ddos(分布式拒绝服务攻击)分为两种直接攻击/反弹攻击(间接攻击)
ddos的实现原理是基于tcp/ip的三次握手实现的
攻击者将发送ip设置为虚假ip,受访者在进行第二次握手时,不能判断ip真伪,向源地址发送响应包,并且等待第三次握手,随时间响应丢失,却占用cpu和内存
直接攻击(控制肉鸡发送大量虚假请求)
就是通过大量的这种虚假连接,消耗主机资源,造成主机资源枯竭,从而导致正常的用户不能进行正常访问。
反弹攻击(反弹shell??)(模拟正常用户访问)
是将包含假受害者的ip数据包发送到一些反射体上,反射体收到数据包后将响应数据包直接发送到受害者,大量响应数据包将占用受害者的入口链路。
对抗技术:ip溯源
internet分为:采用IPSec方案和未采用IPSec方案 采用IPSec方案的internet可以有效防止ip欺骗(识别ddos)
ip溯源:推断出攻击报文在网络中的穿行路线,定位攻击源的位置.
技术思路
找到ip包从攻击者到受害者之间的路由器转发,复现出路径结构.
主要方法
链路测试溯源法; 登陆分析溯源法; ICMP 溯源法; 分组标记溯源法; 路由器日志记录溯源法等
链路测试溯源法(两种,缺点大实现较难)
实现手段:网管人员在每个路由器入端口设置相关过滤条件,如果过滤有效则可以确定上游链路和上游设备。
缺点:攻击结束后或间歇性攻击的情况下不易实现
0x01:输入调试
根据攻击特征设置输出端口过滤,过滤机制可追溯输入端口(上一级路由器),而后重复
缺点:工作量大,调试缓慢,需要其他IPS配合
0x02:flooding控制
通过对预先生成的网络拓扑结构相关链路强行淹没,查看攻击流量变化而确定攻击流来源
缺点:方法属于拒绝服务,算法实现难,仅适用于攻击进行时
0x03登录分析溯源法(未实用)
利用数据发掘技术,确定关键路由器上已登录数据包转发路径
优点:攻击结束后长时间可利用 缺点:需大量数据库集成
0x04icmp跟踪溯源
将信息附加在报文中
缺点:易被过滤,报文易伪造,信息不准确
分组标记溯源法
根据ip地址的序列号对ip进行标记来确定网络层的传输溯源问题
路由器日志溯源
根据路由器日子log排查结合数据挖掘技术,基于hash值的
优点是追踪速度快,可以在攻击发生以后进行溯源,没有实时性要求。
缺点:开销比较大,日志格式不统一,不同运营商日志无法共享,实际可操作性不强。
本文参考文献
|