一、攻击识别与初步响应

1.1 异常流量监控与告警

当服务器遭遇DDoS攻击时，网络流量会呈现指数级增长。运维人员需配置流量监控工具（如Zabbix、Prometheus+Grafana），设置阈值告警规则。例如，正常业务流量为10Gbps时，可将告警阈值设为15Gbps，触发后立即启动流量清洗预案。

# 使用nload实时监控带宽
nload -u H eth0
# 配置Zabbix触发器示例
{Template Server:net.if.in[eth0,bytes].avg(5m)}>1875000000  # 15Gbps≈1.875e9字节/秒

1.2 进程级异常检测

通过top、htop或ps aux命令排查异常进程。重点关注CPU占用率>90%、内存持续增长或无归属用户的进程。例如，挖矿木马常伪装为kthreadd或ksoftirqd等系统进程，需结合/proc/<pid>/exe路径验证。

# 查找可疑进程
ps aux --sort=-%cpu | head -10
ls -l /proc/$(pgrep -f "suspicious_keyword")/exe

1.3 日志深度分析

系统日志（/var/log/目录）是攻击溯源的关键。需重点检查：

• /var/log/auth.log：暴力破解记录
• /var/log/nginx/access.log：CC攻击特征（如大量404请求）
• /var/log/syslog：系统级异常

使用grep和awk组合分析日志：

# 统计5分钟内失败登录次数
grep "Failed password" /var/log/auth.log | awk '{print $1,$2,$11}' | sort | uniq -c | sort -nr | head -5

二、应急处理黄金三小时

2.1 隔离受感染主机

立即断开受攻击服务器的网络连接，防止攻击扩散。可通过以下方式实现：

# 物理服务器断开网卡
ip link set eth0 down
# 云服务器修改安全组规则（以AWS为例）
aws ec2 revoke-security-group-ingress --group-id sg-123456 --protocol tcp --port 0-65535 --cidr 0.0.0.0/0

2.2 快照备份与取证

在断电前创建系统快照，保留攻击现场。云服务器可使用控制台快照功能，物理机建议使用dd命令备份磁盘：

# 备份/dev/sda到镜像文件
dd if=/dev/sda of=/mnt/backup/attack_snapshot.img bs=4M status=progress

2.3 流量清洗与黑洞路由

对于DDoS攻击，需立即联系ISP启用流量清洗服务。同时配置黑洞路由（Null Route）临时阻断攻击源：

# Linux系统添加黑洞路由
ip route add blackhole 192.0.2.0/24  # 替换为攻击源IP段

三、系统恢复与数据重建

3.1 干净环境重建

优先从备份恢复系统，避免直接修复被感染主机。重建步骤：

1. 格式化系统盘
2. 安装最新版操作系统
3. 应用配置管理工具（如Ansible）自动化部署
4. 恢复应用数据（需验证完整性）

3.2 密码与密钥轮换

强制重置所有账户密码，包括：

• 系统root/admin账户
• 数据库账户
• 应用服务账户
• SSH密钥对

使用openssl生成高强度密码：

openssl rand -base64 32  # 生成32字节随机密码

3.3 漏洞修复与补丁管理

根据攻击类型修复已知漏洞：

• CVE-2021-44228（Log4j）等0day漏洞需紧急处理
• 配置自动化补丁管理工具（如Yum-cron、Unattended Upgrades）

# Ubuntu系统启用自动更新
dpkg-reconfigure -plow unattended-upgrades

四、安全加固与防御体系构建

4.1 防火墙规则优化

实施最小化原则，仅开放必要端口。示例Nginx配置：

server {
    listen 443 ssl;
    server_name example.com;
    # 限制访问频率
    limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;
    location / {
        limit_req zone=one burst=10;
        proxy_pass http://backend;
    }
}

4.2 入侵检测系统（IDS）部署

安装Fail2Ban或OSSEC等工具，配置SSH暴力破解防护：

# /etc/fail2ban/jail.local示例
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 86400  # 封禁24小时

4.3 零信任架构实践

实施基于身份的访问控制（IBAC），结合多因素认证（MFA）。示例OpenLDAP配置：

# 添加MFA强制策略
dn: cn=MFA Policy,ou=Policies,dc=example,dc=com
objectClass: top
objectClass: deviceSecurityPolicy
cn: MFA Policy
description: Require MFA for all privileged access

五、持续监控与演练

5.1 SIEM系统集成

部署ELK Stack或Splunk等日志分析平台，实现实时威胁检测：

# Filebeat配置示例
filebeat.inputs:
- type: log
  paths:
    - /var/log/auth.log
  fields_under_root: true
  fields:
    log_type: auth_log
output.elasticsearch:
  hosts: ["elasticsearch:9200"]

5.2 攻击模拟演练

定期进行红蓝对抗测试，验证防御体系有效性。可使用Metasploit框架模拟攻击：

# Metasploit攻击模块示例
use exploit/unix/ssh/ssh_login
set RHOSTS 192.168.1.100
set USERNAME root
set PASSWORD password123
run

5.3 灾难恢复计划（DRP）

制定详细的DRP文档，包括：

• RTO（恢复时间目标）和RPO（恢复点目标）
• 备份策略（全量/增量/差异备份）
• 异地容灾方案

结语：服务器安全运维是持续优化的过程，企业需建立”监测-响应-恢复-加固”的闭环管理体系。通过实施上述方案，可将平均修复时间（MTTR）缩短70%以上，显著提升业务连续性保障能力。