ddos应急响应案例

1、某部委遭遇CC攻击

事件：某日，安全团队接到某部委的网站安全应急响应请求，网站存在动态页面访问异常缓慢现象，但静态页面访问正常，同时WAF、DDoS设备出现告警信息，应急响应人员通过对现场技术人员所提供WAF告警日志、DDoS设备日志、Web访问日志等数据进行分析，发现外部对网站的某个动态页面全天的访问量多达12万次，从而导致动态页面访问缓慢，根据本次攻击事件的分析，造成网站动态页面访问缓慢的原因主要是攻击者频繁请求“XXX页面”的功能，同时该页面查询过程中并未要求输入验证码信息，大量频繁的HTTP请求以及数据库查询请求导致CC攻击，从而使服务器处理压力过大，最终导致页面访问缓慢。

防护建议：对动态页面添加有效且复杂的验证码功能，确保验证码输入正确后才进入查询流程，并每次进行验证码刷新；检查动态页面是否存在SQL注入破绽；加强日常监测运营，开启安全设备上的拦截功能，特别对同一IP的频繁请求进行拦截封锁；建议部署全流量的监测设备，从而弥补访问日志上无法记录POST具体数据内容的不足，有效加强溯源能力；相关负载设备或反向代理上应重新进行配置，使Web访问日志可记录原始请求IP，有助于提高溯源分析效率；开启源站保护功能，确保只允许CDN节点访问源站；定期开展渗透测试工作以及源代码安全审计工作。

2、某证券公司遭遇DDoS攻击

事件：某日，安全团队接到某省网安的应急响应请求，本地证券公司在10日7:00-8:00遭受1G流量的DDoS攻击，整个攻击过程持续了1个小时，造成证券公司网站无法正常访问，多个邮箱收到勒索邮件，并宣称如不尽快交钱会把攻击流量增加到1T，应急响应人员通过利用对网站域名进行分析，发现了Top10 IP地址对被攻击地址进行了DDoS攻击，并发现其攻击类型为NTP反射放大攻击，通过后端大数据综合分析，准确定位了攻击者的真实IP地址。

防护建议：针对重要业务系统、重要网站等，建立完善的监测预警机制，及时发现攻击行为，并启动应急预案及时对攻击行为进行防护；建议部署云安全防护产品，云端安全防护产品对常见的DDoS、Web行为攻击等进行有效防护。

FAQs

1、什么是DDoS攻击？

DDoS攻击即分布式拒绝服务攻击，其目的在于使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问。

2、如何预防DDoS攻击？

预防措施包括建立多层防御体系，如在边缘网络部署防火墙和载入检测系统（IDS/IPS），在应用层实施验证码和访问控制策略；保持系统和应用程序的更新，及时修补已知的安全破绽；使用云服务提供商的DDOS防御服务；加强用户身份验证和访问控制；制定应急响应计划等。