城域網(wǎng)應(yīng)急預案

1、鄂爾多斯電信鄂爾多斯電信20092009年城域網(wǎng)年城域網(wǎng)應(yīng)急預案應(yīng)急預案20092009年年8 8月月目錄目錄一、總則一、總則.31、編制目的.32、編制依據(jù).33、分類分級.34、適用范圍.35、工作原則.4二、組織體系二、組織體系.51、領(lǐng)導機構(gòu)與職責.52、工作機構(gòu)與職責.53、技術(shù)支撐隊伍與職責.54、廠商售后服務(wù)隊伍與職責.6三、運行機制三、運行機制.61、預警機制.62、應(yīng)急處置.123、應(yīng)急處置后評估.294、信息發(fā)布.30四、應(yīng)急保障四、應(yīng)急保障.301、人力保障.302、備件保障.33五、監(jiān)督管理五、監(jiān)督管理.331、預案演練.332、宣傳和培訓.33六、附則六、附則.341

2、、預案管理.34七、附件七、附件.341、事件分級標準.342、應(yīng)急管理工作流程.36 一、總則一、總則1、編制目的、編制目的 為了保障數(shù)據(jù)網(wǎng)絡(luò)的正常運行，在出現(xiàn)突發(fā)性故障或系統(tǒng)癱瘓時，能有效及時的組織相關(guān)維護人員，采取緊急措施，在最短的時間內(nèi)恢復網(wǎng)絡(luò)的正常通信，將意外事故的損失減少到最低程度，保障網(wǎng)絡(luò)提供服務(wù)的可持續(xù)性，確保在服務(wù)品質(zhì)協(xié)議（sla） 定義的時限內(nèi)恢復所承諾的服務(wù)。2、編制依據(jù)、編制依據(jù)依據(jù)運維200627 號-關(guān)于組織開展網(wǎng)絡(luò)安全評估和完善應(yīng)急保障預案工作的通知(1) ，根據(jù)內(nèi)蒙電信網(wǎng)絡(luò)發(fā)展現(xiàn)狀制定本預案。3、分類分級、分類分級本預案按照網(wǎng)絡(luò)層次分級，鄂爾多斯電信數(shù)據(jù) ip

3、網(wǎng)分為：城域網(wǎng)核心層、業(yè)務(wù)控制層、匯聚接入層。4、適用范圍、適用范圍本預案適用于鄂爾多斯電信 ip 城域網(wǎng)。5、工作原則、工作原則本預案工作原則：優(yōu)先恢復業(yè)務(wù)原則；城域網(wǎng)核心優(yōu)先于業(yè)務(wù)控制層，業(yè)務(wù)控制層優(yōu)先于匯聚接入層原則；按照業(yè)務(wù)重要等級優(yōu)先恢復原則；按照用戶服務(wù)等級優(yōu)先恢復原則。（1）業(yè)務(wù)恢復原則）業(yè)務(wù)恢復原則故障發(fā)生時，不同等級業(yè)務(wù)、業(yè)務(wù)網(wǎng)絡(luò)按照不同的優(yōu)先順序進行恢復的原則。（2）應(yīng)急預案體系）應(yīng)急預案體系城域網(wǎng)數(shù)據(jù)網(wǎng)整體應(yīng)急預案城域網(wǎng)核心 業(yè)務(wù)控制層 匯聚接入層 電路中斷設(shè)備故障路由異常 電路中斷設(shè)備故障路由異常電路中斷設(shè)備故障路由異常二、組織體系二、組織體系1、領(lǐng)導機構(gòu)與職責、領(lǐng)導機

4、構(gòu)與職責領(lǐng)導機構(gòu)：網(wǎng)運部主任：燕龍區(qū)公司數(shù)據(jù)專業(yè)主管：狄光職責：1、組織應(yīng)急預案的定期更新；2、協(xié)調(diào)處理預案實施、演練等工作。2、工作機構(gòu)與職責、工作機構(gòu)與職責工作機構(gòu)：維護中心數(shù)據(jù)專業(yè)維護人員：王斯日古楞、郝如意、王劍職責：1、負責應(yīng)急預案定期更新工作的具體實施；2、具體進行預案實施、演練等工作。3、技術(shù)支撐隊伍與職責、技術(shù)支撐隊伍與職責技術(shù)支撐隊伍：區(qū)公司網(wǎng)運部、鄂爾多斯網(wǎng)運部職責：1、負責應(yīng)急預案中涉及城域網(wǎng)設(shè)備的預案實施；2、解決鄂爾多斯分公司申請支撐的技術(shù)問題。4、廠商售后服務(wù)隊伍與職責、廠商售后服務(wù)隊伍與職責廠家售后服務(wù)隊伍：華為公司技術(shù)支撐隊伍中興公司技術(shù)支撐隊伍職責：1、配合應(yīng)

