来源：https://library.educause.edu/-/media/files/library/2019/10/ddosplaybook.docx

一、验证DDoS

1.1 检查日志

1.网络安全

a.SIEM

b.IDS / IPS

c.WireShark

d.Web代理/ DLP

e.联系MSSP或SOC检查日志。

2.基础设施

a.ASA防火墙

b.负载均衡器

3.开发运维监控

a.检查网站出站的延迟。

b.检查故障。

c.检查服务/系统的退化。

d.联系监控服务/NOC检查日志。

4.各部门

a.检查未知或意外进入的流量。

b.检测来自未知发件人的未知/未识别数据包。

c.检查IT服务以查看影响。

d.检查业务连续性计划(BCP)/业务影响评估(BIA)中提到的关键系统。

1.2与第三方供应商沟通

1.网络安全

a.去DHS和NCCIC查一下。

b.与REN-ISAC检查。

c.咨询云托管服务提供商。

d.如果DNS相关，联系InfoBlox或DNS服务提供商。

2.营销团队

a.检查云服务提供商托管他们的材料。

b.检查社交媒体。

1.3全球问题

1.是否有报告指出，在全球问题上，该机构会受到连带损害?

a.检查互联网健康和流量报告，以排除全球问题。

b.检查Akamai内容分发网络(CDN)。

1.4.验证组织沟通

1.电子邮件

2.话音局域网线路

二、DDoS验证

2.1 基础设施

1.联系威瑞森或互联网服务提供商。

2.通知Verizon潜在的DDoS。

3.请求协助过滤IP。

4.与CISO交流。

2.2网络安全

1.确定DDoSReference附录A的类型。

2.评估系统的影响。

a.最小影响监测升级和准备潜在专业。

b.主要影响- ciso通知IR团队。

c.继续与开发部门协调。

d.与InfoBlox沟通，如果DNS相关。

e.与IDS /IPS提供商通信。

f.PCAP分析(如果需要)。

三、消除

3.1网络安全

1.评估源地址的缓解选项

a.源地址能被防火墙阻止吗?

b.源地址可以被防火墙和/或IPS/IDS锁定吗?

c.考虑GeoBlocking对业务的影响。

2.打补丁能缓解(就像一些DDOS利用了一个缺失的补丁或漏洞)吗?

3.攻击是基于主机还是基于IP ?

i.基于IP的攻击

1.更改公共IP地址(例如，.133将更改为.134)。

2.考虑将故障转移到DR站点。

ii.基于主机的

1.继续寻求Verizon的帮助。

3.2减轻特定的应用程序

1.如果之前的缓解解决方案不能停止DDOS流量，那么下一步将缓解特定的应用程序。这些攻击可能看起来像正常的流量，但是有异常，会破坏服务器层、应用程序层或数据库层的行为。

a.当您确定攻击向量的不同组合时，请查看下表以了解针对个别攻击的补救措施。

3.3网络层缓解技术

1.零路由/黑洞路由

a.附录A

2.DNS黑洞

a.参考文件/连结在附录A，详细说明黑洞的过程。

3.清洗

a.附录中的参考文件/链接详细说明清洗过程。

3.4限制资源

1.附录A中的参考文档/链接详细说明了如何约束资源的过程。

四、与风险经理一起进行风险评估

4.1业务影响

1.受事件影响的顾客

2.受攻击影响的良好/服务

3.如果无法缓解最坏的情况

4.内部/外部攻击知识(PR)

五、网络安全团队的文件攻击总结

5.1记录攻击的详细信息，以更好地帮助减轻未来的攻击。

六、与公司公关团队协调公共关系

七、DDoS后期

7.1 谁

1.坏演员

a.有人承认DDoS的功劳吗?

b.他们攻击的是你的组织还是你自己?

2.解决团队

a.公司内部/外部聘请了谁来协助?

b.内部资源是应该使用的正确资源吗?

7.2 什么

1.目标是什么?

a.DDoS的目标是IP、主机、URL还是应用程序?

b.的影响是什么?

c.影响的范围是什么?

          内部系统，网络/互联网接入，面向客户的系统，业务伙伴，等等?

d.对于即将到来的攻击存在哪些预警指标?

2.什么系统发出了警报/没有发出警报?

3.攻击的目的是什么?成功?

7.3时间

1.这件事是什么时候发生的(假日、周末、晚上、白天?)

