来源:https://github.com/certsocietegenerale/IRM
一、准备
目的:建立联系,定义程序,收集信息以节省攻击时的时间。互联网服务供应商支持
■联系你的ISP,了解它提供的DDoS缓解服务(免费和付费),以及你应该遵循的流程。
■如果可能的话,订阅一个冗余的互联网连接。
■如果可能,订阅反ddos服务提供商。
■与您的I SP和执法实体建立联系。确保您有可能使用带外通信通道(如:电话)。
目录
■创建一个白名单,其中包括在攻击期间对流量进行优先排序时必须允许的IP地址和协议。不要忘记包括你的关键客户,关键合作伙伴等等。
■记录你的IT基础设施细节,包括企业所有者、IP地址、电路id和路由设置
网络基础设施
■设计良好的网络基础结构,避免单点故障或瓶颈。
■通过不同的AS分发DNS服务器和其他关键服务(SMTP等)。
■加强DDoS可能针对的网络、操作系统和应用程序组件的配置。
■对当前基础设施的性能进行基准测试,这样就可以更快更准确地识别攻击。
■如果你的业务依赖于互联网,考虑购买专门的DDoS缓解产品或服务。
■确认可能受到攻击的系统的DNS存活时间(TTL)设置。如果需要,降低TTLs,以便在原始IP地址受到攻击时方便DNS重定向。600是一个很好的TTL值。
■根据你的服务的关键程度,考虑设置一个备份,以便在出现问题时打开。
内部联系
■为你的IDS、防火墙、系统和网络团队建立联系。
■与业务部门合作,了解可能发生的DDoS攻击场景的业务影响(例如金钱损失)。
■让你的BCP/DR计划团队参与DDoS事件。
“准备”阶段被认为是成功DDoS事件响应的最重要的元素。
二、识别
目的:发现事件,确定其范围,并使适当的各方参与。分析了攻击
■了解DDoS攻击的逻辑流程,并识别受其影响的基础设施组件。
■了解自己是否是攻击目标或间接受害者
■检查服务器、路由器、防火墙、应用程序和其他受影响的基础设施的负载和日志文件。
■确定DDoS流量与良性流量的区别
■源IP地址、AS等
■目的地端口
■url
■协议标志
网络分析工具可用于审查流量.Tcpdump、Tshark、Snort、Argus、Ntop、Aguri、MRTG。
■如果可能的话,创建一个NIDS签名来区分良性和恶意流量。
包括内部和外部参与者
■联系你的内部团队,了解他们对攻击的可见性。
■联系ISP寻求帮助。明确你想要控制的流量:
■涉及网络块
■源IP地址
■协议
■通知公司的行政和法律团队。
检查背景
■查明该公司在发动攻击前是否收到勒索要求。
■搜索一下是否有人有意威胁你的公司
■竞争对手
■意识形态不成熟的团体(黑客活动主义者)
■前雇员
三、遏制
目的:减轻攻击对目标环境的影响。
■如果瓶颈是某个应用程序的某个特定功能,请暂时禁用该功能。
■通过路由器、防火墙、负载均衡器、专用设备等,试图在尽可能靠近网络“云”的地方限制或阻止DDoS流量。
■终止服务器和路由器上不需要的连接或进程,调整其TCP/IP设置。
■如果可能,使用DNS或其他机制切换到其他网站或网络。blackhole针对原始IP地址的DDoS流量。
■在你和你的用户/客户之间建立一个备用的沟通渠道(例如:网络服务器、邮件服务器、语音服务器等)
■如果可能的话,通过DNS或路由变化(如:sinkhole路由)让流量通过一个流量清理服务或产品路由。
■配置出口过滤器来阻止你的系统可能向DDoS流量发送的流量(例如:backsquatter流量),以避免向网络添加不必要的数据包。
■如果有敲诈勒索的企图,要设法与骗子争取时间。例如,解释你需要更多的时间来获得管理批准。
如果瓶颈在ISP这边,只有ISP可以采取有效的行动。在这种情况下,与您的ISP密切合作,确保您有效地共享信息。
四、修复
目的:采取措施制止拒绝服务状态的发生。
■联系您的ISP,确保它执行补救措施。以下是一些可能的措施:
■过滤(如果可能的话,在第一级或第二级)
■traffic-scrubbing /Sinkhole/清洗管道
■Blackhole 路由
■如果DDoS赞助商已经确定,可以考虑让执法部门参与。这应该在公司执行和法律团队的指导下进行。
技术补救行动大多可以由您的ISP执行。
五、恢复
目的:恢复以前的功能状态。
评估DDoS条件的结束
■确保受影响的服务再次可访问。
■确保基础设施性能回到基准性能。撤销缓解措施
■将流量切换回原来的网络。
■重启已停止的服务。
六、之后
目标:记录事件细节,讨论经验教训,调整计划和防御措施。
■考虑你本可以采取哪些准备步骤来更快或更有效地应对事故。
■如有必要,调整影响DDoS事件准备过程中决策的假设。
■评估DDoS响应过程的有效性,包括人员和沟通。
■考虑组织内部和外部的何种关系可以帮助你应对未来的事件。
■如果正在进行法律行动,与法律团队合作。
网友评论