当保险公司的线上投保平台遭遇DDoS攻击时，作为安全运营人员，你会采取哪些措施？请说明流程和工具。

1) 【一句话结论】当线上投保平台遭遇DDoS攻击时，应立即启动安全事件响应流程，通过流量检测工具识别攻击，利用CDN分流、防火墙过滤、黑洞路由等手段缓解攻击，同时配合业务降级和资源扩容，快速恢复服务并复盘攻击特征。

2) 【原理/概念讲解】DDoS攻击是指攻击者通过控制大量僵尸网络，向目标服务器发送超负荷请求，导致服务不可用。分为三类：

• 流量型（如UDP flood）：攻击流量远大于正常流量，类似“洪水”淹没服务器；
• 协议型（如SYN flood）：利用TCP三次握手的漏洞，消耗服务器资源；
• 应用型（如CC攻击）：模拟正常用户请求，消耗应用资源。
  安全运营的流程是检测-分析-响应-恢复-复盘：检测阶段用流量监控工具（如Zabbix、Prometheus）实时监控流量指标（如QPS、连接数、带宽）；分析阶段判断是否为攻击（如流量异常倍数、来源IP集中）；响应阶段根据攻击类型选择防御措施（如CDN的流量清洗、防火墙的规则过滤、黑洞路由阻断恶意IP）。
  类比：DDoS攻击就像给服务器“放水”，流量型攻击是“洪水”，协议型是“堵住水龙头”，应用型是“用大量假人排队”。

3) 【对比与适用场景】

防御手段	定义	特性	使用场景	注意点
CDN（内容分发网络）	分布式节点分发内容	负载均衡、缓存、流量清洗	流量型DDoS（如HTTP flood）	需配置清洗规则，可能影响正常请求
防火墙（如NGFW）	网络层过滤流量	深度包检测、规则过滤	协议型DDoS（如SYN flood）	规则复杂，需定期更新
黑洞路由	将恶意流量引导至无效路径	简单有效	所有类型DDoS（尤其是突发流量）	可能影响正常业务，需谨慎使用
WAF（Web应用防火墙）	应用层过滤请求	拦截SQL注入、CC攻击	应用型DDoS（如模拟登录）	需配置应用规则，可能误判

4) 【示例】检测流量异常的伪代码（Prometheus+Grafana）：

# 伪代码：检测流量异常
def check_ddos_metrics():
    qps = get_metric("http_requests_total", "status=200", "path=/insure")
    conn_rate = get_metric("tcp_connections_total", "state=established")
    bandwidth = get_metric("interface_in_bytes_total", "device=eth0")
    # 正常阈值（假设）
    normal_qps = 1000
    normal_conn_rate = 500
    normal_bandwidth = 10 * 1024 * 1024  # 10MB/s
    if qps > 10 * normal_qps and conn_rate > 5 * normal_conn_rate and bandwidth > 5 * normal_bandwidth:
        trigger_alert("DDoS攻击检测：流量异常倍数超阈值")

5) 【面试口播版答案】（约90秒）
“面试官您好，当线上投保平台遭遇DDoS攻击时，我会立即启动安全事件响应流程。首先，通过流量监控工具（如Prometheus+Grafana）实时检测流量指标，比如HTTP请求量、TCP连接数、带宽，如果发现这些指标突然激增（比如比正常值高10倍以上），就判断为DDoS攻击。接下来，快速响应：首先启用CDN的流量清洗功能，将异常流量引导至清洗节点，只放行正常请求到源站；同时，配置防火墙的规则，过滤SYN flood等协议型攻击；如果流量过大，使用黑洞路由将恶意IP段阻断。然后，配合业务降级，比如暂时关闭非核心功能（如保单查询），优先保障投保、支付等核心业务。响应过程中，持续监控攻击态势，根据流量变化调整防御策略。最后，攻击结束后，进行服务恢复，并复盘攻击特征，比如攻击类型、来源IP，优化防御规则，避免下次重复。总结来说，核心是快速检测、分级响应、工具配合，确保业务尽快恢复。”

6) 【追问清单】

• 问：如何区分DDoS攻击和正常的流量激增（比如业务高峰期）？
  回答要点：通过流量指标的历史数据对比，比如攻击时的QPS、连接数、带宽远超历史峰值，且来源IP集中（攻击时IP数量激增，正常业务高峰IP分散）；同时结合业务日志，正常业务高峰有明确的用户行为（如登录、下单），而攻击时无有效请求。
• 问：如果攻击来自内部员工（内部攻击），如何处理？
  回答要点：首先隔离内部网络，阻止内部流量访问目标服务器；然后通过日志分析（如防火墙、服务器日志）定位攻击源IP；配合IT部门调查，采取临时封禁账号、调整权限等措施；同时加强内部安全策略，如访问控制、行为审计。
• 问：如何评估DDoS防御效果？
  回答要点：通过攻击发生时的流量指标（如清洗前后的流量对比）、服务恢复时间、业务影响时长等指标；定期进行压力测试（如模拟DDoS攻击），验证防御策略的有效性；结合安全事件响应的SLA（服务等级协议），比如攻击响应时间、服务恢复时间是否达标。

7) 【常见坑/雷区】

• 坑1：只说技术工具，不提流程。比如只说用CDN，没说检测、响应、恢复的步骤，显得不系统。
• 坑2：忽略业务影响。比如攻击时只考虑技术防御，没考虑业务降级，导致用户流失。
• 坑3：工具选择不当。比如用防火墙处理流量型DDoS，效果差，因为流量型攻击需要CDN清洗。
• 坑4：没有区分攻击类型。比如对应用型DDoS用流量清洗，效果不佳，因为应用型攻击是模拟正常请求。
• 坑5：缺乏复盘。比如攻击结束后没总结经验，导致下次遇到类似攻击时处理不及时。