ddos應急處理 DDOS攻擊應急響應預案

2021-10-12 16:08:34 字數 3537 閱讀 5104

ddos:(distributed denial of service)攻擊指借助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平台,對乙個或多個目標發動ddos攻擊,從而成倍地提高拒絕服務攻擊的威力。達到阻止目標業務運轉和系統癱瘓的目的。

流量型(直接)syn\ack\icmp\udp\connection flood等告警

流量型(反射)ntp\dns\ssdp\icmp flood等告警

cc流量變化可能不明顯,業務訪問緩慢,超時嚴重,大量訪問請求指向同乙個或少數幾個頁面

http慢速流量變化可能不明顯,業務訪問緩慢,超時嚴重,大量不完整的http get請求,出現有規律大小(通常很小)的http post請求的報文

url反射流量變化明顯,業務訪問緩慢,超時嚴重,大量請求的referer欄位相同,表明均來自同一跳轉頁面

各種dos效果漏洞利用入侵檢測防禦裝置可能出現告警

摸清楚環境與資源 為ddos應急預案提供支撐

所在的網路環境中,有多少條網際網路出口?每一條頻寬多少?

每一條網際網路出口的運營商是否支援ddos攻擊清洗,我們是否購買,或可以緊急試用?當發生攻擊需要啟用運營商清洗時,應急流程是否確定?

每一條網際網路出口的運營商是否支援緊急頻寬擴容,我們是否購買,或可以緊急試用?當發生攻擊需要啟用運營商緊急頻寬擴容時,應急流程是否確定?

每一條網際網路出口的線路,是否都具備本地ddos攻擊清洗能力?

本地抗ddos攻擊裝置服務商,是否提供了ddos攻擊的應急預案?

所有需要我們防禦的業務,是否都在抗ddos裝置的監控範圍內?

出現ddos攻擊的時候,所有需要自動清洗的業務,是否可以自動牽引並清洗?

是否有內部針對ddos攻擊應急的指導流程?

當發生ddos攻擊的時候如何第一時間感知?

安保應急中的ddos攻擊應急預案

根據以上資訊,接下來就可以對號入座的針對每乙個梳理出來的攻擊場景部署防禦手段了

流量型(直接)—流量未超過鏈路頻寬—本地清洗

流量型(直接)—流量超過鏈路頻寬—通知運營商清洗||臨時擴容||雲清洗—本地清洗

針對syn、ack、udp、icmp等型別的flood攻擊:

一般情況下:本地清洗裝置的防禦演算法都可以輕鬆應對。比如說首包丟棄、ip溯源等。

特殊情況下:可以再次基礎上增加一些限速,至少就可以保證在遭受攻擊的時候保持業務基本的可用性。

如果通過排查發現發生攻擊源ip具有地域特徵,可以根據地域進行限制(大量來自國外的攻擊尤其適用)。

流量型(反射)—流量未超過鏈路頻寬—本地清洗

流量型(反射)—流量超過鏈路頻寬—通知運營商清洗||臨時擴容||雲清洗—本地清洗

針對ntp、dns、ssdp等型別的反射攻擊:

一般情況下:本地清洗裝置的防禦演算法都可以有效的進行緩解。比如說對udp碎片包的丟棄,以及限速等。

我們可以針對這些特徵配置更加徹底的丟棄規則

cc—本地清洗—本地清洗效果不佳後—-雲清洗

針對cc攻擊,如果清洗效果非常不明顯,情況又很緊急的情況下可以採用臨時使用靜態頁面替換。

http慢速—本地清洗—本地清洗效果不佳後—雲清洗

對於http body慢速攻擊,在攻擊過程中分析出攻擊工具的特徵後,針對特徵在本地防禦裝置進行配置。

url(反射)—本地清洗+雲清洗

對於url反射攻擊,在攻擊過程中找出反射源,在本地防禦裝置進行高階配置

各種dos效果漏洞利用:監控入侵檢測或防禦裝置的告警資訊、做好系統漏洞修復

對於此類攻擊,其實嚴格意義來說並不能算攻擊,只能算是能達到dos效果的攻擊,僅做補充場景。

了解引流技術原理後,簡要闡述各種方式在ddos應急上的優劣:

本地ddos防護裝置:

本地化防護裝置,增強了使用者監控ddos監控能力的同時做到了業務安全可控,且裝置具備高度可定製化的策略和服務,更加適合通過分析攻擊報文,定製策略應對多樣化的、針對性的ddos攻擊型別;但當流量型攻擊的攻擊流量超出網際網路鏈路頻寬時,需要借助運營商清洗服務或者雲清洗服務來完成攻擊流量的清洗。

運營商清洗服務:

運營商採購安全廠家的ddos防護裝置並部署在都會網路,通過路由方式引流,和cname引流方式相比其生效時間更快,運營商通過提清洗服務方式幫助企業使用者解決頻寬消耗性的拒絕服務攻擊;但是運營商清洗服務多是基於flow方式檢測ddos攻擊,且策略的顆粒度較粗,因此針對低流量特徵的ddos攻擊型別檢測效果往往不夠理想,此外部分攻擊型別受限於防護演算法往往會有透傳的攻擊報文,此時對於企業使用者還需要借助本地ddos防護裝置,實現二級清洗。

