
1.1 选择供应商与机房:优先选有日本本地骨干网络和Anycast能力的供应商,确认是否支持BGP黑洞、清洗(scrubbing)和反向DNS。
1.2 确定规格:按业务峰值峰值流量选择防护带宽(例如常见有10G/20G/50G清洗口),同时选择带公网固定IP的方案。
1.3 合同与SLA:确保有清晰的响应时间(NOC响应、清洗启动时间)与流量计费策略,准备好紧急联系人和工单渠道。
2.1 架构方案:常见架构为用户→高防节点(日本)→源站(自建或云主机)。决定是否使用反向代理(Nginx/HAProxy)或直接做TCP/UDP清洗。
2.2 DNS切换策略:使用能快速改指向的DNS(支持API修改),将域名A记录在正常与攻击时切换到高防IP。预先配置TTL短(60s)以便快速切换。
2.3 测试:上线前用低风险流量做切换演练,确认高防节点能正常转发到源站并保持会话。
3.1 供应商BGP:确认供应商是否使用Anycast分流,若使用BGP黑洞功能,询问触发与取消命令流程。
3.2 路由故障转移:配置源站与高防之间的健康检查(TCP/HTTP),并在检测到高延迟或大包时自动路由到备用链路或CDN。
3.3 日常验证:用mtr/traceroute定期检查路由路径并记录基线以便攻击时对比。
4.1 sysctl 调整(写入 /etc/sysctl.conf 并 sysctl -p):net.ipv4.tcp_syncookies=1,net.ipv4.tcp_max_syn_backlog=4096,net.core.somaxconn=10240,net.netfilter.nf_conntrack_max=200000。
4.2 conntrack/文件描述符:调整系统文件句柄如 /etc/security/limits.conf,设置nofile为200000;监控 conntrack 使用:conntrack -L | wc -l。
4.3 TCP优化:启用SYN Cookies,限制小包率,使用iptables限制NEW连接速率(下面iptables示例)。
5.1 基础规则(iptables 示例):
iptables -N ddos-protect
iptables -A INPUT -p tcp --syn -m limit --limit 30/s --limit-burst 60 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
(注:先在测试环境验证再上线)
5.2 按IP限速:iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 200 -j REJECT。
5.3 黑洞与清洗:在无法通过本机过滤时,依据供应商指引触发BGP黑洞或将流量导入清洗中心,由供应商进行流量清洗。
6.1 WAF 部署:选择支持规则自定义的WAF(ModSecurity、云WAF),根据访问日志定制规则屏蔽明显攻击行为(SQLi、XSS、BRUTE FORCE)。
6.2 反爬与验证码:对高风险路径(登录、下单)部署Rate limit与验证码,阻断自动化请求。
6.3 日志采集:配置应用访问日志、WAF日志发送到集中日志系统(ELK/EFK),便于攻击分析与自动化规则生成。
7.1 指标与阈值:定义带宽利用率(如超过基线200%)、每秒连接数(CPS)、失败率和响应时间为监控指标,设置多级告警(Warn/Critical)。
7.2 工具使用:部署Prometheus+Grafana或Zabbix监控网络接口、conntrack、负载、nginx状态;配置邮件/短信/钉钉告警。
7.3 自动化响应:结合Prometheus Alertmanager或自定义脚本实现流量超阈触发自动切换到高防IP或临时封禁高风险IP段。
8.1 识别阶段:收到告警后立刻确认指标(带宽、CPS、SYN/ACK比率),用tcpdump -i eth0 -c 1000 -w sample.pcap抓包并保存。
8.2 立即缓解:按预案切换DNS到高防IP或由供应商启动清洗;如果能在本机处置,临时加严iptables规则,限制连接速率并启用临时黑名单。
8.3 协同沟通:通知供应商NOC并提供抓包、时间窗口、受影响服务,要求启动清洗并根据清洗结果调整防护策略。
8.4 取证与恢复:在清洗稳定后收集完整日志(系统、nginx、WAF、抓包),导出为压缩包并做时间戳校验,恢复原DNS与规则并观察48小时。
8.5 复盘与优化:分析攻击向量,更新WAF规则、改进限速、增加自动化切换脚本及演练周期,完善SLA与沟通流程。
问:使用日本高防服务器会明显影响正常用户访问速度吗?
答:如果架构设计合理、选择临近用户的Anycast节点并在非攻击期走直连,正常访问延迟影响很小。建议把TTL设短并做分流策略:平时直连源站,遇到攻击时通过DNS或BGP快速切换到高防节点,必要时配合CDN做边缘缓存以降低延迟。
问:当监测到大流量DDoS时,应该第一时间采取哪些动作?
答:第一时间确认流量类型(SYN/UDP/HTTP);立即启用供应商清洗或切换DNS到高防IP;在本地加速限流与黑名单策略(临时iptables规则);并同时通知供应商NOC上传抓包与日志以便对方准确清洗。
问:攻击结束后需要保存哪些证据和如何防止同类攻击复发?
答:保存抓包文件(pcap)、WAF与应用日志、系统指标图和时间戳证书;对日志做MD5并离线备份。然后基于攻防日志调整WAF规则、完善速率限制、增加多点冗余与演练频次,并与供应商商定更严的SLA和预案。