受到DDoS攻击的感觉如何–记录一次DDoS攻击的真实案例

对于网络或系统管理员来说，公司的基础设施受到攻击并不总是显而易见的。事实上，攻击通常开始得很慢，只有随着攻击的进行，才会有人注意到。但是DDoS攻击从内部看是什么样子的呢？有什么预警信号？谁是主要参与者？采取了哪些措施来减轻攻击？攻击会在企业的各个层面产生什么样的紧张和情绪反应？在下面的帖子中，一家银行的系统管理员提供了对DDoS攻击的早期阶段进行实时分析的详细信息。

对于网络或系统管理员来说，公司的基础设施受到攻击并不总是显而易见的。事实上，攻击通常开始得很慢，只有随着攻击的进行，才会有人注意到。但是DDoS攻击从内部看是什么样子的呢？有什么预警信号？谁是主要参与者？采取了哪些措施来减轻攻击？攻击会在企业的各个层面产生什么样的紧张和情绪反应？

一家银行的系统管理员提供了对DDoS攻击的早期阶段进行实时分析的详细信息。
上午5：30。我被手机里传来的短信声吵醒了。这个消息是由我们新的服务器监控工具发送的自动通知，上面写着："警告，Mainapp服务器的最大负载为30%。"Mainapp是处理客户请求的主要在线银行应用程序web服务器。自从我们的首席执行官战略性地决定推广网上银行业务以来，银行投入了大量资金来确保Mainapp银行应用程序web服务器的健壮性、可扩展性和高可用性。到目前为止，它有足够的处理能力和内存来处理当前的流量水平。上个月的统计数据显示服务器负载不超过15%，收到服务器负载为30%的消息令人担忧，但并不严重。在这一点上，我认为有可能是监控工具的警报阈值参数设置不正确，但我可以等一会到办公室时再检查。
上午6：00。半小时后，另一条短信到达。上面写着"警告，Mainapp服务器的最大负载为50%"肯定是出了问题。但是由于我没有配置对健康监控工具的远程访问，所以在我到达办公室之前，我不能查看它的日志。在匆忙赶到办公室调查的同时，我仔细分析了服务器负载如此之高的可能原因。我试图向自己保证这可能是一个简单的配置错误，但我开始担心了。

上午7：00。值班的客服经理打电话给我反映，很多客户都在抱怨网银网站速度明显慢于平时。他说，其中一位客户非常愤怒，因为他无法像往常一样快速地进行时间敏感型的转账。最后我到了办公室，冲向服务器终端屏幕。Mainapp的负载已达到70%，几乎达到最大容量。在快速检查运行状况监视工具日志后，我发现警报阈值设置正确。然而，网上银行的流量似乎仍然异常高。数千个连接已经打开到服务器，要求在网上银行网站上的不同页面。我尽量不惊慌，额头上滴下了几滴汗珠。如此庞大的网络流量一定来自恶意来源，但为什么呢？幕后黑手是谁？我突然想起了上周报纸的头条新闻，详细描述了金融服务机构遭受的网络攻击浪潮。我开始看到我们的服务器所经历的和我在报纸上读到的相似之处。我担心我们的服务器正成为拒绝服务（DoS）攻击的目标。
上午8：00。假设是最坏的情况，我尝试确定恶意流量的性质和来源。首先，我检查连接的来源，并尝试隔离攻击者的IP地址，以便区分合法流量和恶意流量。同时，我的电话一直响个不停。首席信息官打电话想知道发生了什么事。我告诉他，我正试图解决这个问题，但我们可能遇到了一个拒绝服务攻击，它耗尽了我们服务器的资源。他的回应是，在首席执行官介入之前，问题需要迅速解决。我不知道如何阻止攻击，我甚至不确定它是否真的是DoS。我所知道的是，在我的整个职业生涯中，我从未见过这样的事情。我对这个问题的唯一了解来自于我参加了上个月的安全研讨会后在网上读的一些东西。从IP跟踪来看，恶意连接似乎来自不同的来源。每个IP都在为各种网上银行页面重复发送HTTPGET请求。这一行为占用了Mainapp的所有资源，使得合法用户的网上银行页面变慢。对发生的事情有所了解后，我决定制定一个短期行动计划，并召开紧急小组会议。8： 上午30点。情况没有好转。攻击的速度一直很快，但是现在Mainapp几乎没有响应任何请求。我办公室的客户支持经理很不高兴，因为他的所有员工都被支持电话压得喘不过气来。顾客不高兴，很生气，但他能告诉他们什么呢？我告诉他，我认为我们正受到一个或多个黑客的攻击，我们不应指望很快恢复正常服务，我们可能会在不久的将来发布一份关于停机时间的正式声明。

上午9：00。现在情况是灾难性的。消息传得沸沸扬扬，全体员工都惊慌失措。我召集的紧急会议召开了。它由CIO、CTO、网络管理员、安全经理、应用程序经理和系统管理员组成。抛开紧张局势不谈，我们都明白向客户发布官方信息的重要性，并决定一个应对攻击的行动计划。我给每个人看日志，几分钟后，安全经理发现一些恶意请求来自俄罗斯。很快，我在mainappweb服务器上定义了一个规则，拒绝来自俄罗斯的所有请求，认为这可能会减缓攻击。不幸的是，这没用。在激活我的新过滤器后，我发现恶意流量没有减少。在短暂的一段时间没有新的连接之后，更多的连接开始来自十几个不同的国家，包括我们的国家！

上午9：30。服务器仍然负载过重。根据地理区域封锁IP没有帮助，所以我们必须寻找另一种解决方案。由于我们没有准备好处理这种攻击，因此有必要更好地了解如何防止和减轻DoS攻击。

上午10：00。Mainapp web服务器完全被淹没，在线银行网站处于离线状态。听到这个消息，首席执行官决定参与进来。她强调，宣布这样的攻击对银行的声誉有多坏，她想知道这将使银行在收入损失和客户不满方面损失多少。她担心，如果这次袭击的细节泄露给媒体，可能会引起银行客户的恐慌，并重申必须尽快减轻攻击——无论采取何种必要手段。

上午10：15。我现在很清楚，我们正面临着一个协调良好的分布式拒绝服务（DDoS）攻击，而我们目前的安全工具无法抵御这种攻击。尽管DDoS是一种日益严重的安全威胁，但我们在组织内没有适当的专业知识来处理这种规模的事件。