1、2010江西電信網(wǎng)絡(luò)安全攻防演練指引中國(guó)電信江西公司省網(wǎng)支SOC中心目錄1演練項(xiàng)目22演練拓?fù)?2.1拓扌卜32.2演練環(huán)境說(shuō)明32.3設(shè)備列表43演練步驟43.1模擬場(chǎng)景14江西-城域網(wǎng)遭到大規(guī)模 DDOS攻擊 43.2模擬場(chǎng)景25江西電信網(wǎng)絡(luò)安全攻防演練 53.2.1 任務(wù)53.2.2對(duì)抗分組53.2.3 職責(zé)63.2.4判斷標(biāo)準(zhǔn) 73.2.5演練步驟：74聯(lián)系方式7附件1演練環(huán)境配置9附件2演練接入9附件3攻擊流量監(jiān)控方法 91演練項(xiàng)目演練項(xiàng)目如下：1、模擬場(chǎng)景1.江西某城域網(wǎng)遭到 DDOS攻擊2、模擬場(chǎng)景2.江西電信網(wǎng)絡(luò)安全攻防演練2 演練拓?fù)?.1 拓?fù)淠M場(chǎng)景 1.江西某城域網(wǎng)遭到

2、 DDOS 攻擊拓?fù)洌海ù砑樱┠M場(chǎng)景 2.亞運(yùn)網(wǎng)絡(luò)安全攻防演練的演練拓?fù)洌?.2 演練環(huán)境說(shuō)明模擬場(chǎng)景 1.江西某城域網(wǎng)遭到 DDOS 攻擊：（待添加）模擬場(chǎng)景 2.亞運(yùn)網(wǎng)絡(luò)安全攻防演練的環(huán)境說(shuō)明：在場(chǎng)景 2 演練平臺(tái)中，采用思科 2800 作為 VPDN 的 LNS 設(shè)備，同時(shí)兼為實(shí)驗(yàn)室內(nèi)網(wǎng) 地址 NAT 轉(zhuǎn)換外網(wǎng)地址，該 LNS 上聯(lián)省 NOC 的接入路由上，分配的外網(wǎng) IP 地址網(wǎng)段為： 92/26 , LNS （cisco2800）的外網(wǎng)接口地址為 94，另外以太口連接內(nèi) 網(wǎng)的華為 NE80 核心路由器上，公網(wǎng)用戶(hù)通過(guò) VPDN 撥號(hào)

3、，認(rèn)證通過(guò)后，獲得內(nèi)網(wǎng)地址為 -254，再訪問(wèn)實(shí)驗(yàn)室內(nèi)網(wǎng)。核心為華為的 NE80 和 7806 設(shè)備， 下掛華為 ME60 設(shè)備， 作為寬帶接入服務(wù)器 （BRAS） 用戶(hù)。在 ME60 設(shè)備上開(kāi)靜態(tài) IP 用戶(hù)，地址段為： /24、/24，分別作為 安全設(shè)備的管理地址用和接入服務(wù)器或主機(jī)使用。華為 S7806 作匯聚交換機(jī)，上聯(lián) ME60 的 G1/0/1 ，透?jìng)鞴芾?VLAN2 ，用戶(hù) VLAN20 、 30；下接入天融信的防火墻和Macfee2600 設(shè)備。整個(gè)實(shí)驗(yàn)用采用的IGP協(xié)議為OSPF協(xié)議，本規(guī)劃模擬現(xiàn)城域網(wǎng)中的路由協(xié)議，

4、如BGP、ISIS 和 OSPF 協(xié)議，將 CISCO2800、7609、NE80、ME60 全部開(kāi) IGP 協(xié)議 OSPF，并規(guī)戈U在 用一個(gè)OSPF號(hào)（791）和同一個(gè)域（area 0）,這樣內(nèi)網(wǎng)用戶(hù)可通過(guò) CISC02800NAT訪問(wèn)公 網(wǎng)，對(duì)于公網(wǎng)用戶(hù)，也可通過(guò) VPDN 撥號(hào)訪問(wèn)內(nèi)網(wǎng)服務(wù)。系統(tǒng)方面， 新添服務(wù)器 5 臺(tái)，操作系統(tǒng)分別為 Linux 、 Sun solaris、 Win2003 server、 Winxp 、Win2008 server。服務(wù)器上的應(yīng)用包括：Web、Ftp、Smtp、DNS、SQLServer、Oracle、tel net、ssh 等常見(jiàn)應(yīng)用。2.3設(shè)備

