应急响应的流程分为6个阶段

PDCERF

准备 ，检测，抑制，根除，恢复，总结

准备：

准备阶段就是以预防为主，准备一些应急响应的预案，对应急响应的分工操作制定一些计划，进行应急响应的演练

检测：

这个阶段是在安全事件发生后的，主要是对安全事件进行定性。确定安全事件是否真实，确定事件的影响，确定对业务的危害。

常见的安全事件有：

web层面：网页挂马，js暗链，主页篡改，websehll后门

系统层面：病毒木马，勒索软件，远控后门

网络层面：cc攻击，ddos攻击，dns劫持，ARP欺骗

dos攻击，是拒绝服务攻击，就是攻击者发送一些合法但无法拒绝的请求给目标，造成目标的一些业务无法正常运转。

ddos攻击，分布式拒绝服务攻击，攻击者通过技术控制多台肉鸡，对目标发起dos攻击。

DDOS攻击现象

1.被攻击机上有大量等待的TCP连接。

2.网络中充斥着大量无用数据包

3.源地址为假，制造高流量无用数据，造成网络拥塞，使受害主机无法和外界通信

4.cup和内存占满。

cc攻击，cc攻击可以算是ddos的延申。原理就是攻击者控制一些主机对服务器发送大量的合法无法拒绝的数据包，用很多台被控主机来不停的访问对方网页的一个页面。使目标服务器资源耗尽，甚至宕机。

cc攻击现象：

1.网站打不开

2.查看日志，不同的ip都在访问一个文件

两者的区别就：

ddos针对的使ip，cc针对的使网页

ddos比cc更难防御。

抑制：

主要就是降低安全事件造成的影响，限制安全事件发生的范围和时长，并且根据应急响应预案做出操作。

手段有：

断开网络

关闭受影响的系统

关闭未受到影响的其他业务

蜜罐

根除：

找出安全事件的根源，清除隐患，避免安全事件二次发生。

恢复：

让系统恢复到和以前正常运行转台。

总结：

对应急响应预案进行复盘，总结经验，吸取教训。提出整改建议。攥写应急响应报告

web层面的应急响应实战

假设web被写入了后门

我都流程是先上软件，然后配合人工检查。软件查找后人工去确认，然后查看攻击的ip，然后ban

河马，把整个源码文件拖进去扫一扫。

我们用D盾或者河马确定了该文件可能被写入后门，就需要去确认后门的位置，这时候可以用一些软件加上我们手动的去查找到后门代码。

BeyondCompare

对比一下。

可以确定攻击的手段。

就是写了一个php后门

然后去查日志

查日志，每个中间件位置都是不一样的，大概都是一些

log conf config 

查日志，不是之直接对着日志翻。而是根据你的网页被修改的位置。找到被修改的文件，确定文件被修改的事件。再然后，根据这个修改事件去在日志里查找。

比如说 

这个文件被修改留了后门。

日志翻一翻，

有东西了，可以看到对方的ip。直接ban了。

日志审查工具也有一些，比如说360星图

然后确定了攻击者。

可以把攻击者的ip放百度上查一查，溯源一下

接下来就是攻击的过程进行还原。