无法再给用户提供页面访问。我们深知运营网络可持续性运行的重要性，于是我们决定本着“先抢通后修复”的原则，先利用NetEye防火墙制定相应的安全策略协助该单位恢复系统正常工作。

我们对攻击数据包分析检测方法如下：

(1) 针对http(端口80)建立TCP连接，已完成三次握手，但是客户端不结束连接，消耗Web服务器(IIS)连接资源，造成正常用户很难访问此网站。

(2) 攻击地址随机分布，来自不同地域，为真实地址，源端口连续，每秒建立连接2000次左右。

(3) 通过查看NetEye防火墙内容过滤日志，发现有GET / HTTP 1.1 url记录，此url出现通常表明有扫描程序在对Web Server进行扫描以判断Web Server类型。

根据对攻击数据包的分析，调整NetEye防火墙的策略如下：

(1) 在内核配置智能统计策略：根据总体带宽和资源情况限制单位时间内单位IP地址的syn连接次数。

典型策略：先对此源地址的连接数据包延迟处理，但缩短超时时间。如果该源地址的出现频度持续增加，将此地址列入黑名单，进行一次性规则限制。

(2) 在前端开启syn验证功能：对伪造源地址的syn flooding进行防范。

(3) 开启内容过滤功能：限制head关键字，多数扫描器实现时使用head代替GET。替换服务器信息，屏蔽”Microsoft-IIS/5.0”，替换为”HelloChina”等不相关信息。使扫描器得不到正确的服务器信息，进而不能发出针对该类服务器定制的漏洞探测或者攻击包。

(4) 设置连接超时时间。根据网络负载和应用情况进行判断。比如http为短连接应用协议，这样可以把超时时间缩短，将大大减少攻击频度。

第二步 协助用户检查入侵来源、时间、方法等

我们协助用户找到此次DDOS攻击中，直接攻击者出现频度较大列表如下：

×. ×. ×.143 ××电信ADSL
×. ×. ×176 ××电信ADSL
×. ×. ×.238 ××省××市ADSL
×. ×. ×.110 ××电信ADSL
×. ×. ×.103 ××电信
×. ×. ×.94 ××有线宽频
×. ×. ×.139 ××电信


第三步 对网络进行内外评估，找出其他网络安全风险

从系统的内因和外因两方面进行评估：

内因：系统自身配置有缺陷，如有严重漏洞，后门等。 (1)对此Web服务器做远程安全评估，判断是否存在远程访问应用级风险漏洞，排除。 (2)对此Web服务器做内部安全评估，判断是否存在后门或者本地漏洞，在SNMP等服务配置方面存在漏洞，但是由于PIX对此端口进行了屏蔽，因此排除服务器配置存在漏洞。结论：Web服务器采用Win2K Server + IIS 5.0，性能相对较差。并且没有对服务器信息进行屏蔽，客观上增强了攻击者的信心，成为攻击产生的诱因。

外因：DOS攻击，DDOS攻击

DOS攻击很难完成三次握手，一般来说会伪造源地址，会使用一种单一的状态，典型的就是synflooding；因为三次握手没有完成，很少有服务器对这种连接记录日志；但是防syn攻击的防火墙可以很好的应付这种旨在消耗服务器资源的攻击。

在同一时刻出现大量不同的访问源，并且完成正常的连接开始，但是不进行正常的连接结束，此时可以判断系统正在遭受DDOS攻击。

第四步 事件分析报告

我们一直努力想把应急响应的被动响应做成主动服务，力求与其他安全服务有机融合，因此事后我们向用户提交了一份详细的工程记录文档和安全策略建议，建议中提到还存在安全技术手段使用不足的问题，虽然采用了防火墙和防毒系统，但是却没有充分利用好保护网络安全的工具和资源，目的是让用户知道怎么出的问题、问题出在哪里、怎么解决的问题、今后该注意什么？由应急响应做到网络评估再做到用户培训和安全咨询，随时随地关注用户网络安全，这充分体现了东软全套安全服务解决方案的优势。

这次遭受攻击的服务为HTTP服务，混合syn　flooding在正常的connect中。这样对节点防护设备的要求就更高一些。而危害更大，既消耗服务器资源又占用带宽的DDOS,会使用udp和icmp做载体进行攻击，我们在应急响应案例中处理过针对域名服务器53端口的udp　flooding；还有考验网络设备处理分片能力的大icmp包，比如发送大小标识为为65500字节的icmp　echo　request包，经过路由器、防火墙等节点设备需要对分片包重组，而攻击者故意不发最后一个分片包，造成内存资源耗尽。此类发送达到一定频度就会使节点设备瘫痪。

[1] [2]  


第五步 跟踪用户运营情况

“魔高一尺，道高一丈”，防火墙策略生效之后，攻击逐渐减弱，通过外网访问web服务器，速度正常。至此初步判断：由于NetEye防火墙的防护，已经令DDOS攻击者知难而退，暂时停止实施攻击。现场观察几天网络一直正常运行，随后一段时间东软计算机安全应急小组并进行远程跟踪。

（出处：http://www.sheup.com）

 [1] [2]