閱讀：

4,205

十一國慶以及緊接著的十九大即將到來，各位十九大安保應(yīng)急的兄弟們都已經(jīng)奔赴各自的一線，萬事俱備只欠東風(fēng)，大家的神經(jīng)都緊繃著,緊急有序執(zhí)行DDOS應(yīng)急預(yù)案。

“養(yǎng)兵千日用兵一時(shí)”，我們?cè)谄綍r(shí)把該做的準(zhǔn)備都做好了，關(guān)鍵時(shí)刻就不會(huì)手忙腳亂。歷來安保中最常見的就是DDoS攻擊，本文是綠盟科技的專家給出一些經(jīng)驗(yàn)，供十九大安保應(yīng)急的兄弟們參考。

通常用三層清洗方案來防御DDoS攻擊

這套防御總方針總結(jié)為8個(gè)字就是“立體防御，層層過濾”，包括1本地清洗，2運(yùn)營(yíng)商清洗\臨時(shí)擴(kuò)容帶寬，3云清洗。

大家都知道，DDoS攻擊最最最大的特點(diǎn)就是流量大，但是也有很多不需要太大流量，但是同樣可以達(dá)到攻擊效果的方式。

一般情況下，本地的抗DDoS攻擊設(shè)備完全可以實(shí)現(xiàn)DDoS攻擊的清洗，能自己搞定絕不麻煩別人。當(dāng)受到DDoS攻擊的流量超過了鏈路帶寬的時(shí)候，這個(gè)時(shí)候就需要啟動(dòng)運(yùn)營(yíng)商的DDoS攻擊清洗了。哎呀呀，你說剛好這條受攻擊的鏈路，不具備DDoS攻擊清洗服務(wù)怎么辦？沒關(guān)系，這個(gè)時(shí)候還可啟用Plan B，考慮臨時(shí)擴(kuò)容帶寬。只要攻擊流量沒把帶寬占滿，本地清洗就可行。

當(dāng)在流量運(yùn)營(yíng)商清洗的同時(shí)，還可以啟用云清洗服務(wù)。因?yàn)榘脖＿^程中會(huì)有不少DDoS攻擊是“混合”攻擊(摻雜著各種不同的攻擊類型)，比如說：以大流量反射做背景，期間混入一些CC和連接耗盡，以及DDOS慢速攻擊。那么這個(gè)時(shí)候很有可能需要運(yùn)營(yíng)商清洗(針對(duì)流量型的攻擊)先把大部分的流量清洗掉，把鏈路帶寬清出來，這個(gè)時(shí)候剩下的一部分里面很有可能還有不少是攻擊流量(類似DDOS慢速攻擊、CC攻擊等)，那么就需要本地進(jìn)一步的清洗了。

安保中可能出現(xiàn)的DDoS攻擊場(chǎng)景

根據(jù)以往歷次重大活動(dòng)安保的經(jīng)驗(yàn)，我們對(duì)有可能出現(xiàn)的DDoS攻擊的場(chǎng)景進(jìn)行分類，以便進(jìn)一步針對(duì)不同的場(chǎng)景來制定快速有效的防御手段。

我們針對(duì)典型DDoS攻擊通過攻擊特征進(jìn)行分類，轉(zhuǎn)換為攻擊場(chǎng)景：DDoS攻擊場(chǎng)景現(xiàn)象

流量型(直接)SYN\ACK\ICMP\UDP\Connection FLOOD等DDoS告警

流量型(反射)NTP\DNS\SSDP\ICMP FLOOD等DDoS告警

CC流量變化可能不明顯，業(yè)務(wù)訪問緩慢，超時(shí)嚴(yán)重，大量訪問請(qǐng)求指向同一個(gè)或少數(shù)幾個(gè)頁面

HTTP慢速流量變化可能不明顯，業(yè)務(wù)訪問緩慢，超時(shí)嚴(yán)重，大量不完整的HTTP GET請(qǐng)求，出現(xiàn)有規(guī)律大小(通常很小)的HTTP POST請(qǐng)求的報(bào)文

URL反射流量變化明顯，業(yè)務(wù)訪問緩慢，超時(shí)嚴(yán)重，大量請(qǐng)求的Referer字段相同，表明均來自同一跳轉(zhuǎn)頁面

各種DoS效果漏洞利用入侵檢測(cè)防御設(shè)備可能出現(xiàn)告警，DDoS攻擊檢測(cè)設(shè)備告警不明顯

摸清楚環(huán)境與資源 為DDoS應(yīng)急預(yù)案提供支撐所在的網(wǎng)絡(luò)環(huán)境中，有多少條互聯(lián)網(wǎng)出口？每一條帶寬多少？

