黑客攻击预案演练记录_黑客攻击应急预案

文章目录：

• 1、黑客攻击有记录日志吗
• 2、安全应急预案演练记录
• 3、黑客支付宝综艺叫什么哪一集？
• 4、那些年，DDoS的那些反击渗透的事情。

黑客攻击有记录日志吗

有。在黑客入侵的过程中，肯定会在系统中留下一些痕迹，这些痕迹都会被日志功能完整地记录下来。

安全应急预案演练记录

安全应急预案演练记录

时间：11月9日

地点：教学楼、操场

总指挥：祖枫桐

参加班级：1-5年级全体学生、 全体教职工

演练内容：火灾事故发生时，紧急疏散学生

演练用时：1分19秒

演练过程：

一、火灾事故应急援救演练过程记录 ：

①教学楼因电路漏电起火，李延臣播放报警铃。

②利用广播宣布疏散行动开始。

③班级正在上课的教师按照顺序从楼道快速组织学生撤离教学楼。

④安全领导小组成员迅速各就各位疏散学生，班级内上课的教师负责教室里的疏散，迅速有序的撤出。

⑤师生进入安全区域。

⑥指挥小组迅速向消防队（电话119）和医院（电话120）发出请求紧急救援的指令。

⑦学校消防安全应急小组迅速赶到现场维持秩序，扑灭大火和救治受伤人员。

⑧教师灭火队员使用灭火器材迅速灭火。

⑨总指挥宣布演练结束。

二、教学楼火灾事故时师生疏散演练记录 ：

①总指挥下达演练开始令。

②副总指挥具体负责实施演练预案。

③小组成员分头到达指定位置。

④播放警报。

⑤副总指挥指挥各班班主任按照次序从楼道快速撤离教学楼。

⑥师生进入安全区域。

⑦指挥部迅速向消防队（电话119）和医院（电话120）发出请求紧急救援的指令。

⑧学校消防安全应急小组迅速赶到现场维持秩序，扑灭大火和救治受伤人员。

⑨教师灭火队员使用灭火器材迅速灭火。

总指挥宣布演练结束。

安全应急预案演练记录

时间： 5月12日

地点：教学楼、操场

总指挥：祖枫桐

参加班级：1-5年级全体学生、 全体教职工

演练内容：接到地震警报，紧急疏散学生

演练用时：1分12秒

演练记录 ：

准备工作：5月11日向班主任下发应急演练活动实施方案；学生放学后，组织全体教师收看关于地震知识的'制作片，要求教师做笔记，并将相关记录要点讲授给学生。（正确的避震方法；震后有组织的撤离；学生疏散安排；震后自救、互救。）

过  程 ：

1、5月12日上午9：30，忽然，安全员发出地震警报（防空警报）

2、在班级上课的教师立即组织学生离开教室。

3、安全员和各班班主任指挥学生疏散：各年级有秩序地向校园中心疏散。避开因教学楼倒塌造成的人员伤亡。

4、安全员向在场的学生讲地震知识以及有关紧急疏散措施：

（1）要有顺序地疏散，在楼梯下楼时，(计划方案　 )不准学生在楼梯或走廊互相拥挤，避免跌倒。

（2）老师应在每层楼梯把守，指挥学生有秩序疏散。

（3）疏散过程中，以双手护头，以防被砸。

（4）疏散过程中，要迅速，要排队有秩序前进，不要慌乱奔跑，不要争先恐后。

（5）疏散途中不能穿过建筑物，要尽量避开建筑物和电线。

（6）各班学生到达集中地后，学生要蹲下，保护头部。

（7）班主任向校长汇报人数。

总  结 ：

今天是5月12日——第三个全国“防灾、减灾日”，四川汶川地震3周年，为了提高防震减灾意识和震时应急技能，我校师生开展了本次地震应急演练活动。活动前，各位老师能够积极、认真地收看地震制作片，记录要点并将演练的各项要求传达给学生。活动过程中，各位教师能够各司其职，全体学生能够按照统一的指令，动作敏捷、规范，能够按规定线路疏散，快而不乱，达到了提高震时应急技能的预期目的。

在此特别强调四点演练中的注意事项：

遇事不惊，头脑冷静。

判明情况，思考对策。

听从指挥，有序疏散，杜绝推、拉、冲、撞、拥挤、恐慌混乱，相互踩踏。

在撤离途中，如果出现拥挤摔倒情况，后面学生要在教师的带领下绕行，倒地的学生要迅速站起来，跟随撤出。

各位班主任要以此次活动为契机，利用班会时间进行总结，扬长避短，使本次演练活动真正达到提高防震减灾意识和震时应急技能的目的。

本次演练活动到上为止。

黑客支付宝综艺叫什么哪一集？

20190203期的《智造将来》。

前段时间，一档叫做《智造将来》的节目在浙江卫视热播。现场上演了一场惊心动魄的黑客攻击支付宝账户的演练，其中，“黑客”由来自杭州公安局刑侦支队的网络研究员精英团队扮演，防守方是支付宝智能风控引擎。

