江西电信网络安全攻防演练指引.doc

江西电信网络安全攻防演习指引中国电信江西公司省网支SOC中心目录1演习项目 32演习拓扑 32.1拓扑 32.2演习环境阐明 42.3设备列表 53演习环节 63.1模拟场景1. 6江西-城域网遭到大规模DDOS袭击 63.2模拟场景2. 6江西电信网络安全攻防演习 63.2.1 任务 63.2.2对抗分组 73.2.3职责 73.2.4判断原则 83.2.5演习环节： 84联系方式 9附件1演习环境配备 10附件2演习接入 10附件3袭击流量监控措施 101演习项目演习项目如下：1、 模拟场景1.江西某城域网遭到DDOS袭击2、 模拟场景2.江西电信网络安全攻防演习2演习拓扑2.1拓扑模拟场景1.江西某城域网遭到DDOS袭击拓扑：（待添加）模拟场景2.亚运网络安全攻防演习的演习拓扑：2.2演习环境阐明模拟场景1.江西某城域网遭到DDOS袭击：（待添加）模拟场景2.亚运网络安全攻防演习的环境阐明：在场景2演习平台中，采用思科2800作为VPDN的LNS设备，同步兼为实验室内网地址NAT转换外网地址，该LNS上联省NOC的接入路由上，分派的外网IP地址网段为：61.131.214.192/26，LNS（cisco2800）的外网接口地址为61.131.214.194，此外以太口连接内网的华为NE80核心路由器上，公网顾客通过VPDN拨号，认证通过后，获得内网地址为10.10.10.2-254，再访问实验室内网。

核心为华为的NE80和7806设备，下挂华为ME60设备，作为宽带接入服务器（BRAS）顾客在ME60设备上开静态IP顾客，地址段为：10.10.17.0/24、10.10.18.0/24，分别作为安全设备的管理地址用和接入服务器或主机使用华为S7806作汇聚互换机，上联ME60的G1/0/1，透传管理VLAN2，顾客VLAN20、30；下接入天融信的防火墙和Macfee2600设备整个实验用采用的IGP合同为OSPF合同，本规划模拟现城域网中的路由合同，如BGP、ISIS和OSPF合同，将CISCO2800、7609、NE80、ME60所有开IGP合同OSPF，并规划在用一种OSPF号（791）和同一种域（area 0），这样内网顾客可通过CISCO2800NAT访问公网，对于公网顾客，也可通过VPDN拨号访问内网服务系统方面，新添服务器5台，操作系统分别为Linux、Sun solaris、Win server、Winxp、Win server服务器上的应用涉及：Web、Ftp、Smtp、DNS、SQLserver、Oracle、telnet、ssh等常用应用2.3设备列表层面设备名称厂家数量作用核心层设备NE80华为1核心路由设备CISCO7806思科1核心路由设备业务接入设备ME60华为1BRAS接入设备汇聚设备S7806华为1汇聚互换机LNS路由器CISCO2800思科1小型路由设备互换机CISCO3550思科1接入互换机CISCO3560思科1接入互换机流量监控Genie NTG 2100威睿1NetFlow异常流量监控设备安全设备Mcafee 2600迈克菲1IPS 入侵防御设备IPS天融信1IPS 入侵防御设备防火墙天融信1访问控制设备其她配套维护终端HP DX MT4CPU：Intel Core 2 Duo E4500 双核（2.2G） ，内存1G，160G硬盘，Combo光驱，128M独立显卡，17寸液晶显示屏操作台10实验室操纵台机架6600*900*22003演习环节3.1模拟场景1.江西-城域网遭到大规模DDOS袭击根据：《中国电信互联网网络安全应急预案》、《中国电信DDoS袭击应急响应流程》环节：1. 参演的分公司通过WEB登录到GenieATM流量分析系统以及IP城域网网络设备。

