【12月13日19:01】攻击开始

突然发现本银行的HTTPS业务受到不明来源的DDoS攻击，业务访问迟缓。小马与客户就应对策略展开讨论。客户直接提出先使用小蚁立体防御产品来搞定大流量的网络层DDoS攻击。攻击面对面开始……摩拳擦掌，先救火再说！其中重要原则：要最大限度的保障客户的正常主业务。那么，如何尽快解决客户的燃眉之急？

和后方服务团队简短沟通后，开动！

动作一：先救火！攻击多来自海外，那就先用“地理位置过滤”把海外的攻击拦截住。

动作二：既然客户用到了CDN加速，那拦截海外攻击的同时，最简单有效的就是——先把客户的CDN IP加到白名单里做保护。

动作三：客户的策略都是条条记录在册，不能随随便便配置，除了救火大招之外，第一波方案都是走稳的基础防范。

• SYN的正确序列号检查；
• ACK的严格模式检查；
• 还有防御FIN RST的会话检测；
• UDP反射放大过滤以及UDP限速。

这一波救火大招之后，攻击大面积的被缓解了，业务逐步恢复起来了！ddos防御初见成效，客户长出了一口气！小马也悄悄擦了把汗。

【12月15日14:00】

客户办公室

经过一晚上加一个上午的观察，第一波攻击已经防住，证明了昨晚的部署策略有效。

不过，防御的第一波只是扑灭大范围的明火，更多细小的暗火还待灭掉。与此同时，按原计划，客户业务组网中的现网设备WAF设备将部署在AntiDDoS设备后面实现应用层的攻击过滤。然而，关键时刻现网设备WAF产生了误防，客户当机立断决定撤掉现网WAF，直接让小蚁立体防御来面对攻击！

好吧，我们上，这才是精细化攻防战！

【12月15日14:30】精细化攻防战

客户机房

既然已经决定进行更细致的基于应用的DdoS防御。那么，原有的基于地理位置过滤的粗粒度过滤就没必要了。考虑到客户也确实存在部分真实客户的海外业务，“地理位置过滤”也会使他们的正常访问受到影响。

紧急连线服务团队，定方案，撤掉地理位置过滤，打应用层防护组合拳：

动作一：先开启HTTPS Flood认证防御功能，使用源统计，对流量大的可疑源进行认证，这样可以阻断一部分的攻击。这很考验设备的性能和识别准确率，不过，小马很有信心，手上敲击键盘的动作一点也没有停顿（——也是小编猜的）。

动作二：开启TCP Connection将攻击源加黑名单。

好戏开始了！

管理平台上，黑名单的数量暴增，峰值一度达到了3700+！

小马验证了一下，看是否有正常业务受影响，并随机抽取攻击源IP，发现攻击来自印尼、秘鲁、泰国、蒙古、埃及、印度……OK，没问题，证明被禁止的IP非正常业务，都是来自业务不相关国家的攻击源。

【12月16日11:00】最后一击

客户机房

终于到了决战的时刻。经过前面的防堵经验，后端同时也反馈数据分析结果，结合现场的数据表明，现网发现有大量针对手机网银的HTTP GET Flood，并超过了平时银行的在线业务量。很明显，这就是异常的来源。小马跟后方团队做了简短的沟通后决定使用终极杀手锏——HTTP302重定向功能。

【12月16日12:00】向客户汇报

经过客户的审批后，该防御策略率先在XX站点做了试点。

【12月16日15:35】策略上线

开心，如大家所预测！客户之前没有解决的攻击被小蚁立体防御产品彻底防住了！经过一段时间的稳定测试发现：未实施该策略的站点服务器5分钟出现一次故障，实施该策略的站点业务正常。（此处应该有掌声）。

OK，就是它！小马这才松了口气。

【12月16日20:00】观察

客户机房

经过将近两天的连续奋战，小蚁立体防御上线即发挥作用，但防御不仅仅满足于此，一步步由谨慎布局，攻与防的相互试探，针对客户现网的DDoS攻击不但进行了彻底的封堵，而且因为策略配置得当，所有后续攻击都被精准防范。