5、急預案定期更新工作的具體實施；2、配合具體進行預案實施、演練等工作。三、運行機制三、運行機制1、預警機制、預警機制（1）網(wǎng)絡(luò)分析評估）網(wǎng)絡(luò)分析評估鄂爾多斯針對網(wǎng)絡(luò)安全進行分析的工作機制和相關(guān)管理制度如下：規(guī)定由網(wǎng)絡(luò)監(jiān)控人員通過數(shù)據(jù)網(wǎng)管7*24小時對全省數(shù)據(jù)網(wǎng)（城域網(wǎng)bas設(shè)備到省出口間的各級電路流量、設(shè)備性能）進行監(jiān)控；每周/月對全市總出入流量、盟市出入流量、155m電路出入流量、2.5g電路出入流量進行分析,針對帶寬能力進行分析、平均流速和峰值流速進行分析，確定是否設(shè)備資源使用情況，帶寬利用率、是否需要擴容、流量異常增長下降原因等。監(jiān)測人員每班進行三次據(jù)鏈路連通性測試并將測試結(jié)果保存以及隨時

6、觀察網(wǎng)管告警情況結(jié)果。數(shù)據(jù)鏈路連通性測試數(shù)據(jù)鏈路連通性測試a、連通性及時延、丟包測試ping t 測試（目前我省訪問 網(wǎng)站的 ip 地址：8，用于檢測鄂爾多斯 ne80e 與省干設(shè)備鏈路狀況）ping 32 t 天津 dns 測試 1（用于檢測鄂爾多斯 ne80e 與省干設(shè)備鏈路狀況，以及測試天津 dns 是否可達，我省主用 dns 是天津 dns） ping 30 t 山東 dns(測試山東 dns 是否可達, 我省備用 dns 是山東 dns)路由測試路由測試a、tracert 網(wǎng)站：b、tracert 天津 dns:網(wǎng)管

7、監(jiān)控情況網(wǎng)管監(jiān)控情況鄂爾多斯 ip 城域網(wǎng)后期可以利用的監(jiān)控終端有 n2000 網(wǎng)管做實時監(jiān)控網(wǎng)絡(luò)情況，n2000 網(wǎng)管可以監(jiān)控到 ip 網(wǎng)的城域網(wǎng)核心層、業(yè)務(wù)控制層以及匯聚接入層所有華為設(shè)備，并可通過 n2000 網(wǎng)管直接管理這些設(shè)備；通過 netcool 告警平臺可以實時監(jiān)控省骨干層所有設(shè)備的運行情況，通過 ip 三期網(wǎng)管系統(tǒng)可以實時監(jiān)控鄂爾多斯出城域網(wǎng)流量、鄂爾多斯互聯(lián)中繼流量、以及城域網(wǎng)各匯聚設(shè)備的流量的出入平均和峰值流量。a a、正常情況下流量分布情況：、正常情況下流量分布情況：鄂爾多斯中心局 ne80e 至呼市 m320 2.5g pos 鏈路正常情況下流量圖： 鄂爾多斯中心局 n

8、e80e 至通遼 cisco 12416 2.5g pos 鏈路正常情況下流量圖：鄂爾多斯火車站 ne80e 至呼市 m320 2.5g pos 鏈路正常情況下流量圖：鄂爾多斯火車站 ne80e 至通遼 cisco 12416 2.5g pos 鏈路正常情況下流量圖：鄂爾多斯中心局 ne80e 至鄂爾多斯火車站 ne80e 2.5g pos 鏈路正常情況下流量圖：鄂爾多斯中心局 ne80e 至中心局 ne40e ge 鏈路正常情況下流量圖：鄂爾多斯中心局 ne80e 至火車站 ne40e ge 鏈路正常情況下流量圖：鄂爾多斯中心局 ne80e 至準旗 ne40e ge 鏈路正常情況下流量圖：鄂

9、爾多斯中心局 ne80e 至達旗局 ne40 ge 鏈路正常情況下流量圖：鄂爾多斯火車站 ne80e 至中心局 ne40e ge 鏈路正常情況下流量圖：鄂爾多斯火車站 ne80e 至火車站 ne40e ge 鏈路正常情況下流量圖：鄂爾多斯火車站 ne80e 至準旗 ne40e ge 鏈路正常情況下流量圖：鄂爾多斯火車站 ne80e 至達旗局 ne40-8 ge 鏈路正常情況下流量圖：鄂爾多斯中心局 ne80e 至中心局 me60-16 ge 鏈路正常情況下流量圖：鄂爾多斯中心局 ne80e 至火車站 me60-16 ge 鏈路正常情況下流量圖：鄂爾多斯中心局 ne80e 至準旗 me60-8

10、ge 鏈路正常情況下流量圖：鄂爾多斯中心局 ne80e 至達旗 me60-8 ge 鏈路正常情況下流量圖：鄂爾多斯中心局 ne80e 至伊旗 ma5200g-4 ge 鏈路正常情況下流量圖：鄂爾多斯中心局 ne80e 至棋盤井 ma5200g-2 ge 鏈路正常情況下流量圖：鄂爾多斯火車站 ne80e 至中心局 me60-16 ge 鏈路正常情況下流量圖：鄂爾多斯火車站 ne80e 至火車站 me60-16 ge 鏈路正常情況下流量圖：鄂爾多斯火車站 ne80e 至準旗 me60-8 ge 鏈路正常情況下流量圖：鄂爾多斯火車站 ne80e 至達旗 me60-8 ge 鏈路正常情況下流量圖：鄂爾

