2010广州亚运会期间安全统计及处理小结_免费下载.doc

DD 第三方检测 2010广州亚运会期间安全统计及处理小结2010年广州亚运会信息系统分布于五大场馆群，近70个场馆，终端超过7500台。整个亚运会信息系统网络分为2个专网：一个叫Admin专网，主要供办公用；一个叫AGIS专网，供GAMES应用。亚运会信息系统的2个专网都分别有网络集成和安全集成两个项目。在Admin专网的安全集成项目中，启明星辰提供了12套IDS、近3500个信息点的天珣内网管理系统及TSOC一套；在AGIS专网的安全集成项目中，启明星辰一方面与另一家安全厂商共同合作提供安全服务，另一方面提供了10套IDS、一套天玥业务审计系统、4000个信息点的天珣内网管理系统。整个项目的亮点是，几乎所有终端均部署了启明星辰天珣内网安全风险管理与审计系统，实现了基于可信MAC地址的网络准入功能，并启用了红名单、黑名单、USB移动存储、ARP攻击防护、非法外联限制等安全策略。在亚运会期间，启明星辰AGIS信息安全团队在赛时共处理网络安全事件196,387起，其中扫描探测及拒绝服务攻击196,253次，穷举探测65次，可疑行为28次，网络数据库攻击16次，木马后门11次，缓冲溢出8次，病毒事件6次。经甄别为无实际危害的事件42,629起，被信息安全设施及策略阻断的攻击共153,654起，根据预案人工处理的事件共104起。具体甄别及处理过程如下：一、无实际危害事件42,629起1.扫描及拒绝服务攻击?ICMP_Smurf_拒绝服务攻击应答及网络探测35,612次-Smurf是一种简单但有效的DDoS攻击技术。启明星辰AGIS信息安全团队通过监控日志上溯网络连接，发现此类报警源IP均为AGIS监控平台主机，确认由监控平台发出的此类事件对AGIS专网无任何危害，但AGIS信息安全团队仍时刻注意该类报警的源IP,以便出现网络攻击时可及时响应。直至亚运会比赛结束均未发现该类事件关联的主机有异常情况发生。?ICMP_PING_长度异常5,774次-根据经验，一个ping报文的长度一般在100个字节以内，当长度超过时，应该不是一个正常系统发送出来的。一些恶意软件通过在ping报文后加挂数据，达到开后门传送数据的目的。启明星辰AGIS信息安全团队根据预案，通过监控日志上溯网络连接，查找IP源地址，观察它的下一步动作，未发现异常，并通过网络防病毒软件检查目的系统，未发现驻留程序，判断为由AGIS监控软件引起，对AGIS专网无任何危害，启明星辰AGIS信息安全团队将监控软件IP加入白名单，但仍时刻注意报警的源IP及目的地址IP,直至比赛结束，该类报警均无可疑IP出现。?TDS_登录失败1,227起-TDS是MSSQL使用的协议，如果出现大量该事件，有可能为黑客攻击数据库的前兆。经观察，事件报警次数属于合理范围，源IP并没有其它的攻击试探行为，未对AGIS专网造成实际危害，启明星辰AGIS信息安全团队继续跟进观察，直至比赛结束均未发现异常。2、网络数据库攻击?TNS_ORACLE_select_union_访问16次-当向Oracle数据库服务器指定执行一命令导致存储在系统上的数据产生重要变化时产生这一事件。这样的命令经常以管理员的权限删除数据，添加数据，添加用户，删除用户，返回敏感信息或为以后的系统安全获得进一步的信息。启明星辰AGIS信息安全团队通过与Telnet会话日志做交叉分析后断定，这16起连接为合法的telnet连接，表明用户发出selectunion合并查询操作，对AGIS专网无实际危害。二、被安全设施及策略阻断的攻击153,654起1.扫描及拒绝服务攻击?Netbios_空会话扫描153,630次-该事件表明某源IP地址主机正在扫描一个网段中可以进行空连接的主机，并且尝试列举Windows主机的共享资源。MDC防火墙上对主机的TCP139、TCP445、UDP445的访问限制策略可有效杜绝因空会话扫描引起的安全风险，启明星辰AGIS信息安全团队通过对日志进行跟踪，确定此类事件均被防火墙成功拦截。?DOS_TCP_FLOOD_拒绝服务8次-该事件表明攻击者正在通过TCP协议使用半会话的方式对目标主机进行DoS攻击。