C4网络设备应急响应指南

网络设备应急响应指南

■版本■密级

■发布■日期

★

,★

©2000-2023NSFOCUSINFORMATIONTECHNOLOGYCO.,LTD.

网络设备应急响应流程

■版本变更记录

时间版本说明修改人

■适用性声明

本文档介绍了技术人员面对网络设备出现安全事件后，采取的处理步骤和

流程；适用r技术支持人员的流程规范和约束。

©2023绿盟科技2/11

网络设备应急响应流程

目录（Contents）

一.网络设备应急响应4

二.检测分析5

1建立一个路由器连接

2记录系统时间

3确定已登录的人

4...................................确定路由器的正常运行时间

5确定监听套接字

6存储路由器配苴

7检查路由表

8检查接口配置

9查看ARP缓存

三.突发安全并件处理8

1处理直接危宙型安全事件

从直接危害型安全事件中恢复..................................8

2.......................处理路由搭表操纵型安全事件

调查路由表操纵型安全事件...................................9

从路由表操纵型安全事件中恢豆...............................9

3处理渝取信息型安全事件

4处理拒绝服务型攻击

调查DoS攻击..............................................10

从DoS攻击中恢复..........................................10

四.结束语11

©2023绿盟科技3/11

网络设备应急响应流程

网络设备应急响应

由于网络设备缺乏数据存储，功能相对比较简单，因此成为攻击的最终目标的

可能性较小。网络设备更可能的是作为攻击者在网络入侵的跳板。本文将着眼

于网络设备中存储的信息以及攻击者在攻击期间对这些信息的使川方式和调查

者对这些信息的使用方式。下面的讨论将以Cisco路由器为例，但这些概念对

其他大多数厂商的产品都是适用的。

©2023绿盟科技4/11

网络设备应急响应流程

二.检测分析

首先要以获得最易失的数据来开始响应过程。易失性状态次序表明，内存中的

信息最易失，而存贮在硬盘驱动器上或不易失的NVRAM中的信息则相对稳定。

因此内存中对调查重要的任何信息，就必须在断电或改变运行中的路由器的状

态之前进行保存。

下面讨论的步骤对在攻击中受影响的路由器是非常重要的。从这些调杳步骤中

得出信息将允许•您确定路由器是否与您所期望的不同，如果不同，则表明路由

器受到了危及。根据特定安全事件的具体情况，可以选择忽略或改变这里所讨

论的一些操作顺序。

1.建立一个路由器连接

在进行任何操作之前，必须建立起到路由器的连接。访问珞由器最好的方法就

是从控制台访问。如果直接连接路由器，那么被正在进行网络访问的攻击者察

觉的可能性就较小。如果使用telnet连接路由器，那么使用嗅探错的攻击者就

可能会看到你的流量并意识到调查正在进行。如果控制台访问不可用，拨号连

接或一个级SSH的加密协议都是比telnet更好的选择。

在建在起路由器的连接后，确保把整个会话记入日志。

©2023绿盟科技5/11

网络设备应急响应流程

2.记录系统时间

首要步骤之一应该是记录系统时间。使用showclock命令可获得系统时间。

Router>showclock

3.确定已登录的人

接下来，是要确定是否有其他人登录到路由器。使用showuser和systat命令

可以得到结果。

Router>showusers

4,确定路由器的正常运行时间

从上一次重新启动开始的系统在线时间也是很重要的。使用showversion命令

可以获得此信息。

Router>showversion

5.确定监听套接字

路由器提供了许多允许远程连接的服务。其中最著名的是:elnet,但是还布•其

他一些服务。发现是否存在访问路由器的其他途径的方法之一•是确定路由器上

的哪个端口（套接字）正在监听。