11、多斯火車站 ne80e 至伊旗 ma5200g-4 ge 鏈路正常情況下流量圖：鄂爾多斯火車站 ne80e 至棋盤井 ma5200g-2 ge 鏈路正常情況下流量圖：鄂爾多斯中心局 ne80e 至中心局 e1000 ge 鏈路正常情況下流量圖：鄂爾多斯火車站 ne80e 至中心局 e1000 ge 鏈路正常情況下流量圖：b b、鄂爾多斯出城域網(wǎng)、鄂爾多斯出城域網(wǎng) 2.5g2.5g 電路中斷時流量圖：電路中斷時流量圖：以下為相應(yīng)的 a 設(shè)備 d 設(shè)備之間的流量圖。當中心機房 ne80e 至呼市 m320 出現(xiàn)中斷時，中心機房 ne80e 至通遼cisco 12416 流量圖：2、應(yīng)急處置、應(yīng)急處

12、置（1）應(yīng)急管理調(diào)動處理流程應(yīng)急管理調(diào)動處理流程數(shù)據(jù)網(wǎng)絡(luò)主要包括 ip 網(wǎng)絡(luò)、基礎(chǔ)網(wǎng)絡(luò)以及相關(guān)的后臺支撐系統(tǒng)，在以上網(wǎng)絡(luò)或系統(tǒng)發(fā)生緊急網(wǎng)絡(luò)故障時，網(wǎng)絡(luò)維護部負責牽頭啟動應(yīng)急調(diào)動預案進行故障處理的調(diào)度，現(xiàn)場維護部分按照相應(yīng)的緊急故障處理預案處理故障。應(yīng)急調(diào)動流程如下圖：處理流程圖如下：設(shè)備整臺故障設(shè)備整臺故障板卡故障板卡故障電路中斷電路中斷路由問題路由問題其他原因其他原因（2）應(yīng)急響應(yīng)）應(yīng)急響應(yīng) 鄂爾多斯電信 ip 城域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)如下： 城域網(wǎng)出口電路中斷城域網(wǎng)出口電路中斷1、中心機房 ne80e 至呼市 m320 2.5g pos 電路故障 立即上報內(nèi)蒙古區(qū)公司網(wǎng)管中心及運維部，如果 2.5g

13、 pos 鏈路中斷后，所有出城域網(wǎng)流量都會通過火車站 ne80e 至通遼 cisco 12416 的 2.5g pos 鏈路轉(zhuǎn)發(fā)所以此時需密切注意火車站 ne80e 至通遼 cisco 12416 的 2.5g pos鏈路流量情況；查看傳輸網(wǎng)管，如果是傳輸電路中斷引起的，則協(xié)調(diào)傳輸專業(yè)盡快處理；如果是 ne80e 路由器設(shè)備或單板故障，應(yīng)積極區(qū)公司的指揮調(diào)度，做好現(xiàn)場維護工作，盡快解決問題。 2、火車站 ne80e 至通遼 cisco 12416 2.5g pos 電路故障 立即上報內(nèi)蒙古區(qū)公司網(wǎng)管中心及運維部，如果 2.5g pos 鏈路中斷后，所有出城域網(wǎng)流量都會通過中心機房 ne80e

14、至呼市 m320 的 2.5g pos 鏈路轉(zhuǎn)發(fā)所以此時需密切注意中心機房 ne80e 至呼市 m320 的 2.5g pos 鏈路流量情況；查看傳輸網(wǎng)管，如果是傳輸電路中斷引起的，則協(xié)調(diào)傳輸專業(yè)盡快處理；如果是 ne80e 路由器設(shè)備或單板故障，應(yīng)積極區(qū)公司的指揮調(diào)度，做好現(xiàn)場維護工作，盡快解決問題。 城域網(wǎng)內(nèi)部中繼電路中斷城域網(wǎng)內(nèi)部中繼電路中斷1、當 sr 或者 bras 設(shè)備與城域網(wǎng)核心路由器 ne80e 間鏈路單條鏈路出現(xiàn)中斷時，由于城域網(wǎng)內(nèi)部運行動態(tài)路由協(xié)議 ospf，此時業(yè)務(wù)會瞬斷幾秒，待城域網(wǎng)路由收斂完成后，所有業(yè)務(wù)均從另外一條正常鏈路上轉(zhuǎn)發(fā)數(shù)據(jù)；此時，應(yīng)進行以下操作：a.立即上

