1、中國移動*公司DDOS服務(wù)攻擊應(yīng)急處理預(yù)案1 應(yīng)急預(yù)案目的本文是在中國移動安全事件管理辦法（試行版）指導(dǎo)下，從*移動CMNet 城域網(wǎng)系統(tǒng)現(xiàn)狀出發(fā)，結(jié)合業(yè)務(wù)特點及目前網(wǎng)絡(luò)安全狀況分析，建立用以“發(fā)現(xiàn)、檢測、抑制和恢復(fù)” 可能發(fā)生的主要網(wǎng)絡(luò)安全事件的處置預(yù)案，這些事件的監(jiān)控、檢測、處置與系統(tǒng)設(shè)備密切相關(guān)。本預(yù)案以安全事件已發(fā)現(xiàn)和確認(rèn)為背景，重在安全事件發(fā)生后的處理。針對本系統(tǒng)可能發(fā)生的其它安全事件的監(jiān)控、檢測、 處置可直接參照中國移動網(wǎng)絡(luò)安全事件判別及處理手冊（試行版）進(jìn)行應(yīng)急處理。2 范圍本應(yīng)急預(yù)案適用于中國移動* 公司 * 分公司 CMNet 城域網(wǎng)系統(tǒng)，* 移動CMNet 城域網(wǎng)系統(tǒng)面臨的

2、主要安全風(fēng)險是DDOS 拒絕服務(wù)攻擊：DDOS 拒絕服務(wù)：DDOS 是英文 Distributed Denial of Service 的縮寫, 意即 "分布式拒絕服務(wù)"。3 DDOS 拒絕服務(wù)攻擊DDOS 能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)。也就是說拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問，從而達(dá)成攻擊者不可告人的目的。分布式拒絕服務(wù)攻擊一旦被實施，攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源，因此， 拒絕服務(wù)攻擊又被稱之為"洪水式攻擊"。3.1 由外部發(fā)起外部破

3、壞者的攻擊策略側(cè)重于通過很多" 僵尸主機"（被攻擊者入侵過或可間接利用的主機）向受害主機發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)。3.2 DDOS 攻擊方式DDOS 攻擊的表現(xiàn)形式主要有兩種：一種為流量攻擊，另一種為連接型攻擊。3.2.1 流量攻擊主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機。常見的有SYN Flood、 ACK Flood、 UDPFlood、 ICMP Flood 、 TCP Flood、 Connections Flood、 Script Flood、 Proxy

4、Flood 等。3.2.2 連接型攻擊主要是針對服務(wù)器主機的攻擊，即通過大量攻擊包導(dǎo)致主機的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。常見的有CC 攻擊、 HTTPGetFlood 等。4 應(yīng)急處置4.1 攻擊的發(fā)現(xiàn)由于 *CMNet 城域網(wǎng)沒有IDC 業(yè)務(wù)， 用戶主體是WLAN 、 家庭寬帶和集團單位，因此 DDOS 在 * 城域網(wǎng)的主要攻擊方式是帶寬消耗攻擊和城域網(wǎng)設(shè)備系統(tǒng)資源消耗攻擊。由于城域網(wǎng)內(nèi)沒有部署專業(yè)的DPI 設(shè)備來檢測分析互聯(lián)網(wǎng)行為，目前攻擊的發(fā)現(xiàn)只能依靠城域網(wǎng)設(shè)備性能監(jiān)控告警和用戶投訴來發(fā)現(xiàn)。4.2 攻擊的分析帶寬消耗攻擊主要采用洪流攻擊方式耗盡城域網(wǎng)的接入帶寬，其主要方式是利用大量代理發(fā)送大量報文擁塞攻擊目標(biāo)的網(wǎng)絡(luò)出口，通常用于發(fā)送的攻擊報文有TCP、UDP