每一條互聯(lián)網(wǎng)出口的運(yùn)營(yíng)商是否支持DDoS攻擊清洗，我們是否購買，或可以緊急試用？當(dāng)發(fā)生DDoS攻擊需要啟用運(yùn)營(yíng)商清洗時(shí)，應(yīng)急流程是否確定？

每一條互聯(lián)網(wǎng)出口的運(yùn)營(yíng)商是否支持緊急帶寬擴(kuò)容，我們是否購買，或可以緊急試用？當(dāng)發(fā)生攻擊需要啟用運(yùn)營(yíng)商緊急帶寬擴(kuò)容時(shí)，應(yīng)急流程是否確定？

每一條互聯(lián)網(wǎng)出口的線路，是否都具備本地DDoS攻擊清洗能力？

本地抗DDoS攻擊設(shè)備服務(wù)商，是否提供了DDoS攻擊的應(yīng)急預(yù)案？

所有需要我們防御的業(yè)務(wù)，是否都在抗DDoS設(shè)備的監(jiān)控范圍內(nèi)？

出現(xiàn)DDoS攻擊的時(shí)候，所有需要自動(dòng)清洗的業(yè)務(wù)，是否可以自動(dòng)牽引并清洗？

是否有內(nèi)部針對(duì)DDoS攻擊應(yīng)急的指導(dǎo)流程？

當(dāng)發(fā)生DDoS攻擊的時(shí)候如何第一時(shí)間感知？

安保應(yīng)急中的DDoS攻擊應(yīng)急預(yù)案

根據(jù)以上信息，接下來就可以對(duì)號(hào)入座的針對(duì)每一個(gè)梳理出來的攻擊場(chǎng)景部署防御手段了流量型(直接)—流量未超過鏈路帶寬—本地清洗

流量型(直接)—流量超過鏈路帶寬—通知運(yùn)營(yíng)商清洗||臨時(shí)擴(kuò)容||云清洗—本地清洗針對(duì)SYN、ACK、UDP、ICMP等類型的flood攻擊：

一般情況下：本地清洗設(shè)備的防御算法都可以輕松應(yīng)對(duì)。比如說首包丟棄、IP溯源等。

特殊情況下：可以再次基礎(chǔ)上增加一些限速，至少就可以保證在遭受攻擊的時(shí)候保持業(yè)務(wù)基本的可用性。

如果通過排查發(fā)現(xiàn)發(fā)生攻擊源IP具有地域特征，可以根據(jù)地域進(jìn)行限制(大量來自國外的攻擊尤其適用)。

流量型(反射)—流量未超過鏈路帶寬—本地清洗

流量型(反射)—流量超過鏈路帶寬—通知運(yùn)營(yíng)商清洗||臨時(shí)擴(kuò)容||云清洗—本地清洗針對(duì)NTP、DNS、SSDP等類型的反射攻擊：

一般情況下：本地清洗設(shè)備的防御算法都可以有效的進(jìn)行緩解。比如說對(duì)UDP碎片包的丟棄，以及限速等。

特殊情況下：由于反射攻擊的特征大多呈現(xiàn)為固定源端口+固定目的IP地址的流量占了整個(gè)鏈路帶寬的90%+

我們可以針對(duì)這些特征配置更加徹底的丟棄規(guī)則

CC—本地清洗—本地清洗效果不佳后—-云清洗針對(duì)CC攻擊，如果清洗效果非常不明顯，情況又很緊急的情況下可以采用臨時(shí)使用靜態(tài)頁面替換。

HTTP慢速—本地清洗—本地清洗效果不佳后—云清洗對(duì)于HTTP body慢速攻擊，在攻擊過程中分析出攻擊工具的特征后，針對(duì)特征在本地防御設(shè)備進(jìn)行配置。

URL(反射)—本地清洗+云清洗對(duì)于URL反射攻擊，在攻擊過程中找出反射源，在本地防御設(shè)備進(jìn)行高級(jí)配置

各種DoS效果漏洞利用：監(jiān)控入侵檢測(cè)或防御設(shè)備的告警信息、做好系統(tǒng)漏洞修復(fù)對(duì)于此類攻擊，其實(shí)嚴(yán)格意義來說并不能算DDoS攻擊，只能算是能達(dá)到DoS效果的攻擊，僅做補(bǔ)充場(chǎng)景

點(diǎn)擊查看更多DDOS相關(guān)內(nèi)容

總結(jié)

以上是生活随笔為你收集整理的ddos应急处理_写给十九大安保应急的兄弟们 来看看DDOS攻击应急预案的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。