[精选]信息安全管理应急响应.pptx

《[精选]信息安全管理应急响应.pptx》由会员分享，可在线阅读，更多相关《[精选]信息安全管理应急响应.pptx（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理应急响应内容提要内容提要n n应急响应效劳背景应急响应效劳背景n n什么是应急响应什么是应急响应n n应急响应组的组建应急响应组的组建n n应急响应效劳的过程应急响应效劳的过程n n应急响应效劳的形式和内容应急响应效劳的形式和内容n n应急响应效劳的指标应急响应效劳的指标n n应急响应效劳案例应急响应效劳案例应急响应效劳背景应急响应效劳背景n n应急响应效劳的诞生CERT/CC 19881988年年MorrisMorris蠕虫事件直接导致了蠕虫事件直接导致了CERT/CCCERT/CC的诞生。的诞生。国防部国防部DoDDoD在卡内基梅隆大学的软件工程研究在卡内基梅隆大学的软件工程研

2、究所成立了计算机应急响应组协调中心所成立了计算机应急响应组协调中心CERT/CCCERT/CC以协调以协调InternetInternet上的安全事件处理。目前，上的安全事件处理。目前，CERT/CCCERT/CC是是DoDDoD资助下的抗毁性网络系统方案资助下的抗毁性网络系统方案Networked Networked Systems Survivability ProgramSystems Survivability Program的一局部，下设三个的一局部，下设三个部门：事件处理、脆弱性处理、计算机安全应急响部门：事件处理、脆弱性处理、计算机安全应急响应组应组CSIRTCSIRT。在在CE

3、RT/CC CERT/CC 成立之后的成立之后的1414年里，共处理了年里，共处理了2828万多封万多封EmailEmail，2 2万多个热线万多个热线 ，其运行模式帮助了，其运行模式帮助了8080多个多个CSIRTCSIRT组织的建设。组织的建设。应急响应效劳背景应急响应效劳背景n nCERT/CC效劳的内容 安全事件响应安全事件响应 安全事件分析和软件安全缺陷研究安全事件分析和软件安全缺陷研究 缺陷知识库开发缺陷知识库开发 信息发布：缺陷、公告、总结、统计、补丁、工具信息发布：缺陷、公告、总结、统计、补丁、工具 教育与培训：教育与培训：CSIRTCSIRT管理、管理、CSIRTCSIRT技

4、术培训、系统和技术培训、系统和网络管理员安全培训网络管理员安全培训 指导其它指导其它CSIRTCSIRT也称也称IRTIRT、CERTCERT组织建设组织建设内容提要内容提要n n应急响应效劳背景应急响应效劳背景n n什么是应急响应什么是应急响应n n应急响应组的组建应急响应组的组建n n应急响应效劳的过程应急响应效劳的过程n n应急响应效劳的形式和内容应急响应效劳的形式和内容n n应急响应效劳的指标应急响应效劳的指标n n应急响应效劳案例应急响应效劳案例事件响应事件响应n n事件响应：对发生在计算机系统或网络上的威胁安全的事件进行响应。n n事件响应是信息安全生命周期的必要组成局部。这个生命

5、周期包括：对策、检测和响应。n n网络安全的开展日新月异，谁也无法实现一劳永逸的安全效劳。应急响应描述应急响应描述n n当安全事件发生需要尽快解决，而一般技术人员又无法迅速处理的时候，就需要安全效劳商提供一种发现问题、解决问题的有效效劳手段来解决问题。n n这种效劳手段可以描述为：客户的主机或网络正遭到攻击或发现入侵成功的痕迹，而又无法当时解决和追查来源时，安全效劳商根据客户的要求以最快的速度赶到现场，协助客户解决问题，查找后门，保存证据和追查来源。什么是应急响应什么是应急响应n n应急响应也叫紧急响应，是安全事件发生后迅速采取的措施和行动，它是安全事件响应的一种快速实现方式。n n应急响应效

6、劳是解决网络系统安全问题的有效安全效劳手段之一。应急响应的目的应急响应的目的n n应急响应效劳的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。应急响应效劳的特点应急响应效劳的特点n n技术复杂性与专业性各种硬件平台、操作系统、应用软件各种硬件平台、操作系统、应用软件n n知识经验的依赖性由由IRTIRT中的人提供效劳，而不是一个硬件或软件产品中的人提供效劳，而不是一个硬件或软件产品 n n突发性强n n需要广泛的协调与合作内容提要内容提要n n应急响应效劳背景应急响应效劳背景n n什么是应急响应什么是应急响应n n应急响应组的组建应急响应组的组建n n应急响应效

