來源：https://library.educause.edu/-/media/files/library/2019/10/ddosplaybook.docx

一、驗(yàn)證DDoS

1.1 檢查日志

1.網(wǎng)絡(luò)安全

a.SIEM

b.IDS / IPS

c.WireShark

d.Web代理/ DLP

e.聯(lián)系MSSP或SOC檢查日志楞陷。

2.基礎(chǔ)設(shè)施

a.ASA防火墻

b.負(fù)載均衡器

3.開發(fā)運(yùn)維監(jiān)控

a.檢查網(wǎng)站出站的延遲睬关。

b.檢查故障齿风。

c.檢查服務(wù)/系統(tǒng)的退化倾哺。

d.聯(lián)系監(jiān)控服務(wù)/NOC檢查日志。

4.各部門

a.檢查未知或意外進(jìn)入的流量拖吼。

b.檢測來自未知發(fā)件人的未知/未識別數(shù)據(jù)包授滓。

c.檢查IT服務(wù)以查看影響琳水。

d.檢查業(yè)務(wù)連續(xù)性計劃(BCP)/業(yè)務(wù)影響評估(BIA)中提到的關(guān)鍵系統(tǒng)。

1.2與第三方供應(yīng)商溝通

1.網(wǎng)絡(luò)安全

a.去DHS和NCCIC查一下般堆。

b.與REN-ISAC檢查在孝。

c.咨詢云托管服務(wù)提供商。

d.如果DNS相關(guān)淮摔，聯(lián)系InfoBlox或DNS服務(wù)提供商私沮。

2.營銷團(tuán)隊(duì)

a.檢查云服務(wù)提供商托管他們的材料。

b.檢查社交媒體噩咪。

1.3全球問題

1.是否有報告指出顾彰，在全球問題上，該機(jī)構(gòu)會受到連帶損害?

a.檢查互聯(lián)網(wǎng)健康和流量報告胃碾，以排除全球問題。

b.檢查Akamai內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)筋搏。

1.4.驗(yàn)證組織溝通

1.電子郵件

2.話音局域網(wǎng)線路

二仆百、DDoS驗(yàn)證

2.1 基礎(chǔ)設(shè)施

1.聯(lián)系威瑞森或互聯(lián)網(wǎng)服務(wù)提供商。

2.通知Verizon潛在的DDoS奔脐。

3.請求協(xié)助過濾IP俄周。

4.與CISO交流。

2.2網(wǎng)絡(luò)安全

1.確定DDoSReference附錄A的類型髓迎。

2.評估系統(tǒng)的影響峦朗。

a.最小影響監(jiān)測升級和準(zhǔn)備潛在專業(yè)。

b.主要影響- ciso通知IR團(tuán)隊(duì)排龄。

c.繼續(xù)與開發(fā)部門協(xié)調(diào)波势。

d.與InfoBlox溝通，如果DNS相關(guān)。

e.與IDS /IPS提供商通信尺铣。

f.PCAP分析(如果需要)拴曲。

三、消除

3.1網(wǎng)絡(luò)安全

1.評估源地址的緩解選項(xiàng)

a.源地址能被防火墻阻止嗎?

b.源地址可以被防火墻和/或IPS/IDS鎖定嗎?

c.考慮GeoBlocking對業(yè)務(wù)的影響凛忿。

2.打補(bǔ)丁能緩解(就像一些DDOS利用了一個缺失的補(bǔ)丁或漏洞)嗎?

