应急响应-DDOS-常规处置方法

判断DDoS攻击的类型

• 如果有抗DDoS攻击设备、流量监控设备等，那么我们可以分析设备的流量、告警信息、判断攻击类型；如果没有相关设备，那么我们可以通过抓包、排查设备访问日志信息，判断攻击类型，为采取适当的防御措施提供依据。

采取缓解措施

• 确认攻击类型后，我们可以针对当前攻击流量限制访问速率，调整安全设备的防护策略
• 通过设备的记录信息，对访问异常的IP地址进行封堵
• 如果流量远远超出出口宽带，建议联系运营商进行流量清洗

溯源分析

• 溯源分析一般是通过查看安全设备、流量监控设备、服务器、网络设备上保留的日志信息进行的。但由于攻击者多采用僵尸网络发起攻击，因此溯源工作挑战较大。当我们遭遇攻击时，应保留相关证据，及时报案。

后续防护建议

服务器防护

• 应避免非业务端口对外网开放，减少服务器暴露在公网的攻击点
• 及时更新安全补丁，避免服务器沦为攻击者的“肉鸡”

网络防护与安全监测

• 优化网络，利用负载分流保证系统冗余，同时防止单点故障的产生
• 限制同时打开数据包的最大连接数
• 及时部署流量监控设备或抗DDoS攻击设备，为追溯源提供基础支撑

应用系统防护

• 对应用代码做好性能优化