ddos应急处理_写给十九大安保应急的兄弟们来看看DDOS攻击应急预案

阅读：

4,205

十一国庆以及紧接着的十九大即将到来，各位十九大安保应急的兄弟们都已经奔赴各自的一线，万事俱备只欠东风，大家的神经都紧绷着,紧急有序执行DDOS应急预案。

“养兵千日用兵一时”，我们在平时把该做的准备都做好了，关键时刻就不会手忙脚乱。历来安保中最常见的就是DDoS攻击，本文是绿盟科技的专家给出一些经验，供十九大安保应急的兄弟们参考。

通常用三层清洗方案来防御DDoS攻击

这套防御总方针总结为8个字就是“立体防御，层层过滤”，包括1本地清洗，2运营商清洗\临时扩容带宽，3云清洗。

大家都知道，DDoS攻击最最最大的特点就是流量大，但是也有很多不需要太大流量，但是同样可以达到攻击效果的方式。

一般情况下，本地的抗DDoS攻击设备完全可以实现DDoS攻击的清洗，能自己搞定绝不麻烦别人。当受到DDoS攻击的流量超过了链路带宽的时候，这个时候就需要启动运营商的DDoS攻击清洗了。哎呀呀，你说刚好这条受攻击的链路，不具备DDoS攻击清洗服务怎么办？没关系，这个时候还可启用Plan B，考虑临时扩容带宽。只要攻击流量没把带宽占满，本地清洗就可行。

当在流量运营商清洗的同时，还可以启用云清洗服务。因为安保过程中会有不少DDoS攻击是“混合”攻击(掺杂着各种不同的攻击类型)，比如说：以大流量反射做背景，期间混入一些CC和连接耗尽，以及DDOS慢速攻击。那么这个时候很有可能需要运营商清洗(针对流量型的攻击)先把大部分的流量清洗掉，把链路带宽清出来，这个时候剩下的一部分里面很有可能还有不少是攻击流量(类似DDOS慢速攻击、CC攻击等)，那么就需要本地进一步的清洗了。

安保中可能出现的DDoS攻击场景

根据以往历次重大活动安保的经验，我们对有可能出现的DDoS攻击的场景进行分类，以便进一步针对不同的场景来制定快速有效的防御手段。

我们针对典型DDoS攻击通过攻击特征进行分类，转换为攻击场景：DDoS攻击场景现象

流量型(直接)SYN\ACK\ICMP\UDP\Connection FLOOD等DDoS告警

流量型(反射)NTP\DNS\SSDP\ICMP FLOOD等DDoS告警

CC流量变化可能不明显，业务访问缓慢，超时严重，大量访问请求指向同一个或少数几个页面

HTTP慢速流量变化可能不明显，业务访问缓慢，超时严重，大量不完整的HTTP GET请求，出现有规律大小(通常很小)的HTTP POST请求的报文

URL反射流量变化明显，业务访问缓慢，超时严重，大量请求的Referer字段相同，表明均来自同一跳转页面

各种DoS效果漏洞利用入侵检测防御设备可能出现告警，DDoS攻击检测设备告警不明显

摸清楚环境与资源为DDoS应急预案提供支撑所在的网络环境中，有多少条互联网出口？每一条带宽多少？

每一条互联网出口的运营商是否支持DDoS攻击清洗，我们是否购买，或可以紧急试用？当发生DDoS攻击需要启用运营商清洗时，应急流程是否确定？

每一条互联网出口的运营商是否支持紧急带宽扩容，我们是否购买，或可以紧急试用？当发生攻击需要启用运营商紧急带宽扩容时，应急流程是否确定？