网络安全 频道

2010广州亚运会期间安全事件处理小结

  2010年广州亚运会信息系统分布于五大场馆群,近70个场馆,终端超过7500台。整个亚运会信息系统网络分为2个专网:一个叫Admin专网,主要供办公用;一个叫AGIS专网,供GAMES应用(与互联网隔离)。

  亚运会信息系统的2个专网都分别有网络集成和安全集成两个项目。在Admin专网的安全集成项目中,启明星辰提供了12套IDS、近3500个信息点的天珣内网管理系统及TSOC一套;在AGIS专网的安全集成项目中,启明星辰一方面与另一家安全厂商共同合作提供安全服务,另一方面提供了10套IDS、一套天玥业务审计系统、4000个信息点的天珣内网管理系统。

  整个项目的亮点是,几乎所有终端均部署了启明星辰天珣内网安全风险管理与审计系统,实现了基于可信MAC地址的网络准入功能,并启用了红名单、黑名单、USB移动存储、ARP攻击防护、非法外联限制等安全策略。

  在亚运会期间,启明星辰AGIS信息安全团队在赛时共处理网络安全事件196,387起,其中扫描探测及拒绝服务攻击(DDoS)196,253次,穷举探测 65次,可疑行为28次,网络数据库攻击16次,木马后门11次,缓冲溢出8次,病毒事件 6次。

  经甄别为无实际危害的事件42,629起,被信息安全设施及策略阻断的攻击共153,654起,根据预案人工处理的事件共104起。

  具体甄别及处理过程如下:

  一、无实际危害事件42,629起

  1.扫描及拒绝服务攻击

   ICMP_Smurf_拒绝服务攻击应答及网络探测35,612次——Smurf是一种简单但有效的 DDoS 攻击技术。启明星辰AGIS信息安全团队通过监控日志上溯网络连接,发现此类报警源IP均为AGIS监控平台主机,确认由监控平台发出的此类事件对AGIS专网无任何危害,但AGIS信息安全团队仍时刻注意该类报警的源IP,以便出现网络攻击时可及时响应。直至亚运会比赛结束均未发现该类事件关联的主机有异常情况发生。

   ICMP_PING_长度异常5,774次——根据经验,一个ping报文的长度一般在100个字节以内,当长度超过时,应该不是一个正常系统发送出来的。一些恶意软件通过在ping报文后加挂数据,达到开后门传送数据的目的。启明星辰AGIS信息安全团队根据预案,通过监控日志上溯网络连接,查找IP源地址,观察它的下一步动作,未发现异常,并通过网络防病毒软件检查目的系统,未发现驻留程序,判断为由AGIS监控软件引起,对AGIS专网无任何危害,启明星辰AGIS信息安全团队将监控软件IP加入白名单,但仍时刻注意报警的源IP及目的地址IP,直至比赛结束,该类报警均无可疑IP出现。

   TDS_登录失败1,227起——TDS 是MS SQL使用的协议,如果出现大量该事件,有可能为黑客攻击数据库的前兆。经观察,事件报警次数属于合理范围,源IP并没有其它的攻击试探行为,未对AGIS专网造成实际危害,启明星辰AGIS信息安全团队继续跟进观察,直至比赛结束均未发现异常。

  2、网络数据库攻击

   TNS_ORACLE_select_union_访问16次——当向Oracle数据库服务器指定执行一命令导致存储在系统上的数据产生重要变化时产生这一事件。这样的命令经常以管理员的权限删除数据,添加数据,添加用户,删除用户,返回敏感信息或为以后的系统安全获得进一步的信息。启明星辰AGIS信息安全团队通过与Telnet会话日志做交叉分析后断定,这16起连接为合法的telnet连接,表明用户发出 select union合并查询操作,对AGIS专网无实际危害。

  二、被安全设施及策略阻断的攻击153,654起

  1.扫描及拒绝服务攻击

   Netbios_空会话扫描153,630次——该事件表明某源IP地址主机正在扫描一个网段中可以进行空连接的主机,并且尝试列举Windows主机的共享资源。MDC防火墙上对主机的TCP139、TCP445、UDP445的访问限制策略可有效杜绝因空会话扫描引起的安全风险,启明星辰AGIS信息安全团队通过对日志进行跟踪,确定此类事件均被防火墙成功拦截。

   DOS_TCP_FLOOD_拒绝服务8次——该事件表明攻击者正在通过TCP协议使用半会话的方式对目标主机进行DoS攻击。启明星辰AGIS信息安全团队针对告警日志进行跟踪,确定攻击均被防火墙成功拦截。

   DOS_ICMP_FLOOD_拒绝服务2次——该事件表明攻击者正在使用ICMP协议对目标主机进行DoS攻击。该攻击的源IP通常是伪造的。启明星辰AGIS信息安全团队针对告警日志进行跟踪,确定攻击均被防火墙成功拦截。

  2.缓冲区溢出

   MSRPC_MS_LSA_远程缓冲区溢出漏洞利用[ms04-011]8次——该事件表明源IP地址主机正试图利用微软MS04-011漏洞攻击目的IP地址主机。启明星辰AGIS信息安全团队对目标主机进行漏洞扫描,该台主机已经过安全加固,且防火墙对UDP端口135、137、138、445和TCP ports端口135、139、445、593进行过滤,可有效防止此类攻击,经确认这8次攻击均被防火墙成功拦截。

  3.病毒事件

   病毒事件6次——为FTP下载文件引起,均由防病毒软件自动查杀成功,未造成进一步危害。

  三、根据预案人工处理的事件104起

  1.穷举探测

   TDS_MS-SQL_口令穷举探测65次——通过TCP/IP的认证方式多次连接访问MS SQL数据库并且登录失败时,触发该事件。经启明星辰AGIS信息安全团队分析,该事件相关源地址均为授权访问的MS SQL客户端,且事件次数合理,该事件定性为客户端密码输入错误引起的告警。

  2.可疑行为

   HTTP_CGI_漏洞扫描28次——远程入侵者试图通过使用WEB扫描工具对服务器进行扫描。当WEB服务器存在漏洞时可能被入侵者探测到,并且进一步通过漏洞入侵服务器,启明星辰AGIS信息安全团队密切关注该事件的源IP地址,并根据预案对该事件的目标服务器再次进行漏洞扫描,由于赛前此类服务器均已进行过安全加固,直至比赛结束相关服务器均未发现异常。

  3.木马后门

   TCP_后门_Up&Run木马v1.2_反向连接11次——这款是反弹端口的木马,被植入服务端的主机会主动连接客户端,客户端可查看并关闭服务端进程。启明星辰AGIS信息安全团队使用专杀工具对相关主机进行查杀,及时清除了木马,消灭了安全威胁。

  总之,启明星辰AGIS信息安全团队在赛前对AGIS专网主要资产进行了详细的调研;对主要资产进行了漏洞扫描、渗透测试及安全加固服务;对AGIS终端进行了严格的基于可信MAC地址的网络准入控制;对AGIS终端的外设包括USB、3G网卡等进行了严格的限制;在测试的前提下及时更新网络防病毒软件;对AGIS安全设备进行每天四次的巡检;增加了SOC加强对AGIS的安全事件监控。赛时发生的安全事件,均由启明星辰AGIS信息安全团队根据赛前部署的安全措施、安全策略及事件处置预案进行了妥善的处理,整个赛时信息安全风险均控制在可以接受的范围之内,无重大安全事故发生。

2
相关文章