7、劳的过程应急响应效劳的过程n n应急响应效劳的形式和内容应急响应效劳的形式和内容n n应急响应效劳的指标应急响应效劳的指标n n应急响应效劳案例应急响应效劳案例应急响应组的组建应急响应组的组建n n什么是应急响应组什么是应急响应组IRTIRT 应急响应组就是一个或更多的个人组成的团队，应急响应组就是一个或更多的个人组成的团队，能快速执行和处理与安全有关的事件的任务。能快速执行和处理与安全有关的事件的任务。n n为什么需要成立应急响应组为什么需要成立应急响应组 容易协调响应工作容易协调响应工作 提高专业知识提高专业知识 提高效率提高效率 提高先期主动防御能力提高先期主动防御能力 更加适合于满足机

8、构的需要更加适合于满足机构的需要 提高联络功能提高联络功能 提高处理制度障碍方面的能力提高处理制度障碍方面的能力应急响应组的分类应急响应组的分类国际间的协调组织国内的协调组织国内的协调组织愿意付费的任何用户产品用户网络接入用户企业部门、用户商业IRT网络效劳提供商 IRT厂商 IRT企业/政府 IRT如：绿盟科技如：CCERT如：Cisco、IBM如：中国银行、部如CERT/CC,FIRST如CNCERT/CC国外应急响应组建设情况国外应急响应组建设情况n n国外安全事件响应组CSIRT建设情况 FedCIRCFedCIRC、BACIRTBACIRT、DFN-CERTDFN-CERT等等 DO

9、E CIACDOE CIAC、AFCERTAFCERT、NavyCIRTNavyCIRT 亚太地区：亚太地区：AusCERTAusCERT、SingCERTSingCERT等等n nFIRST1990 FIRSTFIRST为为IRTIRT组织、厂商和其他安全专家提供一个论坛，讨论安组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。可接受的方案。120120多个正式成员组织，覆盖多个正式成员组织，覆盖2020多个国家和地区。多个国家和地区。FIRSTFIRST的大量工作都是由来自各

10、成员组织的志愿者完成的，从的大量工作都是由来自各成员组织的志愿者完成的，从FIRST FIRST 中获益的比例与中获益的比例与IRTIRT愿意提供的奉献成比例。愿意提供的奉献成比例。国内应急响应组建设情况国内应急响应组建设情况n n计算机网络基础设施已经严重依赖国外计算机网络基础设施已经严重依赖国外n n由于地理、语言、政治等多种因素，安全效劳不可能由于地理、语言、政治等多种因素，安全效劳不可能依赖国外的组织依赖国外的组织n n国内的应急响应效劳组织还处在建设阶段国内的应急响应效劳组织还处在建设阶段 CCERTCCERT19991999年年5 5月，中国教育科研网紧急响应组月，中国教育科研网紧

11、急响应组 NJCERTNJCERT19991999年年1010月，月，中国教育网中国教育网华华东北东北地区网地区网络络安全安全事件事件响响应组应组 中国电信中国电信ChinaNetChinaNet安全小组安全小组 解放解放 ，部部 商业网络安全效劳公司商业网络安全效劳公司n n中国计算机应急响应组中国计算机应急响应组/协调中心协调中心CNCERT/CCCNCERT/CC 信息产业部安全管理中心信息产业部安全管理中心 ，20002000年年3 3月，北京月，北京国际应急响应组网址国际应急响应组网址内容提要内容提要n n应急响应效劳背景应急响应效劳背景n n什么是应急响应什么是应急响应n n应急响

12、应组的组建应急响应组的组建n n应急响应效劳的过程应急响应效劳的过程n n应急响应效劳的形式和内容应急响应效劳的形式和内容n n应急响应效劳的指标应急响应效劳的指标n n应急响应效劳案例应急响应效劳案例应急响应效劳的过程应急响应效劳的过程n n准备n n检测n n抑制n n铲除n n恢复n n跟踪应急响应效劳的过程应急响应效劳的过程准备准备准备准备n n基于威胁建立一组合理的防御/控制措施n n建立一组尽可能高效的事件处理程序n n获得处理问题必须的资源和人员n n建立一个支持事件响应活动的基础设施应急响应效劳的过程应急响应效劳的过程检测检测检测检测n n确定事件是已经发生了还是在进行当中n