安全工程师演示了三种不法分子常用的手段：点击未知链接下载不明app、扫描有风险的二维码，输入手机号连接公共Wi-Fi。这三种方式，都有可能让你落入网络安全陷阱。

节目现场介绍：

现场观众都被这一系列操作惊呆了，直呼“怎么可能”？但三次攻击里，一次没能修改成功登陆密码，一次成功登陆却因为无法修改支付密码宣告失败。只有在第三次攻击时，安全研究员完全获知了用户的个人信息，对登陆密码和支付密码都进行了修改。眼看就要转账成功！

当多有人都以为这次支付宝的防守要失败时，智能风控引擎经受住了考验，在这样极端的情况下，不仅监测到异常，还在转账的重要关头进行了拦截。支付宝果然还是那个支付宝，安全可靠有保障。

那些年，DDoS的那些反击渗透的事情。

DDoS攻击与对策

DDo（Distributed Denial of Service），即分布式拒绝服务攻击，是指黑客通过控制由多个肉鸡或服务器组成的僵尸网络，向目标发送大量看似合法的请求，从而占用大量网络资源使网络瘫痪，阻止用户对网络资源的正常访问。

从各安全厂商的DDoS分析报告不难看出，DDoS攻击的规模及趋势正在成倍增长。由于攻击的成本不断降低，技术门槛要求越来越低，攻击工具的肆意传播，互联网上随处可见成群的肉鸡，使发动一起DDoS攻击变得轻而易举。

DDoS攻击技术包括：常见的流量直接攻击（如SYN/ACK/ICMP/UDP FLOOD），利用特定应用或协议进行反射型的流量攻击（如，NTP/DNS/SSDP反射攻击，2018年2月28日GitHub所遭受的Memcached反射攻击），基于应用的CC、慢速HTTP等。关于这些攻击技术的原理及利用工具网上有大量的资源，不再赘述。

1.1　DDoS防御常规套路

防御DDoS的常规套路包括：本地设备清洗，运营商清洗，云清洗。

1.本地设备清洗

抗DDoS设备（业内习惯称ADS设备）一般以盒子的形式部署在网络出口处，可串联也可旁路部署。旁路部署需要在发生攻击时进行流量牵引，其基本部署方案如图18-1所示。

图18-1　ADS 设备部署方式

图18-1中的检测设备对镜像过来的流量进行分析，检测到DDoS攻击后通知清洗设备，清洗设备通过BGP或OSPF协议将发往被攻击目标主机的流量牵引到清洗设备，然后将清洗后的干净流量通过策略路由或者MPLS LSP等方式回注到网络中；当检测设备检测到DDoS攻击停止后，会通知清洗设备停止流量牵引。

将ADS设备部署在本地，企业用户可依靠设备内置的一些防御算法和模型有效抵挡一些小规模的常见流量攻击，同时结合盒子提供的可定制化策略和服务，方便有一定经验的企业用户对攻击报文进行分析，定制针对性的防御策略。目前国内市场上，主要以绿盟的黑洞为代表，具体可以访问其官网进一步了解。

本地清洗最大的问题是当DDoS攻击流量超出企业出口带宽时，即使ADS设备处理性能够，也无法解决这个问题。一般金融证券等企业用户的出口带宽可能在几百兆到几G，如果遇到十G以上甚至上百G的流量，就真的麻烦了，更别谈T级别的DDoS攻击了。

 2.运营商清洗

当本地设备清洗解决不了流量超过出口带宽的问题时，往往需要借助运营商的能力了，紧急扩容或者开启清洗服务是一般做法，前提是要采购相应的清洗服务，而且一般需要通过电话或邮件确认，有的可能还要求传真。

运营商的清洗服务基本是根据netflow抽样检测网络是否存在DDoS攻击，而且策略的颗粒度较粗，因此针对低流量特征的DDoS攻击类型检测效果往往不够理想。再加上一些流程上的操作如电话、邮件、传真等，真正攻击到来时处理可能会更慢，需要重点关注。

值得一提的是中国电信的云堤服务，提供了“流量压制”和“近源清洗”服务，而且还提供了自助平台供用户操作，查看流量、开启清洗也非常方便。

 3.云清洗

内容分发网络（Content Delivery Network，CDN）是指，通过在网络各处放置节点服务器，让用户能够在离自己最近的地方访问服务，以此来提高访问速度和服务质量。CDN主要利用了四大关键技术：内容路由，内容分发，内存存储，内容管理。更详细的技术原理可以参考中国电信研究院出版的《CDN技术详解》。

