第11章 计算机网络攻击应急响应

网络安全技术实用教程第11章计算机网络攻击应急响应河南经贸职业学院信息管理系网络安全技术使用教程2主要内容11.1计算机网络应急响应概述111.2网络安全应急响应模型211.3应急响应操作流程311.4计算机网络应急响应案例411.5计算机取证5网络安全技术使用教程311.1.1应急响应的产生1.应急响应的产生世界上第一个计算机紧急响应小组及协调中心的建立，源自于1988年莫里斯蠕虫案件。该案件轰动了全世界，并且在计算机科学界引起了强烈的反响。此案也标志着大众对计算机网络所产生的脆弱性的突然警醒。蠕虫发作后全美国一片慌乱的情景，使人们前所未有地认识到，随着人们对计算机的依赖日益加深，与此同时计算机网络遭受攻击的可能性也在增大。随着计算机之间联系越来越紧密，随着网络对越来越多的人开放，出现莫里斯蠕虫一类的程序其实是不可避免的。尽管如此，当这样的程序到来时，人们还是感到极大的震惊。为此，1989年，美国国防部高级研究计划署资助卡内基·梅隆大学建立了世界上第一个计算机紧急响应小组（ComputerEmergencyResponseTeam，简称CERT）及协调中心（CERT/CC）。CERT的建立标志着信息安全由传统的静态保护手段开始转变为较为完善的动态防护机制。网络安全技术使用教程411.1.1应急响应的产生2.应急响应的发展随着互联网的飞速发展，出于对网络安全的需要，国际上先后成立了一大批的应急响应组织（ComputerSecurityIncidentResponseTeam，简称CSIRT）。比如美国联邦FedCIRC，德国的DFNCERT，以及亚太地区APCERTF和欧洲EuroCERT。1990年成立了一个应急响应与安全组论坛FIRST（ForumofIncidentResponseandSecurityTeams），发起时有11个成员，至2002年初已经发展成一个超过100个成员的国际性组织。据粗略统计，目前已建立应急处理机制的国家和地区已达60多个，应急组织的总数则超过了200多个。网络安全技术使用教程511.1.1应急响应的产生3.应急响应在中国由于当时中国信息技术和计算机科学技术相对比较落后，导致了中国的应急响应工作起步较晚，但是发展迅速。在世界上第一个计算机应急响应小组及协调中心成立后十年，中国也开始陆续建立起应急响应机构。(1)教育与科研计算机网于1999年在清华大学成立CERNET应急响应组（CCERT），为中国教育和科研行业用户提供应急响应服务。(2)2000年10月，国家计算机网络应急技术处理协调中心（CNCERT/CC）成立，并于2002年8月成为国际应急响应权威组织“事件响应与安全组织论坛（FIRST）”的正式成员。(3)在CNCERT/CC的协调组织下，中国电信、中国网通、中国移动等各大电信运营商都纷纷成立自己的应急响应队伍。随后解放军军队应急组织、公安部计算机病毒防治中心、公安部计算机应急网站也先后建立，并且许多公司也都展开了网络安全救援相关的收费服务。(4)此外，还成立了一些专业性的应急组织，如国家计算机网络入侵防范中心、国家863计划法计算机入侵和防病毒研究中心等。网络安全技术使用教程611.1.2应急响应的定义应急响应（IncidentResponse/EmergencyResponse）通常是指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生时或者发生后所采取的措施。计算机网络应急响应的对象是指计算机或网络所存储、传输、处理的信息的安全事件，事件的主体可能来自自然界、系统自身故障（这里的系统包括主机范畴内的问题，也包括网络范畴内的问题）、组织内部或外部的人、计算机病毒或蠕虫等。建立完善的计算机应急响应系统，其任务不应该仅仅局限于完成一个用于提供入侵响应和发布安全公告的信息中心，而应该把系统置身于各种具体的安全事件、安全问题、安全技术之上，从全局的角度建立一个具备合理的组织架构、高效的信息流程和控制流程、完备的安全研发及服务体制、长远的实施和发展规划、丰富的信息来源，以及良好的国际国内合作协调关系的大范围的、分布的、动态的安全保障系统。