应急响应-DDOS-技术指南

news2024/11/15 18:05:37

初步预判

  • 通常,可从以下几方面判断服务器/主机是否遭受DDoS攻击
  • 查看防火墙、流量监控设备、网络设备等是否出现安全告警或大量异常数据包。如图所示,通过流量对比,发现在异常时间段存在大量UDP数据包,并且与业务无关。
  • 通过安全设备告警发现存在的攻击,图为安全设备监控到的攻击类型、协议、流量大小等信息
  • 查看是否存在特定的服务、页面请求、使服务器/主机无法及时处理所有正常请求。网页无法正常响应,甚至无法打开。如图所示,管理人员发现网站无法正常访问,随后通过web访问日志统计,发现页面某js访问量异常。
  • 查看是否有大量等待的TCP连接。排查服务器/主机与恶意IP地址是否建立异常连接,或是否存在大量异常连接,如图所示。
典型案例
  • 2020年2月3日,某企业发现流量异常,导致负载设备发生异常。应急响应工程师到达现场后与网络运营人员沟通后,发现在流量异常期间,安全设备存在源端口为123、53的UDP报文,同时产生UDP Flood告警,如图所示。
  • 进一步对负载日志进行分析,发现在DDoS攻击停止后,大量业务流量流向负载设备(了解其网络架构,负载存在单点故障的风险)。继续对负载日志进行排查,发现在攻击停止后不久,负载设备内存使用存在告警信息,几秒后告警超出内存使用。经过一段时间后,设备重启并恢复正常,与问题发生时间相同,最终确认问题产生的原因。

问题排查

  • 基于前期对DDoS攻击事件的初步预判,后续我们还需要进一步了解现场环境,判断影响范围,研判事件发展情况,为正确处置、溯源分析、建立防护措施提供实际依据。问题排查通常包括以下几个方面。
了解DDoS事件发生的时间
  • 对可记录流量信息的设备进行排查,确定攻击时间,以便后续依据此时间进行溯源分析,并对攻击者行为、攻击方法进行记录。
了解系统架构
  • 通过了解现场实际环境网络拓扑、业务架构级服务器类型、带宽大小等关键信息、可帮助安全运营人员、应急响应工程师确认事件影响的范围及存在的隐患。
了解DDoS攻击的影响范围
  • 结合系统架构情况,确认在DDoS攻击中受到影响的服务和带宽信息,以便后续排查并采取相应措施缓解

临时处置方法

  • 结合攻击类型及流量情况等,可采取不同的临时处置方法
  • 当流量较小,且在服务器硬件与应用接受范围内,并不影响业务时,可利用IPTable实现软件层防护。
  • 当流量较大,自身有抗DDoS设备,且在设备处理范围内,小于出口宽带时,可根据攻击类型,利用IPTable,通过调整防护策略、限速等方法实现软件层防护。若攻击持续存在,则可在出口设备配置黑洞等防护策略,或接入CDN防护。
  • 当遇到超大流量,超出出口宽带及防护设备能力时,则建议申请运营商清洗。

研判溯源

  • 将排查过程中整理出的IP地址梳理、归类,方便日后溯源。由于在DDoS攻击中,攻击者多使用僵尸网络,因此为溯源带来很大难度。建议在遭受DDoS攻击时及时报案,并保留相关日志、攻击记录等。

清除加固

  • 尽量避免将非业务必需的服务端口暴露在公网上,从而避免与业务无关的请求和访问
  • 对服务器进行安全加固,包括操作系统及服务软件,以减少可被攻击的点
  • 在允许投入的范围内,优化网络架构,保证系统的弹性和冗余,防止单点故障发生
  • 对服务器性能进行测试,评估正常业务环境下其所能承受的宽带。在允许投入的范围内,保证带宽有一定的余量
  • 对现有的架构进行测试,评估当前业务吞吐处理能力,为DDoS攻击防御提供详细的技术参数指导信息
  • 使用全流量监控设备(如天眼)对全网中存在的威胁进行监控分析,关注相关告警,并在第一时间反馈负责人员
  • 根据当前的技术业务架构、人员、历史攻击情况等,完善应急响应技术预案

