网络蠕虫灾害及其应急处理的 新特点
1 网络蠕虫灾害及其应急处理的 新特点
内容安排 网络蠕虫:日益严重的威胁 ■网络蠕虫的新特点 ■未来蠕虫的威胁 ■网络蠕虫灾害的应急处理
2 内容安排 n 网络蠕虫:日益严重的威胁 n 网络蠕虫的新特点 n 未来蠕虫的威胁 n 网络蠕虫灾害的应急处理
近年来的网络蠕虫灾害 ■红色代码I尼姆达 ■SQL杀手蠕虫 ■口令蠕虫 红色代码F变种 ■ MSBLAST蠕虫(冲击波)
3 近年来的网络蠕虫灾害 n 红色代码II/尼姆达 n SQL杀手蠕虫 n 口令蠕虫 n 红色代码F变种 n MSBLAST蠕虫(冲击波)
SQL杀手蠕虫事件 ■2003年1月25日发作 ■感染SQL数据库服务器,在服务器之间主动蔓 延 使用UDP1434端口攻击 造成大面积网络拥塞,部分骨干网络瘫痪 韩国网络基本处于瘫痪状态 我国境内感染主机22600余台 ■具备应急体系和机制之后第一次处理大规模网 络安全事件,做到了快速响应
4 SQL 杀手蠕虫事件 n 2003年1月25日发作 n 感染SQL数据库服务器,在服务器之间主动蔓 延 n 使用UDP1434端口攻击 n 造成大面积网络拥塞,部分骨干网络瘫痪 n 韩国网络基本处于瘫痪状态 n 我国境内感染主机22600余台 n 具备应急体系和机制之后第一次处理大规模网 络安全事件,做到了快速响应
处理过程 ■接到举报 ■核实全网情况 ■向全网通报情况,样本分析 ■实施数据监测 ■了解境外情况 ■隔离方法分析和确认 ■通报隔离方法,实施隔离 ■恢复故障网络 媒体工作 ■跟踪监测与分析报告
5 处理过程 n 接到举报 n 核实全网情况 n 向全网通报情况,样本分析 n 实施数据监测 n 了解境外情况 n 隔离方法分析和确认 n 通报隔离方法,实施隔离 n 恢复故障网络 n 媒体工作 n 跟踪监测与分析报告
SQL事件总结 ■1月28日召开总结会: ■技术角度得到的经验:
6 SQL事件总结 n 1月28日召开总结会: n 技术角度得到的经验: n …………………………
口令蠕虫事件 ■3月8日出现,主要在教育网中蔓延,部分大学校 园网络瘫痪 ■后蔓延到电信、联通、移动、铁通、网通等多个 网络,感染服务器41207台 ■并不利用系统漏洞,而是采用猜口令的方式攻击 管理不善的主机(而口令问题由于涉及到每一个 用户,始终是最难以解决的问题之一) ■植入后门以后和境外13个IRC服务器建立联系
7 口令蠕虫事件 n 3月8日出现,主要在教育网中蔓延,部分大学校 园网络瘫痪 n 后蔓延到电信、联通、移动、铁通、网通等多个 网络,感染服务器41207台 n 并不利用系统漏洞,而是采用猜口令的方式攻击 管理不善的主机(而口令问题由于涉及到每一个 用户,始终是最难以解决的问题之一) n 植入后门以后和境外13个IRC服务器建立联系
处理过程 ■接到举报 ■核实全网情况 ■向全网通报情况,样本分析 ■实施数据监测,切断与IRC服务器的联系 ■了解境外情况 ■隔离方法分析和确认 ■通报隔离方法 ■媒体工作 ■跟踪监测与分析报告
8 处理过程 n 接到举报 n 核实全网情况 n 向全网通报情况,样本分析 n 实施数据监测,切断与IRC服务器的联系 n 了解境外情况 n 隔离方法分析和确认 n 通报隔离方法 n 媒体工作 n 跟踪监测与分析报告
红色代码F变种 ■3月11日发作,在欧洲一些国家造成影响 3月11日至13日,检测到此蠕虫在我国网 络中扩散次数达127860次 ■接到用户举报 ■监测系统发现最早证据 完全利用原来的漏洞,依然可以形成一定 规模
9 红色代码F变种 n 3月11日发作,在欧洲一些国家造成影响 n 3月11日至13日,检测到此蠕虫在我国网 络中扩散次数达127860次 n 接到用户举报 n 监测系统发现最早证据 n 完全利用原来的漏洞,依然可以形成一定 规模
冲击波”蠕虫 8月11日启动响应,向各运营商与合作单 位与国外组织发送警报和应对措施、交换 ■8月15日启动针对DDoS的数据分析,与 各组织保持密切联系 ■8月18日发现 MSBlast Remove ■到目前发现感染数目超过200万 10
10 “冲击波”蠕虫 n 8月11日启动响应,向各运营商与合作单 位与国外组织发送警报和应对措施、交换 信息 n 8月15日启动针对DDoS的数据分析,与 各组织保持密切联系 n 8月18日发现MSBlast.Remove n 到目前发现感染数目超过200万