13、n初步动作和响应选择检测工具，分析异常现象选择检测工具，分析异常现象激活审计功能激活审计功能迅速备份完整系统迅速备份完整系统记录所发生事件记录所发生事件估计安全事件的范围估计安全事件的范围应急响应效劳的过程应急响应效劳的过程抑制抑制抑制抑制n n限制攻击的范围，同时限制了潜在的损失和破坏。n n抑制策略 完全关闭所有系统；完全关闭所有系统；将网络断开；将网络断开；修改所有防火墙和路由器的过滤规则，拒绝来自看起来是修改所有防火墙和路由器的过滤规则，拒绝来自看起来是 发起攻击的主机的所有的流量；发起攻击的主机的所有的流量；封锁或删除被攻击的登录账号；封锁或删除被攻击的登录账号；提高系统或网络行为的

14、监控级别；提高系统或网络行为的监控级别；设置诱饵效劳器作为陷阱；设置诱饵效劳器作为陷阱；关闭被利用的效劳；关闭被利用的效劳；还击攻击者的系统等。还击攻击者的系统等。应急响应效劳的过程应急响应效劳的过程铲除铲除铲除铲除n n安全事件被抑制后，找出事件根源并彻底铲除，即铲除事件的原因。应急响应效劳的过程应急响应效劳的过程恢复恢复恢复恢复n n把所有受侵害或被破坏的系统、应用、数据库等彻底地复原到它们正常的任务状态。应急响应效劳的过程应急响应效劳的过程跟踪跟踪跟踪跟踪n n回忆事件处理过程n n总结经验教训n n为管理或法律目的收集损失统计信息n n建立或补充自己的应急方案内容提要内容提要n n应急

15、响应效劳背景应急响应效劳背景n n什么是应急响应什么是应急响应n n应急响应组的组建应急响应组的组建n n应急响应效劳的过程应急响应效劳的过程n n应急响应效劳的形式和内容应急响应效劳的形式和内容n n应急响应效劳的指标应急响应效劳的指标n n应急响应效劳案例应急响应效劳案例应急响应效劳的形式应急响应效劳的形式n n远程应急响应效劳n n本地应急响应效劳远程应急响应效劳远程应急响应效劳n n客户通过客户通过 、EmailEmail、等方式请求安全事件响等方式请求安全事件响应，应急响应组通过相同的方式为客户解决问应，应急响应组通过相同的方式为客户解决问题。题。n n经与客户网络相关人员确认后，客

16、户方提供主经与客户网络相关人员确认后，客户方提供主机或设备的临时支持账号，由应急响应组远程机或设备的临时支持账号，由应急响应组远程登陆主机进行检测和效劳，问题解决后出具详登陆主机进行检测和效劳，问题解决后出具详细的应急响应效劳报告。细的应急响应效劳报告。n n远程系统无法登陆，或无法通过远程访问的方远程系统无法登陆，或无法通过远程访问的方式替客户解决问题，客户确认后，转到本地应式替客户解决问题，客户确认后，转到本地应急相应流程，同时此次远程响应无效，归于本急相应流程，同时此次远程响应无效，归于本地应急响应类型。地应急响应类型。本地应急响应效劳本地应急响应效劳n n应急响应组在第一时间赶往客户网

17、络系统安应急响应组在第一时间赶往客户网络系统安全事件的事发地点，在现场为客户查找事发全事件的事发地点，在现场为客户查找事发原因并解决相应问题，最后出具详细的应急原因并解决相应问题，最后出具详细的应急响应效劳报告。响应效劳报告。应急响应效劳的内容应急响应效劳的内容n n病毒事件响应n n系统入侵事件响应n n网络故障事件响应n n拒绝效劳攻击事件响应内容提要内容提要n n应急响应效劳背景应急响应效劳背景n n什么是应急响应什么是应急响应n n应急响应组的组建应急响应组的组建n n应急响应效劳的过程应急响应效劳的过程n n应急响应效劳的形式和内容应急响应效劳的形式和内容n n应急响应效劳的指标应急