3.攻擊是基于主機(jī)還是基于IP ?

i.基于IP的攻擊

1.更改公共IP地址(例如澈灼，.133將更改為.134)。

2.考慮將故障轉(zhuǎn)移到DR站點(diǎn)店溢。

ii.基于主機(jī)的

1.繼續(xù)尋求Verizon的幫助叁熔。

3.2減輕特定的應(yīng)用程序

1.如果之前的緩解解決方案不能停止DDOS流量，那么下一步將緩解特定的應(yīng)用程序床牧。這些攻擊可能看起來像正常的流量荣回，但是有異常，會破壞服務(wù)器層叠赦、應(yīng)用程序?qū)踊驍?shù)據(jù)庫層的行為驹马。

a.當(dāng)您確定攻擊向量的不同組合時，請查看下表以了解針對個別攻擊的補(bǔ)救措施除秀。

3.3網(wǎng)絡(luò)層緩解技術(shù)

1.零路由/黑洞路由

a.附錄A

2.DNS黑洞

a.參考文件/連結(jié)在附錄A糯累，詳細(xì)說明黑洞的過程。

3.清洗

a.附錄中的參考文件/鏈接詳細(xì)說明清洗過程册踩。

3.4限制資源

1.附錄A中的參考文檔/鏈接詳細(xì)說明了如何約束資源的過程泳姐。

四、與風(fēng)險經(jīng)理一起進(jìn)行風(fēng)險評估

4.1業(yè)務(wù)影響

1.受事件影響的顧客

2.受攻擊影響的良好/服務(wù)

3.如果無法緩解最壞的情況

4.內(nèi)部/外部攻擊知識(PR)

五暂吉、網(wǎng)絡(luò)安全團(tuán)隊(duì)的文件攻擊總結(jié)

5.1記錄攻擊的詳細(xì)信息胖秒，以更好地幫助減輕未來的攻擊。

六慕的、與公司公關(guān)團(tuán)隊(duì)協(xié)調(diào)公共關(guān)系

七阎肝、DDoS后期

7.1 誰

1.壞演員

a.有人承認(rèn)DDoS的功勞嗎?

b.他們攻擊的是你的組織還是你自己?

2.解決團(tuán)隊(duì)

a.公司內(nèi)部/外部聘請了誰來協(xié)助?

b.內(nèi)部資源是應(yīng)該使用的正確資源嗎?

7.2 什么

1.目標(biāo)是什么?

a.DDoS的目標(biāo)是IP、主機(jī)肮街、URL還是應(yīng)用程序?

b.的影響是什么?

c.影響的范圍是什么?

????????? 內(nèi)部系統(tǒng)风题，網(wǎng)絡(luò)/互聯(lián)網(wǎng)接入，面向客戶的系統(tǒng)嫉父，業(yè)務(wù)伙伴沛硅，等等?

d.對于即將到來的攻擊存在哪些預(yù)警指標(biāo)?

2.什么系統(tǒng)發(fā)出了警報/沒有發(fā)出警報?

3.攻擊的目的是什么?成功?

7.3時間

1.這件事是什么時候發(fā)生的(假日、周末绕辖、晚上摇肌、白天?)

2.事件是否發(fā)生在業(yè)務(wù)關(guān)鍵時刻?

a.財務(wù)報告

b.一天中最忙的時候

c.特殊活動發(fā)生

7.4地點(diǎn)

1.攻擊的重點(diǎn)在哪里?

a.網(wǎng)站

b.分公司

c.存在的企業(yè)

2.你確定嗎?

a.有可能DDoS是為了混淆竊密而分散注意力的嗎?

7.5為什么

1.你為什么被襲擊?

a.這次襲擊是為了獲得名聲?

2.為什么壞行為人選擇了特定的目標(biāo)?

a.這次襲擊是為了隱藏其他活動嗎?

3.我們?yōu)槭裁磿羞@樣的反應(yīng)?

a.我們的反應(yīng)合適嗎?

7.6怎樣

1.你是怎么被襲擊的?

a.攻擊者使用了策略嗎?

b.這次襲擊看起來協(xié)調(diào)得好嗎?

2.你有回應(yīng)嗎?

a.我們是否采取了正確的應(yīng)對措施?

b.這次襲擊是為了隱藏其他活動嗎?

7.8 現(xiàn)在怎么辦呢?

