1.初步预判
- 查看防火墙、流量监控设备、网络设备等是否出现安全告警或大量异常数据包
- 查看是否存在特定的服务、页面请求,使服务器/主机无法及时处理所有正常请求。网页无法正常响应,甚至无法打开
- 查看是否有大量等待的 TCP 连接。排查服务器/主机与恶意 IP 地址是否建立异常连接,或是否存在大量异常连接
2.问题排查
1、了解 DDoS 事件发生的时间
对可记录流量信息的设备进行排查,确定攻击时间,以便后续依据此时间进行溯源分析,并对攻击者行为、攻击方法进行记录
2、了解 DDoS 攻击的影响范围
确认在 DDoS 攻击中受到影响的服务和带宽信息,以便后续排查并采取相应措施缓解
3.临时处置方法
- 当流量较小,且在服务器硬件与应用接受范围内,并不影响业务时,可利用IPTable 实现软件层防护
- 当流量较大,自身有抗 DDoS 设备,且在设备处理范围内,小于出口带宽时, 可根据攻击类型,利用IPTable,通过调整防护策略、限速等方法实现软件层防护
- 若攻击持续存在,则可