18、响应效劳的指标n n应急响应效劳案例应急响应效劳案例应急响应效劳的指标应急响应效劳的指标n n远程应急响应效劳远程应急响应效劳 在确认客户的应急响应请求后在确认客户的应急响应请求后2 2小时内，小时内，交与相关应急响应人员进行处理。无论是否交与相关应急响应人员进行处理。无论是否解决，进行处理的当天必须返回响应情况的解决，进行处理的当天必须返回响应情况的简报，直到此次响应效劳结束。简报，直到此次响应效劳结束。n n本地应急响应效劳本地应急响应效劳 对本地范围内的客户，对本地范围内的客户，3-63-6小时内到达现小时内到达现场；对异地的客户，场；对异地的客户，2424小时加路途时间内到小时加路途时

19、间内到达现场。达现场。内容提要内容提要n n应急响应效劳背景应急响应效劳背景n n什么是应急响应什么是应急响应n n应急响应组的组建应急响应组的组建n n应急响应效劳的过程应急响应效劳的过程n n应急响应效劳的形式和内容应急响应效劳的形式和内容n n应急响应效劳的指标应急响应效劳的指标n n应急响应效劳案例应急响应效劳案例应急响应效劳案例应急响应效劳案例n n国家XX局的主机入侵应急响应n nXX证券公司“红色代码病毒事件应急响应n nXX电信公司网络拒绝效劳攻击事件应急响应n nXX省教育网拒绝效劳攻击事件应急响应国家国家XX局应急响应局应急响应n n事件描述 该该主主机机位位于于国国家家X

20、XXX局局的的X X层层计计算算机机办办公公室室，在在20012001年年1111月月中中曾曾经经连连续续发发生生数数据据库库被被删删除除记记录录的的事事件件，最最后后该该网网站站管管理理员员认认定定事事件件可可疑疑，随随即即向向国国家家XXXX局网络安全管理部门报告。局网络安全管理部门报告。n n主机用途 做做为为国国家家XXXX局局计计算算中中心心内内部部网网站站使使用用，负负责责发发布布计计算算中中心心内内部部信信息息。操操作作系系统统Windows Windows 2000 2000 Server Server SP2SP2，网网 站站 运运 行行 IIS5IIS5，后后 台台 数数

21、据据 库库 采采 用用ACCESSACCESS。国家国家XX局应急响应局应急响应n n现场分析 主主要要依依据据是是效效劳劳器器的的IISIIS日日志志，利利用用查查找找功功能能在在该该日志的文件夹里查找是否有被攻击的行为。日志的文件夹里查找是否有被攻击的行为。查查找找漏漏洞洞攻攻击击的的关关键键字字后后发发现现没没有有找找到到任任何何攻攻击击行行为为的的征征兆兆，只只有有几几次次NIMUDANIMUDA病病毒毒发发作作的的记记录录，和和此此次次攻攻击击事事件件无无关关。然然后后查查找找该该主主机机数数据据库库的的关关键键字字mynews.mdbmynews.mdb后后 发发 现现 该该 数数

22、 据据 库库 曾曾 经经 在在 1111月月 被被 来来 自自10.71.1.98 10.71.1.98 IPIP地地址址的的的的浏浏览览者者非非法法下下载载。进进一一步步的的跟跟踪踪该该IPIP地地址址的的浏浏览览记记录录后后发发现现，该该IPIP地地址址的的访访问问者者之之后后曾曾经经非非法法访访问问了了该该网网站站的的在在线线管管理理系系统统。由由于于攻攻击击者者下下载载的的网网站站数数据据库库中中明明文文存存放放着着该该管管理理员员的的管管理理密密码码,经经和和管管理理员员确确认认后后认认定定来来自自此此IPIP地地址址的的访访问问并并非非远程管理员，所以初步疑心为攻击者。远程管理员，

23、所以初步疑心为攻击者。国家国家XX局应急响应局应急响应n n扫描分析 发发现现效效劳劳器器采采用用FAT32FAT32的的磁磁盘盘格格式式，建建议议采采用用NTFSNTFS格式的磁盘分区提供更高的安全可靠性能；格式的磁盘分区提供更高的安全可靠性能；没没有有采采取取端端口口访访问问限限制制策策略略，远远程程主主机机可可以以随随意意连接到电脑上的开放端口；连接到电脑上的开放端口；开开放放的的SNMPSNMP协协议议暴暴露露效效劳劳器器主主机机的的配配置置和和使使用用情情况；况；没没有有禁禁止止的的IPCIPC共共享享连连接接可可以以远远程程得得到到主主机机的的网网络络和系统配置文件。和系统配置文件