网络安全技术使用教程711.1.3应急响应机构的主要服务世界各国的应急响应机构所提供的应急响应服务基本相同，主要包括以下几个方面的内容：(1)提供应急响应服务；(2)提供安全咨询服务；(3)提供系统评估或风险评估服务；(4)提供入侵检测服务；(5)发布安全公告；(6)发布漏洞信息；(7)提供补丁下载；(8)教育与培训；(9)追踪与恢复；(10)组织各种形式的学术交流活动。网络安全技术使用教程811.2.1PDRR网络安全应急响应模型在研究信息安全及网络战防御理论的过程中，美国国防部提出了信息保障(InformationAssurance，IA)的概念，并给出了包含防护(Protection)、检测(Detection)、响应(Response)3个环节的动态模型，后来又增加了恢复(Restore)环节，简称为PDRR模型，其中的响应环节包括平时事件响应和应急响应，重点在于针对安全事件的应急处理。如图所示就是PDRR网络安全模型。防护（P）检测（D）响应（R）恢复（R）网络安全技术使用教程911.2.1PDRR网络安全应急响应模型PDRR网络安全模型的第一部分就是防御。根据系统已知的所有安全问题做出防御的措施，如打补丁、访问控制、数据加密等等。防护作为PDRR模型的第一个战线。PDRR的第二个战线就是检测。攻击者如果穿过了防御系统，检测系统就会检测出来。这个安全战线的功能就是检测出入侵者的身份，包括攻击源、攻击状况、系统损失等。一旦检测出入侵，响应系统开始响应包括事件处理和其他业务。PDRR模型的最后一个战线就是系统恢复。在入侵事件发生后，把系统恢复到原来的状态。每次发生入侵事件，防御系统都要更新，保证相同类型的入侵事件不能再发生，所以整个PDRR网络安全模型包括防御、检测、响应和恢复，这四个方面组成了一个信息安全周期。网络安全技术使用教程1011.2.1MPDRR网络安全应急响应模型MPDRR模型是一个最常见的具有纵深防御体系的网络安全模型。MPDRR模型包含了管理（Management）、防护（Protection）、检测（Detection）、响应（Reaction）、恢复（Recovery）5个环节。MPDRR模型是在PDRR模型基础上发展而成，它继承了PDRR模型的优点，并加入了PDRR所没有的安全管理这一环节，从而将技术和管理融为一体，整个安全体系的建立必须经过安全管理进行统一协调和实施。MPDRR网络安全模型如图所示。防护（P）检测（D）响应（R）恢复（R）安全管理（M）网络安全技术使用教程1111.2.3微软纵深防御安全模型微软深度防御安全模型确定了7层安全防御。与其它安全模型相比，它的层次更加分明，更具纵深，技术上的实现更加具体和全面，它的设计确保威胁组织安全的企图受到层层防御，成功突破所有7层防御的几率几乎为零。如果按照这个模型在技术上和管理上严格实施，可以为计算机网络建立坚固的防御系统。网络安全技术使用教程1210.3.1准备阶段准备阶段主要以预防为主，在事件真正发生前为应急响应做好准备。主要包括以下几项内容：(1)制定用于应急响应工作流程的计划，并建立一组基于威胁的合理的防御/控制措施。(2)制定预警与报警的方法，建立一组尽可能高效的事件处理程序。(3)建立备份的体系和流程。(4)建立安全的系统，按照安全政策配置安全设备和软件。(5)建立一个支持事件响应活动的基础设施，获得处理问题必须的资源和人员，进行相关的安全培训，可以进行应急反映事件处理的预演。(6)建立数据汇总分析体系。网络安全技术使用教程1310.3.2事件检测阶段识别和发现各种安全的紧急事件。在紧急事件发生前，产生安全的预警报告，在紧急情况发生时，产生安警报，并报告给应急响应中心。应急响应中心根据事件的级别，采取响应的措施。主要包括以下几种处理方法：(1)主动发现：入侵检测设备、全局预警系统。