阅读:
4,314
本文会涉及到DDoS攻击应急过程中的整体策略、应急流程以及针对一些典型攻击的具体分析和应对措施,旨在分析如何在遭受DDoS攻击的时候更高效的组织应急工作。所以并不会深入到每一种特定DDoS攻击的的具体攻击方法或是应对措施的具体配置。
0×00、引言
近年来DDoS攻击事件可谓是层出不穷,从各安全厂商的DDoS分析报告中也不难看出,DDoS攻击的规模及趋势正在成倍的增长。由于攻击的成本不断降低,技术门槛要求越来越低,攻击工具的肆意传播,互联网上随处可见成群的肉鸡,使得想发动一起DDoS攻击变成了一件轻而易举的事情。各企业对于DDoS攻击防御的投入也是慢慢的水涨船高。高投入当然需要高回报,抗DDoS工作做得好不好,往往就体现在了发生DDoS攻击时候的应急能力。
希望通过本文可以使读者了解并且能站到一个高度全面的看待DDoS攻击应急的工作。当我们真的遭受到的DDoS攻击的时候,能游刃有余的应对,而不是手忙脚乱。
0×01、总览
一般日常运维中对于应急的定义通常都会分为两类:一类是设备本身故障的应急,另一类就是对于业务的应急。
在这里,我们也把设备的故障列了出来。虽然这一块不是本文重点要讲的东西,但是如果当我们在遭受DDoS攻击的时候,抗D设备出了问题,也会使得我们空有一身力气无处使。所以在整体的应急框架里,这也是非常重要的一部分。
0×02、DDoS攻击应急策略
DDoS攻击应急策略总结为8个字就是“立体防御,层层过滤”,具体见下图。
大家都知道,DDoS攻击最最最大的特点就是流量大,但是也有很多不需要太大流量但是同样可以达到攻击效果的方式。所以就有了上图中的防御层次。
当受到DDoS攻击的流量还没有超过链路带宽的80%的时候,我们本地的抗DDoS攻击设备完全可以实现DDoS攻击的清洗。能自己搞定绝不麻烦别人。
当受到DDoS攻击的流量超过了链路带宽的100%的时候,这个时候就需要启动运营商的DDoS攻击清洗了。哎呀呀,你说刚好这条受攻击的链路运营商不提供DDoS攻击清洗服务怎么办?没关系,这个时候还可启用Plan B,通知运营商临时给我们扩容一下带宽就好了。只要攻击流量没把带宽占满,本地清洗就可行。
当受到DDoS攻击的流量运营商清洗起来效果不是那么好的情况下,可以紧急启用云清洗服务来进行最后的对决。
因为大多数真正的DDoS攻击都是“混合”攻击(掺杂着各种不同的攻击类型),比如说:以大流量反射做背景,期间混入一些CC和连接耗尽,以及慢速攻击。那么这个时候很有可能需要运营商清洗(针对流量型的攻击)先把80%以上的流量清洗掉,把链路带宽清出来,这个时候剩下的20%里面很有可能还有80%是攻击流量(类似慢速攻击、CC攻击等),那么就需要本地进一步的清洗了。
0x03、DDoS攻击应急流程
下图是一个比较适合大多数客户的对于DDoS攻击应急的整体流程图,其中有一些细节需要指出;1、如果我们没有专门24小时现场值守的安全运维工程师的话,一般情况下是通过网管中心来发现DDoS告警,那么就需要和网管监控中心的监控同事有相应的合作处理机制。2、如果我们的清洗设备并没有配置自动牵引
最低0.47元/天 解锁文章
5238
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
