一、背景介绍
    江苏省教育管理信息中心的网络中心目前承载了江苏省教育信息化公共服务平台、中小学学生学籍系统以及各类教学资源中心等服务，服务器数量大，网络情况复杂，同时也是黑客攻击的重点目标。这几年来，网络中心遭受了来自各方面的重大攻击，所幸的是由于安全策略得当，处置及时，没有造成数据的损失。现将最近发生的一次攻击及处置情况与大家分享，以期在遇到类似的问题时可以参考。
    二、事件及处置
    2015年1月11日上午，我中心技术人员在进行例行远程维护时发现网络堵塞严重，无法访问内网，便立即按照网络安全应急预案进行处置，并请负责网络安全服务的南京鼎盟技术有限公司的工程师以及安全设备的天融信原厂工程师予以协助。
    安全设备的工程师通过登陆边界防火墙后发现在线连接数超过正常时段的5至6倍（如图1），对在线连接数的来源检查发现，有来自天津的IP地址：123.150.107.9（天津市电信）的在线连接数超过了10000，以及过去5秒建立连接数也非常大，初步断定是该地址在对我网络中心进行DDOS攻击，在防火墙上对该地址封堵后，不到5分钟时间同时出现123.150.107.7、123.150.107.8、123.150.107.10三个地址，在线连接数也都分别达到了近20000，说明该行为是人为操作的，属于恶意攻击，于是我们对其进行了整个C（123.150.107.0/24）段地址的封堵。封堵后，发现效果仍不明显，继续检查，发现又出现属于南京市的一个段的IP地址（117.136.19.0/24南京市移动）也存在类似的攻击，对该地址段也进行了封堵。

    图1
    上述封堵完成后，网络暂时畅通。但是不到10分钟，再次发生堵塞现象，于是继续进行分析处理。
    经过对在线连接数的监测发现，有分别来自192.168.99.144和192.168.88.79的内部服务器的在线连接数异常大，达到了60000（如图2）。
图2
    经过在边界防火墙上抓包获取的数据分析，有两台服务器的发包数量异常，其中192.168.99.144为物理机服务器，192.168.88.79为虚拟机服务器，在找到192.168.99.144服务器后进行了断网处理，但是由于192.168.88.79是虚拟机，而我们的管理区是直接接在边界防火墙上的，等同于外围的用户，防火墙后面接的是一台吞吐量较弱的负载均衡设备，网络流量超过了负载均衡设备的处理能力，造成了线路堵塞，使得管理员无法进入虚拟机的管理页面。由于该服务器和其他应用服务器共用一台物理服务器，其他应用无法中断，所以必须单独关闭该虚拟服务器。
    打开防火墙的管理页面，在连接信息里有一个清空连接表的功能（如图3）。在清空连接表后，将所有的连接清除，在20秒内，管理员能达到内网，超过20秒后，网络再次堵塞。经过几次这样的清空连接表的处理，几次登录后，终于进入了管理界面，中断了该虚拟服务器的网络连接。之后，整个网络立刻正常。

    据分析，这两台服务器是为教师参加教学资源评比的专用服务器，有人利用上传资源的程序将木马上传到了服务器，并且利用Web方式进行了催动攻击。在攻击发动期间，网络的数据包达到了极致（如图4，注：本文以下截图均为将服务器断网后截取的系统监控记录），并且系统的CPU使用达到了100%（如图5），以及单台服务器的网络带宽占用达到了200Mbps以上（如图6）。

    图4

    图5
   

    图6
    三、总结
    本次的攻击属于复合攻击，同时受到了来自外网的DDOS攻击和内部的服务器的木马攻击，由于网络主干中存在处理能力弱的负载均衡设备，从而造成了堵塞，处理起来相对困难。但只要技术人员见招拆招，抽丝剥茧，总可以发现问题并解决问题。