15、報內(nèi)蒙古區(qū)公司網(wǎng)管中心及運維部，應(yīng)積極區(qū)公司的指揮調(diào)度，做好現(xiàn)場維護工作；b.檢查互聯(lián)端口 link 燈是否處于常亮狀態(tài)，若處于 down 狀態(tài)，此時應(yīng)該第一時間重新布放尾纖恢復鏈路，再進行測試；c.若更換尾纖后，物理端口 link 燈仍不處于常亮狀態(tài)，則應(yīng)更換相應(yīng)的光模塊，以免光?？跓龎幕蛘咂渌闆r造成光口不能正常轉(zhuǎn)發(fā)數(shù)據(jù)；2、 當其中一臺 sr 設(shè)備的兩條上行鏈路均出現(xiàn)問題時，若短時間內(nèi)不能恢復鏈路，應(yīng)將該臺 sr 設(shè)備上的所有業(yè)務(wù)暫時割接至另一臺正常的 bras 設(shè)備上，再進行故障排除；此時，應(yīng)進行以下操作：a.立即上報內(nèi)蒙古區(qū)公司網(wǎng)管中心及運維部，應(yīng)積極區(qū)公司的指揮調(diào)度，做好現(xiàn)場維護工

16、作；b.在大匯聚交換機上，將三層業(yè)務(wù) vlan 透傳至正常運行的 bras 設(shè)備上；c.在 bras 設(shè)備上，配置三層業(yè)務(wù)的網(wǎng)關(guān)，同時發(fā)布該業(yè)務(wù)路由段；3、 當其中一臺 bras 設(shè)備的兩條上行鏈路均出現(xiàn)問題時；此時，應(yīng)進行以下操作：a.立即上報內(nèi)蒙古區(qū)公司網(wǎng)管中心及運維部，應(yīng)積極區(qū)公司的指揮調(diào)度，做好現(xiàn)場維護工作；b.若是單板故障引起，及時將備件單板換上，把原上行 2 路光纖更換到備板上，配置數(shù)據(jù)恢復上行c.若是整機故障，第一時間將大匯聚交換機 8905 跳纖到 odf，通過局間光纜連接至另一局點的 bras 上，將 pppoe 業(yè)務(wù)或者 wlan 業(yè)務(wù)全部強制倒換至另一臺正常的 bras

17、進行認證；為快速切換業(yè)務(wù)要提前布放 8905 至 odf 和bras 至 odf 的光纖。 （此條適用于大匯聚通過裸光纖上行至 bras）d若是整機故障，第一時間將另一局點正常運行的 bras 通過光纖連至傳輸7500/3500，協(xié)調(diào)傳輸人員將 8905 上行業(yè)務(wù)通道做到此正常的 bras 上，將pppoe 業(yè)務(wù)或者 wlan 業(yè)務(wù)全部強制倒換至這臺正常的 bras 進行認證；為快速切換業(yè)務(wù)要提前布放 bras 至傳輸設(shè)備的光纖。 （此條適用于大匯聚通過傳輸上行至 bras）e.在正常的 bras 設(shè)備上，查看用戶上線數(shù)量，確保業(yè)務(wù)已經(jīng)正常；display access-user domain

18、 dslam_pppoedisplay access-user domain lan_pppoedisplay access-user domain wlan_web4、當大匯聚交換機 8905 至 bras 設(shè)備互聯(lián)鏈路出現(xiàn)中斷時；此時，應(yīng)進行以下操作：a. 立即上報內(nèi)蒙古區(qū)公司網(wǎng)管中心及運維部，應(yīng)積極區(qū)公司的指揮調(diào)度，做好現(xiàn)場維護工作；b. 查看傳輸網(wǎng)管，如果是傳輸電路中斷引起，則協(xié)調(diào)傳輸專業(yè)盡快處理；c. 若是光模塊燒壞或者其它情況造成光模塊不能正常轉(zhuǎn)發(fā)數(shù)據(jù)，則更換光模塊，則進行測試；d. 若是尾纖出現(xiàn)問題，則應(yīng)將提前布放的備用尾纖直接接入傳輸設(shè)備的端口，再進行測試；e. 若是 8905

19、 或 me60 單板故障，立即調(diào)用備件，并調(diào)整相關(guān)數(shù)據(jù)到備板上5、當大匯聚交換機與兩臺 bras 或者兩臺 sr 設(shè)備互聯(lián)鏈路出現(xiàn)中斷時；此時，應(yīng)進行以下操作：a. 立即上報內(nèi)蒙古區(qū)公司網(wǎng)管中心及運維部，應(yīng)積極區(qū)公司的指揮調(diào)度，做好現(xiàn)場維護工作；b. 第一時間聯(lián)系傳輸人員及數(shù)據(jù)維護人員進行鏈路恢復；鄂爾多斯城域網(wǎng)設(shè)備故障鄂爾多斯城域網(wǎng)設(shè)備故障1、 ne40e/ne80e 出現(xiàn)異常a.按照上面鏈路故障的方法先將業(yè)務(wù)恢復至正常的設(shè)備上；b.立即上報內(nèi)蒙古區(qū)公司網(wǎng)管中心及運維部，應(yīng)積極區(qū)公司的指揮調(diào)度，做好現(xiàn)場維護工作；c.硬件障礙：1)嘗試用 telnet、遠程撥號方式登陸，查看告警路由器告警信息

