[TOC] ## 事情处置 1. 查看流量设备，发现攻击者使用僵尸网络在某时间段内发起了DDoS攻击 2. 进一步对网络数据包进行抓包分析，发现攻击者使用 HTTP 请求功能向服务器发起多次请求，服务器返回多个响应文件，造成网络负载过高 3. 对服务器访问日志进行排查 ## 根除与恢复 1. 配置防火墙策略，屏蔽异常访问的IP地址 2. 调整防护设备策略，在不影响业务的情况下限制 HTTP Range 形式访问 3. 如果流量远远超出出口带宽，建议联系运营商进行流量清洗 ## 防御方法 1. 攻击前的防御阶段 对服务器、主机、网络设备等进行安全配置并部署相关安全产品，消除可能存在的DDoS 安全隐患 1. 攻击时的缓解阶段 遭受攻击的时候，采取措施减小DDoS 攻击造成的影响，尽量保证业务的可用性，必要时上报公安机关；通过流量分析确定攻击类型，在相关设备上调整防护策略；限制异常访问，如果攻击流量过大，可以接入运营商或 CDN 服务商，对流量进行清洗 1. 攻击后的追溯总结阶段 对遭受的攻击进行分析总结，保存、分析攻击期间的日志，整理攻击IP地址用于溯源，若对业务产生严重影响，可上报公安机关，对系统网络进行加固，完善应急流程 ## 清除加固 * 尽量避免将非业务必需的端口暴露在公网上，避免与业务无关的请求和访问 * 对服务器进行安全加固，包括操作系统即服务软件，减少可能被攻击的点 * 优化网络架构，保证系统的弹性和冗余，防止单点故障发生 * 对服务器性能进行测试，评估正常业务下能承受的带宽，保证带宽有余量 * 对现有架构进行压力测试，评估当前业务吞吐处理能力 * 使用全流量监控设备（如天眼）对全网中存在的威胁进行监控分析，实时关注告警 * 根据当前技术架构、人员、历史攻击情况等，完善应急响应技术预案