一、攻击发生时的应急响应流程

1.1 快速确认攻击类型

• DDoS攻击特征：流量激增导致服务不可用，带宽占用率超90%，常见于UDP Flood、SYN Flood等变种。
• CC攻击特征：HTTP请求量异常，目标URL集中（如/login.php），响应时间延长至秒级。
• XSS攻击特征：用户反馈数据泄露，日志中出现<script>标签或异常Cookie操作。
• ARP欺骗特征：内网设备频繁掉线，ARP表出现异常MAC地址映射。

操作建议：立即通过netstat -anp | grep :80（Linux）或资源监视器（Windows）检查连接状态，结合WAF日志定位攻击源。

1.2 紧急隔离措施

• 云服务器环境：

  # 临时封禁异常IP（以阿里云ECS为例）
  iptables -A INPUT -s 192.0.2.100 -j DROP
  # 限制单IP连接数
  iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP

• 物理服务器环境：切换至备用公网IP，修改DNS解析TTL为60秒加速切换。
• CDN加速用户：启用CC防护模式，设置HTTP 403返回频率阈值（如每秒100次）。

二、DDoS攻击防护体系构建

2.1 流量清洗方案

• 云清洗服务：选择支持BGP多线接入的清洗中心，典型架构如下：

  用户流量 → 清洗中心（检测异常） → 正常流量回注源站

  关键指标：清洗准确率>99.9%，延迟增加<50ms。
• 自建清洗系统：
  • 硬件要求：10Gbps防火墙+流量分析服务器（如Fortinet 600E）
  • 软件配置：使用Snort编写规则检测异常流量特征

    alert tcp any any -> $HOME_NET 80 (flow:to_server; content:"GET"; \
    depth:3; threshold:type both, track by_src, count 50, seconds 1;)

2.2 抗DDoS架构设计

• 分布式架构：采用多地域部署+负载均衡（如Nginx Plus），配置健康检查：

  upstream backend {
      server 10.0.0.1:80 max_fails=3 fail_timeout=30s;
      server 10.0.0.2:80 max_fails=3 fail_timeout=30s;
  }

• Anycast技术：通过BGP协议将IP地址同时宣告到多个节点，分散攻击流量。

三、CC攻击防御实战

3.1 行为分析防护

• JavaScript挑战：在关键页面嵌入动态令牌验证

  <script>
  document.cookie = "csrf_token=" + Math.random().toString(36).substr(2);
  </script>
  <!-- 服务器端验证 -->
  <?php
  if ($_COOKIE['csrf_token'] !== $_SESSION['token']) {
      http_response_code(403);
      exit;
  }
  ?>

• 速率限制算法：
  • 令牌桶算法：每秒发放100个令牌，超出则排队
  • 漏桶算法：固定速率处理请求，突发流量排队

3.2 WAF高级配置

• ModSecurity规则示例：

  <SecRule REQUEST_METHOD "^(POST|PUT)$" \
  "chain,phase:2,t:none,block,msg:'CC Attack Prevention'"
  <SecRule &REQUEST_HEADERS:X-Forwarded-For "@gt 5" \
  "t:none,setvar:'tx.cc_score=+%{tx.cc_score},+5'"

• 云WAF最佳实践：启用CC防护模式，设置以下阈值：
  • 单IP每秒请求数：20-50（根据业务调整）
  • 页面加载超时：3秒

四、XSS攻击防御体系

4.1 输入验证方案

• 正则表达式过滤：

  // Java示例：过滤<script>标签
  String cleanInput = rawInput.replaceAll("(?i)<script.*?>.*?</script>", "");

• CSP头配置：

  Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com

4.2 输出编码策略

• 上下文相关编码：

  // HTML上下文编码
  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');
  // JavaScript上下文编码
  echo json_encode($userInput, JSON_HEX_TAG | JSON_HEX_APOS);

五、ARP欺骗防御技术

5.1 静态ARP绑定

• Linux配置：

  # 添加静态ARP条目
  arp -s 192.168.1.1 00:11:22:33:44:55
  # 持久化配置（需根据发行版调整）
  echo "192.168.1.1 00:11:22:33:44:55" >> /etc/ethers

• Windows配置：

  # 使用netsh命令
  netsh interface ipv4 add neighbors "以太网" 192.168.1.1 00-11-22-33-44-55

5.2 动态防护方案

• 802.1X认证：部署RADIUS服务器实现端口级认证
• ARP检测工具：
  • Arpwatch：监控ARP表变化
  • Wireshark过滤：arp.duplicate-address-detected

六、持续安全加固建议

1. 漏洞管理：

   • 每周执行nmap -sV --script vulnerability <目标IP>扫描
   • 订阅CVE通报（如CVE-2023-XXXX）

2. 日志分析：

   # 使用ELK栈分析日志
   logstash -f /etc/logstash/conf.d/nginx.conf
   # 示例检测规则：同一IP 5分钟内出现100次404错误

3. 员工培训：

   • 每季度进行钓鱼模拟测试
   • 建立安全意识考核体系（合格线≥85分）

实施路线图：

1. 立即阶段（0-2小时）：隔离攻击源，启用基础防护
2. 24小时阶段：部署WAF规则，配置流量清洗
3. 72小时阶段：完成架构优化，建立监控体系
4. 持续阶段：每月安全演练，每季度架构评审

通过上述体系化防护，可有效降低90%以上的常见网络攻击风险。实际部署时需根据业务特点调整参数，建议先在测试环境验证配置效果。