xx内网***事件分析与建议
事件回顾:2012年4月5日晚,xx突然发生无先兆的互联网断网事件,网页无法打开,从运维区进行PING外网包发现无回应并超时,主ISG2000防火墙无法打开,但是PING包有回应,延时较大,报警灯常亮,登录备线ISG2000防火墙发现较大***事件,该***事件来自内部网络。
事件分析:网络******源往往来自于外部互联网对内部网络或者服务器的***,本次***事件为内部***源对网络出口***,导致网络拥堵和陷于瘫痪。根据防火墙日志尽心分析“2012-04-05 21:17:00 system emer 00005 SYN flood! From 11.12.13.2:8888 to 123.59.111.95:1433, proto TCP (zone Trust, int ethernet3/1). Occurred 1 times.
2012-04-05 21:17:00 system emer 00005 SYN flood! From 11.12.13.2:8888 to 123.59.111.95:445, proto TCP (zone Trust, int ethernet3/1). Occurred 1 times.
2012-04-05 21:17:00 system emer 00005 SYN flood! From 11.12.13.2:8888 to 123.59.111.95:135, proto TCP (zone Trust, int ethernet3/1). Occurred 1 times.
system alert 00008 IP spoofing! From 11.12.13.2:8888 to 123.59.108.245:135, proto TCP (zone Trust, int ethernet3/1). Occurred 1 times.
2012-04-05 21:17:00 system alert 00008 IP spoofing! From 11.12.13.2:8888 to 123.59.108.244:3306, proto TCP (zone Trust, int ethernet3/1). Occurred 1 times.
2012-04-05 21:17:00 system alert 00008 IP spoofing! From 11.12.13.2:8888 to 123.59.108.244:1433, proto TCP (zone Trust, int ethernet3/1). Occurred 1 times.”该***源为内部,因为***日志显示区域来自“zong Trust”,***实用的协议为“TCP协议”初步判断***类型为一种混合型***工具***,***方式为“SYN***+IP地址欺骗”。
SYN***是当前流行的DoS(拒绝服务***)与DDoS(分布式拒绝服务***)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被***方资源耗尽(防火墙出现CPU负荷高或内存异常)的***方式,通常***源的机器会发送大量的半连接SYN_RCVD包,这种包为碎小包会异常占用硬件资源。由于集团防火墙为路由模式的防火墙,他会它截获所有通过的包并进行过滤和处理,当大量的数据包到防火墙后会影响防火墙的响应,juniper防火墙本省有一种处理机制,在处理大规模的数据连接时会无法登陆到WEB管理页面。
同时本次***有IP地址欺骗出现,***源地址进行了地址伪装,IP 欺骗, 简单来说就是向目标主机或网络发送源地址为非本机IP 地址的数据包。IP 欺骗在各种******方法中都得到了广泛的应用, 比如, 进行拒绝服务***, 伪造TCP连接, 会话劫持, 隐藏***主机地址。
由于本次***来自内部,但是***源又进行了地址欺骗,网络中没有***检测和分析设备导致在排查时有一定难度,在尝试在交换机进行shutdown后集团赵工凭借丰富经验进行了重点服务器排查,最后定为到一台刚刚上线的服务器,拔掉服务器网线后网络明显恢复,插上网线后网络出现拥堵和无法上网。初步判断有可能是该服务器进行了网络***。
安全建议:通过本次事件建议首先确认该服务器是否是SYN***,通常遭到SYN Flood***后,首先要做的是确认取证,通过Netstat –n –p tcp >log.txt记录目前所有TCP连接状态是必要的。
为了保证xx网络的正常运转避免出现此类事件后无法快速准确的定位***源我们有如下建议:
1.
系统检测和修复。由于***工具都是利用服务器的操作系统漏洞进行了工具植入,我们建议要能够掌握服务器的漏洞情况,进行服务器系统必要的检测,及时发现系统存在的脆弱性,并及时地进行修复。
2.
加强系统病毒检测和清除。服务器和终端特别是对外提供业务的服务器应该统一安装防病毒工具,并能及时地进行升级,定期进行病毒检测,针对具备网络***的工具防病毒客户端应当安装防火墙模块对异常网络流量进行检测和封堵。
3.
加强对网络的监控和***检测。目前网络当中无法针对来自内部***做出预警和精确分析与定位,网络当中仅部署了针对外部威胁行为的防火墙、防病毒网关,建议能够采取必要的技术手段对内部的网络进行监控,了解网络当中的具体使用情况。尽早发现新威胁并做出响应,做到能偶探测恶意威胁、探测网络中断行为、网络内容检测等。清晰的安全状态可见性所带来的主动安全架构规划,一般***检测设备和主动威胁防护设备能够实现以上功能。
4.
加强分布式和可移动介质管理。网络安全风险一般主要来自两个方面,第一个是互联网另外一个是外部的存储介质,特别是针对服务器使用移动介质应当加强管理谨慎使用,建议进行杀毒后进行使用。
转载于:https://blog.51cto.com/chengfei/832127