20、，并根據(jù)在現(xiàn)場看到的設(shè)備面板告警信息，判斷障礙點。2)若判斷為板卡電源模塊等硬件故障，需要確認是否有冗余板位，如果有可以將業(yè)務(wù)調(diào)整到冗余板位；如果有可用端口，將故障端口割接到可用端口。 3)若為關(guān)鍵板件（如路由引擎、電源等）故障，且啟用冗余板位后業(yè)務(wù)仍不能恢復，立即調(diào)撥備件，備件上架后，及時與區(qū)公司網(wǎng)運部聯(lián)系，配置軟件信息，恢復業(yè)務(wù)。 4)若由于設(shè)備板卡吊死等不明原因引起的故障，則將搜集至的設(shè)備告警和板卡狀態(tài)等信息上報給區(qū)公司網(wǎng)運部和網(wǎng)管中心，并將業(yè)務(wù)割接至備用板卡上。在廠商確認、區(qū)公司網(wǎng)運部及區(qū)公司網(wǎng)管中心認可后，在確定不會對現(xiàn)有業(yè)務(wù)有更嚴重影響的前提下，重啟部件或設(shè)備。2、me60 出現(xiàn)異

21、常a.按照上面鏈路故障的方法先將業(yè)務(wù)恢復至正常的設(shè)備上，b.立即上報內(nèi)蒙古區(qū)公司網(wǎng)管中心及運維部，應(yīng)積極區(qū)公司的指揮調(diào)度，做好現(xiàn)場維護工作；c.硬件障礙：1)嘗試用 telnet、遠程撥號方式登陸，查看告警路由器告警信息，并根據(jù)在現(xiàn)場看到的設(shè)備面板告警信息，判斷障礙點。2)若判斷為板卡電源模塊等硬件故障，需要確認是否有冗余板位，如果有可以將業(yè)務(wù)調(diào)整到冗余板位；如果有可用端口，將故障端口割接到可用端口。 3)若為關(guān)鍵板件（如路由引擎、電源等）故障，且啟用冗余板位后業(yè)務(wù)仍不能恢復，立即調(diào)撥備件，備件上架后，及時與區(qū)公司網(wǎng)運部聯(lián)系，配置軟件信息，恢復業(yè)務(wù)。 4)若由于設(shè)備板卡吊死等不明原因引起的故障

22、，則將搜集至的設(shè)備告警和板卡狀態(tài)等信息上報給區(qū)公司網(wǎng)運部和網(wǎng)管中心，并將業(yè)務(wù)割接至備用板卡上。在廠商確認、區(qū)公司網(wǎng)運部及區(qū)公司網(wǎng)管中心認可后，在確定不會對現(xiàn)有業(yè)務(wù)有更嚴重影響的前提下，重啟部件或設(shè)備。3、8905 出現(xiàn)異常a.按照上面鏈路故障的方法先將業(yè)務(wù)恢復至正常的設(shè)備上，b.立即上報內(nèi)蒙古區(qū)公司網(wǎng)管中心及運維部，應(yīng)積極區(qū)公司的指揮調(diào)度，做好現(xiàn)場維護工作；c.硬件障礙：1)嘗試用 telnet、遠程撥號方式登陸，查看告警路由器告警信息，并根據(jù)在現(xiàn)場看到的設(shè)備面板告警信息，判斷障礙點。2)若判斷為板卡電源模塊等硬件故障，需要確認是否有冗余板位，如果有可以將業(yè)務(wù)調(diào)整到冗余板位；如果有可用端口，將

23、故障端口割接到可用端口。 3)若為關(guān)鍵板件（如路由引擎、電源等）故障，且啟用冗余板位后業(yè)務(wù)仍不能恢復，立即調(diào)撥備件，備件上架后，及時與區(qū)公司網(wǎng)運部聯(lián)系，配置軟件信息，恢復業(yè)務(wù)。 4)若由于設(shè)備板卡吊死等不明原因引起的故障，則將搜集至的設(shè)備告警和板卡狀態(tài)等信息上報給區(qū)公司網(wǎng)運部和網(wǎng)管中心，并將業(yè)務(wù)割接至備用板卡上。在廠商確認、區(qū)公司網(wǎng)運部及區(qū)公司網(wǎng)管中心認可后，在確定不會對現(xiàn)有業(yè)務(wù)有更嚴重影響的前提下，重啟部件或設(shè)備。4、ddos 攻擊情況ddos 攻擊概念： dos 的攻擊方式有很多種，最基本的 dos 攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。ddos

24、 攻擊手段是在傳統(tǒng)的 dos 攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。其原理如下圖一所示。單一的 dos 攻擊一般是采用一對一方式的，當攻擊目標 cpu 速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得dos 攻擊的困難程度加大了-目標對惡意攻擊包的消化能力加強了不少，于是分布式的拒絕服務(wù)攻擊手段（ddos）就應(yīng)運而生了。ddos利用了更多的傀儡機來發(fā)起 dos 攻擊，以比從前更大的規(guī)模來攻擊受害者。ddos 攻擊現(xiàn)象：出現(xiàn) ddos 網(wǎng)絡(luò)攻擊時，被攻擊端網(wǎng)絡(luò)及主機會出現(xiàn)一下的現(xiàn)象：

