十九大已到來，各位十九大安保應(yīng)急的兄弟們都已經(jīng)奔赴各自的一線，萬事俱備只欠東風(fēng)，大家的神經(jīng)都緊繃著。

“養(yǎng)兵千日用兵一時”，我們在平時把該做的準(zhǔn)備都做好了，關(guān)鍵時刻就不會手忙腳亂。歷來安保中最常見的就是 DDoS攻擊 ，本文是專家給出一些經(jīng)驗(yàn)，供十九大安保應(yīng)急的兄弟們參考。

通常用三層清洗方案來防御DDoS攻擊

這套防御總方針總結(jié)為8個字就是“立體防御，層層過濾”，包括1本地清洗，2運(yùn)營商清洗\臨時擴(kuò)容帶寬，3云清洗。

大家都知道，DDoS攻擊最最最大的特點(diǎn)就是流量大，但是也有很多不需要太大流量，但是同樣可以達(dá)到攻擊效果的方式。所以就有了上圖中的防御層次。

一般情況下，本地的抗DDoS攻擊設(shè)備完全可以實(shí)現(xiàn)DDoS攻擊的清洗，能自己搞定絕不麻煩別人。當(dāng)受到DDoS攻擊的流量超過了鏈路帶寬的時候，這個時候就需要啟動運(yùn)營商的DDoS攻擊清洗了。哎呀呀，你說剛好這條受攻擊的鏈路，不具備DDoS攻擊清洗服務(wù)怎么辦?沒關(guān)系，這個時候還可啟用Plan B，考慮臨時擴(kuò)容帶寬。只要攻擊流量沒把帶寬占滿，本地清洗就可行。

當(dāng)在流量運(yùn)營商清洗的同時，還可以啟用云清洗服務(wù)。因?yàn)榘脖＿^程中會有不少DDoS攻擊是“混合”攻擊(摻雜著各種不同的攻擊類型)，比如說：以大流量反射做背景，期間混入一些CC和連接耗盡，以及慢速攻擊。那么這個時候很有可能需要運(yùn)營商清洗(針對流量型的攻擊)先把大部分的流量清洗掉，把鏈路帶寬清出來，這個時候剩下的一部分里面很有可能還有不少是攻擊流量(類似慢速攻擊、CC攻擊等)，那么就需要本地進(jìn)一步的清洗了。

安保中可能出現(xiàn)的DDoS攻擊場景

根據(jù)以往歷次 重大活動安保 的經(jīng)驗(yàn)，我們對有可能出現(xiàn)的DDoS攻擊的場景進(jìn)行分類，以便進(jìn)一步針對不同的場景來制定快速有效的防御手段。

我們針對典型DDoS攻擊通過攻擊特征進(jìn)行分類，轉(zhuǎn)換為攻擊場景：

摸清楚環(huán)境與資源 為DDoS應(yīng)急預(yù)案提供支撐

1. 所在的網(wǎng)絡(luò)環(huán)境中，有多少條互聯(lián)網(wǎng)出口?每一條帶寬多少?
2. 每一條互聯(lián)網(wǎng)出口的運(yùn)營商是否支持DDoS攻擊清洗，我們是否購買，或可以緊急試用?當(dāng)發(fā)生DDoS攻擊需要啟用運(yùn)營商清洗時，應(yīng)急流程是否確定?
3. 每一條互聯(lián)網(wǎng)出口的運(yùn)營商是否支持緊急帶寬擴(kuò)容，我們是否購買，或可以緊急試用?當(dāng)發(fā)生攻擊需要啟用運(yùn)營商緊急帶寬擴(kuò)容時，應(yīng)急流程是否確定?
4. 每一條互聯(lián)網(wǎng)出口的線路，是否都具備本地DDoS攻擊清洗能力?
5. 本地抗DDoS攻擊設(shè)備服務(wù)商，是否提供了DDoS攻擊的應(yīng)急預(yù)案?
6. 所有需要我們防御的業(yè)務(wù)，是否都在抗DDoS設(shè)備的監(jiān)控范圍內(nèi)?
7. 出現(xiàn)DDoS攻擊的時候，所有需要自動清洗的業(yè)務(wù)，是否可以自動牽引并清洗?
8. 是否有內(nèi)部針對DDoS攻擊應(yīng)急的指導(dǎo)流程?
9. 當(dāng)發(fā)生DDoS攻擊的時候如何第一時間感知?

安保應(yīng)急中的DDoS攻擊應(yīng)急預(yù)案

根據(jù)以上信息，接下來就可以對號入座的針對每一個梳理出來的攻擊場景部署防御手段了

(1) 流量型(直接)---流量未超過鏈路帶寬---本地清洗

(2) 流量型(直接)---流量超過鏈路帶寬---通知運(yùn)營商清洗||臨時擴(kuò)容||云清洗---本地清洗

• 針對SYN、ACK、UDP、ICMP等類型的flood攻擊：
• 一般情況下：本地清洗設(shè)備的防御算法都可以輕松應(yīng)對。比如說首包丟棄、IP溯源等。
• 特殊情況下：可以再次基礎(chǔ)上增加一些限速，至少就可以保證在遭受攻擊的時候保持業(yè)務(wù)基本的可用性。
• 如果通過排查發(fā)現(xiàn)發(fā)生攻擊源IP具有地域特征，可以根據(jù)地域進(jìn)行限制(大量來自國外的攻擊尤其適用)。

(3) 流量型(反射)---流量未超過鏈路帶寬---本地清洗

(4) 流量型(反射)---流量超過鏈路帶寬---通知運(yùn)營商清洗||臨時擴(kuò)容||云清洗---本地清洗

• 針對NTP、DNS、SSDP等類型的反射攻擊：
• 一般情況下：本地清洗設(shè)備的防御算法都可以有效的進(jìn)行緩解。比如說對UDP碎片包的丟棄，以及限速等。
• 特殊情況下：由于反射攻擊的特征大多呈現(xiàn)為固定源端口+固定目的IP地址的流量占了整個鏈路帶寬的90%+
• 我們可以針對這些特征配置更加徹底的丟棄規(guī)則

(5) CC---本地清洗---本地清洗效果不佳后----云清洗

• 針對CC攻擊，如果清洗效果非常不明顯，情況又很緊急的情況下可以采用臨時使用靜態(tài)頁面替換。

(6) HTTP慢速---本地清洗---本地清洗效果不佳后---云清洗

• 對于HTTP body慢速攻擊，在攻擊過程中分析出攻擊工具的特征后，針對特征在本地防御設(shè)備進(jìn)行配置。

(7) URL(反射)---本地清洗+云清洗

• 對于URL反射攻擊，在攻擊過程中找出反射源，在本地防御設(shè)備進(jìn)行高級配置

(8) 各種DoS效果漏洞利用：監(jiān)控入侵檢測或防御設(shè)備的告警信息、做好系統(tǒng)漏洞修復(fù)

• 對于此類攻擊，其實(shí)嚴(yán)格意義來說并不能算DDoS攻擊，只能算是能達(dá)到DoS效果的攻擊，僅做補(bǔ)充場景