十一国庆以及紧接着的十九大即将到来，各位十九大安保应急的兄弟们都已经奔赴各自的一线，万事俱备只欠东风，大家的神经都紧绷着。

“养兵千日用兵一时”，我们在平时把该做的准备都做好了，关键时刻就不会手忙脚乱。历来安保中最常见的就是 DDoS攻击，本文是绿盟科技的专家给出一些经验，供十九大安保应急的兄弟们参考。

通常用三层清洗方案来防御DDoS攻击

这套防御总方针总结为8个字就是“立体防御，层层过滤”，包括1本地清洗，2运营商清洗\临时扩容带宽，3云清洗。

大家都知道，DDoS攻击最最最大的特点就是流量大，但是也有很多不需要太大流量，但是同样可以达到攻击效果的方式。所以就有了上图中的防御层次。

一般情况下，本地的抗DDoS攻击设备完全可以实现DDoS攻击的清洗，能自己搞定绝不麻烦别人。当受到DDoS攻击的流量超过了链路带宽的时候，这个时候就需要启动运营商的DDoS攻击清洗了。哎呀呀，你说刚好这条受攻击的链路，不具备DDoS攻击清洗服务怎么办？没关系，这个时候还可启用Plan B，考虑临时扩容带宽。只要攻击流量没把带宽占满，本地清洗就可行。

当在流量运营商清洗的同时，还可以启用云清洗服务。因为安保过程中会有不少DDoS攻击是“混合”攻击(掺杂着各种不同的攻击类型)，比如说：以大流量反射做背景，期间混入一些CC和连接耗尽，以及慢速攻击。那么这个时候很有可能需要运营商清洗(针对流量型的攻击)先把大部分的流量清洗掉，把链路带宽清出来，这个时候剩下的一部分里面很有可能还有不少是攻击流量(类似慢速攻击、CC攻击等)，那么就需要本地进一步的清洗了。

安保中可能出现的DDoS攻击场景

根据以往历次 重大活动安保的经验，我们对有可能出现的DDoS攻击的场景进行分类，以便进一步针对不同的场景来制定快速有效的防御手段。

我们针对典型DDoS攻击通过攻击特征进行分类，转换为攻击场景：

DDoS攻击场景

现象

流量型(直接)

SYN\ACK\ICMP\UDP\Connection FLOOD等DDoS告警

流量型(反射)

NTP\DNS\SSDP\ICMP FLOOD等DDoS告警

CC

流量变化可能不明显，业务访问缓慢，超时严重，大量访问请求指向同一个或少数几个页面

HTTP慢速

流量变化可能不明显，业务访问缓慢，超时严重，大量不完整的HTTP GET请求，出现有规律大小(通常很小)的HTTP POST请求的报文

URL反射

流量变化明显，业务访问缓慢，超时严重，大量请求的Referer字段相同，表明均来自同一跳转页面

各种DoS效果漏洞利用

入侵检测防御设备可能出现告警，DDoS攻击检测设备告警不明显

摸清楚环境与资源 为DDoS应急预案提供支撑

所在的网络环境中，有多少条互联网出口？每一条带宽多少？

每一条互联网出口的运营商是否支持DDoS攻击清洗，我们是否购买，或可以紧急试用？当发生DDoS攻击需要启用运营商清洗时，应急流程是否确定？

每一条互联网出口的运营商是否支持紧急带宽扩容，我们是否购买，或可以紧急试用？当发生攻击需要启用运营商紧急带宽扩容时，应急流程是否确定？

每一条互联网出口的线路，是否都具备本地DDoS攻击清洗能力？

本地抗DDoS攻击设备服务商，是否提供了DDoS攻击的应急预案？

所有需要我们防御的业务，是否都在抗DDoS设备的监控范围内？

出现DDoS攻击的时候，所有需要自动清洗的业务，是否可以自动牵引并清洗？

是否有内部针对DDoS攻击应急的指导流程？

当发生DDoS攻击的时候如何第一时间感知？

安保应急中的DDoS攻击应急预案

根据以上信息，接下来就可以对号入座的针对每一个梳理出来的攻击场景部署防御手段了

流量型(直接)---流量未超过链路带宽---本地清洗

流量型(直接)---流量超过链路带宽---通知运营商清洗||临时扩容||云清洗---本地清洗

针对SYN、ACK、UDP、ICMP等类型的flood攻击：

一般情况下：本地清洗设备的防御算法都可以轻松应对。比如说首包丢弃、IP溯源等。

特殊情况下：可以再次基础上增加一些限速，至少就可以保证在遭受攻击的时候保持业务基本的可用性。

如果通过排查发现发生攻击源IP具有地域特征，可以根据地域进行限制(大量来自国外的攻击尤其适用)。

流量型(反射)---流量未超过链路带宽---本地清洗

流量型(反射)---流量超过链路带宽---通知运营商清洗||临时扩容||云清洗---本地清洗

针对NTP、DNS、SSDP等类型的反射攻击：

一般情况下：本地清洗设备的防御算法都可以有效的进行缓解。比如说对UDP碎片包的丢弃，以及限速等。

特殊情况下：由于反射攻击的特征大多呈现为固定源端口+固定目的IP地址的流量占了整个链路带宽的90%+

我们可以针对这些特征配置更加彻底的丢弃规则

CC---本地清洗---本地清洗效果不佳后----云清洗

针对CC攻击，如果清洗效果非常不明显，情况又很紧急的情况下可以采用临时使用静态页面替换。

HTTP慢速---本地清洗---本地清洗效果不佳后---云清洗

对于HTTP body慢速攻击，在攻击过程中分析出攻击工具的特征后，针对特征在本地防御设备进行配置。

URL(反射)---本地清洗+云清洗

对于URL反射攻击，在攻击过程中找出反射源，在本地防御设备进行高级配置

各种DoS效果漏洞利用：监控入侵检测或防御设备的告警信息、做好系统漏洞修复

对于此类攻击，其实严格意义来说并不能算DDoS攻击，只能算是能达到DoS效果的攻击，仅做补充场景