应急响应之DDOS事件处置流程

1. 现场访谈

访谈管理员，了解DDOS事件情况。

• 了解当前异常情况，异常出现的时间以及相应时间段内的流量情况，尤其是否有明显流量增大的情况；同时造成何种影响，当前最迫切的需求；
• 了解当前的网络架构以及网络设备情况，同时了解业务系统架构，相关安全设备是否有告警等；
• 了解当前带宽总量，是否为重要业务系统设置Qos，进行带宽独享以及优化。

2.判断攻击类型

1、查看相关网络设备或安全设备，查看在异常时间段是否存在异常流量高峰；
2、根据流量情况统计，查看流量分布情况，TCP以及UDP协议的流量分布情况，是否有明显的突增情况。
3、根据流量情况统计，查看流量协议的分布情况，查看入网的流量何种应用层协议的分布明显突增，如HTTP、DNS、SMB等；

判断依据：
根据TCP/UDP层以及应用层协议的流量突增情况，可区分出当前遭受到的攻击是网络层攻击或应用层攻击以及属于哪一种协议的攻击。
如流量无明显突增，则可能是设备或应用故障造成，不符合DDoS的攻击特征。