文档介绍:网络蠕虫灾害及其应急处理的新特点
1
内容安排
网络蠕虫:日益严重的威胁
网络蠕虫的新特点
未来蠕虫的威胁
网络蠕虫灾害的应急处理
2
近年来的网络蠕虫灾害
红色代码II/尼姆达
SQL杀手蠕虫
口令蠕虫
红色代码F变种
MSBLAST蠕虫(冲击波)
3
SQL 杀手蠕虫事件
2003年1月25日发作
感染SQL数据库服务器,在服务器之间主动蔓延
使用UDP1434端口攻击
造成大面积网络拥塞,部分骨干网络瘫痪
韩国网络基本处于瘫痪状态
我国境内感染主机22600余台
具备应急体系和机制之后第一次处理大规模网络安全事件,做到了快速响应
4
处理过程
接到举报
核实全网情况
向全网通报情况,样本分析
实施数据监测
了解境外情况
隔离方法分析和确认
通报隔离方法,实施隔离
恢复故障网络
媒体工作
跟踪监测与分析报告
5
SQL事件总结
1月28日召开总结会:
技术角度得到的经验:
…………………………
6
口令蠕虫事件
3月8日出现,主要在教育网中蔓延,部分大学校园网络瘫痪
后蔓延到电信、联通、移动、铁通、网通等多个网络,感染服务器41207台
并不利用系统漏洞,而是采用猜口令的方式攻击管理不善的主机(而口令问题由于涉及到每一个用户,始终是最难以解决的问题之一)
植入后门以后和境外13个IRC服务器建立联系
7
处理过程
接到举报
核实全网情况
向全网通报情况,样本分析
实施数据监测,切断与IRC服务器的联系
了解境外情况
隔离方法分析和确认
通报隔离方法
媒体工作
跟踪监测与分析报告
8
红色代码F变种
3月11日发作,在欧洲一些国家造成影响
3月11日至13日,检测到此蠕虫在我国网络中扩散次数达127860次
接到用户举报
监测系统发现最早证据
完全利用原来的漏洞,依然可以形成一定规模
9
“冲击波”蠕虫
8月11日启动响应,向各运营商与合作单位与国外组织发送警报和应对措施、交换信息
8月15日启动针对DDoS的数据分析,与各组织保持密切联系
到目前发现感染数目超过200万
10