第一天开通博客的学习记录

　　　　　　　　　　　　　　　　　　

2017-10--7 学习心得

   我之所以要努力，是因为想按照自己想的生活方式生活

　　　　第一次写东西，只是为了对学习的过程有个总结，也是看别人写的东西的小总结，我觉得在总结的过程自己对别人讲的东西才有更深刻的理解，文章并非本人原创，现在也远远没有写一篇好文章的水平，希望自己可以把写博客这件事坚持下去，不断提高

    　　　　　　　　　　　　  ddos攻击

防御手段：（1）本地清洗 （2）运营商清洗（3）云清洗

攻击类型：

流量型（直接型）：syn/ack/icmp/udp/connection flood

反射型：ntp/dns/ssdp/icmp

Cc: 特点：流量变化不明显，业务访问缓慢，超时严重，大量访问请求指向同一个或者少数页面

http慢速：流量变化不明显，业务访问缓慢，严重超时，大量不完整的http get请求，出现有规律的http post 请求的报文

url反射 ： 流量变化明显，业务访问缓慢，严重超时，大量请求的referer字段相同，表明来自同一跳转页面

防御ddos选用设备是要考虑的问题

1.所选的网络环境中，有多少条互联网出口，每一条带宽是多少。

2.每一套互联网出口的运营商是否支持ddos攻击清洗/紧急带宽扩容，我们是否可以购买或者紧急试用，当发生ddos需要运营商清洗时，具体的应急流程是否确定

3.每一条互联网出口线路，是否具备本地ddos攻击清洗能力

4.本地抗ddos攻击设备服务商，是否提供了ddos攻击应急预案。

5.所有需要防御的业务，是否都在抗ddos设备监控范围内

6.发生ddos攻击时，需要自动清洗的业务，是否可以自动牵引并清洗

7.当发生ddos攻击如何第一时间感知

应急ddos攻击应急预案

流量型（直接）-流量未超过链路带宽-本地清洗

流量型（直接）-流量超过链路带宽-通知运营商清洗||临时扩容||云清洗-本地清洗

针对sys,ack,udp,icmp类型的flood攻击

　　一般情况下：本地清洗设备防御算法可应对,首包丢弃，ip溯源

　　特殊情况下：增加限速，保证在遭受攻击时候保持业务基本可用性

　　通过排查发现攻击ip具有地域特性，可以根据地域进行限制

流量型：

　　针对ntp,dns,ssdp类型的反射攻击

　　一般情况下：对udp碎片包的丢弃，限速

　　特殊情况下：反射攻击的特征大多呈现固定源端口，固定目的ip地址的流量占用了整个链路宽度90%.可以针对这些特征配置丢弃原则

cc-本地清洗-本地清洗效果不佳-云清洗

　　对于cc攻击，如果清洗效果不明显，可以使用静态页面替换

http-本地清洗-效果不佳后-云清洗

　　对http body慢速攻击，攻击过程中分析出攻击工具的特征后，针对特征在本地防御设备配置

url(反射)-Benin清洗+云清洗

　　针对这种攻击，攻击过程中找出反射源，在本地防御设备进行高级配置

参考链接：http://blog.nsfocus.net/ddos-attack-plan/