判断DDoS攻击的类型
- 如果有抗DDoS攻击设备、流量监控设备等,那么我们可以分析设备的流量、告警信息、判断攻击类型;如果没有相关设备,那么我们可以通过抓包、排查设备访问日志信息,判断攻击类型,为采取适当的防御措施提供依据。
采取缓解措施
- 确认攻击类型后,我们可以针对当前攻击流量限制访问速率,调整安全设备的防护策略
- 通过设备的记录信息,对访问异常的IP地址进行封堵
- 如果流量远远超出出口宽带,建议联系运营商进行流量清洗
溯源分析
- 溯源分析一般是通过查看安全设备、流量监控设备、服务器、网络设备上保留的日志信息进行的。但由于攻击者多采用僵尸网络发起攻击,因此溯源工作挑战较大。当我们遭遇攻击时,应保留相关证据,及时报案。
后续防护建议
服务器防护
- 应避免非业务端口对外网开放,减少服务器暴露在公网的攻击点
- 及时更新安全补丁,避免服务器沦为攻击者的"肉鸡"
网络防护与安全监测
- 优化网络,利用负载分流保证系统冗余,同时防止单点故障的产生
- 限制同时打开数据包的最大连接数
- 及时部署流量监控设备或抗DDoS攻击设备,为追溯源提供基础支撑
应用系统防护
- 对应用代码做好性能优化