第一篇：DMZ 區(qū)域遭受DOS拒絕服務(wù)攻擊后的處理流程

DMZ 區(qū)遭受DOS 拒絕服務(wù)攻擊后的處理流程

現(xiàn)象:

DMZ 區(qū)域通常都是放置企業(yè)對(duì)內(nèi)/對(duì)外提供服務(wù)的服務(wù)器，如郵件服務(wù)器、WWW 網(wǎng)站、DNS域名解析服務(wù)器等，DMZ區(qū)域的服務(wù)器在遭受 DOS 拒絕服務(wù)攻擊后，會(huì)出現(xiàn)如下現(xiàn)象：

? 服務(wù)器的 CPU 持續(xù)在比較高的百分比，甚至達(dá)到 100％；服務(wù)器在處理正常網(wǎng)絡(luò)訪問(wèn)請(qǐng)求時(shí)，明顯遲鈍，甚至停滯。

處理步驟:

1.服務(wù)器系統(tǒng)管理員（設(shè)備管理員）首先必須在第一時(shí)間將此安全問(wèn)題報(bào)告給安全主管部門以及安全管理員。由安全管理員組織成立應(yīng)急響應(yīng)小組，其成員至少包括：安全管理員、服務(wù)器系統(tǒng)管理員、網(wǎng)絡(luò)管理員。

2.系統(tǒng)管理員配合安全管理員找到企業(yè)相關(guān)的應(yīng)急事件處理流程文檔，按照文檔中“DMZ 區(qū)域遭受 DOS 拒絕服務(wù)攻擊后的處理流程”章節(jié)所描述的行動(dòng)計(jì)劃，處理此類安全事件。

3.系統(tǒng)管理員在被攻擊主機(jī)利用 NETSTAT 等命令確認(rèn)攻擊者采用的是何種攻擊數(shù)據(jù)包。

4.網(wǎng)絡(luò)管理員利用SNIFFER PRO在被攻擊主機(jī)或者是核心交換設(shè)備上進(jìn)行數(shù)據(jù)報(bào)的截獲分析，分析攻擊者的攻擊行為和來(lái)源 IP 地址。

5.網(wǎng)絡(luò)管理員配合安全管理員利用 SNIFFER PRO 分析攻擊現(xiàn)象，如果攻擊者采

用的是分布式拒絕服務(wù)攻擊的話，確認(rèn)攻擊采用的那種類型的攻擊數(shù)據(jù)包。

6.如果采用的是不常用協(xié)議例如 UDP、IGMP 等行為數(shù)據(jù)包，網(wǎng)絡(luò)管理員可以在上層路由設(shè)備中設(shè)置禁止訪問(wèn)行為，將所有相關(guān)訪問(wèn)全部禁止，對(duì)于路由設(shè)備來(lái)說(shuō)，處理禁止訪問(wèn)的速度都是非常快的，其處理能力遠(yuǎn)遠(yuǎn)超過(guò)普通的高端服務(wù)器的網(wǎng)絡(luò)處理極限。

7.如果攻擊者采用的惡意的 SYN 洪水攻擊的話，網(wǎng)絡(luò)管理員配合安全管理員確認(rèn)攻擊量最大的幾個(gè)源 IP 地址，雖然 SYN 攻擊理論上可以做到隨意偽造原始 IP地址，但在目前國(guó)內(nèi)網(wǎng)絡(luò)環(huán)境中真實(shí)實(shí)現(xiàn)并不容易，因?yàn)榇蟛糠蛛娦胚\(yùn)營(yíng)商的路由器都做了防止偽造源 IP 地址的控制措施。所以首先確認(rèn)幾個(gè)數(shù)據(jù)量最大的源 IP 地址，然后及時(shí)在路由器/交換機(jī)的訪問(wèn)列表中禁止這些源 IP 地址訪問(wèn)，就可以達(dá)到快速抑制攻擊的效果。