XXXX江西电信网络安全攻防演练指引

2010江西电信网络安全攻防演练指引2010江西电信网络安全攻防演练指引中国电信江西公司省网支SOC中心2010江西电信网络安全攻防演练指引目录1演练项目................................................................................................................................32演练拓扑................................................................................................................................32.1拓扑.................................................................................................................................32.2演练环境说明.................................................................................................................42.3设备列表.........................................................................................................................53演练步骤................................................................................................................................63.1模拟场景1......................................................................................................................6江西-城域网遭到大规模DDOS攻击..................................................................................63.2模拟场景2......................................................................................................................6江西电信网络安全攻防演练...............................................................................................63.2.1任务.........................................................................................................................63.2.2对抗分组..................................................................................................................73.2.3职责..........................................................................................................................73.2.4判断标准..................................................................................................................83.2.5演练步骤：..............................................................................................................84联系方式................................................................................................................................9附件1演练环境配置.............................................................................................................10附件2演练接入.....................................................................................................................10附件3攻击流量监控方法.....................................................................................................102010江西电信网络安全攻防演练指引1演练项目演练项目如下：1、模拟场景1.江西某城域网遭到DDOS攻击2、模拟场景2.江西电信网络安全攻防演练2演练拓扑2.1拓扑模拟场景1.江西某城域网遭到DDOS攻击拓扑：（待添加）2010江西电信网络安全攻防演练指引模拟场景2.亚运网络安全攻防演练的演练拓扑：2.2演练环境说明模拟场景1.江西某城域网遭到DDOS攻击：（待添加）模拟场景2.亚运网络安全攻防演练的环境说明：在场景2演练平台中，采用思科2800作为VPDN的LNS设备，同时兼为实验室内网地址NAT转换外网地址，该LNS上联省NOC的接入路由上，分配的外网IP地址网段为：61.131.214.192/26，LNS（cisco2800）的外网接口地址为61.131.214.194，另外以太口连接内网的华为NE80核心路由器上，公网用户通过VPDN拨号，认证通过后，获得内网地址为10.10.10.2-254，再访问实验室内网。核心为华为的NE80和7806设备，下挂华为ME60设备，作为宽带接入服务器（BRAS）用户。在ME60设备上开静态IP用户，地址段为：10.10.17.0/24、10.10.18.0/24，分别作为安全设备的管理地址用和接入服务器或主机使用。2010江西电信网络安全攻防演练指引华为S7806作汇聚交换机，上联ME60的G1/0/1，透传管理VLAN2，用户VLAN20、30；下接入天融信的防火墙和Macfee2600设备。整个实验用采用的IGP协议为OSPF协议，本规划模拟现城域网中的路由协议，如BGP、ISIS和OSPF协议，将CISCO2800、7609、NE80、ME60全部开IGP协议OSPF，并规划在用一个OSPF号（791）和同一个域（area0），这样内网用户可通过CISCO2800NAT访问公网，对于公网用户，也可通过VPDN拨号访问内网服务。系统方面，新添服务器5台，操作系统分别为Linux、Sunsolaris、Win2003server、Winxp、Win2008server。服务器上的应用包括：Web、Ftp、Smtp、DNS、SQLserver、Oracle、telnet、ssh等常见应用。2.3设备列表层面设备名称厂家数量作用核心层设备NE80华为1核心路由设备CISCO7806思科1核心路由设备业务接入设备ME60华为1BRAS接入设备汇聚设备S7806华为1汇聚交换机LNS路由器CISCO2800思科1小型路由设备交换机CISCO3550思科1接入交换机CISCO3560思科1接入交换机流量监控GenieNTG2100威睿1NetFlow异常流量监控设备安全设备Mcafee2600迈克菲1IPS入侵防御设备IPS天融信1IPS入侵防御设备防火墙天融信1访问控制设备其他配套维护终端HPDX2000MT4CPU：IntelCore2DuoE4500双核（2.2G），内存1G，160G硬盘，Combo光驱，128M独立显卡，17寸液晶显示器操作台10实验室操纵台机架6600*900*22002010江西电信网络安全攻防演练指引3演练步骤3.1模拟场景1.江西-城域网遭到大规模DDOS攻击依据：《中国电信互联网网络安全应急预案》、《中国电信DDoS攻击应急响应流程》步骤：1.参演的分公司通过WEB登录到GenieATM流量分析系统以及IP城域网网络设备。2.参演分公司提前熟悉GenieATM流量分析系统和操作脚本后，开始监测IP网异常流量。3.演练指挥通过NOC进行攻击流量的发送。（为了增加突然性，可选择不定时发送）4.参演的分公司根据流量的情况启动ACL防护，但由于攻击类型复杂，ACL效果不好。5.参演分公司启用黑洞路由，对攻击流量进行丢弃。6.参演分公司观察网络流量恢复正常后，向省SOC报告处理结果。7.参演分公司向演练指挥报告演练完成。8.演练指挥通知NOC停止攻击流量发送。9.参演的各分公司提交演练报告。3.2模拟场景2.江西电信网络安全攻防演练依据：《中国电信互联网网络安全应急预案》3.2.1任务攻击方（红队）：接入一个模拟城域网的演练网络后，可以采用各种黑客攻击手段，如：远程溢出攻击、密码暴力破解、脚本漏洞、网站挂马、ARP欺骗等，针对该模拟网络的网络设备、操作系统、应用系统等各个方面进行破坏，尽量影响目标网络的服务正常提供，所需的一切攻击工具和方法可与红队技术支持方联系获取。2010江西电信网络安全攻防演练指引防守方（蓝队）：将有1周时间对一个模拟城域网的网络和服务进行加固，之后一周会正面与攻击方对抗，如发现某系统被攻破，要在最短的时间内恢复。可以利用各种安全配置和安全设备加强对于攻击的检测和控制。所需的一切防御软件和技术与蓝队技术支持方联系获取。在规定时间内，如果红队成功攻破蓝队的系统、造成网络或业务中断，则判红队获胜。如果蓝队在演练时间一直内保证网络和服务的正常，则蓝队获胜。3.2.2对抗分组攻击队（红队）红队队长副队长成员支持待定省SOC黄协九江、宜春、景德镇、吉安、赣州、萍乡绿盟防守队（蓝队）蓝队队长副队长成员支持待定省SOC谭立佳南昌、新余、上饶、抚州、鹰潭启明3.2.3职责队长：1.确定攻击或防守思路，制定攻防方案并向演练指挥提交。2.组织、协调本队队员，分配攻防任务，检验效果。3.听从演练指挥的命令，开始、停止攻防行动。4.在演练对抗过程中，向组员下达攻防命令，记录并向演练指挥汇报所有的操作。对攻击成功或发现入侵的情况要立即报告。5.汇总队员的需求，与演练支持方联系，获取攻防工具和技术指导。6.实时关注演练命令发布群里面的信息。7.演练过程中如出现问题，及时向演练指挥反映。8.演练结束后负责编写团队演练情况报告提交给演练指挥。2010江西电信网络安全攻防演练指引副队长1.协助队长进行协调、联络事宜。2.监督、检查队伍的行为，是否有超出范围的行为。3.实时关注演练命令发布群里面的信息。队员：1.听从队长指挥，按照队长分配的任务进行攻防操作。2.准备相关攻防知识，熟悉演练环境设备，需要工具和协助及时向队长提出。3.实时关注演练命令发布群里面的信息，