5、列表層面設(shè)備名稱(chēng)廠家數(shù)量作用核心層 設(shè)備N(xiāo)E80華為1核心路由設(shè)備CISCO7806思科1核心路由設(shè)備業(yè)務(wù)接 入設(shè)備ME60華為1BRA取 入設(shè)備匯聚設(shè) 備S7806華為1匯聚交換機(jī)LNS路由器CISCO2800思科1小型路由設(shè)備交換機(jī)CISCO3550思科1接入交換機(jī)CISCO3560思科1接入交換機(jī)流量監(jiān) 控Gen ieNTG2100威睿1NetFlow異常流量監(jiān)控設(shè)備安全設(shè) 備Mcafee 2600邁克菲1IPS入侵防御設(shè)備IPS天融信1IPS入侵防御設(shè)備防火墻天融信1訪冋控制設(shè)備其他配 套維護(hù)終端HP DX2000 MT4CPU: In tel Core 2 Duo E4500 雙 核

6、（2.2G），內(nèi)存 1G, 160G 硬盤(pán)，Combo光驅(qū)，128M獨(dú)立 顯卡，17寸液晶顯示器操作臺(tái)10實(shí)驗(yàn)室操縱臺(tái)機(jī)架6600*900*22003演練步驟3.1模擬場(chǎng)景1.江西-城域網(wǎng)遭到大規(guī)模DDOS攻擊依據(jù)：中國(guó)電信互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案 、中國(guó)電信DDoS攻擊應(yīng)急響應(yīng)流程步驟：1. 參演的分公司通過(guò) WEB登錄到GenieATM流量分析系統(tǒng)以及IP城域網(wǎng)網(wǎng)絡(luò)設(shè)備。2. 參演分公司提前熟悉 GenieATM流量分析系統(tǒng)和操作腳本后，開(kāi)始監(jiān)測(cè)IP網(wǎng)異常流量。3. 演練指揮通過(guò)NOC進(jìn)行攻擊流量的發(fā)送。（為了增加突然性，可選擇不定時(shí)發(fā)送）4. 參演的分公司根據(jù)流量的情況啟動(dòng)ACL防護(hù)，但由

7、于攻擊類(lèi)型復(fù)雜，ACL效果不好。5. 參演分公司啟用黑洞路由，對(duì)攻擊流量進(jìn)行丟棄。6. 參演分公司觀察網(wǎng)絡(luò)流量恢復(fù)正常后，向省SOC報(bào)告處理結(jié)果。7. 參演分公司向演練指揮報(bào)告演練完成。8. 演練指揮通知NOC停止攻擊流量發(fā)送。9. 參演的各分公司提交演練報(bào)告。3.2模擬場(chǎng)景2.江西電信網(wǎng)絡(luò)安全攻防演練依據(jù)：中國(guó)電信互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案3.2.1任務(wù)攻擊方（紅隊(duì)）：接入一個(gè)模擬城域網(wǎng)的演練網(wǎng)絡(luò)后，可以采用各種黑客攻擊手段，如:遠(yuǎn)程溢出攻擊、密碼暴力破解、腳本漏洞、網(wǎng)站掛馬、ARP欺騙等，針對(duì)該模擬網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)等各個(gè)方面進(jìn)行破壞，盡量影響目標(biāo)網(wǎng)絡(luò)的服務(wù)正常提供，所 需的一

8、切攻擊工具和方法可與紅隊(duì)技術(shù)支持方聯(lián)系獲取。防守方（藍(lán)隊(duì)）：將有1周時(shí)間對(duì)一個(gè)模擬城域網(wǎng)的網(wǎng)絡(luò)和服務(wù)進(jìn)行加固，之后一周會(huì) 正面與攻擊方對(duì)抗，如發(fā)現(xiàn)某系統(tǒng)被攻破， 要在最短的時(shí)間內(nèi)恢復(fù)。 可以利用各種安全配置 和安全設(shè)備加強(qiáng)對(duì)于攻擊的檢測(cè)和控制。所需的一切防御軟件和技術(shù)與藍(lán)隊(duì)技術(shù)支持方聯(lián)系獲取。在規(guī)定時(shí)間內(nèi)，如果紅隊(duì)成功攻破藍(lán)隊(duì)的系統(tǒng)、造成網(wǎng)絡(luò)或業(yè)務(wù)中斷，則判紅隊(duì)獲勝。如果藍(lán)隊(duì)在演練時(shí)間一直內(nèi)保證網(wǎng)絡(luò)和服務(wù)的正常，則藍(lán)隊(duì)獲勝。3.2.2對(duì)抗分組攻擊隊(duì)（紅隊(duì)）紅隊(duì)隊(duì)長(zhǎng)副隊(duì)長(zhǎng)成員支持待定省SOC黃協(xié)九江、宜春、景德鎮(zhèn)、吉安、贛州、萍鄉(xiāng)綠盟防守隊(duì)（藍(lán)隊(duì)）藍(lán)隊(duì)隊(duì)長(zhǎng)副隊(duì)長(zhǎng)成員支持待定省SOC譚立佳南昌、新

