-
流量异常监测触发
- 流量阈值设定:数据中心会预先设定网络流量的阈值。这个阈值是根据数据中心正常业务流量的统计分析来确定的。例如,通过对历史数据的分析,确定正常情况下每秒进入数据中心的数据包数量的上限。当监测到进入数据中心的流量突然超过这个设定的阈值,比如正常流量阈值是每秒 10000 个数据包,突然检测到每秒 30000 个数据包,就可能触发应急响应机制。这可能是 DDoS 攻击的迹象,因为 DDoS 攻击通常会导致流量的急剧增加。
- 流量特征识别:除了流量大小,流量的特征也是触发条件之一。某些 DDoS 攻击具有特定的流量模式,如 UDP(用户数据报协议)洪水攻击会产生大量的 UDP 数据包,SYN(同步序列编号)洪水攻击会出现大量的 SYN 请求。数据中心的监测系统会对这些特定的流量特征进行识别。当检测到大量具有 DDoS 攻击特征的流量,如检测到来自同一源 IP 地址的大量 SYN 请求,且这些请求不符合正常业务逻辑,就会启动应急响应机制。
-
服务性能下降检测触发
- 响应时间延长监测:数据中心会持续监测服务的响应时间。正常情况下,用户请求得到响应的时间是相对稳定的。当受到 DDoS 攻击时,服务器忙于处理大量恶意请求,导致正常请求的响应时间变长。例如,正常情况下网页加载时间在 1 – 2 秒,当响应时间延长到 5 秒以上,并且这种情况持续一段时间(如连续 30 秒以上),就可能表明受到了 DDoS 攻击,应急响应机制会被启动。
- 可用性指标降低:数据中心的服务可用性是一个关键指标,通常用正常服务时间的百分比来衡量。当 DDoS 攻击导致大量服务不可用,如原本 99.99% 可用的服务下降到 90% 以下,这意味着很多用户无法正常访问服务。这种情况下,应急响应机制会自动启动,以尽快恢复服务的可用性。
-
系统资源占用超标触发
- CPU 和内存占用情况:服务器的 CPU 和内存是关键的系统资源。在 DDoS 攻击中,服务器会被大量恶意请求占用资源。当监测到服务器的 CPU 使用率长时间超过 80%(正常情况可能在 30% – 60%)或者内存使用率超过 90%(正常情况可能在 60% – 80%),并且排除了正常业务高峰等情况,就可能是 DDoS 攻击导致的,应急响应机制会启动。这是因为 DDoS 攻击会使服务器不断处理大量请求,导致 CPU 和内存资源紧张。
- 存储系统 I/O 异常:数据中心的存储系统的 I/O 操作(输入 / 输出操作)也会受到 DDoS 攻击的影响。当监测到存储系统的 I/O 读写速度异常降低,如正常情况下每秒 10000 次 I/O 操作,下降到每秒 2000 次以下,或者 I/O 请求队列长度异常增加,就可能是因为 DDoS 攻击占用了网络带宽,影响了存储系统与服务器之间的数据传输,此时应急响应机制会被触发。