2.事件是否发生在业务关键时刻?

a.财务报告

b.一天中最忙的时候

c.特殊活动发生

7.4地点

1.攻击的重点在哪里?

a.网站

b.分公司

c.存在的企业

2.你确定吗?

a.有可能DDoS是为了混淆窃密而分散注意力的吗?

7.5为什么

1.你为什么被袭击?

a.这次袭击是为了获得名声?

2.为什么坏行为人选择了特定的目标?

a.这次袭击是为了隐藏其他活动吗?

3.我们为什么会有这样的反应?

a.我们的反应合适吗?

7.6怎样

1.你是怎么被袭击的?

a.攻击者使用了策略吗?

b.这次袭击看起来协调得好吗?

2.你有回应吗?

a.我们是否采取了正确的应对措施?

b.这次袭击是为了隐藏其他活动吗?

7.8 现在怎么办呢?

1.记录对问题的回答。

2.记录对事件的反应。

3.记录已识别的差距。

4.记录流程改进。

附录A

A. DDoS通过大量虚假流量使服务器或网络资源过载，从而使合法用户无法使用的恶意尝试。

1、DDoS类型

1.1 大小

包括UDP洪水、ICMP洪水和其他spoofed-packet洪水。攻击的目标是使被攻击站点的带宽达到饱和，其强度以每秒比特数(bits per second，Bps)来衡量。

1.2协议

包括SYN洪水、分散包攻击,萍死亡,蓝精灵DDoS等等。这种类型的攻击消耗实际的服务器资源，或中间通信设备的资源，如防火墙和负载平衡器，并以每秒数据包(packets per second ，Pps)计算。

1.3应用程序层

包括低慢攻击,GET / POST洪水攻击目标Apache, Windows或OpenBSD漏洞等等。这些攻击由看似合法和无害的请求组成，其目标是使web服务器崩溃，其规模以每秒请求数(Requests per second，Rps)来衡量。

2、DDoS攻击

2.1DNS放大

DNS放大是一个分布式拒绝服务(DDoS)攻击,攻击者利用漏洞在域名系统(DNS)服务器将最初小查询转化为更大的有效载荷,用于降低受害者的服务器。

2.2DNS洪水

DNS洪水是一种分布式拒绝服务(DDoS)攻击者的攻击目标的一个或多个域名系统(DNS)服务器属于一个给定的区域,试图阻碍解决资源区和它的子区域的记录。

2.3fork炸弹

fork是一个系统调用中使用Unix和Linux系统,将现有的过程(a.k.。并复制它，形成一个新的过程(即双亲)。一个,一个孩子)。这允许两个进程同时执行唯一的任务。fork炸弹(也称为“兔子病毒”)是一种拒绝服务(DoS)攻击，在这种攻击中，递归地使用fork系统调用，直到所有系统资源执行一个命令。系统最终会超载，无法响应任何输入。

2.4HTTP Flood Attack

HTTP 洪水 是 一 种Distributed Denial Service (DDoS) 攻击 中 , 攻击 者 利用 看似 合法 HTTP GET 或 POST 请求 攻击 一 个 web 服务器 或 此 规则HTTP洪水攻击是一种容量攻击，通常使用僵尸网络“僵尸军队”——一群连接互联网的计算机，通常借助像特洛伊木马这样的恶意软件，恶意控制每台计算机。HTTP洪水是一种复杂的第7层攻击，它不使用格式错误的数据包、欺骗或反射技术，并且比其他攻击需要更少的带宽来关闭目标站点或服务器。因此，它们需要对目标站点或应用程序有更深入的了解，而且每次攻击都必须经过特别设计才能有效。这使得HTTP洪水攻击明显更难检测和阻止。

2.5碎片攻击

IP碎片攻击是拒绝服务攻击的一种常见形式，在这种攻击中，犯罪者通过利用数据报碎片机制来覆盖网络。要了解这种攻击，首先要了解IP碎片化的过程，在这种通信过程中，IP数据报被分解成小数据包，在网络上传输，然后重新组装成原始的数据报。

2.6NTP扩增攻击

NTP放大是分布式拒绝服务(DDoS)攻击的一种类型，攻击者利用公共可访问的网络时间协议(NTP)服务器以用户数据报协议(User Datagram Protocol, UDP)流量压倒目标。