24、。国家国家XX局应急响应局应急响应n n原因分析 由由于于此此名名攻攻击击者者是是直直接接下下载载的的xxxx局局计计算算中中心心网网站站的的数数据据库库文文件件，之之前前没没有有做做任任何何攻攻击击和和猜猜解解尝尝试试，说说明明该该攻攻击击者者非非常常熟熟悉悉该该网网站站文文件件和和数数据据库库结结构构，疑疑心心是内部知情人员所为。是内部知情人员所为。n n响应建议 由由于于主主机机的的数数据据库库名名称称已已经经暴暴露露，所所以以建建议议把把该该数据库文件名称改为新的名称；数据库文件名称改为新的名称；由由于于目目标标主主机机完完全全采采用用的的是是默默认认安安装装所所以以建建议议对对该主机

25、做一次全面的安全配置；该主机做一次全面的安全配置；建议主机打全最新的安全补丁；建议主机打全最新的安全补丁；严格限制该主机的物理访问权限。严格限制该主机的物理访问权限。XX证券公司应急响应证券公司应急响应n n事件描述 20012001年年8 8月月1010日日下下午午4 4点点3030分分，XXXX证证券券信信息息中中心心紧紧急急 :证证券券公公司司网网络络传传输输速速度度缓缓慢慢，严严重重影影响响正正常常业业务务运运作作。5 5点点1010分分，三三名名应应急急技技术术人人员员到到达达xxxx证证券券信信息息中中心心机房。机房。n n现场分析 通通过过检检查查 “冰冰之之眼眼入入侵侵检检测测

26、系系统统的的日日志志和和使使用用网网络络监监听听设设备备监监听听网网络络流流量量，发发现现机机房房中中一一台台清清算算业业务务的的效效劳劳器器网网络络连连接接异异常常，经经过过仔仔细细检检查查后后，可可以以做做出出明明确确判判断断：XXXX证证券券内内部部网网系系统统已已经经遭遭受受“红红色色代代码码蠕蠕虫虫的的攻攻击击，有有大大量量WindowsWindows效效劳劳器器受受到到感感染染，并并且且正正在在以以非非常常快快的的速速度度进进行行扫扫描描和和攻攻击击，造造成成网网络络堵堵塞塞，严严重重影响了网络传输速度。影响了网络传输速度。XX证券公司应急响应证券公司应急响应n n原因分析 “红红

27、色色代代码码蠕蠕虫虫不不是是普普通通的的病病毒毒，不不会会通通过过邮邮件件等等方方式式进进行行传传播播，很很有有可可能能是是因因为为拨拨号号上上网网等等方方式式传传播播进进内内部部网网，造造成成“红红色色代代码码蠕蠕虫虫在在证证券券内内部部网网泛滥，严重影响正常的业务运作。泛滥，严重影响正常的业务运作。n n处理过程 证证券券信信息息中中心心迅迅速速做做出出反反响响，通通过过 、EmailEmail等等方方式式，将将我我公公司司发发布布的的关关于于防防范范“红红色色代代码码蠕蠕虫虫的的公揭发布给各个营业部，并限定了问题处理期限。公揭发布给各个营业部，并限定了问题处理期限。我我公公司司应应急急响

28、响应应人人员员与与信信息息中中心心技技术术人人员员相相互互配配合合，于于当当晚晚将将信信息息中中心心的的效效劳劳器器进进行行了了仔仔细细的的检检查查，对对相关效劳器做了完备的防范措施。相关效劳器做了完备的防范措施。XX证券公司应急响应证券公司应急响应n n响应结论 对对于于新新出出现现的的攻攻击击方方式式应应进进行行及及时时的的跟跟踪踪并并进进行行相应的处理。相应的处理。攻攻击击事事件件发发生生后后，应应提提高高反反响响速速度度及及处处理理速速度度，把可能出现的影响减至最小。把可能出现的影响减至最小。建立全网的监控体系，及时发现问题。建立全网的监控体系，及时发现问题。建立建立xxxx证券系统应

