• 首页
  • 行业资讯
  • 行业聚焦
  • 行业资源
  • 登陆注册
  • IDC快讯_IDC行业第一资讯平台

    当前位置: IDC快讯 > 行业聚焦 > 网络安全 >

    写给十九大安保应急的兄弟们 来看看DDoS攻击应急预案

    时间:2017-10-12 09:39来源:绿盟科技 作者: 点击:
    十九大即将到来,各位十九大安保应急的兄弟们都已经奔赴各自的一线,万事俱备只欠东风,大家的神经都紧绷着。

      十九大即将到来,各位十九大安保应急的兄弟们都已经奔赴各自的一线,万事俱备只欠东风,大家的神经都紧绷着。

      “养兵千日用兵一时”,我们在平时把该做的准备都做好了,关键时刻就不会手忙脚乱。历来安保中最常见的就是 DDoS攻击 ,本文是专家给出一些经验,供十九大安保应急的兄弟们参考。

      通常用三层清洗方案来防御DDoS攻击

      这套防御总方针总结为8个字就是“立体防御,层层过滤”,包括1本地清洗,2运营商清洗\临时扩容带宽,3云清洗。

      大家都知道,DDoS攻击最最最大的特点就是流量大,但是也有很多不需要太大流量,但是同样可以达到攻击效果的方式。所以就有了上图中的防御层次。

      一般情况下,本地的抗DDoS攻击设备完全可以实现DDoS攻击的清洗,能自己搞定绝不麻烦别人。当受到DDoS攻击的流量超过了链路带宽的时候,这个时候就需要启动运营商的DDoS攻击清洗了。哎呀呀,你说刚好这条受攻击的链路,不具备DDoS攻击清洗服务怎么办?没关系,这个时候还可启用Plan B,考虑临时扩容带宽。只要攻击流量没把带宽占满,本地清洗就可行。

      当在流量运营商清洗的同时,还可以启用云清洗服务。因为安保过程中会有不少DDoS攻击是“混合”攻击(掺杂着各种不同的攻击类型),比如说:以大流量反射做背景,期间混入一些CC和连接耗尽,以及慢速攻击。那么这个时候很有可能需要运营商清洗(针对流量型的攻击)先把大部分的流量清洗掉,把链路带宽清出来,这个时候剩下的一部分里面很有可能还有不少是攻击流量(类似慢速攻击、CC攻击等),那么就需要本地进一步的清洗了。

      安保中可能出现的DDoS攻击场景

      根据以往历次 重大活动安保 的经验,我们对有可能出现的DDoS攻击的场景进行分类,以便进一步针对不同的场景来制定快速有效的防御手段。

      

    安保中可能出现的DDoS攻击场景

     

      我们针对典型DDoS攻击通过攻击特征进行分类,转换为攻击场景:

      

    针对典型DDoS攻击通过攻击特征进行分类,转换为攻击场景

     

      摸清楚环境与资源 为DDoS应急预案提供支撑

      所在的网络环境中,有多少条互联网出口?每一条带宽多少?

      每一条互联网出口的运营商是否支持DDoS攻击清洗,我们是否购买,或可以紧急试用?当发生DDoS攻击需要启用运营商清洗时,应急流程是否确定?

      每一条互联网出口的运营商是否支持紧急带宽扩容,我们是否购买,或可以紧急试用?当发生攻击需要启用运营商紧急带宽扩容时,应急流程是否确定?

      每一条互联网出口的线路,是否都具备本地DDoS攻击清洗能力?

      本地抗DDoS攻击设备服务商,是否提供了DDoS攻击的应急预案?

      所有需要我们防御的业务,是否都在抗DDoS设备的监控范围内?

      出现DDoS攻击的时候,所有需要自动清洗的业务,是否可以自动牵引并清洗?

      是否有内部针对DDoS攻击应急的指导流程?

      当发生DDoS攻击的时候如何第一时间感知?

      安保应急中的DDoS攻击应急预案

      根据以上信息,接下来就可以对号入座的针对每一个梳理出来的攻击场景部署防御手段了

      (1) 流量型(直接)---流量未超过链路带宽---本地清洗

      (2) 流量型(直接)---流量超过链路带宽---通知运营商清洗||临时扩容||云清洗---本地清洗

      针对SYN、ACK、UDP、ICMP等类型的flood攻击:

      一般情况下:本地清洗设备的防御算法都可以轻松应对。比如说首包丢弃、IP溯源等。

      特殊情况下:可以再次基础上增加一些限速,至少就可以保证在遭受攻击的时候保持业务基本的可用性。

      如果通过排查发现发生攻击源IP具有地域特征,可以根据地域进行限制(大量来自国外的攻击尤其适用)。

      (3) 流量型(反射)---流量未超过链路带宽---本地清洗

      (4) 流量型(反射)---流量超过链路带宽---通知运营商清洗||临时扩容||云清洗---本地清洗

      针对NTP、DNS、SSDP等类型的反射攻击:

  • 相关标签: 网络安全 DDoS攻击 服务器安全
  • (责任编辑:admin_liu)
  • 顶一下
    (0)
    0%
    踩一下
    (0)
    0%
    ------分隔线----------------------------