记一次抗DDOS演练

声明：本文中介绍的相关方法或技术仅限于DDOS攻击演练或内网测试，如果用于公网的网络攻击，后果自负。

最近根据公司进行应急演练的要求，组织进行了一次抗DDOS应急演练，以检验公司的抗DDOS防护设备或服务是否有效，针对演练发现的问题，尽快制定相关的措施进行修复。

目前，对于企业，常见的DDOS防御一般包括两部分：

（1）采购第三方安全厂商的抗DDOS设备进行串联链路部署在企业网络环境中，如流量清洗；

（2）购买中国电信的DDOS清洗服务，针对公网IP进行流量清洗，目前只有电信一家运营商提供了类似服务，所以只能针对电信的IP进行清洗，移动和联通后续会推出此项服务。由于运营商掌握着跨城、跨省的网络资源，所有此类流量清洗服务也只有运营商能做。

整个演练过程如下：

1、资源准备

l 内部流程&通告：进行DDOS演练需要提交申请流程，各个模块负责人、主管都要告知相关事宜；

l 演练时间&方案确定：制定详细的演练方案，特别针对出现可能的消极后果时该如何应对。为了避免对生产网络造成影响，一般建议安排在凌晨0点左右进行，建议不要选择周末，一般的常识是周末业务量较少，方便进行DDOS演练，殊不知运营商周末也经常进行重大变更，如果两个活动碰到一起，到时候出问题就不好办了；

l 公网IP：确定要进行攻击的IP，建议三家运营商的IP都要涉及；

l 联系流量攻击源：淘宝上有打流量的服务购买，这里就不再详述，电信的抗DDOS需要电信提供流量攻击，如果购买了运营商的此类抗DDOS服务，运营商一般会配合做此类演练。

2、演练场景设计

l 演练自身的Anti-DDOS设备：建议关闭运营商级别的抗DDOS服务，通过购买的流量（不超过安全设备的实际容量）攻击对公司的公网IP进行攻击，攻击过程中通过长ping确定IP的可用性，查看抗DDOS设备上的流量日志，确认设备的业务策略是否正常；

l 演练运营商提供的抗DDOS服务：此项演练中攻击的流量都是运营商发起的；

（1）先关闭运营商的流量清洗服务，在运营商进行流量攻击的过程中，查看IP服务的可用性，记录IP服务不可用时的流量值。

（2）开启流量清洗服务，查看达到（1）中IP服务不可用的流量时，服务能否恢复正常。

3、演练过程总结

就整个演练过程进行相关的总结，确认我们的抗DDOS安全防护设备或服务是否真的能在我们的网络受到攻击时起到作用，如果存在问题，该如何解决，等等，这些都是我们需要总结的。