启明星辰AGIS信息安全团队针对告警日志进行跟踪，确定攻击均被防火墙成功拦截。?DOS_ICMP_FLOOD_拒绝服务2次-该事件表明攻击者正在使用ICMP协议对目标主机进行DoS攻击。该攻击的源IP通常是伪造的。启明星辰AGIS信息安全团队针对告警日志进行跟踪，确定攻击均被防火墙成功拦截。2.缓冲区溢出?MSRPC_MS_LSA_远程缓冲区溢出漏洞利用ms04-0118次-该事件表明源IP地址主机正试图利用微软MS04-011漏洞攻击目的IP地址主机。启明星辰AGIS信息安全团队对目标主机进行漏洞扫描，该台主机已经过安全加固，且防火墙对UDP端口135、137、138、445和TCPports端口135、139、445、593进行过滤，可有效防止此类攻击，经确认这8次攻击均被防火墙成功拦截。3.病毒事件?病毒事件6次-为FTP下载文件引起，均由防病毒软件自动查杀成功，未造成进一步危害。三、根据预案人工处理的事件104起1.穷举探测?TDS_MS-SQL_口令穷举探测65次-通过TCP/IP的认证方式多次连接访问MSSQL数据库并且登录失败时，触发该事件。经启明星辰AGIS信息安全团队分析，该事件相关源地址均为授权访问的MSSQL客户端，且事件次数合理，该事件定性为客户端密码输入错误引起的告警。2.可疑行为?HTTP_CGI_漏洞扫描28次-远程入侵者试图通过使用WEB扫描工具对服务器进行扫描。当WEB服务器存在漏洞时可能被入侵者探测到，并且进一步通过漏洞入侵服务器，启明星辰AGIS信息安全团队密切关注该事件的源IP地址，并根据预案对该事件的目标服务器再次进行漏洞扫描，由于赛前此类服务器均已进行过安全加固，直至比赛结束相关服务器均未发现异常。3.木马后门?TCP_后门_Upheight:33px;margin-top:3px;_margin-top:4px;*margin-left:0px;padding-right:4px;overflow:hidden;.function_btnwidth:260px;.partake_btnimgmargin-right:8px;vertical-align:middle.partake_btnspan#requirePostleft:280px;top:-12px;#requirePostulliimgmargin-bottom:0;2010年廣州亞運會信息系統分佈於五大場館群，近70個場館，終端超過7500臺。整個亞運會信息系統網絡分為2個專網：一個叫Admin專網，主要供辦公用；一個叫AGIS專網，供GAMES應用。亞運會信息系統的2個專網都分別有網絡集成和安全集成兩個項目。在Admin專網的安全集成項目中，啟明星辰提供瞭12套IDS、近3500個信息點的天珣內網管理系統及TSOC一套；在AGIS專網的安全集成項目中，啟明星辰一方面與另一傢安全廠商共同合作提供安全服務，另一方面提供瞭10套IDS、一套天玥業務審計系統、4000個信息點的天珣內網管理系統。整個項目的亮點是，幾乎所有終端均部署瞭啟明星辰天珣內網安全風險管理與審計系統，實現瞭基於可信MAC地址的網絡準入功能，並啟用瞭紅名單、黑名單、USB移動存儲、ARP攻擊防護、非法外聯限制等安全策略。在亞運會期間，啟明星辰AGIS信息安全團隊在賽時共處理網絡安全事件196,387起，其中掃描探測及拒絕服務攻擊196,253次，窮舉探測65次，可疑行為28次，網絡數據庫攻擊16次，木馬後門11次，緩沖溢出8次，病毒事件6次。經甄別為無實際危害的事件42,629起，被信息安全設施及策略阻斷的攻擊共153,654起，根據預案人工處理的事件共104起。具體甄別及處理過程如下：一、無實際危害事件42,629起1.掃描及拒絕服務攻擊?ICMP_Smurf_拒絕服務攻擊應答及網絡探測35,612次-Smurf是一種簡單但有效的DDoS攻擊技術。啟明星辰AGIS信息安全團隊通過監控日志上溯網絡連接，發現此類報警源IP均為AGIS監控平臺主機，確認由監控平臺發出的此類事件對AGIS專網無任何危害，但AGIS信息安全團隊仍時刻註意該類報警的源IP,以便出現網絡攻擊時可及時響應。