应急响应-DDOS-典型案例

某单位遭受DDoS攻击事件如下

事件背景

• 2019年2月17日，某机构门户网站无法访问，网络运维人员称疑似遭受DDoS攻击，请求应急响应工程师协助。

事件处置

• 应急响应工程师在达到现场后，通过查看流量设备，发现攻击者使用僵尸网络在该时间段对网站发起了DDoS攻击，类型为混合攻击，如图所示。

• 进一步对网络数据包进行抓取分析，发现攻击者使用HTTP Range分段请求功能向服务端发起多次请求，服务端返回多个响应文件，造成网络负载过高，如图所示。

• 对服务器的日志进行排查，发现在2019年2月17日04时28分，某一js文件出现大量503响应。最终排查确认，攻击者主要使用HTTP Get 攻击，导致服务端返回多个响应文件，造成网络负载过高，产生拒绝服务。

根除及恢复

• 配置防火墙策略，屏蔽异常读取的网站IP地址
• 调整防护设备策略，在不影响正常业务的情况下限制HTTP Range形式访问