僵尸网络应急预案.docVIP

短信网关系统应对“僵尸网络”事件应急预案 概述 应急方案启动条件 当在本省网络范围内，发现存在僵尸网络的客户端或服务器，将启用本应急方案。 应急方案执行原则 本应急方案坚持统一领导、分工负责、协作配合，以先恢复系统和业务的正常运行为原则，再进行事件分析和修补等措施。 适用范围 本预案适用于发现短信网关系统和省内用户网段出现僵尸网络的客户端或服务器。 “僵尸网络”介绍 简介 僵尸网络（BotNet）是由Bot,Server和控制者组成的可通信、可控制的网络。Bot是一个后门程序，使得客户端会主动连接服务器读取控制命令，并按照命令执行代码。Bot利用蠕虫或者网页恶意代码等传播；Server服务器可以由多个服务器组成，对客户端而言是透明的，是攻击者直接操作的计算机；绝大多数的僵尸网络是基于IRC协议的。僵尸网络除了IRC BOT外，还有AOL BOT，P2P BOT等。典型的结构如下所示： IRC服务默认的端口是TCP 6667，可以在6000-7000端口范围内选择，也可以配置为任何合法端口。僵尸网络一个攻击平台，常见的攻击有分布式拒绝服务攻击、网络仿冒、发送垃圾邮件、安装间谍软件等。 通过ping/pong维持连接。 影响 类型/特点 传播性 可控性 窃密性 危害性 僵尸网络 可控传播 高度可控 有 完全控制 木马 无 可控 有 完全控制 蠕虫 主动传播 无/弱 无/弱 主机和网络资源 间谍软件 无 无 严重窃密 信息泄密 病毒 干预传播 无 无 破坏文件 系统现状 短信网关网络拓扑图 系统介绍 短信梦网网关由以下设备组成，各设备的功能分配具体如下： GW01、GW02：梦网3.0主机；连接盘阵，安装有HA GW03、GW04：梦网2.0主机；连接盘阵，安装有HA GW05、GW06：UMM业务；连接盘阵，安装有HA GW07：GW09、GW10： GW11：Apache管理页面，兼用登录堡垒主机FW01、FW02：系统出口防火墙 SW01、SW02：ALTEON四层交换机，负责负载均衡 SW03、SW04：cisco二层交互机，负责设备接入汇聚，及其他内部系统的连接 编号 网元名称 硬件型号 软件版本 IP地址 1 TJTJ-PS-ISMG-FW01-SMS CISCO PIX525 Version 6.3(3) 内：10．3．0．40 外：211．137．169．5 2 TJTJ-PS-ISMG-FW02-SMS CISCO PIX525 Version 6.3(3) 内：10．3．0．41 外：211．137．169．6 3 TJTJ-PS-ISMG-SW01-AD3 ALTEON AD3 10.0.28.5-SSH 10．3．0．30 4 TJTJ-PS-ISMG-SW02-AD3 ALTEON AD3 10.0.28.5-SSH 10．3．0．31 5 TJTJ-PS-ISMG-SW03-SMS CISCO 2950 12.1(19)EA1c 10．3．0．20 6 TJTJ-PS-ISMG-SW04-SMS CISCO 2950 12.1(19)EA1c 10．3．0．21 7 TJTJ-PS-ISMG-GW01-GlobalDB IBM X365 SUSE Linux Enterprise Server 8 10．3．0．1 8 TJTJ-PS-ISMG-GW02-GlobalDB IBM X365 同上 10．3．0．2 9 TJTJ-PS-ISMG-GW03-GlobalDB IBM X365 同上 10．3．0．3 10 TJTJ-PS-ISMG-GW04-GlobalDB IBM X365 同上 10．3．0．4 11 TJTJ-PS-ISMG-GW05-UUM IBM X365 同上 10．3．0．5 12 TJTJ-PS-ISMG-GW06-UUM IBM X365 同上 10．3．0．6 13 TJTJ-PS-ISMG-GW07-FWD IBM X365 同上 10．3．0．7 14 TJTJ-PS-ISMG-GW08-FWD IBM X365 同上 10．3．0．8 15 TJTJ-PS-ISMG-GW09-FWD IBM X365 同上 10．3．0．9 16 TJTJ-PS-ISMG-GW10-FWD IBM X365 同上 10．3．0．10 17 TJTJ-PS-ISMG-GW11-Apache IBM X365 同上 10．3．0．11 18 TJTJ-PS-ISMG-TM01-jk Dell pc Win2000server sp4 10．3．0．60 短信网关防火墙安全策略 策略编号 策略说明 开放端口 1 私网地址和公网地址的转换