9、余、上饒、撫州、鷹潭啟明3.2.3職責(zé)隊(duì)長(zhǎng)：1. 確定攻擊或防守思路，制定攻防方案并向演練指揮提交。2. 組織、協(xié)調(diào)本隊(duì)隊(duì)員，分配攻防任務(wù)，檢驗(yàn)效果。3. 聽(tīng)從演練指揮的命令，開(kāi)始、停止攻防行動(dòng)。4. 在演練對(duì)抗過(guò)程中，向組員下達(dá)攻防命令，記錄并向演練指揮匯報(bào)所有的操作。對(duì)攻擊成功或發(fā)現(xiàn)入侵的情況要立即報(bào)告。5. 匯總隊(duì)員的需求，與演練支持方聯(lián)系，獲取攻防工具和技術(shù)指導(dǎo)。6. 實(shí)時(shí)關(guān)注演練命令發(fā)布群里面的信息。7. 演練過(guò)程中如出現(xiàn)問(wèn)題，及時(shí)向演練指揮反映。8. 演練結(jié)束后負(fù)責(zé)編寫(xiě)團(tuán)隊(duì)演練情況報(bào)告提交給演練指揮。副隊(duì)長(zhǎng)1. 協(xié)助隊(duì)長(zhǎng)進(jìn)行協(xié)調(diào)、聯(lián)絡(luò)事宜。2. 監(jiān)督、檢查隊(duì)伍的行為，是否有超出范圍

10、的行為。3. 實(shí)時(shí)關(guān)注演練命令發(fā)布群里面的信息。隊(duì)員：1. 聽(tīng)從隊(duì)長(zhǎng)指揮，按照隊(duì)長(zhǎng)分配的任務(wù)進(jìn)行攻防操作。2. 準(zhǔn)備相關(guān)攻防知識(shí)，熟悉演練環(huán)境設(shè)備，需要工具和協(xié)助及時(shí)向隊(duì)長(zhǎng)提出。3. 實(shí)時(shí)關(guān)注演練命令發(fā)布群里面的信息，保持聯(lián)絡(luò)暢通。4. 演練結(jié)束后負(fù)責(zé)編寫(xiě)本省演練報(bào)告并提交給演練指揮。技術(shù)支持：1. 演練期間提供現(xiàn)場(chǎng)或遠(yuǎn)程協(xié)助。2. 只能對(duì)支持的隊(duì)伍提供工具和技術(shù)指導(dǎo)，不能進(jìn)行實(shí)際操作。3. 與所在的隊(duì)伍密切配合，協(xié)助隊(duì)長(zhǎng)制定攻防方案。4. 聽(tīng)從隊(duì)長(zhǎng)的命令，不允許私自行動(dòng)。3.2.4 判斷標(biāo)準(zhǔn)攻防雙方在演練過(guò)程中的表現(xiàn)，從以下幾個(gè)方面進(jìn)行判斷：1. 攻防思路。思路是否嚴(yán)謹(jǐn)、可行，方向是否正確，

11、考慮是否完備。2. 組織協(xié)調(diào)能力。 是否進(jìn)行了有效的組織協(xié)調(diào)， 任務(wù)分配是否合理， 組員是否對(duì)任務(wù) 理解透徹，行動(dòng)是否有配合，相互之際是否進(jìn)行了有效的溝通。3. 攻防表現(xiàn)。 對(duì)網(wǎng)絡(luò)攻防的了解是否透徹， 能否自主選擇合適的攻防工具， 工具的使 用是否熟練。3.2.5 演練步驟：1. 將參加演練的江西省內(nèi)的 11 個(gè)分公司分為紅隊(duì)和藍(lán)隊(duì)， 紅隊(duì)負(fù)責(zé)進(jìn)攻， 藍(lán)隊(duì)負(fù)責(zé)防守。2. 提前一周將藍(lán)隊(duì)的隊(duì)員接入網(wǎng)絡(luò)，對(duì)各個(gè)方面進(jìn)行加固，做好防守準(zhǔn)備。3. 一周后，允許攻方的紅隊(duì)接入網(wǎng)絡(luò)，在一周時(shí)間內(nèi)，對(duì)網(wǎng)絡(luò)設(shè)施、服務(wù)器、應(yīng)用等各個(gè) 方面展開(kāi)進(jìn)攻。4. 演練過(guò)程中有任何進(jìn)展，攻防雙方都必須向演練指揮匯報(bào)。5. 演練過(guò)程有任何情況，演練指揮可以暫時(shí)中斷演練進(jìn)程。6. 演練時(shí)間到后， 攻防雙方停止攻擊。 演練指揮評(píng)估攻擊對(duì)網(wǎng)絡(luò)和服務(wù)造成的影響， 根據(jù) 雙方的表現(xiàn)打分。攻防雙方提交演練過(guò)程報(bào)告，演練指揮對(duì)比賽進(jìn)行點(diǎn)評(píng)和總結(jié)。4 聯(lián)系方式省網(wǎng)運(yùn)負(fù)責(zé)人：李文君練指揮：鄭玉謙協(xié)助：張靜靜演練命令發(fā)布 /討論