绿盟科技威胁态势感知方案

2016数博会刚刚结束，会议由国家发改委、工信部、商务部、网络安全和信息化领导小组、贵州省人民政府主办，网监、网安及各市县领导现场指导工作。此次活动超过9万名各界人士参与，具有规模大、规格高、时间长、要求严等特点，意义重大，绿盟科技及友商团队受主管机构指派，顺利完成大会的网络安全保障工作，而这其中“绿盟科技威胁态势感知方案”的贡献不小。

DDoS防护3万余次

根据大会指挥中心的统一部署，各部本地化保障团队值守待命，随时准备关键时刻的到来。25日晚20:05分许，数博会官网出现访问问题，在绿盟科技态势感知预警平台的流量监控日志中出现告警，发现一起严重DDoS攻击。

在下图中可以看到，瞬间攻击流量峰值达到272.2M，攻击包数达到每秒70.3K个包。

这种流量的攻击从过往经验来看并不算大，但其攻击数据包较多，导致系统无法响应而瘫痪，绿盟科技内层DDoS防护系统随即启动，将访流量牵引到DDoS防护设备ADS上，2分钟后，官网核心系统恢复正常访问。

大会期间，绿盟抗拒绝服务系统拦截各类DDoS攻击共计3万余次，其中syn flood（22000余次），UDP-Flood（总计8000余次），Connection-Flood（600余次），ack flood(500余次)，这些攻击都是常见的流量型和资源耗尽型攻击形式。

先有预案 从容应对

之所以能够实现业务的快速恢复，得益于事前的应急预案。早在大会开幕之前，绿盟科技安保团队就与客户一起进行了实战演练。

• 首先，通过绿盟流量分析系统对数博会官网、会务系统等核心业务系统进行异常流量分析和建模，理解其业务特性，配置相应的抗拒绝服务系统防护策略；
• 然后，在未开启抗拒绝服务系统防护的情况下，从公网模拟各种DDoS攻击形式，测试数博会官网系统及会务系统可能遭遇到的攻击场景；
• 最后，启动绿盟抗拒绝服务系统及防护策略之后，系统主机CPU、内存占用率立刻降到正常范围，异常流量被清洗，业务恢复正常。

在这样重要的会议期间，其核心系统最容易遭受大规模DDoS攻击，且攻击形式不会是单一形式。在此次事件中，外层防护系统对于传统的CC攻击具有一定的防护效果，但对于混合的DDoS攻击就无能能力，此时，事前演练中针对业务特性所制定的防护策略就发挥了作用，如当HTTP Get Flood或HTTP Post Flood请求超过模型阈值时，立刻触发图片验证登录，仅让正常的流量通过，从而保障了业务系统的稳定运行。这样的防护效果，得到了网监的高度认可。

在以往绿盟科技历次重大活动值守的经验积累中，DDoS攻击者常常会更换不同的攻击方式进行试探，在此次遭遇的攻击中，攻击者并没有使用大流量攻击，而是使用了小流量混合式攻击，以求耗尽目标系统资源。这个时候就看攻守方谁更理解业务特性，谁就能最后胜出。由此可见攻防过程中，设备只是一个方面，更重要的是人与人的较量。这些现象、观点及应对办法，在《2015 DDoS威胁报告》中均有所提及。

入侵防护758次

然而，如今的攻击者并不是如此简单，DDoS攻击之下掩盖的是更多的“暗度陈仓”。在峰会值守过程中，绿盟科技的入侵检测系统发现并阻止了来自境外入侵动作多达758次，攻击IP主要以俄罗斯、法国和美国为主，这些攻击主要针对的目标是大会的人数统计系统、会务系统，进行了大量的恶意探测和暴力破解行为。

其中来自马尔代夫123...162的攻击，对内部众多业务系统进行远程登录，绿盟入侵防护系统立刻启动防护措施，对该源IP进行处理，有效保障了内部资产的安全。

追踪溯源定位攻击者

据绿盟安全态势感知平台的不完全统计，发现大部分攻击源来自美国、日本、荷兰、德国等境外国家，尤其以美国最多。而国内的攻击源主要来自广东、福建、浙江、江苏、北京等省区，这可能是攻击者控制的僵尸网络，安保团队随即将这些信息上报。