要确定路由器上正在运行哪些服务，可用一个外部端口扫描程序或检查配置文

件。若发现路由器允许通过80端口的web服务器进行远程管理，而端口80

通常允许穿过防火增。这应是攻击者到达和重新配置路由旅最可能的途径。

6.存储路由器配置

Cisco路由器的配置信息都存储在NVRAM中，然而可以不修改存储在NVRAM

中的配置文件而直接改变路由耨的配度。对配程的改变是在HAM中进行，只

有执行管理性命令时才会将配置存储到NVRAM中。

使用showrun命令查看当前路由器所加载的配置。Showstartup-config可以

查看NVRAM中存储的配置。

©2023绿盟科技6/11

网络设备应急响应流程

7.检查路由表

操纵路由表是入侵路由器的首要原因。路由表可以通过两种方式操纵，通过命

令行访问和通过恶意的路由器更新数据包。可使用showiproute命令查看路由

表。

8.检查接口配置

每个路由器的接口配置信息都可以通过showipinterface命令查看。这个命令

以易读的形式提供了大量的信息。

9.查看ARP缓存

攻击者有时使用欺驮的IP或MAC地址绕过安全控制，例如访问控制列表(ACL),

防火墙规则或转换器湍口分配。因此在调在这类攻击时，ARP缓存可以有所帮

助。可使用showiparp命令查看ARP缓存0

©2023绿盟科技7/11

网络设备应急响应流程

三.突发安全事件处理

以卜将着眼于对一些涉及到路由器突发安全事件类型的响应，包括如何识别确

凿的证据。我们把涉及到路由器的突发安全事件类型通过以下方式进行分类

♦直接危害

♦路由表操纵

♦偷取信息

♦拒绝服务

1.处理直接危害型安全事件

对路由器的直接危害是攻击者获得了对路由器的交互式的或特权级访问的任意

安全事件。直接危害为攻击者提供了对路由器的控制和对存储在路由器上数据

的访问。

从直接危害型安全事件中恢复

当从直接危害中恢发时，应在路由器离线的情况下采取所有的恢灾步骤。恢狂

应该与攻击相时陈。应采取的步骤范例包括以下这些：

♦去除所有不必要的服务

♦只允许通过加密协议进行远程访问

©2023绿盟科技8/11

网络设备应急响应流程

♦不允许SNMP访问或只读访问

♦不要使用SNMP密因作为其他任何访问的密码

♦改变所有的密码

♦配置ACL只允许信任主机连接

♦把软件升级到城近更新的版木

2.处理路由器表操纵型安全事件

路由器可以使用多种协议更新它们的路由表，这些协议包括引P、OSPF、EIGRP、

IGRP,BGP等等。涉及到路由表操纵的攻击，危及的是路由器的功能，而不

是路由器本身。

调查路由表操纵型安全事件

使用命令showiproute查看当前的路由表。如果任何路由不能通过常规测试,

或者数据包看上去被路由到了远端网络，那么就需要进行仔细调查。如果在路

由表中出现了不熟悉的静态路由，路由器就有可能遭受到了直接危害。

从路由表操纵型安全事件中恢复

从路由表攻击中恢更是简单的：移去有害的静态路由并重新启动路由器。然而

防止未来发生的攻击就有些困难可以引入ACL限制路口器，使它只对已知

良好的源地址进行更新。选择的路由协议应该允许认证，并应启用认证。

3,处理偷取信息型安全事件

攻击者从路由器上收集到的典型信息包括密码、路由选择和拓扑结构信息。从

数据偷取中恢复就是改变密码，避免密码重用并限制攻击者获得敏感信息的能

力。最易导致此类事件发生的服务是SNMP服务，它启用时，使用了•个默认

的公共字符串：public,如果启用了这项服务，攻击者就可以获得大量敏感的网

络信息。

©2023绿盟科技9/11

网络设备应急响应流程

4.处理拒绝服务型攻击

拒绝服务(DoS)攻击经常是针对路由器的。如果攻击者能够强迫路由器停止

转发数据包，那么这台路由器之后的所有主机都被有效禁用了。DoS攻击分为

几个基本的类别：

♦破坏指破坏路由器活动能力的攻击，例如删除配置信息或拔去

电源

♦资源消耗指降低路由器活动能力的攻击，例如同时打开很多

到路由器连接

♦带宽消耗指尝试耗尽路由器网络带宽容量的攻击

调查DoS攻击

确定DoS攻击的类型应该比较容易的。如果路由器完全不二作，则可能是破坏

型攻击。首先检查比较明显的问题