1.記錄對問題的回答。

2.記錄對事件的反應(yīng)仪际。

3.記錄已識別的差距围小。

4.記錄流程改進(jìn)昵骤。

附錄A

A. DDoS通過大量虛假流量使服務(wù)器或網(wǎng)絡(luò)資源過載，從而使合法用戶無法使用的惡意嘗試吩抓。

1涉茧、DDoS類型

1.1 大小

包括UDP洪水、ICMP洪水和其他spoofed-packet洪水疹娶。攻擊的目標(biāo)是使被攻擊站點(diǎn)的帶寬達(dá)到飽和伴栓，其強(qiáng)度以每秒比特數(shù)(bits per second，Bps)來衡量雨饺。

1.2協(xié)議

包括SYN洪水钳垮、分散包攻擊,萍死亡,藍(lán)精靈DDoS等等。這種類型的攻擊消耗實(shí)際的服務(wù)器資源额港，或中間通信設(shè)備的資源饺窿，如防火墻和負(fù)載平衡器，并以每秒數(shù)據(jù)包(packets per second 移斩，Pps)計算肚医。

1.3應(yīng)用程序?qū)?/p>

包括低慢攻擊,GET / POST洪水攻擊目標(biāo)Apache, Windows或OpenBSD漏洞等等。這些攻擊由看似合法和無害的請求組成向瓷，其目標(biāo)是使web服務(wù)器崩潰肠套，其規(guī)模以每秒請求數(shù)(Requests per second，Rps)來衡量猖任。

2你稚、DDoS攻擊

2.1DNS放大

DNS放大是一個分布式拒絕服務(wù)(DDoS)攻擊,攻擊者利用漏洞在域名系統(tǒng)(DNS)服務(wù)器將最初小查詢轉(zhuǎn)化為更大的有效載荷,用于降低受害者的服務(wù)器。

2.2DNS洪水

DNS洪水是一種分布式拒絕服務(wù)(DDoS)攻擊者的攻擊目標(biāo)的一個或多個域名系統(tǒng)(DNS)服務(wù)器屬于一個給定的區(qū)域,試圖阻礙解決資源區(qū)和它的子區(qū)域的記錄朱躺。

2.3fork炸彈

fork是一個系統(tǒng)調(diào)用中使用Unix和Linux系統(tǒng),將現(xiàn)有的過程(a.k.刁赖。并復(fù)制它，形成一個新的過程(即雙親)长搀。一個,一個孩子)宇弛。這允許兩個進(jìn)程同時執(zhí)行唯一的任務(wù)。fork炸彈(也稱為“兔子病毒”)是一種拒絕服務(wù)(DoS)攻擊源请，在這種攻擊中涯肩，遞歸地使用fork系統(tǒng)調(diào)用，直到所有系統(tǒng)資源執(zhí)行一個命令巢钓。系統(tǒng)最終會超載，無法響應(yīng)任何輸入疗垛。

2.4HTTP Flood Attack

HTTP 洪水 是 一 種Distributed Denial Service (DDoS) 攻擊 中 , 攻擊 者 利用 看似 合法 HTTP GET 或 POST 請求 攻擊 一 個 web 服務(wù)器 或 此 規(guī)則HTTP洪水攻擊是一種容量攻擊症汹，通常使用僵尸網(wǎng)絡(luò)“僵尸軍隊(duì)”——一群連接互聯(lián)網(wǎng)的計算機(jī)，通常借助像特洛伊木馬這樣的惡意軟件贷腕，惡意控制每臺計算機(jī)背镇。HTTP洪水是一種復(fù)雜的第7層攻擊咬展，它不使用格式錯誤的數(shù)據(jù)包、欺騙或反射技術(shù)瞒斩，并且比其他攻擊需要更少的帶寬來關(guān)閉目標(biāo)站點(diǎn)或服務(wù)器破婆。因此，它們需要對目標(biāo)站點(diǎn)或應(yīng)用程序有更深入的了解胸囱，而且每次攻擊都必須經(jīng)過特別設(shè)計才能有效祷舀。這使得HTTP洪水攻擊明顯更難檢測和阻止。

