事件响应方法-DDOS

来源：https://github.com/certsocietegenerale/IRM

一、准备

目的:建立联系，定义程序，收集信息以节省攻击时的时间。互联网服务供应商支持

■联系你的ISP，了解它提供的DDoS缓解服务(免费和付费)，以及你应该遵循的流程。

■如果可能的话，订阅一个冗余的互联网连接。

■如果可能，订阅反ddos服务提供商。

■与您的I SP和执法实体建立联系。确保您有可能使用带外通信通道(如:电话)。

目录

■创建一个白名单，其中包括在攻击期间对流量进行优先排序时必须允许的IP地址和协议。不要忘记包括你的关键客户，关键合作伙伴等等。

■记录你的IT基础设施细节，包括企业所有者、IP地址、电路id和路由设置

网络基础设施

■设计良好的网络基础结构，避免单点故障或瓶颈。

■通过不同的AS分发DNS服务器和其他关键服务(SMTP等)。

■加强DDoS可能针对的网络、操作系统和应用程序组件的配置。

■对当前基础设施的性能进行基准测试，这样就可以更快更准确地识别攻击。

■如果你的业务依赖于互联网，考虑购买专门的DDoS缓解产品或服务。

■确认可能受到攻击的系统的DNS存活时间(TTL)设置。如果需要，降低TTLs，以便在原始IP地址受到攻击时方便DNS重定向。600是一个很好的TTL值。

■根据你的服务的关键程度，考虑设置一个备份，以便在出现问题时打开。

内部联系

■为你的IDS、防火墙、系统和网络团队建立联系。

■与业务部门合作，了解可能发生的DDoS攻击场景的业务影响(例如金钱损失)。

■让你的BCP/DR计划团队参与DDoS事件。

“准备”阶段被认为是成功DDoS事件响应的最重要的元素。

二、识别

目的:发现事件，确定其范围，并使适当的各方参与。分析了攻击

■了解DDoS攻击的逻辑流程，并识别受其影响的基础设施组件。

■了解自己是否是攻击目标或间接受害者

■检查服务器、路由器、防火墙、应用程序和其他受影响的基础设施的负载和日志文件。

■确定DDoS流量与良性流量的区别

      ■源IP地址、AS等

      ■目的地端口

      ■url

     ■协议标志

网络分析工具可用于审查流量.Tcpdump、Tshark、Snort、Argus、Ntop、Aguri、MRTG。

■如果可能的话，创建一个NIDS签名来区分良性和恶意流量。

包括内部和外部参与者

■联系你的内部团队，了解他们对攻击的可见性。

■联系ISP寻求帮助。明确你想要控制的流量:

     ■涉及网络块

     ■源IP地址

     ■协议

■通知公司的行政和法律团队。

检查背景

■查明该公司在发动攻击前是否收到勒索要求。

■搜索一下是否有人有意威胁你的公司

■竞争对手

■意识形态不成熟的团体(黑客活动主义者)

■前雇员

三、遏制

目的:减轻攻击对目标环境的影响。

■如果瓶颈是某个应用程序的某个特定功能，请暂时禁用该功能。

■通过路由器、防火墙、负载均衡器、专用设备等，试图在尽可能靠近网络“云”的地方限制或阻止DDoS流量。

■终止服务器和路由器上不需要的连接或进程，调整其TCP/IP设置。

■如果可能，使用DNS或其他机制切换到其他网站或网络。blackhole针对原始IP地址的DDoS流量。

■在你和你的用户/客户之间建立一个备用的沟通渠道(例如:网络服务器、邮件服务器、语音服务器等)

■如果可能的话，通过DNS或路由变化(如:sinkhole路由)让流量通过一个流量清理服务或产品路由。

■配置出口过滤器来阻止你的系统可能向DDoS流量发送的流量(例如:backsquatter流量)，以避免向网络添加不必要的数据包。

■如果有敲诈勒索的企图，要设法与骗子争取时间。例如，解释你需要更多的时间来获得管理批准。

如果瓶颈在ISP这边，只有ISP可以采取有效的行动。在这种情况下，与您的ISP密切合作，确保您有效地共享信息。

四、修复

目的:采取措施制止拒绝服务状态的发生。

■联系您的ISP，确保它执行补救措施。以下是一些可能的措施:

■过滤(如果可能的话，在第一级或第二级)

■traffic-scrubbing /Sinkhole/清洗管道

■Blackhole 路由

■如果DDoS赞助商已经确定，可以考虑让执法部门参与。这应该在公司执行和法律团队的指导下进行。

技术补救行动大多可以由您的ISP执行。

五、恢复

目的:恢复以前的功能状态。

评估DDoS条件的结束

■确保受影响的服务再次可访问。

■确保基础设施性能回到基准性能。撤销缓解措施

■将流量切换回原来的网络。

■重启已停止的服务。

六、之后

目标:记录事件细节，讨论经验教训，调整计划和防御措施。

■考虑你本可以采取哪些准备步骤来更快或更有效地应对事故。

■如有必要，调整影响DDoS事件准备过程中决策的假设。

■评估DDoS响应过程的有效性，包括人员和沟通。

■考虑组织内部和外部的何种关系可以帮助你应对未来的事件。

■如果正在进行法律行动，与法律团队合作。