ddos应急处理_写给十九大安保应急的兄弟们 来看看DDOS攻击应急预案
閱讀:
4,205
十一國慶以及緊接著的十九大即將到來,各位十九大安保應急的兄弟們都已經奔赴各自的一線,萬事俱備只欠東風,大家的神經都緊繃著,緊急有序執行DDOS應急預案。
“養兵千日用兵一時”,我們在平時把該做的準備都做好了,關鍵時刻就不會手忙腳亂。歷來安保中最常見的就是DDoS攻擊,本文是綠盟科技的專家給出一些經驗,供十九大安保應急的兄弟們參考。
通常用三層清洗方案來防御DDoS攻擊
這套防御總方針總結為8個字就是“立體防御,層層過濾”,包括1本地清洗,2運營商清洗\臨時擴容帶寬,3云清洗。
大家都知道,DDoS攻擊最最最大的特點就是流量大,但是也有很多不需要太大流量,但是同樣可以達到攻擊效果的方式。
一般情況下,本地的抗DDoS攻擊設備完全可以實現DDoS攻擊的清洗,能自己搞定絕不麻煩別人。當受到DDoS攻擊的流量超過了鏈路帶寬的時候,這個時候就需要啟動運營商的DDoS攻擊清洗了。哎呀呀,你說剛好這條受攻擊的鏈路,不具備DDoS攻擊清洗服務怎么辦?沒關系,這個時候還可啟用Plan B,考慮臨時擴容帶寬。只要攻擊流量沒把帶寬占滿,本地清洗就可行。
當在流量運營商清洗的同時,還可以啟用云清洗服務。因為安保過程中會有不少DDoS攻擊是“混合”攻擊(摻雜著各種不同的攻擊類型),比如說:以大流量反射做背景,期間混入一些CC和連接耗盡,以及DDOS慢速攻擊。那么這個時候很有可能需要運營商清洗(針對流量型的攻擊)先把大部分的流量清洗掉,把鏈路帶寬清出來,這個時候剩下的一部分里面很有可能還有不少是攻擊流量(類似DDOS慢速攻擊、CC攻擊等),那么就需要本地進一步的清洗了。
安保中可能出現的DDoS攻擊場景
根據以往歷次重大活動安保的經驗,我們對有可能出現的DDoS攻擊的場景進行分類,以便進一步針對不同的場景來制定快速有效的防御手段。
我們針對典型DDoS攻擊通過攻擊特征進行分類,轉換為攻擊場景:DDoS攻擊場景現象
流量型(直接)SYN\ACK\ICMP\UDP\Connection FLOOD等DDoS告警
流量型(反射)NTP\DNS\SSDP\ICMP FLOOD等DDoS告警
CC流量變化可能不明顯,業務訪問緩慢,超時嚴重,大量訪問請求指向同一個或少數幾個頁面
HTTP慢速流量變化可能不明顯,業務訪問緩慢,超時嚴重,大量不完整的HTTP GET請求,出現有規律大小(通常很小)的HTTP POST請求的報文
URL反射流量變化明顯,業務訪問緩慢,超時嚴重,大量請求的Referer字段相同,表明均來自同一跳轉頁面
各種DoS效果漏洞利用入侵檢測防御設備可能出現告警,DDoS攻擊檢測設備告警不明顯
摸清楚環境與資源 為DDoS應急預案提供支撐所在的網絡環境中,有多少條互聯網出口?每一條帶寬多少?
每一條互聯網出口的運營商是否支持DDoS攻擊清洗,我們是否購買,或可以緊急試用?當發生DDoS攻擊需要啟用運營商清洗時,應急流程是否確定?
每一條互聯網出口的運營商是否支持緊急帶寬擴容,我們是否購買,或可以緊急試用?當發生攻擊需要啟用運營商緊急帶寬擴容時,應急流程是否確定?
每一條互聯網出口的線路,是否都具備本地DDoS攻擊清洗能力?
本地抗DDoS攻擊設備服務商,是否提供了DDoS攻擊的應急預案?
所有需要我們防御的業務,是否都在抗DDoS設備的監控范圍內?
出現DDoS攻擊的時候,所有需要自動清洗的業務,是否可以自動牽引并清洗?
是否有內部針對DDoS攻擊應急的指導流程?
當發生DDoS攻擊的時候如何第一時間感知?
安保應急中的DDoS攻擊應急預案
根據以上信息,接下來就可以對號入座的針對每一個梳理出來的攻擊場景部署防御手段了流量型(直接)—流量未超過鏈路帶寬—本地清洗
流量型(直接)—流量超過鏈路帶寬—通知運營商清洗||臨時擴容||云清洗—本地清洗針對SYN、ACK、UDP、ICMP等類型的flood攻擊:
一般情況下:本地清洗設備的防御算法都可以輕松應對。比如說首包丟棄、IP溯源等。
特殊情況下:可以再次基礎上增加一些限速,至少就可以保證在遭受攻擊的時候保持業務基本的可用性。
如果通過排查發現發生攻擊源IP具有地域特征,可以根據地域進行限制(大量來自國外的攻擊尤其適用)。
流量型(反射)—流量未超過鏈路帶寬—本地清洗
流量型(反射)—流量超過鏈路帶寬—通知運營商清洗||臨時擴容||云清洗—本地清洗針對NTP、DNS、SSDP等類型的反射攻擊:
一般情況下:本地清洗設備的防御算法都可以有效的進行緩解。比如說對UDP碎片包的丟棄,以及限速等。
特殊情況下:由于反射攻擊的特征大多呈現為固定源端口+固定目的IP地址的流量占了整個鏈路帶寬的90%+
我們可以針對這些特征配置更加徹底的丟棄規則
CC—本地清洗—本地清洗效果不佳后—-云清洗針對CC攻擊,如果清洗效果非常不明顯,情況又很緊急的情況下可以采用臨時使用靜態頁面替換。
HTTP慢速—本地清洗—本地清洗效果不佳后—云清洗對于HTTP body慢速攻擊,在攻擊過程中分析出攻擊工具的特征后,針對特征在本地防御設備進行配置。
URL(反射)—本地清洗+云清洗對于URL反射攻擊,在攻擊過程中找出反射源,在本地防御設備進行高級配置
各種DoS效果漏洞利用:監控入侵檢測或防御設備的告警信息、做好系統漏洞修復對于此類攻擊,其實嚴格意義來說并不能算DDoS攻擊,只能算是能達到DoS效果的攻擊,僅做補充場景
點擊查看更多DDOS相關內容
總結
以上是生活随笔為你收集整理的ddos应急处理_写给十九大安保应急的兄弟们 来看看DDOS攻击应急预案的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python爬去朋友圈_利用Python
- 下一篇: cmos和ttl_TTL电平和CMOS电