雙11來(lái)臨，DDoS攻擊應(yīng)急預(yù)案必備技能-宇眾網(wǎng)絡(luò)科技服務(wù)器租用

       十一即將到來(lái)，各位網(wǎng)絡(luò)安保人員又要開(kāi)始繃緊神經(jīng)了。高流量同樣意味著高風(fēng)險(xiǎn)，哪個(gè)企業(yè)尤其是電商行業(yè)誰(shuí)都不想在這個(gè)時(shí)候網(wǎng)站出什么幺蛾子，如果不幸遭遇DDOS攻擊，那更悲催了！不過(guò)請(qǐng)放心，宇眾網(wǎng)絡(luò)科技根據(jù)多年的安全防護(hù)經(jīng)驗(yàn)，給大家獻(xiàn)上DDoS攻擊應(yīng)急預(yù)案必備技能，讓你輕松應(yīng)對(duì)雙11。

通常用三層清洗方案來(lái)防御DDoS攻擊

這套防御總方針總結(jié)為8個(gè)字就是“立體防御，層層過(guò)濾”，包括1本地清洗，2運(yùn)營(yíng)商清洗\臨時(shí)擴(kuò)容帶寬，3云清洗。

大家都知道，DDoS攻擊最大的特點(diǎn)就是流量大，但是也有很多不需要太大流量，但是同樣可以達(dá)到攻擊效果的方式。所以就有前面說(shuō)的防御層次。

一般情況下，本地的抗DDoS攻擊設(shè)備完全可以實(shí)現(xiàn)DDoS攻擊的清洗，能自己搞定絕不麻煩別人。當(dāng)受到DDoS攻擊的流量超過(guò)了鏈路帶寬的時(shí)候，這個(gè)時(shí)候就需要啟動(dòng)運(yùn)營(yíng)商的DDoS攻擊清洗了。萬(wàn)一剛好這條受攻擊的鏈路，不具備DDoS攻擊清洗服務(wù)怎么辦？沒(méi)關(guān)系，這個(gè)時(shí)候還可啟用Plan B，考慮臨時(shí)擴(kuò)容帶寬。只要攻擊流量沒(méi)把帶寬占滿(mǎn)，本地清洗就可行。

當(dāng)在流量運(yùn)營(yíng)商清洗的同時(shí)，還可以啟用云清洗服務(wù)。因?yàn)榘脖＿^(guò)程中會(huì)有不少DDoS攻擊是“混合”攻擊（摻雜著各種不同的攻擊類(lèi)型），比如說(shuō)：以大流量反射做背景，期間混入一些CC和連接耗盡，以及慢速攻擊。那么這個(gè)時(shí)候很有可能需要運(yùn)營(yíng)商清洗（針對(duì)流量型的攻擊）先把大部分的流量清洗掉，把鏈路帶寬清出來(lái)，這個(gè)時(shí)候剩下的一部分里面很有可能還有不少是攻擊流量（類(lèi)似慢速攻擊、CC攻擊等），那么就需要本地進(jìn)一步的清洗了。

安保中可能出現(xiàn)的DDoS攻擊場(chǎng)景

根據(jù)以往歷次 重大活動(dòng)安保 的經(jīng)驗(yàn)，我們對(duì)有可能出現(xiàn)的DDoS攻擊的場(chǎng)景進(jìn)行分類(lèi)，以便進(jìn)一步針對(duì)不同的場(chǎng)景來(lái)制定快速有效的防御手段。

我們針對(duì)典型DDoS攻擊通過(guò)攻擊特征進(jìn)行分類(lèi)，轉(zhuǎn)換為攻擊場(chǎng)景：

摸清楚環(huán)境與資源 為DDoS應(yīng)急預(yù)案提供支撐

1. 所在的網(wǎng)絡(luò)環(huán)境中，有多少條互聯(lián)網(wǎng)出口？每一條帶寬多少？

2. 每一條互聯(lián)網(wǎng)出口的運(yùn)營(yíng)商是否支持DDoS攻擊清洗，我們是否購(gòu)買(mǎi)，或可以緊急試用？當(dāng)發(fā)生DDoS攻擊需要啟用運(yùn)營(yíng)商清洗時(shí)，應(yīng)急流程是否確定？

3. 每一條互聯(lián)網(wǎng)出口的運(yùn)營(yíng)商是否支持緊急帶寬擴(kuò)容，我們是否購(gòu)買(mǎi)，或可以緊急試用？當(dāng)發(fā)生攻擊需要啟用運(yùn)營(yíng)商緊急帶寬擴(kuò)容時(shí)，應(yīng)急流程是否確定？