29、急响应体系。证券系统应急响应体系。严严格格网网络络安安全全制制度度，防防止止病病毒毒、蠕蠕虫虫等等通通过过InternetInternet传播进内部网系统。传播进内部网系统。XX电信公司应急响应电信公司应急响应n n事件描述 20012001年年3 3月月xxxx电电信信公公司司遭遭受受不不明明拒拒绝绝效效劳劳攻攻击击 ，造造成成了了效效劳劳器器所所在在网网段段的的堵堵塞塞，导导致致效效劳劳器器不不能能正正常常访访问问的后果。的后果。n n现场分析 监监听听和和仔仔细细分分析析被被攻攻击击效效劳劳器器，然然后后利利用用攻攻击击效效劳劳器器上上的的日日志志及及相相应应的的侦侦测测手手段段，最最后

30、后确确定定攻攻击击者者采采用用的的是国内出现的一种新型攻击软件是国内出现的一种新型攻击软件 。经经过过仔仔细细查查找找以以及及分分析析，发发现现攻攻击击者者的的来来源源，确确认认攻攻击击者者IPIP地地址址为为202.105.xxx.xxx202.105.xxx.xxx，来来自自xxxx省省，初初步步判判断断为拨号用户，攻击时间为为拨号用户，攻击时间为20012001年年3 3月月1616日凌晨日凌晨2 2点点5 5点。点。XX电信公司应急响应电信公司应急响应n n原因分析 本本 攻攻 击击 软软 件件 可可 以以 在在 互互 联联 网网 上上 自自 动动 查查 找找 存存 在在Windows

31、Windows操操作作系系统统UnicodeUnicode漏漏洞洞的的效效劳劳器器，然然后后利利用用unicodeunicode的漏洞，通过的漏洞，通过URLURL地址栏发送攻击指令如下：地址栏发送攻击指令如下：ping l ping l 攻击包长度攻击包长度 n n 重复次数重复次数 攻击目标攻击目标 例如：例如：ping l 65000 n 500 172.133.30.208ping l 65000 n 500 172.133.30.208 大大量量的的互互联联网网主主机机同同时时用用巨巨大大的的pingping包包针针对对某某台台效效劳劳器器进进行行攻攻击击，造造成成了了效效劳劳器器所

32、所在在网网段段的的堵堵塞塞，导导致效劳器不能正常访问的后果。致效劳器不能正常访问的后果。XX电信公司应急响应电信公司应急响应n n处理过程 针针对对效效劳劳器器的的UnicodeUnicode漏漏洞洞进进行行修修补补，补补丁丁说说明明如如下：下：Windows Windows NT NT 4.04.0简简 体体 中中 文文 版版 IIS4 IIS4 UnicodeUnicode补补 丁丁prmcan4i.exeprmcan4i.exe Windows Windows 2000 2000 简简体体中中文文版版 IIS5 IIS5 UnicodeUnicode补补丁丁 q269862_w2k_sp

33、2_x86_cn.exeq269862_w2k_sp2_x86_cn.exe 在在效效劳劳器器上上直直接接运运行行此此程程序序，然然后后按按提提示示执执行行，效劳器重新启动后补丁生效。效劳器重新启动后补丁生效。XX电信公司应急响应电信公司应急响应n n响应结论 因因为为此此种种攻攻击击手手段段会会暴暴露露攻攻击击者者IPIP地地址址和和攻攻击击点点IPIP地地址址，同同时时被被利利用用作作为为攻攻击击点点的的效效劳劳器器会会因因为为负负荷荷问问题题而而产产生生IISIIS效效劳劳停停止止或或反反响响缓缓慢慢的的病病症症，攻攻击击者者因因权权限限问问题题不不能能完完全全消消除除系系统统日日志志，

34、因因此此为为进进一一步步的的追追查提供了重要依据。查提供了重要依据。XX省教育网应急响应省教育网应急响应n n事件描述 20022002年年7 7月，月，XXXX省教育网网站高考成绩查询系统省教育网网站高考成绩查询系统连续遭受攻击，致使全省连续遭受攻击，致使全省2828万考生无法及时查询高考万考生无法及时查询高考成绩。成绩。n n现场分析 通过应急响应组成员的现场分析，确定本次网络通过应急响应组成员的现场分析，确定本次网络入侵为入侵为SYN FloodSYN Flood拒绝效劳攻击。拒绝效劳攻击。XX省教育网应急响应省教育网应急响应n n处理过程 使用专用抗拒绝效劳设备使用专用抗拒绝效劳设备“