2.6Ping洪水

Ping洪水,也称为ICMP洪水,是一种常见的拒绝服务(DoS)攻击,攻击者需要一个受害者的电脑通过压倒性的ICMP回应请求,也称为Ping。这种攻击包括用请求包淹没受害者的网络，因为网络将以相同数量的应答包进行响应。使用ICMP请求关闭目标的其他方法包括使用定制工具或代码，如hping和scapy。

2.7萍死亡

萍死亡(也称为PoD)是一种拒绝服务(DoS)攻击中,攻击者试图崩溃,破坏,或冻结目标计算机或服务通过发送畸形或超大包使用一个简单的Ping命令。而PoD攻击利用遗留的弱点，这些弱点可能在目标系统中被修补。然而，在一个未修补的系统中，攻击仍然是相关的和危险的。

2.8Smurf攻击

Smurf是一种网络层分布式拒绝服务(DDoS)攻击，以DDoS命名。使它能够执行的Smurf恶意软件。Smurf攻击有点像ping泛滥，因为两者都是通过发送大量ICMP Echo请求包来实现的。然而，与常规的ping洪水不同，蓝精灵是一种放大攻击载体，它利用广播网络的特性来增强其潜在的破坏能力。

2.9SNMP反射

SNMP反射是一种分布式拒绝服务(DDoS)攻击，它使人想起前几代的DNS放大攻击。SNMP反射攻击使用简单网络管理协议(SNMP)，而不是域名服务器(DNS)，这是一种通用的网络管理协议，用于从网络设备(如服务器、集子、交换机、路由器和打印机)配置和收集信息。SNMP反射攻击每秒可以产生数百千兆的攻击量，可以从多个宽带网络直接针对攻击目标。攻击有时持续数小时，对攻击目标极具破坏性，而且减轻攻击难度很大。

2.10TCP SYN洪水

TCP SYN泛滥(又名SYN泛滥)是一种分布式拒绝服务(DDoS)攻击，它利用部分正常的TCP三路握手来消耗目标服务器上的资源并使其失去响应。本质上，由于SYN泛滥DDoS，违者发送TCP连接请求的速度超过了目标机器处理它们的速度，从而导致网络饱和。

2.11UDP洪水

“UDP洪水”是一种拒绝服务(DoS)攻击，攻击者用包含UDP数据报的IP数据包淹没目标主机上的随机端口。接收主机检查与这些数据报相关联的应用程序并发现没有——发送回一个“目的地不可到达”的数据包。随着越来越多的UDP数据包被接收和应答，系统变得不堪重负，对其他客户端没有响应。在UDP泛滥攻击的框架中，攻击者也可以欺骗数据包的IP地址，以确保返回的ICMP数据包不会到达他们的主机，并匿名攻击。有几个商业软件包可以用来执行UDP洪水攻击(例如，UDP Unicorn)。

3、消除

3.1GeoBlocking

GeoBlocking，因为它与机构有关，是指阻塞进出某个区域的流量的能力。

3.2空/黑洞路由

空/黑洞路由是一种网络路由(路由表条目)，它不去任何地方。匹配的数据包被丢弃/忽略而不是转发，这就像一种非常有限的防火墙。

3.3DNS sinkhole

“sinkhole”是一个标准的DNS服务器，它被配置为sinkhole中的所有域名提供不可路由的地址，因此使用它的每台计算机将无法访问真正的网站。DNS解析链上的漏洞越高，它就会阻止越多的请求，因为它将为更多的低端NS服务器提供答案，而这些服务器将为更多的客户端提供服务。

3.4清洗(通常使用清洗中心)

清理中心是一个集中的数据清理站，在这里对您网站的流量进行分析，并删除恶意流量(SQL注入、XSS、DDoS和其他已知的漏洞)。网络服务提供商和云提供商经常使用清理中心，因为它们更喜欢将潜在的恶意流量路由到路径外的数据清理站，而不是将其保留在网络中，从而阻碍合法流量。按需洗涤中心,当检测到攻击时,流量重定向(通常使用DNS或边界网关协议(边界网关协议)到一个地方擦洗中心交通分析(通常使用深层数据包检测)和攻击流量过滤掉,而清洁交通通过网络交付。

3.5限制资源

如果前面的步骤失败了，简单地限制资源，如速率和连接限制是最后的手段——它可以拒绝好的和坏的流量。相反，您可能想禁用或黑洞应用程序。