直至亞運會比賽結束均未發現該類事件關聯的主機有異常情況發生。?ICMP_PING_長度異常5,774次-根據經驗，一個ping報文的長度一般在100個字節以內，當長度超過時，應該不是一個正常系統發送出來的。一些惡意軟件通過在ping報文後加掛數據，達到開後門傳送數據的目的。啟明星辰AGIS信息安全團隊根據預案，通過監控日志上溯網絡連接，查找IP源地址，觀察它的下一步動作，未發現異常，並通過網絡防病毒軟件檢查目的系統，未發現駐留程序，判斷為由AGIS監控軟件引起，對AGIS專網無任何危害，啟明星辰AGIS信息安全團隊將監控軟件IP加入白名單，但仍時刻註意報警的源IP及目的地址IP,直至比賽結束，該類報警均無可疑IP出現。?TDS_登錄失敗1,227起-TDS是MSSQL使用的協議，如果出現大量該事件，有可能為黑客攻擊數據庫的前兆。經觀察，事件報警次數屬於合理范圍，源IP並沒有其它的攻擊試探行為，未對AGIS專網造成實際危害，啟明星辰AGIS信息安全團隊繼續跟進觀察，直至比賽結束均未發現異常。2、網絡數據庫攻擊?TNS_ORACLE_select_union_訪問16次-當向Oracle數據庫服務器指定執行一命令導致存儲在系統上的數據產生重要變化時產生這一事件。這樣的命令經常以管理員的權限刪除數據，添加數據，添加用戶，刪除用戶，返回敏感信息或為以後的系統安全獲得進一步的信息。啟明星辰AGIS信息安全團隊通過與Telnet會話日志做交叉分析後斷定，這16起連接為合法的telnet連接，表明用戶發出selectunion合並查詢操作，對AGIS專網無實際危害。二、被安全設施及策略阻斷的攻擊153,654起1.掃描及拒絕服務攻擊?Netbios_空會話掃描153,630次-該事件表明某源IP地址主機正在掃描一個網段中可以進行空連接的主機，並且嘗試列舉Windows主機的共享資源。MDC防火墻上對主機的TCP139、TCP445、UDP445的訪問限制策略可有效杜絕因空會話掃描引起的安全風險，啟明星辰AGIS信息安全團隊通過對日志進行跟蹤，確定此類事件均被防火墻成功攔截。?DOS_TCP_FLOOD_拒絕服務8次-該事件表明攻擊者正在通過TCP協議使用半會話的方式對目標主機進行DoS攻擊。啟明星辰AGIS信息安全團隊針對告警日志進行跟蹤，確定攻擊均被防火墻成功攔截。?DOS_ICMP_FLOOD_拒絕服務2次-該事件表明攻擊者正在使用ICMP協議對目標主機進行DoS攻擊。該攻擊的源IP通常是偽造的。啟明星辰AGIS信息安全團隊針對告警日志進行跟蹤，確定攻擊均被防火墻成功攔截。2.緩沖區溢出?MSRPC_MS_LSA_遠程緩沖區溢出漏洞利用ms04-0118次-該事件表明源IP地址主機正試圖利用微軟MS04-011漏洞攻擊目的IP地址主機。啟明星辰AGIS信息安全團隊對目標主機進行漏洞掃描，該臺主機已經過安全加固，且防火墻對UDP端口135、137、138、445和TCPports端口135、139、445、593進行過濾，可有效防止此類攻擊，經確認這8次攻擊均被防火墻成功攔截。3.病毒事件?病毒事件6次-為FTP下載文件引起，均由防病毒軟件自動查殺成功，未造成進一步危害。三、根據預案人工處理的事件104起1.窮舉探測?TDS_MS-SQL_口令窮舉探測65次-通過TCP/IP的認證方式多次連接訪問MSSQL數據庫並且登錄失敗時，觸發該事件。經啟明星辰AGIS信息安全團隊分析，該事件相關源地址均為授權訪問的MSSQL客戶端，且事件次數合理，該事件定性為客戶端密碼輸入錯誤引起的告警。2.可疑行為?HTTP_CGI_漏洞掃描28次-遠程入侵者試圖通過使用WEB掃描工具對服務器進行掃描。當WEB服務器存在漏洞時可能被入侵者探測到，並且進一步通過漏洞入侵服務器，啟明星辰AGIS信息安全團隊密切關註該事件的源IP地址，並根據預案對該事件的目標服務器再次進行漏洞掃描，由於賽前此類服務器均已進行過安全加固，直至比賽結束相關服務器均未發現異常。