目錄

DDos攻擊簡介

DDos攻擊應(yīng)急響應(yīng)指南

一. 問題排查

二. 臨時(shí)處置

三. 研判溯源

四. 清楚加固

DDos攻擊簡介

分布式拒絕服務(wù)是種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、 協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司、搜索引擎或政府部門門的站點(diǎn)。DoS攻擊只要一臺單機(jī)和一個(gè)Modem就可實(shí)現(xiàn)；而DDoS攻擊是利用一批受控制的機(jī)器向一臺機(jī)器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。

絕大部分的DDoS攻擊是通過僵尸網(wǎng)絡(luò)產(chǎn)生的。僵尸網(wǎng)絡(luò)主要由受到僵尸程序感染的計(jì)算機(jī)及其他機(jī)器組成。當(dāng)確定受害者的IP 地址或域名后，僵尸網(wǎng)絡(luò)控制者發(fā)送攻擊指令，隨后就可以使網(wǎng)絡(luò)斷開連接，指令在僵尸程序間自行傳播和執(zhí)行，每臺僵尸主機(jī)都將做出響應(yīng)，同時(shí)向目標(biāo)主機(jī)發(fā)送請求，可能導(dǎo)致目標(biāo)主機(jī)或網(wǎng)絡(luò)出現(xiàn)溢出，從而拒絕服務(wù)。

消耗網(wǎng)絡(luò)帶寬資源：ICMP Flood? ?UDP Flood

消耗系統(tǒng)資源：TCP Flood? ? SYN Flood

消耗應(yīng)用資源：CC攻擊（HTTP Flood）

DDos攻擊應(yīng)急響應(yīng)指南

如何判斷遭受到DDos攻擊：

1. 查看防火墻、流量監(jiān)控設(shè)備、網(wǎng)絡(luò)設(shè)備等是否出現(xiàn)安全告警或大量異常數(shù)據(jù)包。
2. 查看是否存在特定的服務(wù)、頁面請求，使服務(wù)器/主機(jī)無法及時(shí)處理所有正常請求。
3. 查看是否有大量等待的TCP連接。
4. 排查服務(wù)器/主機(jī)與惡意IP地址是否建立異常連接，或是否存在大量異常連接。

一. 問題排查

DDos事件發(fā)生的時(shí)間

對可記錄流量信息的設(shè)備進(jìn)行排查，確定攻擊時(shí)間，以便后續(xù)依據(jù)此時(shí)間進(jìn)行溯源分析，并對攻擊者行為、攻擊方法進(jìn)行記錄。

了解系統(tǒng)架構(gòu)

通過了解現(xiàn)場實(shí)際環(huán)境網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)架構(gòu)及服務(wù)器類型、帶寬大小等關(guān)鍵信息，可幫助安全運(yùn)營人員、應(yīng)急響應(yīng)工程師確認(rèn)事件影響的范圍及存在的隱患。

了解影響范圍

結(jié)合系統(tǒng)架構(gòu)情況，確認(rèn)在DDoS攻擊中受到影響的服務(wù)和帶寬信息，以便后續(xù)排查并采取相應(yīng)措施緩解。

二. 臨時(shí)處置

1. 我們可以針對當(dāng)前攻擊流量限制訪問速率，調(diào)整安全設(shè)備的防護(hù)策略。通過設(shè)備的記錄信息，對訪問異常的IP地址進(jìn)行封堵。
2. 當(dāng)流量在服務(wù)器硬件與應(yīng)用接受范圍內(nèi)，利用IP表實(shí)現(xiàn)軟件層防護(hù)。
3. 當(dāng)攻擊持續(xù)存在，則可在出口設(shè)備配置防護(hù)策略、接入CDN防護(hù)等。
4. 當(dāng)流量遠(yuǎn)遠(yuǎn)超出出口帶寬，建議聯(lián)系運(yùn)營商進(jìn)行流量清洗。
   ?

三. 研判溯源

溯源分析一般是通過查看安全設(shè)備、流量監(jiān)控設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備上保留的日志信息進(jìn)行的。將排查過程中整理出的IP地址進(jìn)行梳理、歸類，方便日后溯源。但是在DDoS攻擊中，攻擊者一般會使用僵尸網(wǎng)絡(luò)，因此為溯源帶來很大難度。建議在遭受DDoS攻擊時(shí)及時(shí)報(bào)案，并保留相關(guān)日志、攻擊記錄等。

四. 清楚加固

服務(wù)器防護(hù)

1. 對服務(wù)器進(jìn)行安全加固，包括操作系統(tǒng)及服務(wù)軟件，以減少可被攻擊的點(diǎn)。
2. 避免非業(yè)務(wù)端口對外網(wǎng)開放，避免與業(yè)務(wù)無關(guān)的請求和訪問，減少服務(wù)器暴露在公網(wǎng)的攻擊點(diǎn)。
3. 對服務(wù)器進(jìn)行性能測試、壓力測試等，評估正常業(yè)務(wù)環(huán)境下其所能承受的帶寬及業(yè)務(wù)吞吐處理能力。
4. 及時(shí)更新安全補(bǔ)丁，避免服務(wù)器淪為攻擊者攻擊的“肉雞”。

網(wǎng)絡(luò)防護(hù)與安全監(jiān)測

1. 優(yōu)化網(wǎng)絡(luò)架構(gòu)，利用負(fù)載分流保證系統(tǒng)彈性、冗余，并防止單點(diǎn)故障的產(chǎn)生。
2. 限制同時(shí)打開數(shù)據(jù)包的最大連接數(shù)。
3. 部署流量監(jiān)控設(shè)備或抗DDoS攻擊設(shè)備，對全網(wǎng)中存在的威脅進(jìn)行監(jiān)控分析，關(guān)注相關(guān)告警，為追蹤溯源提供基礎(chǔ)支撐。

應(yīng)用系統(tǒng)防護(hù)
對應(yīng)用代碼做好性能優(yōu)化。
?文章來源地址http://www.zghlxwxcb.cn/news/detail-482637.html

到了這里，關(guān)于運(yùn)維圣經(jīng)：DDos攻擊應(yīng)急響應(yīng)指南的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！