- 1、本文档共68页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
04六月2024;简介;目录;应急响应定义1;应急响应一般是指一种组织为了应对多种意外事件的发生所做的准备以及在事件发生后所采用的措施。
信息系统安全事件应急响应的对象是指针对信息系统所存储、传播、处理的信息的安全事件。事件的主体也许来自自然界、系统自身故障、组织内部或外部的人为袭击等。按照信息系统安全的三个特性,可以把安全事件定义为破坏信息或信息处理系统CIA的行为,即破坏保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件等。——(信息系统等保体系框架GA/T708-);信息安全响应的定义3;应急处置定义;信息安全应急响应产生的背景;;CNCERT/CC的职能;我国信息安全应急响应管理体系;信息安全应急响应法规原则;信息安全应急响应规定—信息安全等级保护;应急响应组织构造;网络钓鱼事件;应急事件等级;信息安全应急响应流程;信息安全应急响应流程—准备阶段;信息安全应急响应流程—准备阶段;信息安全应急响应流程—检测阶段;信息安全应急响应流程—克制阶段;信息安全应急响应流程—根除、恢复阶段;信息安全应急响应流程—事后活动阶段;应急预案的定义;应急预案的类型;应急预案框架;应急预案的文档构造;应急预案的编制环节;应急预案的启动执行过程;信息安全应急演习流程;目录;著名公共案例;著名公共案例-携程;著名公共案例-携程;著名公共案例-OpenSSL;著名公共案例-OpenSSL;著名公共案例-OpenSSL;案例一:奥帆委网站系统
案例二:遗忘密码
案例三:DDOS袭击应急响应;6月,奥帆委官方网站感觉异常
远程测试发现站点存在多种漏洞
SQL注入
绕过安全验证漏洞
上传漏洞
已经存在多种木马Webshell;经典注入袭击-SQL注入;SQL注入
Webshell
后台绕过登录
;Webshell;;程序员未预料到的成果……
Username:adminOR1=1--
Password:1
SELECTCOUNT(*)
FROMUsers
WHEREusername=adminOR1=1--andpassword=1;案例一:奥帆委网站系统;远程监控
;现场值守
每日安全日报
阶段性总结汇报;案例二:遗忘密码;案例二:遗忘密码;案例二:遗忘密码;案例二:遗忘密码;案例二:遗忘密码;案例二:遗忘密码;案例二:遗忘密码;描述:
某网络管理员发现持续几天在晚上18:00时左右,WEB服务器网站不能正常访问。;事件描述分析:
客户描述
根据客户描述的状况,WEB服务无法正常访问属于紧急响应安全事件
网络现实状况基本信息
远程访问该WEB服务器,无法打开页面
事件基本分析
产生的也许性:a.WEB服务未启动b.主机网络不通c.病毒问题d.受到拒绝服务袭击e.防火墙方略更改f.其他原因;制定方案:
到顾客现场进行分析
在事件重现前布署监控工具,流量分析,协议分析等
判断事件类型:维护问题,病毒,内部发起袭击,外部发起袭击等
判断受袭击目的:主机受到袭击,WEB服务受到袭击,网络设备受到袭击,网络带宽受到袭击
判断袭击措施:漏洞型,流量型,混合型;事件调查:
对数据包进行简朴分析,排除病毒也许,根据流量分析,局域网流量并不是尤其大,网关处流量非常大,基本排除内部向外发起袭击也许。从内网访问服务器正常,以及根据数据包的类型判断,基本排除主机或WEB服务的漏洞袭击也许。
对搜集到的数据包的包头进行分析,存在大量的tcpsyn包,udp包以及少许icmp包,和未知ip包等。;SYNFlood袭击:
此种袭击通过抓包分析可以看到,大量的syn祈求发向目的地址,而syn包的源地址为大量的随机生成的虚假地址。
在目的主机上使用netstat–an命令可以看到大量syn连接,处在syn_received状态
?
;假如是单纯的tcpsynflood袭击,未到达限速的状况下,可以使用性能很好的,具有防synflood功能的设备进行防护。
假如是主机服务器停止响应,需要在网关或防火墙上对主机服务进行“代理”,保护主机。此时网关或防火墙需要有能力抵御此类拒绝服务袭击。
假如袭击数据包是崎型数据包,需要网关或防火墙能抵御此类拒绝服务袭击。
假如袭击数据包到达限速,需要逐层追查数据包的来源。;对数据包特性进行分析,包括来源地址(随机),端口,TTL值,序列号,协议号等等。
在路由器各端口上查看流量来源,或使用流量分析工具。分析数据包的特性,确定大部分数据包的来源。
逐层往上,寻找部分具有相似特性的数据包来源,并与该级有关网络管理员获得联络。
本案例中初步定位到有部分相似特性的袭击数据包来源于某托管机房。;总结:
网络袭击方式多种多样
每种网络设备、安全产品都能处理一定问题
您可能关注的文档
- 会议体系提升方案.pptx
- 会议接待服务礼仪培训.ppt
- 会议礼仪会务人员的礼仪规范.pptx
- 会议平板产品上市发布方案.pptx
- 会议的基本概念.ppt
- 会计岗前培训及会计新手.pptx
- 会议会务系统方案.pptx
- 伤口敷料的选择与应.ppt
- 伤口敷料的选择.ppt
- 会计档案管理办法.ppt
- 四川省德阳市罗江中学2025届高三考前热身化学试卷含解析.doc
- 山东省枣庄现代实验学校2025届高三下学期第五次调研考试化学试题含解析.doc
- 吉林省长春市十一高中等九校教育联盟2025届高三一诊考试生物试卷含解析.doc
- 2025届江苏省盐城市伍佑中学高考仿真模拟化学试卷含解析.doc
- 2025届广西贺州中学高考冲刺押题(最后一卷)生物试卷含解析.doc
- 安徽省池州市贵池区2025届高三第一次模拟考试生物试卷含解析.doc
- 宁夏银川一中2025届高三(最后冲刺)化学试卷含解析.doc
- 广东省广州市增城区四校联考2025届高考压轴卷化学试卷含解析.doc
- 2025届邯郸市第一中学高考生物必刷试卷含解析.doc
- 2025届安徽省安庆市石化第一中学高考仿真卷化学试卷含解析.doc
文档评论(0)