2.5碎片攻擊

IP碎片攻擊是拒絕服務(wù)攻擊的一種常見形式烹笔，在這種攻擊中裳扯，犯罪者通過利用數(shù)據(jù)報碎片機(jī)制來覆蓋網(wǎng)絡(luò)。要了解這種攻擊谤职，首先要了解IP碎片化的過程饰豺，在這種通信過程中，IP數(shù)據(jù)報被分解成小數(shù)據(jù)包允蜈，在網(wǎng)絡(luò)上傳輸冤吨，然后重新組裝成原始的數(shù)據(jù)報。

2.6NTP擴(kuò)增攻擊

NTP放大是分布式拒絕服務(wù)(DDoS)攻擊的一種類型饶套，攻擊者利用公共可訪問的網(wǎng)絡(luò)時間協(xié)議(NTP)服務(wù)器以用戶數(shù)據(jù)報協(xié)議(User Datagram Protocol, UDP)流量壓倒目標(biāo)漩蟆。

2.6Ping洪水

Ping洪水,也稱為ICMP洪水,是一種常見的拒絕服務(wù)(DoS)攻擊,攻擊者需要一個受害者的電腦通過壓倒性的ICMP回應(yīng)請求,也稱為Ping。這種攻擊包括用請求包淹沒受害者的網(wǎng)絡(luò)凤跑，因?yàn)榫W(wǎng)絡(luò)將以相同數(shù)量的應(yīng)答包進(jìn)行響應(yīng)爆安。使用ICMP請求關(guān)閉目標(biāo)的其他方法包括使用定制工具或代碼，如hping和scapy仔引。

2.7萍死亡

萍死亡(也稱為PoD)是一種拒絕服務(wù)(DoS)攻擊中,攻擊者試圖崩潰,破壞,或凍結(jié)目標(biāo)計算機(jī)或服務(wù)通過發(fā)送畸形或超大包使用一個簡單的Ping命令扔仓。而PoD攻擊利用遺留的弱點(diǎn)，這些弱點(diǎn)可能在目標(biāo)系統(tǒng)中被修補(bǔ)咖耘。然而翘簇，在一個未修補(bǔ)的系統(tǒng)中，攻擊仍然是相關(guān)的和危險的儿倒。

2.8Smurf攻擊

Smurf是一種網(wǎng)絡(luò)層分布式拒絕服務(wù)(DDoS)攻擊版保，以DDoS命名。使它能夠執(zhí)行的Smurf惡意軟件夫否。Smurf攻擊有點(diǎn)像ping泛濫彻犁，因?yàn)閮烧叨际峭ㄟ^發(fā)送大量ICMP Echo請求包來實(shí)現(xiàn)的。然而凰慈，與常規(guī)的ping洪水不同汞幢，藍(lán)精靈是一種放大攻擊載體，它利用廣播網(wǎng)絡(luò)的特性來增強(qiáng)其潛在的破壞能力微谓。

2.9SNMP反射

SNMP反射是一種分布式拒絕服務(wù)(DDoS)攻擊森篷，它使人想起前幾代的DNS放大攻擊输钩。SNMP反射攻擊使用簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)，而不是域名服務(wù)器(DNS)仲智，這是一種通用的網(wǎng)絡(luò)管理協(xié)議买乃，用于從網(wǎng)絡(luò)設(shè)備(如服務(wù)器、集子钓辆、交換機(jī)剪验、路由器和打印機(jī))配置和收集信息。SNMP反射攻擊每秒可以產(chǎn)生數(shù)百千兆的攻擊量岩馍，可以從多個寬帶網(wǎng)絡(luò)直接針對攻擊目標(biāo)碉咆。攻擊有時持續(xù)數(shù)小時，對攻擊目標(biāo)極具破壞性蛀恩，而且減輕攻擊難度很大疫铜。

