记一次DDoS攻击应急响应实战

一、问题发现

在一次正常巡视站点时,发现网站加载漫长,且到最后显示无响应,随后紧急查看该服务器下其他站点,情况均是如此

于是快速登陆腾讯云服务器控制台,发现情况如下

发现服务器遭到DDoS攻击,为了防止进一步攻击,腾讯云把主机公网ip封堵掉了,所以该服务器下站点均进不去

二、应急响应情况分析

1、DDoS防护控制台分析情况

发现此次DDoS攻击最大峰值为 13G,已超出最大防护范围

2、分析攻击流量包

从控制台下载攻击流量包,用wireshark打开如下

经分析此次DDoS攻击类型NTP 放大攻击

NTP 放大攻击是一种基于反射的容量耗尽分布式拒绝服务(DDoS)攻击。在这种攻击中,攻击者利用一种网络时间协议 (NTP) 服务器功能,发送放大的 UDP 流量,使目标网络或服务器不堪重负,导致正常流量无法到达目标及其周围基础设施。

4.分析攻击ip来源

根据图片可得,攻击ip大部分来自大陆,少部分来自海外

记录下攻击的肉鸡ip主力

三、应急响应策略

1、设置海外ip DNS解析为回环地址

将我们站点海外线路解析到127.0.0.1

这样可以防住海外ip的DDOS,为主机减轻压力

2.关闭UDP协议:

由于此次攻击采用的是NTP的UDP协议,所以我们将该服务器入站规则中UDP协议所有端口的所有来源IP均设为拒绝,快刀斩乱麻,先都屏蔽掉再说

3.封禁主力IP

将几个攻击流量较大的肉鸡IP 的UDP协议设为所有端口拒绝,便于以后恢复UDP协议

4、等待解除IP封堵

服务商解除IP封堵后,我们的业务便可恢复正常

 四、应急响应总结

本次DDOS攻击使用肉鸡发送UDP协议数据包的方法,由于攻击IP都是被抓去的肉鸡,没有真实攻击者IP,溯源难度较大,我们可以在站点不需要UDP协议时,尽可能关闭UDP协议,同时资金允许的话可购买DDOS高防包,并且假如站点几乎没有海外用户的情况下,可以在域名DNS处将海外IP解析到回环地址,减少攻击可能性

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇
©2023 By Elite

冀公网安备 13108202000889号

| 鲁ICP备2023011162号

声明:本站中用到的所有图片图标,均来源网络,如有侵权请及时联系删除
Theme Argon