户简介
该户基础电信运营商省级分支机构营电信业务种类包括:移动通信(GSMCDMA)电话国国际长途数通信IP电话互联网线寻呼网络元素出租等公司拥众市县两级属分支机构分支机构远程户需访问公司总部网络户网络拓扑图示:
户面问题
户部网络连续两周出现间歇性瘫痪症状均天瘫痪4次左右次时间长达时症状较轻时网络尚联通网速异常慢法忍受症状较重时网络彻底瘫痪子网间均达子网丢包率高面核心交换机节选24时流量采样图:
户部细分40VLAN面仅节选中5简单统计难发现101216182022时间段流量出现异常时间段间隔规律流量统计600M—1G范围
户实现目标
次网络瘫痪时间长达两周严重影响户业务网办公网正常运行牵涉众部门关注领导层级越越高分公司部门抽调骨干员组成应急事件响应组达命令部门须条件配合求3天找出原彻底解决网络障
网络运维部前二周通排查基排原:
1述时间段没海量业务数需传送
2网络会动恢复稳定部路表疑处路追踪没出现循环排三层路问题
3瘫痪前网络拓扑结构没变动太交换机循环断开部分交换机连接强制Spanning Tree重新生成网络状况然没改善排二层交换机问题
4OA计费代理服务器防火墙路等设备工作正常CPU负载高排硬件性问题
5升级检查网络设备IOS版防止针CISCO漏洞拒绝服务攻击网络状况然没改善
6全网面积瘫痪排某块网卡设备障网络带负面影响
7发现SQL蠕虫强制MS SQL2K补丁卸载业务关SQL数库问题未解决
SYGATE 解决方案
户尝试众厂商方案没达预期效果通类似历户解SygateSygate三天开始介入
流交换机厂商选择Sygate解决网络端点引发问题例蠕虫者疯狂载引起网络流量达600M时达警戒阀值绝数千兆交换机超该界值会出现涌堵瘫痪情况Sygate工程师流量采样图基确认蠕虫惹祸
第天
Sygate客户端HIDS模块识阻断常见网络型病毒蠕虫户协商流量异常VLAN中分部署23Sygate客户端整分公司覆盖50点形成分布式IDS架构快中央理服务器接受客户端递交量入侵检测事件日志排名前位击波震荡波五毒虫NetSkyMydoom等
利Sygate报表系统生成Top 20攻击源报告安排手现场排查排查结果令震惊例营业终端网段机器感染五毒虫五毒虫台机器少复制1000副利专杀工具全盘杀毒少30分钟
第二天
根Sygate实验室分析两蠕虫疯狂发包情况够瘫痪桌面交换机楼层交换机全网统杀毒非常困难逐端点杀毒时间太长采病毒治理方法剩余两天时间完成领导求Sygate建议分两步走首先网络端点病毒进行隔离杜绝网络击次谋求根病毒修复系统漏洞
Sygate客户端机防火墙模块利该模块做应程序控制连接控制Sygate系统学力够动发现网络中应程序利两功中控台轻松制定出网络程序黑名单学回蠕虫病毒列入中黑名单中程序失访问网络权限样安装Sygate网络节点感染述病毒病毒隔离系统法扩散影响网络
意思五毒虫病毒包含量常
见进程名二进制文件例IEXPLOREEXENetMeetingexeCOMMANDEXE等进程企图混淆视听逃避安全方案中黑名单制裁Sygate特应程序指纹动生成功帮助户死死锁定恶意程序影响正常进程
时配置规封闭述病毒端口规配合HIDS模块起双保险作防止没感染终端病毒入侵
应急响应组种方式动员户安装sygate客户端两天时间里快部署600节点覆盖网络中终端网络终恢复稳定状态
第三天
天利Sygate系统进行统计分析总结事直接原
1补丁缺失严重未关键补丁机器例高65例财务办公区Win2000仅SP3机器买回系统没更新
2互联网区域反成重灾区例计费网OA服务器区连接互联网安全意识疏忽系统疏升级
3笔记终端收集IP原连接网时CDMA连接互联网CDMA部分户说免费样导致交叉感染
4量机器空口令口令蠕虫开方便门
增加规
1部架设SUS服务器设定规Sygate客户端重定部SUS服务器动升级补丁
2强制检查关键补丁果关键补丁缺失开启IE动连接部安全网站相关页面帮助户解问题提供载链接
3旦Sygate客户端检查重病毒进程运行动分发病毒专杀工具户机
4笔记户设置两套适应规网时禁止CDMA拨号适配器
5启强口令系统文件保护禁止匿名访问等系列系统加固策略
方案实施结果
该户实施SYGATE 安全策略保证系统短时间控制种病毒疫网蔓延济建立起套双保险补丁分发系统动加固系统
户历次惨痛教训真正建立起应急事件快速响应机制积极意义讲户仅清次重病毒疫成换间断防御网络
电子邮件:xfhuang@mailenetcomcn 者jshan@mailenetcomcn
责编辑:雷震
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档