|
吉林省演练“黑客阻击战”成功抵御攻击
这是一个吉林版的《黑客帝国》。
报告:“网通公司下属长春市分公司和吉林市分公司发生了出口流量异常的现象,攻击来源于一个境外IP地址,网络怀疑受到境外黑客的攻击……”10日9时起,我省各家通信公司进入了互联网安全应急预案实战演习,一场剿灭境外黑客和“僵尸网络”的战役正式打响。
据悉,这是近年来阻击网络黑客难度最高的一次。
剧本一
两个多小时干掉了“境外黑客”
剧本关键词:黑客。黑客一词不代表一种荣耀,不是热心于计算机技术、水平高超、反权威却奉公守法的网络英雄。黑客已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。
模拟时间:2006年7月29日
8时05分 吉林网通长春市分公司突然发现网络异常,立即向吉林省通信公司网管中心汇报。
8时10分 吉林市分公司也发现网络异常。(两公司发现故障的同时,指挥现场通过5个大屏幕,能够明显注意到骨干网络流量曲线与未受攻击时正常曲线的变化。)
8时15分 省网管中心应急处理,“从对两地公司发来的网络日志分析,两市骨干网络遭受的是针对路由器(路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行‘翻译’,以使它们能够相互‘读’懂)出现漏洞的攻击,攻击来源于境外IP地址。”随即,省网管中心立刻在省际出口封堵攻击源IP地址。
指挥中心立即上报国家网络安全管理中心,经核实,确认吉林省发生了断网事件。吉林省互联网应急处理办公室要求清查省内其他骨干互联网是否遭到黑客攻击。
9时 指挥中心启动紧急预案,“我省现已发生了二级安全事件,决定立即启动二级预案处理流程,请各运营企业马上执行预案,并在8小时之内提出解决方案。”
魔高一尺,道高一丈。
10时05分 指挥中心参考国家网络安全管理中心回复的信息进行紧急研究,最终认定本次断网的根本原因是路由器的操作系统存在严重漏洞,当受到黑客的攻击包时,路由器就会瘫痪。
10时20分 指挥中心向受攻击地区通报解决方案。
10时30分 受攻击单位报告网络恢复正常。
23时 经过近12个小时的观察,全省各个互联网省际出口运行正常,中止预案。
剧本二
“僵尸网络”攻击政府某重要网站
剧本关键词:“僵尸网络”。2004年以来,利用“僵尸网络”传播网络蠕虫、发送垃圾邮件和进行拒绝服务攻击的事件越来越多。目前,国内甚至有人公开在网络上叫卖和出租“僵尸网络”,500台的“僵尸网络”标价500元;2000台的标价1500元;无限制的标价2500元。(设计背景:2004年年底,吉林省网络安全指挥中心成功处理了一起利用“僵尸网络”向某知名网站发动拒绝服务攻击的事件。)
模拟时间:2005年11月18日
8时 吉林省网络指挥中心吉林分中心接到报告,“我是政府网站信息中心,我们维护的省网站目前无法对外提供服务,经过分析,遭到了严重的分布式拒绝服务攻击;此外,邮件服务器收到大量垃圾邮件,这些邮件都是网络仿冒邮件,攻击来源范围很广,无法追踪,请求帮助。”
8时15分 吉林省网络指挥中心吉林分中心请吉林网通配合寻找样本,确认吉林省政府某重要网站遭到僵尸网络攻击,通过监测还发现在该网络中的一些IP地址感染了僵尸程序。
13时 应急服务单位相继返回受僵尸网络攻击的网站样本分析结果,确定XBOT僵尸程序特征,并确定该僵尸网络的控制服务器共有3个,分别分布在美国、中国和韩国,同时启动预案和事件处置阶段。
13时20分 定义此事件属于三级预警事件,启动三级预案。
13时30分 在吉林网通的配合下,指挥中心进行现场分析时发现,该机器是一台被黑客远程控制的普通用户机器,是它在传播僵尸网络。
随后,技术人员在这台服务器上采集了一些信息,包括黑客发送的指令和地址等,对照黑客上网时间和账号活动情况,判断黑客的IP地址为境外。
翌日8时30分 国家网络安全管理中心通过863—917平台监测僵尸网络已停止活动,并将XBOT专杀工具提供给各个运营企业。
11时 省通信保障应急小组停止三级预案,正式向各单位下发停止预案通知。(本报记者 邹智威 实习生 李丽)来源:新文化报 | 
精彩生活 
