目录
环境准备:
1 首先准备VM虚拟机
2 准备一台攻击主机 一台web服务器主机
3 DDos 使用HOIC专注于 HTTP 攻击(这个自己找地方下载)
攻击流程简述:
- 使用HOI模拟ddos攻击[实际上是单机dos攻击]
- 查看web服务器的系统资源 cpu 内存 带宽 瞬间变高
- 通过netstat -ano 查看网络链接 会看到很多Time_wait 四次挥手的请求 - 通过流量分析
- 查看web服务器Nginx-logs 日志分析
- 这段日志显示,在短短4秒内,来自 192.168.1.9 的28次登录请求导致7次502错误。问题可能源于服务器过载、应用瓶颈或安全威胁(如暴力破解)。建议通过监控、优化配置和安全措施解决问题,并进一步分析日志以确认根本原因。
- 判断大概率为dos攻击
Ddos应急响应过程:
初步研判
-
通常,可从以下几方面判断服务器/主机是否遭受DDoS攻击。
-
(1)查看防火墙、流量监控设备、网络设备等是否出现安全告警或大量异常数据包
- 通过流量对比,发现在异常时间段内存在大量Http数据包,并且与流量包无关。
-
(2)通过安全设备告警发现存在的攻击
- 安全设备监控到的攻击类型、协议、流量大小等信息。
-
(3)查看是否存在特定的服务、页面请求,使服务器/主机无法及时处理所有正常请求。
-
网页无法正常响应,甚至无法打开。
-
管理人员发现网站无法正常访问,随后通过Web访问日志统计,发现页面某user/login页面访问量异常。
-
这个访问页面判断502 加上日志分析成为ddos攻击判断
-
- (4)查看是否有大量等待的TCP连接。排查服务器/主机与恶意IP地址是否建立异常连接,或是否存在大量异常连接。
问题排查
-
基于前期对DDoS攻击事件的初步预判,后续我们还需要进一步了解现场环境,判断影响范围,研判事件发展情况,为正确处置、溯源分析、建立防护措施提供实际依据。
- 问题排查通常包括以下几方面。
1)了解DDOS事件发生的时间
-
对可记录流量信息的设备进行排查
-
确定攻击时间,以便后续依据此时间进行溯源分析
-
并对攻击者行为、攻击方法进行记录。
-
2)了解系统架构
-
通过了解现场实际环境网络拓扑、业务架构及服务器类型、带宽大小等关键信息,可帮助安全运营人员.
- 应急响应工程师确认事件影响的范围及存在的隐患。
3)了解DDoS攻击的影响范围
- 结合系统架构情况,确认在DDoS攻击中受到影响的服务和带宽信息,以便后续排查并采取相应措施缓解。
临时处置方法
- 结合攻击类型及流量情况等,可采取不同的临时处置方法。
当流量较小且在服务器硬件与应用接受范围内,并不影响业务时,可利用IPTable实现软件层防护。
当流量较大自身有抗DDoS设备,且在设备处理范围内,小于出口带宽时,可根据攻击类型,利用IPTable,通过调整防护策略、限速等方法实现软件层防护。
若攻击持续存在,则可在出口设备配置黑洞等防护策略,或接入CDN防护,当遇到超大流量,超出出口带宽及防护设备能力时,则建议申请运营商清洗。
研判溯源
-
将排查过程中整理出的IP地址进行梳理、归类,方便日后溯源。
-
由于在DDoS攻击中,攻击者多使用僵尸网络,因此为溯源带来很大难度。
-
建议在遭受DDoS攻击时及时报案,并保留相关日志、攻击记录等。
清除加固
(1)尽量避免将非业务必需的服务端口暴露在公网上,从而避免与业务无关的请求和访问。
(2)对服务器进行安全加固,包括操作系统及服务软件,以减少可被攻击的点。
(3)在允许投入的范围内,优化网络架构,保证系统的弹性和冗余,防止单点故障发生。
(4)对服务器性能进行测试,评估正常业务环境下其所能承受的带宽。在允许投入的范围内,保证带宽有一定的余量。
(5)对现有架构进行压力测试,以评估当前业务吞吐处理能力,为DDoS攻击防御提供详细的技术参数指导信息。
(6)使用全流量监控设备(如天眼)对全网中存在的威胁进行监控分析,关注相关告警,并在第一时间反馈负责人员。
(7)根据当前的技术业务架构、人员、历史攻击情况等,完善应急响应技术预案。