25、1、被攻擊主機上有大量等待的 tcp 連接 2、網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假 3、制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機無法正常和外界通訊 4、利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷，反復高速的發(fā)出特定的服務(wù)請求，使受害主機無法及時處理所有正常請求 5、嚴重時會造成系統(tǒng)死機，網(wǎng)絡(luò)嚴重擁塞syn-flood 是目前最流行的 ddos 攻擊手段，利用了 tcp/ip 協(xié)議的固有漏洞。據(jù)現(xiàn)網(wǎng)監(jiān)測上的統(tǒng)計，目前網(wǎng)絡(luò)中存在大量的 ddos 攻擊，在 chinanet 網(wǎng)絡(luò)中，平均每天監(jiān)測到的攻擊有 500 個左右。所有的攻擊中，tcp syn 攻擊占全部 ddos 攻擊的 90%左

26、右，而其中攻擊流量較大的類型是 tcp syn、icmp、tcp rst。面向連接的 tcp 三次握手是 syn flood 存在的基礎(chǔ)。tcp/ip 建立連接需要經(jīng)過三次握手，而攻擊者在發(fā)送了第一次 syn 后，不再發(fā)送第二次 syn 信息，導致被攻擊者一直等待發(fā)送方的 syn 信息直到超時，而攻擊方通過發(fā)送大量的 syn 信息，導致被攻擊方 cpu 資源耗盡而無法提供正常服務(wù)。ddos 檢測措施：在省骨干網(wǎng)和城域網(wǎng)匯聚層以上網(wǎng)絡(luò)，可以利用北方 ip 三期數(shù)據(jù)網(wǎng)管 97:2003/nms/login.jsp 以及北方 ddos 攻檢測工具 arbor ne

27、tworks peakflow 50/ 進行日常監(jiān)控、當然還可以通過在設(shè)備上查看 access-list 匹配方式來檢測網(wǎng)絡(luò)攻擊。在城域網(wǎng)匯聚層以下的網(wǎng)絡(luò)中，由于 ip 三期數(shù)據(jù)網(wǎng)管不能檢測到該層面的電路流量情況，因此，可以使用北方 ddos 攻檢測工具 arbor networks peakflow 50/和access-list 的檢測等方法，還可以采用一些二層網(wǎng)絡(luò)的檢測及使用協(xié)議分析技術(shù)進行攻擊檢測。 利用北方 ip 三期數(shù)據(jù)網(wǎng)管進行日常監(jiān)控各盟市以及區(qū)維護中心網(wǎng)絡(luò)監(jiān)控以及維護人員可登錄該系統(tǒng)，然后查看網(wǎng)絡(luò)所監(jiān)控

28、范圍內(nèi)的電路波動圖，如發(fā)現(xiàn)流量異常突然增加，則可初步考慮是否受到了 ddos 攻擊，然后查找被攻擊主機以及攻擊源，即時上報并實施封堵或者清洗工作。下面是包頭一用戶遭受來至通遼方向省外 ddos 攻擊時，包頭 ip 城域網(wǎng)上行呼和以及通遼出口 2.5g 電路流量檢測情況。分析流量圖可以發(fā)現(xiàn)在區(qū)呼和出口方向流量正常的情況下，去通遼出口方向入流量突然增加，可以初步判斷是包頭 ip 城域網(wǎng)內(nèi) ip 地址遭到了來自通遼方向省外 ddos 攻擊。inpcore 包頭 r3-呼和浩特 r1 2.5g流量觀察基準端:a 端 啟動即時流量監(jiān)控a 端|nm-bt-ae-a-3.163:pos3/0/0(219.1

29、48.165.210) b 端|nm-hh-hcz-a-1.163 :so-7/0/0.0(09)inpcore 包頭 ml.a1-通遼 a1 2.5g流量觀察基準端:a 端 啟動即時流量監(jiān)控a 端|nm-bt-ml-a-1.163:pos1/0/0(4) b 端|nm-tl-hp-a-1.163:pos9/0/0(3)inpcore 包頭 r3-呼和浩特 r1 2.5g流量觀察基準端:a 端 啟動即時流量監(jiān)控 利用北方 ddos 攻檢測工具 arbor networks peakflow 進行檢測各盟市以及區(qū)維護中

30、心網(wǎng)絡(luò)監(jiān)控以及維護人員可登錄該系統(tǒng)，查看alerts 菜單下的 summary 子菜單，在 all alerts 列表中可以監(jiān)控到已經(jīng)匹配了 networks 設(shè)置的過濾特征值的 ddos 攻擊，其中包括攻擊源在北方九省以及被攻擊地址在北方九省的所有匹配特征 ddos 攻擊。下面是 10 月 8 日內(nèi)蒙電信一用戶遭受 ip null 類型 ddos 攻擊時檢測到的結(jié)果，我們可以很快速的發(fā)現(xiàn)被攻擊的 ip 地址為06，以及攻擊源、pps 檢測情況、攻擊流量 bps 情況、攻擊開始時間、結(jié)束時間、攻擊類型等相關(guān)信息，這樣我們就可以快速的部署針對性的流量封堵以及申請集團 noc

