市重点网站运行安全分析报告.pdfVIP

上海市重点网站运行安全分析报告 （2013 年三季度） 上海市网络与信息安全应急管理事务中心 二 ○一三年十月 一、本季度信息安全态势综述 （一）城域网总体信息安全状况 三季度城域网未发生大规模或高危害的网络与信息安全事件。我中心通过采样监测分 析发现，影响本市城域网、重要信息系统和重点网站安全的主要威胁来自于漏洞攻击和网 络扫描类事件，占所有网络与信息安全事件总量的 99.56%。具体来看，病毒蠕虫、拒绝服 务攻击、漏洞攻击等事件量较上季度均显著降低；网络扫描类事件量较上季度有所上升， 采样监测情况如下表所示（单位：次） 。b5E2RGbCAP 病毒蠕虫 拒绝服务 漏洞攻击 网络扫描 被控主机 上季度 180307323 6201273198 37 本季度 11856 104972263 6670374456 65 本季度监测到拒绝服务事件量较上季度下降明显，主要事件类型仍为 “ICMP_固定源 IP 1 2 的 PING_FLOOD攻击 ”以及 “ICMP_Smurf_拒绝服务攻击应答及网络探测 ” ，占本季度拒绝 服务事件总量的 68.35%，未构成实质性的危害。 p1EanqFDPw 漏洞攻击事件量也较上季度有所下降，事件类型与上季度基本一致，主要为 “UDP_目 3 的端口为 0” ，该类事件占本季度漏洞扫描事件总量的 98.15% 。DXDiTa9E3d 网络扫描事件量较上季度有所上升，事件类型与上季度基本一致，主要为 “ICMP_PING 4 _ 事件 ”以及 “ICMP_PING_回答事件 ” ，这两类事件占本季度漏洞扫描事件总量的 66.16%。R 1 ICMP_固定源 IP 的 PING_FLOOD攻击 同一源对一个目的的大量 ICMP 碎片数据包， 可能造成拒绝服务。 ICMP （Internet Control Message Protocol ， Internet 控制信息协议）是 Internet 控制信息协议，用于在主机和网关之间消息控制和差错报告。 ICMP使 用 IP 数据报，但消息由 TCP/IP软件处理，对于应用程序使用者是不可见的。 2 ICMP_Smurf_拒绝服务攻击应答及网络探测 Smurf 是一种简单但有效的拒绝服务攻击技术，它利用了 ICMP。ICMP 的功能之一是与主机联系，通过发 送一个“回应请求” （echo request ）信息包查看主机是否有回应。最普通的 ping 程序就使用了这个功能。 Smurf 是用一个窃取的帐号安装到一个计算机上的， 然后用一个伪造的源地址连续 ping 一个或多个主机网 络，这就导致所有主机所响应的那台主机并不是实际发送该信息包的那台主机。 这个伪造的源地址， 实际 上就是攻击的目标， 它将被极大数量的响应信息量所淹没。 对这个伪造信息包做出响应的主机网络就会在 不知情的情况下进行攻击。 3 UDP_目的端口为 0 事件 访问 UDP的 0 端口导致该