第一篇:DMZ 区域遭受DOS拒绝服务攻击后的处理流程
DMZ 区遭受DOS 拒绝服务攻击后的处理流程
现象:
DMZ 区域通常都是放置企业对内/对外提供服务的服务器,如邮件服务器、WWW 网站、DNS域名解析服务器等,DMZ区域的服务器在遭受 DOS 拒绝服务攻击后,会出现如下现象:
服务器的 CPU 持续在比较高的百分比,甚至达到 100%;服务器在处理正常网络访问请求时,明显迟钝,甚至停滞。
处理步骤:
1.服务器系统管理员(设备管理员)首先必须在第一时间将此安全问题报告给安全主管部门以及安全管理员。由安全管理员组织成立应急响应小组,其成员至少包括:安全管理员、服务器系统管理员、网络管理员。
2.系统管理员配合安全管理员找到企业相关的应急事件处理流程文档,按照文档中“DMZ 区域遭受 DOS 拒绝服务攻击后的处理流程”章节所描述的行动计划,处理此类安全事件。
3.系统管理员在被攻击主机利用 NETSTAT 等命令确认攻击者采用的是何种攻击数据包。
4.网络管理员利用SNIFFER PRO在被攻击主机或者是核心交换设备上进行数据报的截获分析,分析攻击者的攻击行为和来源 IP 地址。
5.网络管理员配合安全管理员利用 SNIFFER PRO 分析攻击现象,如果攻击者采
用的是分布式拒绝服务攻击的话,确认攻击采用的那种类型的攻击数据包。
6.如果采用的是不常用协议例如 UDP、IGMP 等行为数据包,网络管理员可以在上层路由设备中设置禁止访问行为,将所有相关访问全部禁止,对于路由设备来说,处理禁止访问的速度都是非常快的,其处理能力远远超过普通的高端服务器的网络处理极限。
7.如果攻击者采用的恶意的 SYN 洪水攻击的话,网络管理员配合安全管理员确认攻击量最大的几个源 IP 地址,虽然 SYN 攻击理论上可以做到随意伪造原始 IP地址,但在目前国内网络环境中真实实现并不容易,因为大部分电信运营商的路由器都做了防止伪造源 IP 地址的控制措施。所以首先确认几个数据量最大的源 IP 地址,然后及时在路由器/交换机的访问列表中禁止这些源 IP 地址访问,就可以达到快速抑制攻击的效果。