雲清洗服務:

雲清洗服務使用場景較窄,當使用雲清洗服務做ddos應急時,為了解決攻擊者直接向站點真實ip位址發起攻擊而繞過了雲清洗中心的問題,通常情況下還需要企業使用者配合做業務位址更換、cname引流等操作配置,尤其是業務位址更換導致的實際變更過程可能會出現不能落地的情況。另一方面對於https flood防禦,當前雲清洗服務需要使用者上傳https業務私鑰證書,可操作性不強。此外業務流量匯入到雲平台,對業務資料安全性也提出了挑戰。

對比了三種方式的不同和適用場景,我們會發現單一解決方案不能完成所有ddos攻擊清洗,推薦企業使用者在實際情況下可以組合本地ddos防護裝置+運營商清洗服務或者本地ddos防護裝置+雲清洗服務,實現分層清洗的效果。針對金融行業,更推薦的組合方案是本地ddos防護裝置+運營商清洗服務。對於選擇雲清洗服務的使用者,如果只是在ddos攻擊發生時才選擇將流量匯入到雲清洗平台,需要做好備用業務位址的更換預配置(新業務位址不可洩露,否則一旦被攻擊者獲悉將會失去其意義)。

3.ddos防護實踐總結

通過各類優化技術,提公升應用系統的併發、新建以及資料庫查詢等能力,減少應用型ddos攻擊型別的潛在危害;定期掃瞄和加固自身業務裝置

定期掃瞄現有的網路主節點及主機,清查可能存在的安全漏洞和不規範的安全配置,對新出現的漏洞及時進行清理,對於需要加強安全配置的引數進行加固;確保資源冗餘,提公升耐打能力

建立多節點負載均衡,配備多線路高頻寬,配備強大的運算能力,藉此「吸收」ddos攻擊;服務最小化,關停不必要的服務和埠

關停不必要的服務和埠,實現服務最小化,例如www伺服器只開放80而將其它所有埠關閉或在防火牆上做阻止策略。可大大減少被與服務不相關的攻擊所影響的概率;選擇專業的產品和服務

三分產品技術,七分設計服務,除了防護產品本身的功能、效能、穩定性,易用性等方面,還需要考慮防護產品廠家的技術實力,服務和支援能力,應急經驗等;多層監控、縱深防禦

從骨幹網路、idc入口網路的bps、pps、協議分布,負載均衡層的新建連線數、併發連線數、bps、pps到主機層的cpu狀態、tcp新建連線數狀態、tcp併發連線數狀態,到業務層的業務處理量、業務連通性等多個點部署監控系統。即使乙個監控點失效,其他監控點也能夠及時給出報警資訊。多個點資訊結合,準確判斷被攻擊目標和攻擊手法;完備的防禦組織

囊括到足夠全面的人員,至少包含監控部門、運維部門、網路部門、安全部門、客服部門、業務部門等,所有人員都需要2-3個備份明確並執行應急流程

提前演練,應急流程啟動後,除了人工處理,還應該包含一定的自動處理、半自動處理能力。例如自動化的攻擊分析,確定攻擊型別,自動化、半自動化的防禦策略,在安全人員到位之前,最先發現攻擊的部門可以做一些緩解措施。

總結針對ddos防禦,主要的工作是幕後積累,在沒有充分的資源準備,沒有足夠的應急演練,沒有豐富的處理經驗,ddos攻擊將會造成災難性的後果。

ddos應急處理 當遇到DDOS攻擊的幾種應對措施

要應對ddos攻擊那麼對它的了解是必不可少的,ddos又稱為分布式拒絕服務,攻擊通過控制散布在網路中的多台機器,形成數量眾多的攻擊源,同時像受害主機發動攻擊,使得受害主機頻寬 cpu 緩衝區等資源迅速耗盡,使得機器必須花費大量時間去處理這些資料,使得受害主機不能正常服務,輕則影響使用者體驗,重則帶來...

DDoS攻擊介紹,如何防禦DDoS攻擊

分布式拒絕服務攻擊 ddos攻擊 是一種針對目標系統的惡意網路攻擊行為,ddos攻擊經常會導致被攻擊者的業務無法正常訪問,也就是所謂的拒絕服務。常見的ddos攻擊包括以下幾類 建議阿里雲使用者從以下幾個方面著手緩解ddos攻擊的威脅 優化業務架構,利用公共雲的特性設計彈性伸縮和災備切換的系統。提供餘...

如何處理DDoS攻擊

ddos攻擊簡述 ddos是分布式拒絕服務 distributed denial of service 的英文縮寫,其攻擊方式通常是利用很多受攻擊者控制的 殭屍主機 向目標主機傳送大量看似合法的資料報,從而造成主機資源被耗盡或網路被堵塞,導致主機無法繼續正常提供服務。ddos通常可以分為兩類,即資源...