CDN技术的初衷是为了提高互联网用户对静态网站的访问速度，但是由于分布式、就近访问的特点，能对攻击流量进行稀释，因此，一些传统CDN厂商除了提供云加速功能外，也开始推出云清洗的服务，当然还有一些安全公司基于其自身优势进入云清洗市场。基本原理都一样，需要先在云端配置好相应的记录，当企业遭受大规模攻击时，通过修改其DNS记录将要保护的域名CNAME到云端事先配好的记录上，等待DNS生效即可。

使用云清洗需要注意以下几个问题：

1. -·云清洗厂商需要提前配置好相应记录。 ·DNS修改记录后，需要等待TTL超时才生效。 

2.  ·直接针对源IP的攻击，无法使用云清洗防护，还要依靠本地和运营商清冼。 

3. ·针对HTTPS网站的防御，还涉及HTTPS证书，由此带来的数据安全风险需要考虑，市面上也有相应的Keyless方案{n1}。

由于国内环境不支持Anycast技术，所以不再赘述，如果有海外分支机构的网站需要防护，可以关注。

{nt1|其细节可以参考cloudflare公司博客上的文章，链接：[]()。

一些经验

结合笔者的一些经验，对DDoS防护落地做一些补充，仅供参考。

1.自动化平台

金融企业由于高可用要求，往往会有多个数据中心，一个数据中心还会接入多家运营商线路，通过广域网负载均衡系统对用户的访问进行调度，使之访问到最近最优的资源。当任何一条接入线路存在DDoS攻击时，能通过广域网负载均衡系统将该线路上的访问需求转移至其他互联网线路。在针对IP地址开展的DDoS攻击中，此方案能够有效保障正常客户的访问不受影响，为了实现快速切换，需要通过自动化运维平台来实现，如图18-2所示。

图18-2

线路调整一键应急配合必要的应知应会学习和应急演练，使团队成员都能快速掌握方法，在事件发生第一时间进行切换，将影响降到最小。接下来才是通知运营商进行清洗处理，等待流量恢复正常后再进行回切。

当某一个业务的IP受到攻击时，可以针对性地处置，比如一键停用，让正常用户访问其他IP；也可以一键开启清洗服务。

 2.设备抗D能力

除了ADS设备外，还有一些设备也需要关注抗DDoS能力，包括防火墙、负载均衡设备等。

出于安全可控需求，金融企业往往会采用异构模式部署防火墙，比如最外层用产品A，里面可能会用产品B。假如产品A的抗DDoS能力差，在发生攻击时，可能还没等到ADS设备清洗，产品A已经出问题了，比如发生了HA切换或者无法再处理新的连接等。

在产品选型测试时，需要关注这方面的能力，结合笔者所在团队经验，有以下几点供参考：

1. ·某些产品在开启日志记录模块后会存在极严重的性能消耗，在可能存在攻击的环境内建议关闭。

2. ·尽管理论和实际会有偏差，但根据实际测试情况，还是建议当存在大量TCP、UDP新建连接时，防火墙的最大连接数越大越好

3. 多测试多对比，从对比中可以发现更优的方案，通过适当的调整优化引入更优方案。

4. ·监控防火墙CPU和连接数，当超过一定值时开始着手优化规则，将访问量多的规则前移、减少规则数目等都是手段。

负载均衡设备也需要关注以上问题，此外，负载均衡由于承接了应用访问请求分发调度，可以一定程度上针对性地防护基于IP速率、基于URL速率的DDoS攻击以及慢速攻击等。图18-3所示为F5的ASM的DDoS防护策略。

图18-3

负载均衡设备ASM防DDoS功能

请求经过防火墙和负载均衡，最后到了目标机器上处理的时候，也需要关注。系统的性能调优设置、Nginx的性能参数调整以及限制连接模块配置等，都是在实际工作中会涉及的。

3.应急演练

部署好产品，开发好自动化运维平台，还要配合必要的应知应会、应急演练才行。因为金融行业的特殊性，DDoS攻击发生的次数相比互联网行业还是少很多的，有的企业可能几年也碰不到一次。时间久了技能就生疏了，真正需要用到时，可能连登录设备的账号口令都忘了，又或者需要现场接线的连设备都找不到，那就太糟糕了。

此外，采购的外围的监控服务、运营商和云清洗产品的服务能力也需要通过演练来检验有效性。签订合同时承诺的秒级发现、分钟级响应是否经得起考验，要先在心里打上一个问号。建议在不事先通知的情况下进行演练，观察这中间的问题并做好记录，待演练完成后一并提交给服务商要求整改。这样的演练每年要不定期组织几次。