31、 進行流量清洗。 通過 access-list 匹配方式進行檢測由于 arbor networks peakflow 是基于特征值來進行 ddos 攻擊檢測的，所有可能有些攻擊不能被檢測出來，所以我們可以在擁塞發(fā)生的端口上綁定 acl，利用 acl 匹配來進行檢測。 利用抓包工具進行協(xié)議分析來進行檢測定位由于攻擊可能會發(fā)生在省網(wǎng)或者某個城域網(wǎng)內(nèi)部，這時我們無法借助北方系統(tǒng)進行檢測，這樣通過 ping、tracert 等日常工具以及分析設(shè)備當時端口流量，將故障定位在小范圍內(nèi)，然后通過使用協(xié)議分析工具進行檢測定位具體被攻擊者或者攻擊源。如下圖所示，可以看到，在局域網(wǎng)中存在一個 ip 地址向隨機的目

32、的ip 地址發(fā)送 icmp 的 echo 信息，因此可以判斷該 ip 地址的主機正在攻擊別的主機，需要檢查該主機并阻斷攻擊源。 ddos 防范措施：目前集團公司已經(jīng)組織各省建立了互聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件防范與處理虛擬團隊，旨在加強電信公司內(nèi)部及與外部安全組織間的信息溝通，加強對異常流量的監(jiān)測和分析，積極防范 ddos 攻擊。并于 9 月 30 日前在京滬穗的出入口部署完成三套總共 6g 容量的異常流量清洗設(shè)備，為關(guān)鍵站點（黨政軍、重要新聞媒體網(wǎng)站和基礎(chǔ)域名服務(wù)器）提供網(wǎng)絡(luò)攻擊流量清洗手段。內(nèi)蒙電信已在網(wǎng)絡(luò)邊緣部署策略進行虛假源地址流量和常見病毒流量的過濾，以充分遏止采用虛假源地址和蠕蟲病毒的攻擊行為

33、，并完善了網(wǎng)絡(luò)安全事件上報流程以及應(yīng)急處置預案。ddos 攻擊應(yīng)急處理流程：當中國電信網(wǎng)內(nèi)北京區(qū)域的重要網(wǎng)站遭受 ddos 攻擊時，如果攻擊源在內(nèi)蒙電信網(wǎng)內(nèi)，則區(qū)維護中心應(yīng)全力配合集團 noc 判斷攻擊特征和溯源，進行流量清洗或者流量限速的方式對攻擊流量進行處理。當內(nèi)蒙電信網(wǎng)內(nèi)的重要網(wǎng)站和域名服務(wù)器遭受 ddos 攻擊時，受攻擊所在盟市公司維護部以及區(qū)維護中心應(yīng)盡快確定被攻擊地址、判定攻擊特征，確定攻擊來源，同時應(yīng)向集團北京 noc 申請調(diào)用京滬穗出入口的流量清洗設(shè)備對攻擊流量進行清洗。如無法對攻擊進行有效處理時，在用戶同意時可使用“黑洞路由”或流量限速方式對攻擊流量進行處理。當內(nèi)蒙電信網(wǎng)內(nèi)普

34、通站點遭受 ddos 攻擊，造成省網(wǎng)、城域網(wǎng)、idc 擁塞時，可使用“黑洞路由”或流量限速方式對攻擊流量進行處理。內(nèi)蒙電信區(qū)維護中心負責提供 7x24 小時的 ddos 攻擊應(yīng)急響應(yīng)和技術(shù)支撐。當 ddos 攻擊造成大量用戶投訴時，各盟市公司應(yīng)在處理攻擊的同時，做好用戶解釋工作，和政府相關(guān)部門保持密切聯(lián)系，防止事態(tài)的惡化。應(yīng)急處理流程圖如下： （3）網(wǎng)絡(luò)復原后的處理）網(wǎng)絡(luò)復原后的處理故障恢復后首先查看故障點是否完全恢復、確認網(wǎng)絡(luò)性能正常；其次進行業(yè)務(wù)測試；在確認業(yè)務(wù)已恢復后進入觀察期并完成故障分析及報告。網(wǎng)絡(luò)正常狀態(tài)的判別標準（全區(qū) ne80e 路由條目 18347）根據(jù)網(wǎng)絡(luò)故障發(fā)生的層面可通

