来源:https://zeltser.com/ddos-incident-cheat-sheet/#
https://zeltser.com/media/docs/ddos-incident-cheat-sheet.doc
一、一般考虑
(1)DDoS攻击通常采取的形式是让不需要的流量充斥网络;有些攻击集中于特定系统的压倒性资源。
(2)如果没有专门的设备或ISP的帮助,将很难防御攻击。
(3)在事件响应过程中,经常有太多的人参与其中;限制团队中的人员数量。
(4)DDoS事件可能持续数天。考虑你的团队将如何处理长时间的攻击。人累了。
(5)了解您的设备在减轻DDoS攻击方面的能力。许多人低估了他们设备的能力,或者高估了它们的性能。
二、为将来的事件做好准备
(1)如果您没有提前为DDoS事件做准备,您将在攻击期间浪费宝贵的时间。
(2)联系您的ISP,了解它提供的付费和免费DDoS缓解措施以及您应该遵循的流程。
(3)创建一个您必须允许的源ip和协议的白名单,如果在攻击期间对流量进行优先排序。包括你的大客户,关键的合作伙伴等等。
(4)确认可能受到攻击的系统的DNS存活时间(TTL)设置。如果需要,降低TTLs,以便在原始ip受到攻击时方便DNS重定向。
(5)为您的ISP、执法、IDS、防火墙、系统和网络团队建立联系。
(6)记录您的IT基础设施细节,包括企业所有者、IP地址和电路id;准备一个网络拓扑图和一个资产清单。
(7)理解可能的DDoS攻击场景的业务含义(例如,金钱损失)。
(8)如果DDoS攻击的风险很高,可以考虑购买专门的DDoS缓解产品或服务。
(9)与您的BCP/DR规划团队协作,了解他们对DDoS事件的看法。
(10)加强DDoS可能针对的网络、操作系统和应用程序组件的配置。
(11)确定当前基础设施的性能基准,这样就可以更快更准确地识别攻击。
三、分析攻击
(1)理解DDoS攻击的逻辑流,并识别受其影响的基础设施组件。
(2)检查服务器、路由器、防火墙、应用程序和其他受影响的基础设施的负载和日志。
(3)确定DDoS流量与良性流量的区别(例如,特定的源ip、目的端口、url、TCP标志等)。
(4)如果可能的话,使用网络分析器(例如tcpdump、ntop、Aguri、MRTG、NetFlow工具)来检查流量。
四、减轻攻击效果
(1)虽然完全阻止DDoS攻击是非常困难的,但您可以减轻它们的影响。
(2)通过路由器、防火墙、负载均衡器、专用设备等,尝试在接近网络“云”的地方限制或阻止DDoS流量。
(3)终止服务器和路由器上不需要的连接或进程,并调优其TCP/IP设置。
(4)如果可能的话,使用DNS或其他机制切换到其他站点或网络。黑洞DDoS流量瞄准原始ip。
(5)如果瓶颈是应用程序的特定特性,请暂时禁用该特性。
(6)如果可能的话,增加服务器或网络带宽来处理DDoS负载。(不过,这是一场军备竞赛。)
(7)在可能的情况下,通过DNS或路由改变,将流量通过一个交通清理服务或产品路由。
(8)如果要调整自我防卫,一次做一个改变,这样你就能知道你观察到的改变的原因。
(9)配置出口过滤器,以阻止您的系统可能发送的流量响应DDoS流量,以避免增加不必要的包到网络。
五、总结事件并调整
考虑一下你本可以采取哪些准备步骤来更快或更有效地应对事件。
如果有必要,调整影响DDoS事件准备过程中所做决策的假设。
评估DDoS响应过程的有效性,包括人员和通信。
考虑组织内部和外部的什么关系可以帮助你应对未来的事件。
六、关键的DDoS事件响应步骤
准备:建立联系,定义过程,收集工具,以节省攻击期间的时间。
分析:检测事件,确定其范围,并使相关方参与进来。
减轻:减轻攻击对目标环境的影响。
总结:记录事件的细节,讨论吸取的教训,调整计划和防御
网友评论