35、黑洞，有效的过黑洞，有效的过滤掉了攻击包，使得网络畅通，系统功能正常。通滤掉了攻击包，使得网络畅通，系统功能正常。通过审核过审核“黑洞的攻击记录日志，发现了入侵的源黑洞的攻击记录日志，发现了入侵的源IPIP，为进一步侦察提供了证据。，为进一步侦察提供了证据。问题？n n9 9、静夜四无邻，荒居旧业贫。、静夜四无邻，荒居旧业贫。、静夜四无邻，荒居旧业贫。、静夜四无邻，荒居旧业贫。4 4月月月月-23-234 4月月月月-23-23Monday,April 17,2023Monday,April 17,2023n n1010、雨中黄叶树，灯下白头人。、雨中黄叶树，灯下白头人。、雨中黄叶树，灯下白头

36、人。、雨中黄叶树，灯下白头人。19:34:0419:34:0419:34:0419:34:0419:3419:344/17/2023 7:34:04 PM4/17/2023 7:34:04 PMn n1111、以我独沈久，愧君相见频。、以我独沈久，愧君相见频。、以我独沈久，愧君相见频。、以我独沈久，愧君相见频。4 4月月月月-23-2319:34:0419:34:0419:3419:34Apr-23Apr-2317-Apr-2317-Apr-23n n1212、故人江海别，几度隔山川。、故人江海别，几度隔山川。、故人江海别，几度隔山川。、故人江海别，几度隔山川。19:34:0419:34:04

37、19:34:0419:34:0419:3419:34Monday,April 17,2023Monday,April 17,2023n n1313、乍见翻疑梦，相悲各问年。、乍见翻疑梦，相悲各问年。、乍见翻疑梦，相悲各问年。、乍见翻疑梦，相悲各问年。4 4月月月月-23-234 4月月月月-23-2319:34:0419:34:0419:34:0419:34:04April 17,2023April 17,2023n n1414、他乡生白发，旧国见青山。、他乡生白发，旧国见青山。、他乡生白发，旧国见青山。、他乡生白发，旧国见青山。17 17 四月四月四月四月 2023 20237:34:04

38、7:34:04 下午下午下午下午19:34:0419:34:044 4月月月月-23-23n n1515、比不了得就不比，得不到的就不要。、比不了得就不比，得不到的就不要。、比不了得就不比，得不到的就不要。、比不了得就不比，得不到的就不要。四月四月四月四月 23 237:34 7:34 下午下午下午下午4 4月月月月-23-2319:3419:34April 17,2023April 17,2023n n1616、行动出成果，工作出财富。、行动出成果，工作出财富。、行动出成果，工作出财富。、行动出成果，工作出财富。2023/4/17 19:34:042023/4/17 19:34:0419:3

39、4:0419:34:0417 April 202317 April 2023n n1717、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。7:34:04 7:34:04 下午下午下午下午7:34 7:34 下午下午下午下午19:34:0419:34:044 4月月月月-23-23n n9 9、没有失败，只有暂时停止成功！。、没有失败，只有暂时停止成功！。、没有失败，只有暂时

40、停止成功！。、没有失败，只有暂时停止成功！。4 4月月月月-23-234 4月月月月-23-23Monday,April 17,2023Monday,April 17,2023n n1010、很多事情努力了未必有结果，但是不努力却什么改变也没有。、很多事情努力了未必有结果，但是不努力却什么改变也没有。、很多事情努力了未必有结果，但是不努力却什么改变也没有。、很多事情努力了未必有结果，但是不努力却什么改变也没有。19:34:0419:34:0419:34:0419:34:0419:3419:344/17/2023 7:34:04 PM4/17/2023 7:34:04 PMn n1111、成功就

41、是日复一日那一点点小小努力的积累。、成功就是日复一日那一点点小小努力的积累。、成功就是日复一日那一点点小小努力的积累。、成功就是日复一日那一点点小小努力的积累。4 4月月月月-23-2319:34:0419:34:0419:3419:34Apr-23Apr-2317-Apr-2317-Apr-23n n1212、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。19:34:0419:34:0419:34:0419:34:0419:3

42、419:34Monday,April 17,2023Monday,April 17,2023n n1313、不知香积寺，数里入云峰。、不知香积寺，数里入云峰。、不知香积寺，数里入云峰。、不知香积寺，数里入云峰。4 4月月月月-23-234 4月月月月-23-2319:34:0419:34:0419:34:0419:34:04April 17,2023April 17,2023n n1414、意志坚强的人能把世界放在手中像泥块一样任意揉捏。、意志坚强的人能把世界放在手中像泥块一样任意揉捏。、意志坚强的人能把世界放在手中像泥块一样任意揉捏。、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 1