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2048800.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

猫毛还是满天飞?宠物空气净化器是个好帮手

家里养了几只可爱的小猫咪,每天都想它们贴贴,有时候看到它们这么可爱的待在家里,都不想出门上班了。每天睁眼是它们,闭眼前也是它们,只要我待在家里,它们就和我一起挪动,好像身边多了几只可爱的…

qt-12工具盒(ToolBox)

工具盒--ToolBox drawer.hdrawer.cppmain.cpp运行图 drawer.h #ifndef DRAWER_H #define DRAWER_H #include <QWidget> #include <QToolBox> #include <QToolButton> #include <QGroupBox> #include <QVBoxLayout>class Drawer : public QToolB…

机械学习—零基础学习日志(如何理解线性代数5)

零基础为了学人工智能&#xff0c;正在快乐学习&#xff0c;每天都长脑子 特征向量和特征值 我们知道&#xff0c;线性映射&#xff0c;也就是矩阵&#xff0c;其实就是平面的一种变换。 但是在矩阵变换过程中&#xff0c;我们会发现有一个方向上&#xff0c;变化方向会与x的…

Python 函数式编程 内置高阶函数及周边【进阶篇 3】推荐

前面我们已经总结并实践了用python获取到了数据。也介绍了python中http网络请求的几种方式&#xff0c;正在学习python开发语言或者对python3知识点生疏需要回顾的请点这里 &#xff0c;本章主要总结了函数式编程及特点 和 python中内置的高阶函数及周边知识&#xff0c;方便自…

Scout Suite:开源云安全审计工具

Scout Suite 是一个开源、多云安全审计工具&#xff0c;旨在评估云环境的安全态势。 Scout Suite 利用云供应商提供的 API 来收集和整理配置数据&#xff0c;从而更轻松地识别潜在风险。 Scout Suite 无需手动筛选云 Web 控制台上的大量页面&#xff0c;而是会自动生成全面清…

ObjectUtils.nullSafeEquals你真的用对了吗?

目录 引言排查思考 引言 在写代码时&#xff0c;我们通常喜欢使用org.springframework.util.ObjectUtils#nullSafeEquals来比较两个对象是否相等&#xff0c;从而避免使用equals方法在对象为空时导致空指针异常。 最近在写代码时&#xff0c;我试图使用stream流的filter&#…

1.Linux_常识

UNIX、Linux、GNU 1、UNIX UNIX是一个分时操作系统&#xff0c;特点是多用户、多任务 实时操作系统&#xff1a;来了请求就去解决请求 分时操作系统&#xff1a;来了请求先存着&#xff0c;通过调度轮到执行时执行 2、Linux Linux是一个操作系统内核 发行版本&#xff1…

Linux - 常用基础指令和命令

文章目录 1、ifconfig指令2、ssh指令3、ls指令4、pwd命令5、cd 指令6、stat命令7、 touch指令8、mkdir指令9、rmdir指令10、rm指令11、man指令12、cp指令13、mv指令14、cat指令15、more指令16、less指令17、head指令18、tail指令19、时间相关的指令20、cal指令21、find指令22、…

指向派生类的基类指针、强转为 void* 再转为基类指针、此时调用虚函数会发生什么?

指向派生类的基类指针、强转为 void* 再转为基类指针、此时调用虚函数会发生什么&#xff1f; 1、无论指针类型怎么转&#xff0c;类对象内存没有发生任何变化&#xff0c;还是vfptr指向虚函数表&#xff0c;下面是成员变量&#xff0c;这在编译阶段就已经确定好了&#xff1b…

校园失物招领系统pf

TOC springboot337校园失物招领系统pf 绪论 1.1研究背景与意义 信息化管理模式是将行业中的工作流程由人工服务&#xff0c;逐渐转换为使用计算机技术的信息化管理服务。这种管理模式发展迅速&#xff0c;使用起来非常简单容易&#xff0c;用户甚至不用掌握相关的专业知识&…

