某电信运营商针对互联网网络攻击的应对措施.doc

某电信运营商针对互联网网络攻击的应对措施 一、前言 随着奥运临近,各分公司都在加大网络保障力度，关注各种网络攻击等重大安全事件，采取有效技术措施进行应对以确保奥运期间网络的畅通和稳定。 我们近段时间以来有效处理了来自网内或网外的几起网络攻击事件，本文即是公司数据维护人员对维护过程中所碰到的典型网络攻击案例的处理经验总结，希望可以对各分公司从事网络安全维护工作的同事们提供些借鉴,共同做好奥运期间互联网网络安全保障工作。 典型案例分析及应对措施 ARP伪装攻击DoS攻击的：攻击者向发送众多的带有虚假地址的请求，发送回复信息后等待回传信息，由于地址是伪造的，所以一直等不到回传的消息，5 minute input rate 859000 bits/sec, 705 packets/sec 5 minute output rate 2229000 bits/sec, 583 packets/sec 859000 bits/sec是5分钟内的每秒流量情况，705 packets/sec是5分钟内每秒转发的包数量。我碰到的情况是：路由器上有一个FE口端口流量不高，但包转发率很高，达到了20000多，过高的包转发率加重了路由器的CPU负荷，导致CPU利用率达到100%。定位了攻击端口后，可以从该FE口定位出具体的IP地址及攻击类型。具体方法如下： 开启该端口的ip route-cache 功能 在config terminal模式下，进入已定位出的端口，如inter f2/0,然后输入：ip route-cache flow。 使用show ip cache flow 指令查看已开启ip route-cache flow功能的端口NETFlow交换的综合统计信息。此命令的输出结果如下： Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 3996 0.0 7 95 0.0 3.6 6.7 TCP-FTP 2287874 0.5 7 70 3.8 3.1 4.4 TCP-FTPD 283678 0.0 569 1435 37.6 45.0 10.4 TCP-WWW 188229994 43.8 48 1344 2126.4 8.9 9.2 TCP-SMTP 18.1 21 589 380.6 7.1 7.0 TCP-X 4417406 1.0 1 41 1.0 0.0 21.6 TCP-BGP 337 0.0 2 157 0.0 4.1 9.9 TCP-NNTP 697 0.0 2 249 0.0 2.9 7.3 TCP-other 2571720084 598.7 3 124 1983.1 1.4 6.7 UDP-DNS 309244986 72.0 2 73 151.7 3.8 15.6 UDP-NTP 79900 0.0 1 76 0.0 0.0 15.8 UDP-TFTP 126 0.0 2 222 0.0 2.5 16.0 UDP-Frag 48142 0.0 17 1068 0.2 15.6 15.7 UDP-other 382135583 88.9 2 163 234.4 3.0