35、過測試網(wǎng)絡(luò)連通性測試、網(wǎng)絡(luò)路由測試來確定網(wǎng)絡(luò)性能是否恢復正常，下面是正常情況下從鄂爾多斯中心局ne40e 到北京以及天津的網(wǎng)絡(luò)性能及路由。鄂爾多斯中心局 ne40e 到北京：（2009 年 8 月 4 日測試 baidu 網(wǎng)站為例）鄂爾多斯中心局 ne40e 到天津：1、臨時搶通的業(yè)務(wù)電路復原流程如果是通過傳輸層倒波后恢復的業(yè)務(wù)，那么在傳輸故障恢復后，在將電路倒回前需要做以下工作：用儀表確認故障電路性能已經(jīng)完全恢復 確定電路倒回時可能造成的影響并制定相應(yīng)處理流程根據(jù)業(yè)務(wù)狀況網(wǎng)絡(luò)層面確定操作時間、人員并通知相關(guān)部門做好倒波前的準備工作,包括端口的確認、尾纖的測試、纖纜的布放等按照倒波流程配合傳輸

36、專業(yè)完成割接在傳輸確認倒波完成后檢測 ip 網(wǎng)絡(luò)連通性、網(wǎng)絡(luò)路由、網(wǎng)絡(luò)性能。2、如果是通過路由調(diào)整恢復的業(yè)務(wù)，那么在將路由復原前需要做以下工作：如果是由于網(wǎng)絡(luò)病毒或異常流量導致的路由調(diào)整，那么確認病毒被查殺或隔離后在進行復原、或是異常流量被抑制或過濾后在進行復員。3、如果是一個方向傳輸故障后通過路由調(diào)整將流量引到其他方向恢復的業(yè)務(wù)，那么需確認故障方向傳輸恢復后在將流量調(diào)整回來。4、如果是雙節(jié)點設(shè)備其中一臺設(shè)備故障，那么在將業(yè)務(wù)從另一臺倒回來前需確認故障設(shè)備性能沒有問題在將故障設(shè)備接入網(wǎng)絡(luò)前先將流量全部調(diào)整到那臺正常設(shè)備上將故障設(shè)備接入網(wǎng)絡(luò)并確認端口設(shè)備沒有問題可以正常轉(zhuǎn)發(fā)數(shù)據(jù)包將路由調(diào)整復原并

37、觀察網(wǎng)絡(luò)流量、網(wǎng)絡(luò)路由、網(wǎng)絡(luò)性能是否恢復。 3、應(yīng)急處置后評估、應(yīng)急處置后評估分析故障處理是否啟用了相應(yīng)的預案、為什么沒有啟用或為什么沒有相應(yīng)的應(yīng)急預案；分析起用應(yīng)急預案的效果，是否在規(guī)定時間內(nèi)成功啟動了相應(yīng)的應(yīng)急預案，重點分析沒有成功起用的原因，或者成功了但那些方面還需要改進；分析故障是否在現(xiàn)有應(yīng)急預案的考慮范圍，能否對類似故障制定出相應(yīng)的應(yīng)急預案；總結(jié)應(yīng)急預案中不完善的地方并針對故障完善相應(yīng)應(yīng)急預案。4、信息發(fā)布、信息發(fā)布在啟動應(yīng)急預案前按照流程進行對各相關(guān)層面部門發(fā)送傳真的同時通過電子郵件、oss 進行預案的發(fā)布。信息內(nèi)容應(yīng)包括：應(yīng)急預案啟動的原因、時間、地點、具體實施人員；針對的網(wǎng)絡(luò)層

38、面；詳細的應(yīng)急預案；可能影響的范圍等。在啟動應(yīng)急預案完成后向相關(guān)部門、人員發(fā)送本次應(yīng)急的實施過程及分析。四、應(yīng)急保障四、應(yīng)急保障1、人力保障、人力保障下面是北方網(wǎng)管中心、省網(wǎng)監(jiān)中心、各地市網(wǎng)監(jiān)中心、各設(shè)備廠家相應(yīng)的負責人及通信方式。根據(jù)不同的流程聯(lián)系不同層面的人員進行故障處理。1、北方網(wǎng)管中心數(shù)據(jù)網(wǎng)管中心電話序號北方網(wǎng)管聯(lián)系電話1殷宇153201802802楊153201808183系統(tǒng)代維022-588102594值班電話02258810291，58810292, 588102952、內(nèi)蒙電信省網(wǎng)管中心電話序號內(nèi)蒙網(wǎng)管聯(lián)系電話1狄光04

39、71-3337856 133271022172王153355801593郝如153355801564值班電0471-33800013、內(nèi)蒙古電信 ip 網(wǎng)各地市電信分公司 24 小時值班熱線電話：序號單位24 小時機房維護值班電話1區(qū)維護中0471-33800012呼和浩特047133865923通遼047563890004包頭047269800005赤峰047658800006鄂爾多斯047739800017呼盟047039900148巴盟047879900039烏海0473699000210烏盟0474488000111錫盟0479699551112阿盟0483399000013興安盟048239800004、內(nèi)蒙古電信 ip 網(wǎng)各地市電信分公司數(shù)據(jù)專業(yè)聯(lián)系人電話：序號單位姓名聯(lián)系電話王學峰153355812281呼和浩特市瑪西巴雅爾153355812292呼倫貝爾市崔永軍133148020003包頭市姚程亮133271750624烏海市李剛133847386855烏蘭察布市史涼冰13