运维圣经：DDos攻击应急响应指南

DDos攻击简介

分布式拒绝服务是种基于DoS的特殊形式的拒绝服务攻击，是一种分布、 协作的大规模攻击方式，主要瞄准比较大的站点，像商业公司、搜索引擎或政府部门门的站点。DoS攻击只要一台单机和一个Modem就可实现；而DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。

绝大部分的DDoS攻击是通过僵尸网络产生的。僵尸网络主要由受到僵尸程序感染的计算机及其他机器组成。当确定受害者的IP 地址或域名后，僵尸网络控制者发送攻击指令，随后就可以使网络断开连接，指令在僵尸程序间自行传播和执行，每台僵尸主机都将做出响应，同时向目标主机发送请求，可能导致目标主机或网络出现溢出，从而拒绝服务。

消耗网络带宽资源：ICMP Flood UDP Flood

消耗系统资源：TCP Flood SYN Flood

消耗应用资源：CC攻击（HTTP Flood）

DDos攻击应急响应指南

如何判断遭受到DDos攻击：

1. 查看防火墙、流量监控设备、网络设备等是否出现安全告警或大量异常数据包。
2. 查看是否存在特定的服务、页面请求，使服务器/主机无法及时处理所有正常请求。
3. 查看是否有大量等待的TCP连接。
4. 排查服务器/主机与恶意IP地址是否建立异常连接，或是否存在大量异常连接。

一. 问题排查

DDos事件发生的时间

对可记录流量信息的设备进行排查，确定攻击时间，以便后续依据此时间进行溯源分析，并对攻击者行为、攻击方法进行记录。

了解系统架构

通过了解现场实际环境网络拓扑、业务架构及服务器类型、带宽大小等关键信息，可帮助安全运营人员、应急响应工程师确认事件影响的范围及存在的隐患。

了解影响范围

结合系统架构情况，确认在DDoS攻击中受到影响的服务和带宽信息，以便后续排查并采取相应措施缓解。

二. 临时处置

1. 我们可以针对当前攻击流量限制访问速率，调整安全设备的防护策略。通过设备的记录信息，对访问异常的IP地址进行封堵。
2. 当流量在服务器硬件与应用接受范围内，利用IP表实现软件层防护。
3. 当攻击持续存在，则可在出口设备配置防护策略、接入CDN防护等。
4. 当流量远远超出出口带宽，建议联系运营商进行流量清洗。

三. 研判溯源

溯源分析一般是通过查看安全设备、流量监控设备、服务器、网络设备上保留的日志信息进行的。将排查过程中整理出的IP地址进行梳理、归类，方便日后溯源。但是在DDoS攻击中，攻击者一般会使用僵尸网络，因此为溯源带来很大难度。建议在遭受DDoS攻击时及时报案，并保留相关日志、攻击记录等。

四. 清楚加固

服务器防护

1. 对服务器进行安全加固，包括操作系统及服务软件，以减少可被攻击的点。
2. 避免非业务端口对外网开放，避免与业务无关的请求和访问，减少服务器暴露在公网的攻击点。
3. 对服务器进行性能测试、压力测试等，评估正常业务环境下其所能承受的带宽及业务吞吐处理能力。
4. 及时更新安全补丁，避免服务器沦为攻击者攻击的“肉鸡”。

网络防护与安全监测

1. 优化网络架构，利用负载分流保证系统弹性、冗余，并防止单点故障的产生。
2. 限制同时打开数据包的最大连接数。
3. 部署流量监控设备或抗DDoS攻击设备，对全网中存在的威胁进行监控分析，关注相关告警，为追踪溯源提供基础支撑。

应用系统防护

对应用代码做好性能优化。