1 攻防过程简述
谨慎参考
上图显示本次攻击的最大攻击流量接近25Gbps,关键事件时间表如下:
2 攻击影响分析
3 实际业务影响分析
本次攻击直接受害的CDN机房有短暂的拥塞,通过对实际业务的影响分析,可以了解攻击影响的具体程度和范围。
3.1 被攻击站点访问次数走势图
由上图可见,在机房遭遇攻击压力的时候,出现了请求次数陡降的情况,这是由于这个时间点上受到大流量攻击时,机房入口带宽被堵塞,造成部分请求失败导致。
3.2 被攻击分组在被攻击机房内的访问次数走势图
通过分析该分组除被攻击域名外的其它域名的访问次数走势,在机房被堵塞的时间点上,均有不同程度的下滑波动趋势,较明显下滑的占比达到80%,总体上趋势如下图示:
由上图可见,其变化趋势与前面的被攻击站受影响趋势类似。
3.3 被攻击机房内其它分组的访问次数走势图
通过分析被攻击机房内其它分组上所有站点在该机房的访问数据,在机房被堵塞的时间点上,有70%的站有较明显的下滑趋势,总体上的访问趋势如下图示:
3.4 结论
在此次攻击过程中,由于机房带宽有限,没有容纳初始攻击的流量,导致访问堵塞,不仅仅影响了被攻击站点的访问,同时与其有关的分组和无关的分组,只要是在该机房内的站,均有不同程度受到影响。
这里有两个角度可以提高本次防御的效果:
- 降低调用云堤的阈值,目前是攻击过程中机房带宽已用80%时启用云堤,这样大概可以提前3秒启用云堤,但结果是将影响从堵塞20秒降低为17秒,提升不明显;
- 升级网络,将机房的入口带宽提升到20G,与云堤策略结合处理,为攻击影响机房入口提高延时,为流量牵引争取时间,降低损耗。
4 防御评估
4.1 防御过程评估
防御过程涉及的几个关键事件处理依据抗D五线谱设计规范实施,分析实施过程的实际数据,对比设计规范,本次防御评分结果如下:
综评:防御过程减分定义为m,本次防御过程m=5。
4.2 防御效果评估
防御过程中,对被防御对象的业务数据造成了损失,根据损失的比例2100直接列为减扣的分,定义为n,按上述影响分析,损失请求数达23%,则本次防御效果减分n=46。
4.3 综合评估
综合评估是结合过程评估与效果评估,按总分100计,减去m,再减去n,最后得分为防御得分:
100 - 5 - 46 = 49 分。