【12月13日19:01】攻击开始
突然发现本银行的HTTPS业务遭到不明来源的DDoS攻击,业务访问缓慢。小马与客户就应对策略展开讨论。客户直接提出先使用小刀立体防御产品来弄定大流量的网络层DDoS攻击。攻击面对面开始……摩拳擦掌,先救火再说!其中重要原则:要最大限度的保障客户的正常主业务。那末,如何尽快解决客户的迫在眉睫?
和后方服务团队简短沟通后,开动!
动作一:先救火!攻击多来自国外,那就先用“地理位置过滤”把国外的攻击拦截住。
动作二:既然客户用到了CDN加速,那拦截国外攻击的同时,最简单有效的就是——先把客户的CDN IP加到白名单里做保护。
动作三:客户的策略都是条条记录在册,不能马马虎虎配置,除救火大招以外,第一波方案都是走稳的基础防范。
这一波救火大招以后,攻击大面积的被减缓了,业务逐渐恢复起来了!ddos防御初见成效,客户长出了一口气!小马也悄悄擦了把汗。
【12月15日14:00】
客户办公室
经过一夜加一个上午的视察,第一波攻击已防住,证明了昨晚的部署策略有效。
不过,防御的第一波只是扑灭大范围的明火,更多细小的暗火还待灭掉。与此同时,按原计划,客户业务组网中的现网装备WAF装备将部署在AntiDDoS装备后面实现利用层的攻击过滤。但是,关键时刻现网装备WAF产生了误防,客户当机立断决定撤掉现网WAF,直接让小刀立体防御来面对攻击!
好吧,我们上,这才是精细化攻防战!
【12月15日14:30】精细化攻防战
客户机房
既然已决定进行更细致的基于利用的DdoS防御。那末,原本的基于地理位置过滤的粗粒度过滤就没必要了。斟酌到客户也确切存在部份真实客户的国外业务,“地理位置过滤”也会使他们的正常访问遭到影响。
紧急连线服务团队,定方案,撤掉地理位置过滤,打利用层防护组合拳:
动作一:先开启HTTPS Flood认证防御功能,使用源统计,对流量大的可疑源进行认证,这样可以阻断一部份的攻击。这很考验装备的性能和辨认准确率,不过,小马很有信心,手上敲击键盘的动作一点也没有停顿(——也是小编猜的)。
动作二:开启TCP Connection将攻击源加黑名单。
好戏开始了!
管理平台上,黑名单的数量暴增,峰值一度到达了3700+!
小马验证了一下,看会不会有正常业务受影响,并随机抽取攻击源IP,发现攻击来自印尼、秘鲁、泰国、蒙古、埃及、印度……OK,没问题,证明被制止的IP非正常业务,都是来自业务不相关国家的攻击源。
【12月16日11:00】最后一击
客户机房
终究到了决战的时刻。经过前面的防堵经验,后端同时也反馈数据分析结果,结合现场的数据表明,现网发现有大量针对手机网银的HTTP GET Flood,并超过了平时银行的在线业务量。很明显,这就是异常的来源。小马跟后方团队做了简短的沟通后决定使用终极杀手锏——HTTP302重定向功能。
【12月16日12:00】向客户汇报
经过客户的审批后,该防御策略率先在XX站点做了试点。
【12月16日15:35】策略上线
开心,如大家所预测!客户之前没有解决的攻击被小刀立体防御产品完全防住了!经过一段时间的稳定测试发现:未实行该策略的站点服务器5分钟出现一次故障,实行该策略的站点业务正常。(此处应当有掌声)。
OK,就是它!小马这才松了口气。
【12月16日20:00】视察
客户机房
经过将近两天的连续奋战,小刀立体防御上线即发挥作用,但防御不单单满足于此,一步步由谨慎布局,攻与防的相互摸索,针对客户现网的DDoS攻击不但进行了完全的封堵,而且由于策略配置得当,所有后续攻击都被精准防范。