4. 每一條互聯(lián)網(wǎng)出口的線路，是否都具備本地DDoS攻擊清洗能力？

5. 本地抗DDoS攻擊設(shè)備服務(wù)商，是否提供了DDoS攻擊的應(yīng)急預(yù)案？

6. 所有需要我們防御的業(yè)務(wù)，是否都在抗DDoS設(shè)備的監(jiān)控范圍內(nèi)？

7. 出現(xiàn)DDoS攻擊的時(shí)候，所有需要自動(dòng)清洗的業(yè)務(wù)，是否可以自動(dòng)牽引并清洗？

8. 是否有內(nèi)部針對(duì)DDoS攻擊應(yīng)急的指導(dǎo)流程？

9. 當(dāng)發(fā)生DDoS攻擊的時(shí)候如何第一時(shí)間感知？

安保應(yīng)急中的DDoS攻擊應(yīng)急預(yù)案

根據(jù)以上信息，接下來(lái)就可以對(duì)號(hào)入座的針對(duì)每一個(gè)梳理出來(lái)的攻擊場(chǎng)景部署防御手段了

· 流量型（直接）---流量未超過(guò)鏈路帶寬---本地清洗

· 流量型（直接）---流量超過(guò)鏈路帶寬---通知運(yùn)營(yíng)商清洗||臨時(shí)擴(kuò)容||云清洗---本地清洗

· 針對(duì)SYN、ACK、UDP、ICMP等類(lèi)型的flood攻擊：

· 一般情況下：本地清洗設(shè)備的防御算法都可以輕松應(yīng)對(duì)。比如說(shuō)首包丟棄、IP溯源等。

· 特殊情況下：可以再次基礎(chǔ)上增加一些限速，至少就可以保證在遭受攻擊的時(shí)候保持業(yè)務(wù)基本的可用性。

· 如果通過(guò)排查發(fā)現(xiàn)發(fā)生攻擊源IP具有地域特征，可以根據(jù)地域進(jìn)行限制（大量來(lái)自國(guó)外的攻擊尤其適用）。

· 流量型（反射）---流量未超過(guò)鏈路帶寬---本地清洗

· 流量型（反射）---流量超過(guò)鏈路帶寬---通知運(yùn)營(yíng)商清洗||臨時(shí)擴(kuò)容||云清洗---本地清洗

· 針對(duì)NTP、DNS、SSDP等類(lèi)型的反射攻擊：

· 一般情況下：本地清洗設(shè)備的防御算法都可以有效的進(jìn)行緩解。比如說(shuō)對(duì)UDP碎片包的丟棄，以及限速等。

· 特殊情況下：由于反射攻擊的特征大多呈現(xiàn)為固定源端口+固定目的IP地址的流量占了整個(gè)鏈路帶寬的90%+

· 我們可以針對(duì)這些特征配置更加徹底的丟棄規(guī)則

· CC---本地清洗---本地清洗效果不佳后----云清洗

· 針對(duì)CC攻擊，如果清洗效果非常不明顯，情況又很緊急的情況下可以采用臨時(shí)使用靜態(tài)頁(yè)面替換。

· HTTP慢速---本地清洗---本地清洗效果不佳后---云清洗

· 對(duì)于HTTP body慢速攻擊，在攻擊過(guò)程中分析出攻擊工具的特征后，針對(duì)特征在本地防御設(shè)備進(jìn)行配置。

· URL（反射）---本地清洗+云清洗

· 對(duì)于URL反射攻擊，在攻擊過(guò)程中找出反射源，在本地防御設(shè)備進(jìn)行高級(jí)配置

· 各種DoS效果漏洞利用：監(jiān)控入侵檢測(cè)或防御設(shè)備的告警信息、做好系統(tǒng)漏洞修復(fù)

· 對(duì)于此類(lèi)攻擊，其實(shí)嚴(yán)格意義來(lái)說(shuō)并不能算DDoS攻擊，只能算是能達(dá)到DoS效果的攻擊，僅做補(bǔ)充場(chǎng)景。

宇眾網(wǎng)絡(luò)科技，您身邊的高防專(zhuān)家，專(zhuān)業(yè)服務(wù)器租用，bjsuncity.com 提供最優(yōu)質(zhì)的服務(wù)，歡迎前來(lái)咨詢(xún)。