2.10TCP SYN洪水

TCP SYN泛濫(又名SYN泛濫)是一種分布式拒絕服務(wù)(DDoS)攻擊，它利用部分正常的TCP三路握手來消耗目標(biāo)服務(wù)器上的資源并使其失去響應(yīng)双谆。本質(zhì)上壳咕，由于SYN泛濫DDoS，違者發(fā)送TCP連接請求的速度超過了目標(biāo)機(jī)器處理它們的速度顽馋，從而導(dǎo)致網(wǎng)絡(luò)飽和谓厘。

2.11UDP洪水

“UDP洪水”是一種拒絕服務(wù)(DoS)攻擊，攻擊者用包含UDP數(shù)據(jù)報的IP數(shù)據(jù)包淹沒目標(biāo)主機(jī)上的隨機(jī)端口寸谜。接收主機(jī)檢查與這些數(shù)據(jù)報相關(guān)聯(lián)的應(yīng)用程序并發(fā)現(xiàn)沒有——發(fā)送回一個“目的地不可到達(dá)”的數(shù)據(jù)包竟稳。隨著越來越多的UDP數(shù)據(jù)包被接收和應(yīng)答，系統(tǒng)變得不堪重負(fù)熊痴，對其他客戶端沒有響應(yīng)他爸。在UDP泛濫攻擊的框架中，攻擊者也可以欺騙數(shù)據(jù)包的IP地址果善，以確保返回的ICMP數(shù)據(jù)包不會到達(dá)他們的主機(jī)诊笤，并匿名攻擊。有幾個商業(yè)軟件包可以用來執(zhí)行UDP洪水攻擊(例如巾陕，UDP Unicorn)讨跟。

3、消除

3.1GeoBlocking

GeoBlocking鄙煤，因?yàn)樗c機(jī)構(gòu)有關(guān)晾匠，是指阻塞進(jìn)出某個區(qū)域的流量的能力。

3.2空/黑洞路由

空/黑洞路由是一種網(wǎng)絡(luò)路由(路由表?xiàng)l目)梯刚，它不去任何地方混聊。匹配的數(shù)據(jù)包被丟棄/忽略而不是轉(zhuǎn)發(fā)，這就像一種非常有限的防火墻。

3.3DNS sinkhole

“sinkhole”是一個標(biāo)準(zhǔn)的DNS服務(wù)器句喜，它被配置為sinkhole中的所有域名提供不可路由的地址，因此使用它的每臺計算機(jī)將無法訪問真正的網(wǎng)站沟于。DNS解析鏈上的漏洞越高咳胃，它就會阻止越多的請求，因?yàn)樗鼘楦嗟牡投薔S服務(wù)器提供答案旷太，而這些服務(wù)器將為更多的客戶端提供服務(wù)展懈。

3.4清洗(通常使用清洗中心)

清理中心是一個集中的數(shù)據(jù)清理站，在這里對您網(wǎng)站的流量進(jìn)行分析供璧，并刪除惡意流量(SQL注入存崖、XSS、DDoS和其他已知的漏洞)睡毒。網(wǎng)絡(luò)服務(wù)提供商和云提供商經(jīng)常使用清理中心来惧，因?yàn)樗鼈兏矚g將潛在的惡意流量路由到路徑外的數(shù)據(jù)清理站，而不是將其保留在網(wǎng)絡(luò)中演顾，從而阻礙合法流量供搀。按需洗滌中心,當(dāng)檢測到攻擊時,流量重定向(通常使用DNS或邊界網(wǎng)關(guān)協(xié)議(邊界網(wǎng)關(guān)協(xié)議)到一個地方擦洗中心交通分析(通常使用深層數(shù)據(jù)包檢測)和攻擊流量過濾掉,而清潔交通通過網(wǎng)絡(luò)交付。

3.5限制資源

如果前面的步驟失敗了钠至，簡單地限制資源葛虐，如速率和連接限制是最后的手段——它可以拒絕好的和壞的流量。相反棉钧，您可能想禁用或黑洞應(yīng)用程序屿脐。