在峰会期间，前端防护系统发现攻击并通告了攻击源IP属地，但IP属地范围过大，给排查取证带来了较大困难。为此，绿盟科技安保团队采取技术手段，通过分析该IP的行为，定位了具体的经纬度和具体街道楼层，为网安破案提供了有力支撑。

网站监测展示全局

在此次安保活动中，绿盟科技安保团队除了后端网络和信息系统的安全防护任务之外，同时也协助网安对重点网站进行了网站监测，并将网站平稳度、网页篡改、网页挂马盗链、敏感信息泄露和webshell的异常情况实时短信和邮件通知用户。

渗透测试发现漏洞

在峰会期间，现场绿盟科技安保团队受网监指派，对重点网站做了详细的渗透测试报告，发现大数据官网、某某厅官网、某某政府官网等存在不同程度的漏洞，并提供了修复建议，整个工作得到了8家用户单位的高度认可。尤其是协助处理某某网站被暗链攻击的事件中，由于工作成绩突出，得到用户的高度赞扬。

巨人背后的专家

各界领导莅临指挥中心

此次大会的安保工作得到了各级领导的高度重视，纷纷莅临大会指挥中心参观指导。

绿盟安全态势感知解决方案显身手

在此次安全保障期间，绿盟科技应用了绿盟安全态势感知解决方案，该解决方案能预警攻击威胁，溯源攻击事件源头，感知并掌控宏观安全态势，从而为此次安保工作提供全方位服务。绿盟安全态势感知解决方案（TSA）是绿盟科技智慧安全2.0战略的重要组成部分。

重大活动网络安保需要经验

多年来，绿盟科技针对重大活动安保工作，总结了事前网站安全检测+事中网站安全监测+本地应急值守服务的一体化安保解决方案。

在网站监测方面

重大活动安保主要包括几个方面的监测，

• 网站平稳度监测：监测网站的通断事件和高延迟事件，主要用于发现DDoS引起的业务可用性受损。
• 篡改、暗链、敏感内容：网站页面发布或被攻击者替换有色情信息、赌博信息、不良广告、反动势力或团体政治主张、邪教相关的页面。
• 挂马：网站页面被设置了含有恶意代码或恶意文件的页面
• Webshell：网站页面被加载Webshell，作为攻击者访问和控制网站系统的后门。

在应急值守方面

重大活动安保包括几十项事前、事中、事后的工作内容，细节较为复杂，这里将主要的项目介绍如下：

• 应急组织设置，需要结合实际的业务情况，协同多个部门组建应急领导小组，并落实到人员构成及职责分工；
• 应急响应体系，与实际的业务流程相结合，协同多个部门做好应急响应及执行程序，这包括信息系统监控、信息系统基线分析、事件分类分级、事件报警与通知、应急分析与恢复、紧急故障隔离；
• 通知和报告，在应急事件报告的流程中，为保证信息传递的准确性和效率，报告应简明扼要、事实清楚，报告的通讯工具需要参考实际情况明确，一般来说以如下顺序选择，办公电话、手机、短信、邮件等；
• 应急处理体系，各单位、各部门可根据自身情况，自我检查应急环境准备或者建立应急前准备措施；
• 安全故障处理手册，可以针对事前的网站安全检测中发现的问题，以及一些典型的攻击类型及场景，准备应急处置方法、流程、工具等，包括可能的二次开发；
• 故障隔离，在确认故障无法短时间内恢复和处理完毕的情况下，需要采取的临时故障隔离手段，确保不影响全面的互联网服务区系统运行或规避出现重大社会影响事件；
• 演练要求，为了提高应急处理的速度，提高应急响应工作组成员对门户网站安全事件处理的熟练程度，应定期对预案进行演练。

绿盟科技历年重大安保活动

凭借历次重大活动网络安保中的成功经验，绿盟科技安保团队将进一步发挥自身技术优势，积极配合主管部门切实做好每一次重大活动的网络安全保障工作，更好地服务于国家网络安全工作的需要，努力维护国家、行业和用户安全，为营造健康有序的网络环境，做出积极的贡献！

如果您需要了解更多内容，可以
加入QQ群：486207500、570982169
直接询问：010-68438880-8669