2. 参演分公司提前熟悉GenieATM流量分析系统和操作脚本后，开始监测IP网异常流量3. 演习指挥通过NOC进行袭击流量的发送为了增长忽然性，可选择不定期发送）4. 参演的分公司根据流量的状况启动ACL防护，但由于袭击类型复杂，ACL效果不好5. 参演分公司启用黑洞路由，对袭击流量进行丢弃6. 参演分公司观测网络流量恢复正常后，向省SOC报告解决成果7. 参演分公司向演习指挥报告演习完毕8. 演习指挥告知NOC停止袭击流量发送9. 参演的各分公司提交演习报告3.2模拟场景2.江西电信网络安全攻防演习根据：《中国电信互联网网络安全应急预案》3.2.1 任务袭击方（红队）：接入一种模拟城域网的演习网络后，可以采用多种黑客袭击手段，如：远程溢出袭击、密码暴力破解、脚本漏洞、网站挂马、ARP欺骗等，针对该模拟网络的网络设备、操作系统、应用系统等各个方面进行破坏，尽量影响目的网络的服务正常提供，所需的一切袭击工具和措施可与红队技术支持方联系获取防守方（蓝队）：将有1周时间对一种模拟城域网的网络和服务进行加固，之后一周会正面与袭击方对抗，如发现某系统被攻破，要在最短的时间内恢复可以运用多种安全配备和安全设备加强对于袭击的检测和控制。

所需的一切防御软件和技术与蓝队技术支持方联系获取在规定期间内，如果红队成功攻破蓝队的系统、导致网络或业务中断，则判红队获胜如果蓝队在演习时间始终内保证网络和服务的正常，则蓝队获胜3.2.2对抗分组袭击队（红队）红队队长副队长成员支持待定省SOC 黄协九江、宜春、景德镇、吉安、赣州、萍乡绿盟 防守队（蓝队）蓝队队长副队长成员支持待定省SOC 谭立佳南昌、新余、上饶、抚州、鹰潭启明3.2.3职责队长：1. 拟定袭击或防守思路，制定攻防方案并向演习指挥提交2. 组织、协调本队队员，分派攻防任务，检查效果3. 听从演习指挥的命令，开始、停止攻防行动4. 在演习对抗过程中，向成员下达攻防命令，记录并向演习指挥报告所有的操作对袭击成功或发现入侵的状况要立即报告5. 汇总队员的需求，与演习支持方联系，获取攻防工具和技术指引6. 实时关注演习命令发布群里面的信息7. 演习过程中如浮现问题，及时向演习指挥反映8. 演习结束后负责编写团队演习状况报告提交给演习指挥副队长1. 协助队长进行协调、联系事宜2. 监督、检查队伍的行为，与否有超过范畴的行为3. 实时关注演习命令发布群里面的信息队员：1. 听从队长指挥，按照队长分派的任务进行攻防操作。

2. 准备有关攻防知识，熟悉演习环境设备，需要工具和协助及时向队长提出3. 实时关注演习命令发布群里面的信息，保持联系畅通4. 演习结束后负责编写我省演习报告并提交给演习指挥技术支持：1. 演习期间提供现场或远程协助2. 只能对支持的队伍提供工具和技术指引，不能进行实际操作3. 与所在的队伍密切配合，协助队长制定攻防方案4. 听从队长的命令，不容许擅自行动3.2.4判断原则攻防双方在演习过程中的体现，从如下几种方面进行判断：1. 攻防思路思路与否严谨、可行，方向与否对的，考虑与否完备2. 组织协调能力与否进行了有效的组织协调，任务分派与否合理，成员与否对任务理解透彻，行动与否有配合，互相之际与否进行了有效的沟通3. 攻防体现对网络攻防的理解与否透彻，能否自主选择合适的攻防工具，工具的使用与否纯熟3.2.5演习环节：1. 将参与演习的江西省内的11个分公司分为红队和蓝队，红队负责攻打，蓝队负责防守2. 提前一周将蓝队的队员接入网络，对各个方面进行加固，做好防守准备3. 一周后，容许攻方的红队接入网络，在一周时间内，对网络设施、服务器、应用等各个方面展开攻打4. 演习过程中有任何进展，攻防双方都必须向演习指挥报告。

5. 演习过程有任何状况，演习指挥可以临时中断演习进程6. 演习时间到后，攻防双方停止袭击演习指挥评估袭击对网络和服务导致的影响，根据双方的体现打分攻防双方提交演习过程报告，演习指挥对比赛进行点评和总结4联系方式省网运负责人：李文君 演习指挥：郑玉谦协助：张静静演习命令发布/讨论群：袭击队（红队）：队长 副队长 黄协防守队（蓝队）：队长 副队长 谭立佳红队技术支持——绿盟： 待定白队技术支持——启明： 待定附件1演习环境配备模拟场景1.江西某城域网遭到DDOS袭击环境配备：（待添加）模拟场景2.江西电信网络安全攻防演习环境配备：附件2演习接入江西网络实验室vpn(pptp)winxp接入指南 附件3袭击流量监控措施。