自动驾驶-机器人-slam-定位面经和面试知识系列09之C++STL面试题(04)

这个博客系列会分为C STL-面经、常考公式推导和SLAM面经面试题等三个系列进行更新&#xff0c;基本涵盖了自己秋招历程被问过的面试内容&#xff08;除了实习和学校项目相关的具体细节&#xff09;。在知乎和牛客&#xff08;某些文章上会附上内推码&#xff09;也会同步更新&a…

鸿蒙(API 12 Beta3版)【HDR Vivid视频录制】 音视频编码

开发者可以调用本模块的Native API接口&#xff0c;实现在视频录制中支持HDR Vivid标准。 视频录制的主要流程是“相机采集 > 编码 > 封装成mp4文件”。 HDR Vivid视频编码 应用创建H265编码器&#xff0c;配置profile(main 10)相机底层包含HDR Vivid的surfacebuffer内…

Airtest 的使用

Airtest 介绍 Airtest Project 是网易游戏推出的一款自动化测试框架&#xff0c;其项目由以下几个部分构成 Airtest : 一个跨平台的&#xff0c;基于图像识别的 UI 自动化测试框架&#xff0c;适用于游戏和 App &#xff0c; 支持 Windows, Android 和 iOS 平台&#xff0c…

蛋白质基础

氨基酸:必需氨基酸 条件必需氨基酸和非必需氨基酸 必需氨基酸:机体需要但自身不能合成&#xff0c;必须从食物中获取的氨基酸。共有八种&#xff0c;对婴儿&#xff0c;组氨酸也是必需氨基酸。 条件必需氨基酸:半胱氨酸和酪氨酸在体内分别由蛋氨酸和苯丙氨酸转变而来。若膳食中…

HTML 列表和容器元素——WEB开发系列10

HTML 提供了多种方式来组织和展示内容&#xff0c;其中包括无序列表、有序列表、分区元素 ​​<div>​​ 和内联元素 ​​<span>​​、以及如何使用 ​​<div>​​​ 进行布局和表格布局。 一、HTML 列表 1. 无序列表 (​​<ul>​​) 无序列表用于展…

Java流程控制06:for循环详解

教学视频链接&#xff1a;https://www.bilibili.com/video/BV12J41137hu?p41&vd_sourceb5775c3a4ea16a5306db9c7c1c1486b5https://www.bilibili.com/video/BV12J41137hu?p41&vd_sourceb5775c3a4ea16a5306db9c7c1c1486b5 Java中的‌for循环结构‌是一种基础…

Python与DIAdem联合开发

Python可以通过COM接口与NI的DIAdem软件集成&#xff0c;允许用户以编程方式自动生成和定制报告。这种方式使得报告生成更加灵活且可定制&#xff0c;尤其适用于需要定期生成大量报告或对报告内容有特定要求的场景。 1. 工作原理 Python与DIAdem的集成主要依赖于COM&#xff0…

二叉树的判断

二叉树的判断 判断一颗二叉树是不是搜索二叉树 &#xff08;左边的比根小&#xff0c;右边的比根大&#xff09; 中序遍历一下&#xff0c;如果是的话就一定是升序的 如何判断一颗二叉树是否是完全二叉树 1.遍历任意的节点时候&#xff0c;如果返回右孩子没有左孩子&#x…

【Linux学习】权限

&#x1f525;个人主页&#xff1a; Forcible Bug Maker &#x1f525;专栏&#xff1a;Linux学习 目录 &#x1f308;前言&#x1f525;Linux权限的概念&#x1f525;Linux权限管理01.文件访问者的分类02.文件类型和访问权限&#xff08;文件属性&#xff09;03.文件权限值得…

线程同步-条件变量

文章目录 引言条件变量初始化条件变量&#xff1a;pthread_cond_init销毁条件变量&#xff1a;pthread_cond_destroy条件等待&#xff1a;pthread_cond_wait唤醒等待&#xff1a;pthread_cond_signal、pthread_cond_broadcast认识条件变量接口使用 引言 有一个非常好的VIP自习…