43、7 四月四月四月四月 2023 20237:34:04 7:34:04 下午下午下午下午19:34:0419:34:044 4月月月月-23-23n n1515、楚塞三湘接，荆门九派通。、楚塞三湘接，荆门九派通。、楚塞三湘接，荆门九派通。、楚塞三湘接，荆门九派通。四月四月四月四月 23 237:34 7:34 下午下午下午下午4 4月月月月-23-2319:3419:34April 17,2023April 17,2023n n1616、少年十五二十时，步行夺得胡马骑。、少年十五二十时，步行夺得胡马骑。、少年十五二十时，步行夺得胡马骑。、少年十五二十时，步行夺得胡马骑。2023/4/17 19

44、:34:052023/4/17 19:34:0519:34:0519:34:0517 April 202317 April 2023n n1717、空山新雨后，天气晚来秋。、空山新雨后，天气晚来秋。、空山新雨后，天气晚来秋。、空山新雨后，天气晚来秋。7:34:05 7:34:05 下午下午下午下午7:34 7:34 下午下午下午下午19:34:0519:34:054 4月月月月-23-23n n9 9、杨柳散和风，青山澹吾虑。、杨柳散和风，青山澹吾虑。、杨柳散和风，青山澹吾虑。、杨柳散和风，青山澹吾虑。4 4月月月月-23-234 4月月月月-23-23Monday,April 17,2023

45、Monday,April 17,2023n n1010、阅读一切好书如同和过去最杰出的人谈话。、阅读一切好书如同和过去最杰出的人谈话。、阅读一切好书如同和过去最杰出的人谈话。、阅读一切好书如同和过去最杰出的人谈话。19:34:0519:34:0519:34:0519:34:0519:3419:344/17/2023 7:34:05 PM4/17/2023 7:34:05 PMn n1111、越是没有本领的就越加自命非凡。、越是没有本领的就越加自命非凡。、越是没有本领的就越加自命非凡。、越是没有本领的就越加自命非凡。4 4月月月月-23-2319:34:0519:34:0519:3419:34A

46、pr-23Apr-2317-Apr-2317-Apr-23n n1212、越是无能的人，越喜欢挑剔别人的错儿。、越是无能的人，越喜欢挑剔别人的错儿。、越是无能的人，越喜欢挑剔别人的错儿。、越是无能的人，越喜欢挑剔别人的错儿。19:34:0519:34:0519:34:0519:34:0519:3419:34Monday,April 17,2023Monday,April 17,2023n n1313、知人者智，自知者明。胜人者有力，自胜者强。、知人者智，自知者明。胜人者有力，自胜者强。、知人者智，自知者明。胜人者有力，自胜者强。、知人者智，自知者明。胜人者有力，自胜者强。4 4月月月月-23-

47、234 4月月月月-23-2319:34:0519:34:0519:34:0519:34:05April 17,2023April 17,2023n n1414、意志坚强的人能把世界放在手中像泥块一样任意揉捏。、意志坚强的人能把世界放在手中像泥块一样任意揉捏。、意志坚强的人能把世界放在手中像泥块一样任意揉捏。、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 17 四月四月四月四月 2023 20237:34:05 7:34:05 下午下午下午下午19:34:0519:34:054 4月月月月-23-23n n1515、最具挑战性的挑战莫过于提升自我。、最具挑战性的挑战莫过于提升自我。、最

48、具挑战性的挑战莫过于提升自我。、最具挑战性的挑战莫过于提升自我。四月四月四月四月 23 237:34 7:34 下午下午下午下午4 4月月月月-23-2319:3419:34April 17,2023April 17,2023n n1616、业余生活要有意义，不要越轨。、业余生活要有意义，不要越轨。、业余生活要有意义，不要越轨。、业余生活要有意义，不要越轨。2023/4/17 19:34:052023/4/17 19:34:0519:34:0519:34:0517 April 202317 April 2023n n1717、一个人即使已登上顶峰，也仍要自强不息。、一个人即使已登上顶峰，也仍要

49、自强不息。、一个人即使已登上顶峰，也仍要自强不息。、一个人即使已登上顶峰，也仍要自强不息。7:34:05 7:34:05 下午下午下午下午7:34 7:34 下午下午下午下午19:34:0519:34:054 4月月月月-23-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