(2)被动发现：网络使用者报告的异常情况。(3)确定事件责任人人选，即指定一个责任人全权处理此事件并给予必要资源。(4)估计事件的范围和影响的严重程度，来决定启动相应的应急响应的方案。(5)影响了多少主机、涉及到多少网络、攻击者入侵到网络内部有多远、攻击者得到了什么样的权限、风险是什么、使用了多少种攻击方法以及攻击者利用的漏洞传播的范围有多大。(6)通过汇总，确定是否发生了全网的大规模事件。网络安全技术使用教程1410.3.3抑制阶段限制攻击的范围，同时限制潜在的损失和破坏。在第二阶段确认紧急事件发生的情况下，进入应急响应流程。应急响应系统本身将根据预先制定的规则，采取相应的措施，把紧急事件的影响降低到最小。这些措施主要包括：(1)初步分析，重点确定适当的遏制方法，如阻断正在发起攻击的行为，缓解系统的负载，通过路由器、防火墙封堵入侵的源地址，隔离被病毒感染的系统等。(2)修改所有防火墙和路由器的过滤规则，拒绝来自看起来是发起攻击的主机的流量。(3)封锁或删除被攻击的登录账号。(4)提高系统或网络行为的监控级别。(5)设置蜜罐并关闭被利用的服务。(6)汇总数据，估算损失和隔离效果。网络安全技术使用教程1510.3.4根除阶段在事件被抑制以后，找出事件根源并彻底根除才能真正的解决问题。此时可以采取以下措施：(1)对于病毒，应该在信息系统内部采用最新的软件清除所有的病毒。(2)对于系统的入侵、非法授权访问等，应查找系统到底存在哪些漏洞，从而避免类似情况的再次发生。(3)改进安全策略。(4)启动网络与应用层的审计功能，为进一步的分析提供了详细的资料。(5)分析事件发生的原因，为以后的进一步改善提供依据。(6)加强宣传，公布事件的危害性和解决办法，呼吁用户解决终端问题。网络安全技术使用教程1610.3.5恢复阶段把所有受侵害或被破坏的系统、应用、数据库、网络设备等彻底地还原到它们正常的任务状态。主要的方面有：(1)对被破坏、无法修复的数据或系统进行系统恢复，对所有安全上的变更作备份，对收到破坏的网络安全设备进行软件配置恢复。(2)服务重新上线并持续监控，了解各网的运行情况。(3)根据各网的运行情况判断隔离措施的有效性。(4)通过汇总分析的结果判断仍然受影响的终端的规模。(5)发现重要用户及时通报解决。(6)适当的时候解除封锁措施，去掉用作短期抑制措施的所有中间防御措施。网络安全技术使用教程1710.3.6跟踪阶段从已经发生的紧急事件出发、对紧急事件的响应过程中吸取教训，回顾并整合发生事件的相关信息。主要包括：(1)关注系统恢复以后的安全状况。(2)重点关注曾经出问题的地方。(3)建立跟踪文档。(4)规范跟踪记录。(5)对响应效果给出评估。(6)对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动。网络安全技术使用教程1811.4.1基于Windows操作系统的DDOS攻击应急响应案例1.协助恢复系统正常工作应急小组使用最有效的检测方法对攻击数据包进行分析，迅速判断出此次攻击主要针对80端口以及21端口，遭受攻击的服务器由于资源消耗殆尽而无法再给用户提供服务。本着“先抢通后修复”的原则，应急小组决定先利用防火墙制定相应的安全策略协助该公司恢复系统的正常运作。网络安全技术使用教程1911.4.1基于Windows操作系统的DDOS攻击应急响应案例2.协助检查入侵来源、时间、方法等。根据防火墙记录，找出此次DDOS攻击中，直接攻击频率较大的IP地址列表如下：×.×.×.238××省××市ADSL×.×.×.110××电信ADSL×.×.×.103××电信×.×.×.18××有线×.×.×.94××有线×.×.×.139××电信网络安全技术使用教程2011.4.1基于Windows操作系统的DDOS攻击应急响应案例3.对网络进行评估，找出其他网络安全风险。应急小组从系统的内因和外因两方面进行评估：内因：系统自身配置有缺陷，如有严重漏洞，后门等。首先对此服务器做远程安全