“僵尸网络”应急预案详解课件

1、“僵尸网络”应急预案湖北、江西、浙江、陕西、天津第1页，共21页。目录概述“僵尸网络”介绍系统现状应急流程设备应急方法效果2第2页，共21页。概述应急方案启动条件当在本省网络范围内，发现存在僵尸网络的客户端或服务器，将启用本应急方案。应急方案执行原则本应急方案坚持统一领导、分工负责、协作配合，以先恢复系统和保障业务的正常运行为原则，再进行事件分析和修补等措施。 适用范围本预案适用于发现短信网关系统和省内用户网段出现僵尸网络的客户端或服务器。3第3页，共21页。概述“僵尸网络”介绍系统现状应急流程设备应急方法效果4第4页，共21页。“僵尸网络”介绍5第5页，共21页。“僵尸网络”介绍类型/特点传

2、播性可控性窃密性危害性僵尸网络可控传播高度可控有完全控制木马无可控有完全控制蠕虫主动传播无/弱无/弱主机和网络资源间谍软件无无严重窃密信息泄密病毒干预传播无无破坏文件特点：大部分僵尸网络客户端与服务器通过ping/pong维持连接。 客户端和服务器一般至少有1台应该具有公网地址。服务器和客户端都有相应的监听端口危害：6第6页，共21页。概述“僵尸网络”介绍系统现状应急流程设备应急方法效果7第7页，共21页。系统现状短信网关拓扑结构8第8页，共21页。系统现状短信网关安全策略策略编号策略说明开放端口1私网地址和公网地址的转换211.137.169.210.3.0.11；211.137.169.9

3、10307/10308211.137.169.1010309/1030102允许外部主机和内部主机的icmp通信icmp3允许外部主机访问一台堡垒主机的管理端口224允许外部主机访问应用主机的应用端口7890、7891、7900、7901、7930、7931、9168、11125所有应用主机访问外部主机源地址均为211.137.169.39第9页，共21页。概述“僵尸网络”介绍系统现状应急流程设备应急方法效果10第10页，共21页。应急流程僵尸网络安全事件的分级僵尸网络安全事件根据危害和紧急程度分为 “四级/一般”、“三级/预警”、“二级/报警”、“一级/紧急”四种 11第11页，共21页。应

4、急流程12第12页，共21页。概述“僵尸网络”介绍系统现状应急流程设备应急方法效果13第13页，共21页。设备应急方法检查定位抑制、根除、取证系统检查加固总结分析14第14页，共21页。设备应急方法检查定位（1）网络设备定位查看防火墙的日志、连接和端口流量，开启debug（2）主机设备定位端口连接异常进程15第15页，共21页。设备应急方法抑制、根除、取证（1）网络设备定位后，采取以下措施进行封堵通过访问控制列表检查封堵情况，确定封堵策略生效通过sniffer进行抓包取证。（2）主机设备判断是否为双机设备中的一台，是否可在不影响业务的情况进行离线处理。如果可以，根据业务影响情况，进行取证和将有

5、问题的主机离网。如果不可以，采取如下措施查看系统资源占用情况Top查看连接和监听端口情况，找出异常的监听端口Netstat an 通过以下命令，查找开启异常监听端口的程序文件，找到后进行取证删除Lsof i和lsof对于windows监控终端查看资源管理器通过Netstat an和Fport命令，来确定有问题的监听端口程序，然后进行取证删除。 16第16页，共21页。设备应急方法系统检查加固系统详细分析检查恢复系统受损文件检查其他同类主机设备，是否存在同样问题 17第17页，共21页。设备应急方法总结分析在进行调查之后，由相关人员提交一份对事件全过程的总结报告，并进行事后分析。集中所有相关人员来讨论所发生的事件以及得到的经验教训，并对现有的一些流程进行重新评审，对不适宜的环节进行修改。应该从系统中彻底删除诸如受到感染的文件。18第18页，共21页。概述“僵尸网络”介绍系统现状应急流