ddos应急处理-DDOS攻击应急响应预案.pdfVIP

ddos应急处理_DDOS攻击应急响应预案 DDoS:(Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对⼀个或多个⽬标发动 DDoS攻击，从⽽成倍地提⾼拒绝服务攻击的威⼒。达到阻⽌⽬标业务运转和系统瘫痪的⽬的。 流量型(直接)SYN\ACK\ICMP\UDP\Connection FLOOD等告警 流量型(反射)NTP\DNS\SSDP\ICMP FLOOD等告警 CC流量变化可能不明显，业务访问缓慢，超时严重，⼤量访问请求指向同⼀个或少数⼏个页⾯ HTTP慢速流量变化可能不明显，业务访问缓慢，超时严重，⼤量不完整的HTTP GET请求，出现有规律⼤⼩(通常很⼩)的HTTP POST请 求的报⽂ URL反射流量变化明显，业务访问缓慢，超时严重，⼤量请求的Referer字段相同，表明均来⾃同⼀跳转页⾯ 各种DoS效果漏洞利⽤⼊侵检测防御设备可能出现告警 摸清楚环境与资源 为DDoS应急预案提供⽀撑 所在的⽹络环境中，有多少条互联⽹出⼝？每⼀条带宽多少？ 每⼀条互联⽹出⼝的运营商是否⽀持DDoS攻击清洗，我们是否购买，或可以紧急试⽤？当发⽣攻击需要启⽤运营商清洗时，应急流程是否 确定？ 每⼀条互联⽹出⼝的运营商是否⽀持紧急带宽扩容，我们是否购买，或可以紧急试⽤？当发⽣攻击需要启⽤运营商紧急带宽扩容时，应急流 程是否确定？ 每⼀条互联⽹出⼝的线路，是否都具备本地DDoS攻击清洗能⼒？ 本地抗DDoS攻击设备服务商，是否提供了DDoS攻击的应急预案？ 所有需要我们防御的业务，是否都在抗DDoS设备的监控范围内？ 出现DDoS攻击的时候，所有需要⾃动清洗的业务，是否可以⾃动牵引并清洗？ 是否有内部针对DDoS攻击应急的指导流程？ 当发⽣DDoS攻击的时候如何第⼀时间感知？ 安保应急中的DDoS攻击应急预案 根据以上信息，接下来就可以对号⼊座的针对每⼀个梳理出来的攻击场景部署防御⼿段了 流量型(直接)—流量未超过链路带宽—本地清洗 流量型(直接)—流量超过链路带宽—通知运营商清洗||临时扩容||云清洗—本地清洗 针对SYN、ACK、UDP、ICMP等类型的flood攻击： ⼀般情况下：本地清洗设备的防御算法都可以轻松应对。⽐如说⾸包丢弃、IP溯源等。 特殊情况下：可以再次基础上增加⼀些限速，⾄少就可以保证在遭受攻击的时候保持业务基本的可⽤性。 如果通过排查发现发⽣攻击源IP具有地域特征，可以根据地域进⾏限制(⼤量来⾃国外的攻击尤其适⽤)。 流量型(反射)—流量未超过链路带宽—本地清洗 流量型(反射)—流量超过链路带宽—通知运营商清洗||临时扩容||云清洗—本地清洗 针对NTP、DNS、SSDP等类型的反射攻击： ⼀般情况下：本地清洗设备的防御算法都可以有效的进⾏缓解。⽐如说对UDP碎⽚包的丢弃，以及限速等。 特殊情况下：由于反射攻击的特征⼤多呈现为固定源端⼝+固定⽬的IP地址的流量占了整个链路带宽的90%+ 我们可以针对这些特征配置更加彻底的丢弃规则 CC—本地清洗—本地清洗效果不佳后—-云清洗 针对CC攻击，如果清洗效果⾮常不明显，情况⼜很紧急的情况下可以采⽤临时使⽤静态页⾯替换。 HTTP慢速—本地清洗—本地清洗效果不佳后—云清洗 对于HTTP body慢速攻击，在攻击过程中分析出攻击⼯具的特征后，针对特征在本地防御设备进⾏配置。 URL(反射)—本地清洗+云清洗 对于URL反射攻击，在攻击过程中找出反射源，在本地防御设备进⾏⾼级配置 各种DoS效果漏洞利⽤：监控⼊侵检测或防御设备的告警信息、做好系统漏洞修复 对于此类攻击，其实严格意义来说并不能算攻击，只能算是能达到DoS效果的攻击，仅做补充场景。 了解引流技术原理后，简要阐述各种⽅式在DDoS应急上的优劣： 本地DDoS防护设备： 本地化防护设备，增强了⽤户监控DDoS监控能⼒的同时做到了业务安全可控，且设备具备⾼度可定制化的策略和服务，更加适合通过分析 攻击报⽂，定制策略应对多样化的、针对性的DDoS攻击类型；但当流量型攻击的攻击流量超出互联⽹链路带宽时，需要借助运营商清洗服 务或者云清洗服务来完成攻击流量的清洗。 运营商清洗服务： 运营商采购安全⼚家的DDoS防护设备并部署在城域⽹，通过路由⽅式引流，和Cname引流⽅式相⽐其⽣效时间更快，运营商通过提清洗服 务⽅式帮助企业⽤户解决带宽消耗性的拒绝服务攻击；但是运营商清洗服务多是基于Flow⽅式检测DDoS攻击，且策略的颗粒度较粗，因此 针对低流量特征的DDoS攻击类型检测效果往往不够理想，此外部分攻击类型受限于防护算法