DDOS攻击学习笔记

对DDOS的总结,以及应急处理。

DDOS 分类

!(http://sec.njust.edu.cn/_upload/article/images/d0/2d/cc408e4a4f97a3af57f1df174dbd/4b88ebbd-578d-47d0-9efb-77a47010546b.png)

DDOS 攻击场景

DDoS攻击场景 现象
流量型(直接) SYN\ACK\ICMP\UDP\Connection FLOOD等DDoS告警
流量型(反射) NTP\DNS\SSDP\ICMP FLOOD等DDoS告警
CC 流量变化可能不明显,业务访问缓慢,超时严重,大量访问请求指向同一个或少数几个页面
HTTP慢速 流量变化可能不明显,业务访问缓慢,超时严重,大量不完整的HTTP GET请求,出现有规律大小(通常很小)的HTTP POST请求的报文
URL反射 流量变化明显,业务访问缓慢,超时严重,大量请求的Referer字段相同,表明均来自同一跳转页面
各种DoS效果漏洞利用 入侵检测防御设备可能出现告警,DDoS攻击检测设备告警不明显

摸清楚环境与资源 为DDoS应急预案提供支撑

所在的网络环境中,有多少条互联网出口?每一条带宽多少?

每一条互联网出口的运营商是否支持DDoS攻击清洗,我们是否购买,或可以紧急试用?当发生DDoS攻击需要启用运营商清洗时,应急流程是否确定?

每一条互联网出口的运营商是否支持紧急带宽扩容,我们是否购买,或可以紧急试用?当发生攻击需要启用运营商紧急带宽扩容时,应急流程是否确定?

每一条互联网出口的线路,是否都具备本地DDoS攻击清洗能力?

本地抗DDoS攻击设备服务商,是否提供了DDoS攻击的应急预案?

所有需要我们防御的业务,是否都在抗DDoS设备的监控范围内?

出现DDoS攻击的时候,所有需要自动清洗的业务,是否可以自动牵引并清洗?

是否有内部针对DDoS攻击应急的指导流程?

当发生DDoS攻击的时候如何第一时间感知?

安保应急中的DDoS攻击应急预案

根据以上信息,接下来就可以对号入座的针对每一个梳理出来的攻击场景部署防御手段了

流量型(直接)—流量未超过链路带宽—本地清洗

流量型(直接)—流量超过链路带宽—通知运营商清洗||临时扩容||云清洗—本地清洗

针对SYN、ACK、UDP、ICMP等类型的flood攻击:

一般情况下:本地清洗设备的防御算法都可以轻松应对。比如说首包丢弃、IP溯源等。

特殊情况下:可以再次基础上增加一些限速,至少就可以保证在遭受攻击的时候保持业务基本的可用性。

如果通过排查发现发生攻击源IP具有地域特征,可以根据地域进行限制(大量来自国外的攻击尤其适用)。

流量型(反射)—流量未超过链路带宽—本地清洗

流量型(反射)—流量超过链路带宽—通知运营商清洗||临时扩容||云清洗—本地清洗

针对NTP、DNS、SSDP等类型的反射攻击:

一般情况下:本地清洗设备的防御算法都可以有效的进行缓解。比如说对UDP碎片包的丢弃,以及限速等。

特殊情况下:由于反射攻击的特征大多呈现为固定源端口+固定目的IP地址的流量占了整个链路带宽的90%+

我们可以针对这些特征配置更加彻底的丢弃规则

CC—本地清洗—本地清洗效果不佳后—-云清洗

针对CC攻击,如果清洗效果非常不明显,情况又很紧急的情况下可以采用临时使用静态页面替换。

HTTP慢速—本地清洗—本地清洗效果不佳后—云清洗

对于HTTP body慢速攻击,在攻击过程中分析出攻击工具的特征后,针对特征在本地防御设备进行配置。

URL(反射)—本地清洗+云清洗

对于URL反射攻击,在攻击过程中找出反射源,在本地防御设备进行高级配置

各种DoS效果漏洞利用:监控入侵检测或防御设备的告警信息、做好系统漏洞修复

对于此类攻击,其实严格意义来说并不能算DDoS攻击,只能算是能达到DoS效果的攻击,仅做补充场景

企业应急操作流程

前期准备: 推动业务申请高防VIP

  1. 业务流量突增报警
  2. 先判断是IDC还是CDN机房 ,排查定位到被攻击IP,判断确认是否为攻击
  3. 登录服务器抓包,确认攻击并确定攻击类型,通知业务申请某机房VIP,配置转发高防ip回源到VIP,
    针对攻击类型配置高防策略、转发规则,
  4. 业务切DNS到高防IP,将源IP或VIP黑洞,无权限可联系运营商
  5. 观察一周,确定无攻击后切回来

参考

http://blog.nsfocus.net/ddos-attack-emergency-system/
https://www.cnblogs.com/qcloud1001/p/9039227.html 基于TCP反射DDoS攻击分析
https://www.cnblogs.com/163yun/archive/2018/04/20/8889489.html #反射型 DDoS攻击
https://security.tencent.com/index.php/blog/msg/128 # 腾讯企业ddos方案
http://www.cnhongke.org/article/43129 DDOS 攻击测试工具

安全建设
  1. DDOS 分类
  2. DDOS 攻击场景
  3. 摸清楚环境与资源 为DDoS应急预案提供支撑
  4. 安保应急中的DDoS攻击应急预案
  5. 企业应急操作流程
  6. 参考
© 2019 热爱生活、热爱学习, Powered by Aloha and Hexo.