DDos反追蹤是一件非常困難的事情,因?yàn)楝F(xiàn)在聰明的黑客都會(huì)用許多跳板。IP追蹤和攻擊源定位技術(shù)在DDoS攻擊防御研究中有重要意義�����。
IP攻擊器和攻擊源定位是指當(dāng)DDoS攻擊發(fā)生時(shí)或攻擊完成后�����,根據(jù)現(xiàn)有的信息識(shí)別出攻擊路徑���,找到攻擊發(fā)起位置����。DDoS攻擊源追蹤定位技術(shù)的難點(diǎn)在于難以準(zhǔn)確定位�,因?yàn)榇蟛糠止舭吹刂范际请S機(jī)生成的偽地址。根據(jù)DDos攻擊網(wǎng)絡(luò)結(jié)構(gòu)�����,按照準(zhǔn)確度的逐漸提高����,可分為定位到發(fā)起攻擊�����。
DDoS的追蹤主要有兩個(gè)目的:
1�����、是通過追蹤攻擊源獲取攻擊包的特征從而對(duì)流量進(jìn)行過濾或者聯(lián)系ISP尋求幫助�����;
2��、是找到攻擊源并搜集攻擊證據(jù)�,從而有可能通過法律手段對(duì)攻擊者進(jìn)行懲罰�。無論能否最終找到攻擊源,DDoS攻擊的追蹤技術(shù)對(duì)于DDoS的防御都是十分重要的���。
目前主要的DDoS追蹤技術(shù)有PacketMarking��、ICMP追蹤��、Logging以及ControlledFlooding���。這些跟蹤技術(shù)一般都需要路由器的支持,實(shí)際中也需要ISP的協(xié)助���。
PacketMarking是一大類方法��,其基本思想是路由器在IP攻擊器包中的Identification域加入額外信息以幫助確定包的來源或路徑���。由于IP包的Identification域在因特網(wǎng)中被使用到的比率只有0。25%�,因此在大多數(shù)包中添加路由信息是十分可行。當(dāng)然如果對(duì)每個(gè)包都做處理沒有必要�,因此大多數(shù)PacketMarking方法都是以一個(gè)較低的概率在IP包中加入標(biāo)記信息。PacketMarking方法需要解決的主要問題是:由于IP包的Identification域只有16比特��,因此加入的信息量很受限制�,如果要追蹤源地址或者路徑就要精心構(gòu)造加入的信息,這涉及到路由器如何更新已有的標(biāo)記信息�����,如何降低標(biāo)記信息被偽造的可能�����,如何應(yīng)對(duì)網(wǎng)絡(luò)中存在不支持PacketMarking的路由器的情況。比如�,采用用異或和移位來實(shí)現(xiàn)標(biāo)記信息的更新。
ControlledFlooding是Burch和Cheswick提出的方法��。這種方法實(shí)際上就是制造flood攻擊�����,通過觀察路由器的狀態(tài)來判斷攻擊路徑�。首先應(yīng)該有一張上游的路徑圖,當(dāng)受到攻擊的時(shí)候���,可以從受害主機(jī)的上級(jí)路由器開始依照路徑圖對(duì)上游的路由器進(jìn)行受控的flood����,因?yàn)檫@些數(shù)據(jù)包同攻擊者發(fā)起的數(shù)據(jù)包共享了路由器����,因此增加了路由器丟包的可能性。通過這種沿路徑圖不斷向上進(jìn)行��,就能夠接近攻擊發(fā)起的源頭�。 ControlledFlooding最大的缺點(diǎn)就是這種辦法本身就是一種DOS攻擊,會(huì)對(duì)一些信任路徑也進(jìn)行DOS���。而且��,ControlledFlooding要求有一個(gè)幾乎覆蓋整個(gè)網(wǎng)絡(luò)的拓?fù)鋱D��。Burch和Cheswick也指出��,這種辦法很難用于DDOS攻擊的追蹤���。這種方法也只能對(duì)正在進(jìn)行攻擊有效。ICMP追蹤主要依靠路由器自身產(chǎn)生的ICMP跟蹤消息�����。每個(gè)路由器都以很低的概率(比如:1/20000)��,將數(shù)據(jù)包的內(nèi)容復(fù)制到一個(gè)ICMP消息包中���,并且包含了到臨近源地址的路由器信息�����。當(dāng)DDoS攻擊開始的時(shí)候�,受害主機(jī)就可以利用這些ICMP消息來重新構(gòu)造攻擊者的路徑�。這種方法的缺點(diǎn)是ICMP可能被從普通流量中過濾掉����,并且�,ICMP追蹤消息依賴于路由器的相關(guān)功能,但是���,可能一些路由器就沒有這樣的功能�����。同時(shí)ICMPTracking必須考慮攻擊者可能發(fā)送的偽造ICMPTraceback消息����。
Logging通過在主路由器上記錄數(shù)據(jù)包����,然后通過數(shù)據(jù)采集技術(shù)來決定這些數(shù)據(jù)包的穿越路徑。雖然這種辦法可以用于對(duì)攻擊后的數(shù)據(jù)進(jìn)行追蹤���,但也有很明顯的缺點(diǎn)��,如要求記錄和處理大量的信息����。查詢網(wǎng)吧ROS被DDOS攻擊的IP攻擊器方法Ros:
1、右擊一下流量最高的網(wǎng)卡找到Torch然后點(diǎn)擊一下RxRate從大到小排列看看是哪個(gè)網(wǎng)址流量高就OK了��,如果你是低版本的從tools里面找Torch應(yīng)該就可以��。
2�、TOOLS-TORCH,然后選WAN�,點(diǎn)擊START��。
需要指出���,如果攻擊者對(duì)DDoS攻擊器設(shè)計(jì)得足夠精細(xì)��,則要想找到真正的攻擊者幾乎是不可能的����。比如攻擊者可以使用兩層甚至更多層傀儡機(jī)實(shí)施攻擊����,而對(duì)靠近攻擊者的傀儡機(jī)做徹底的日志清理,使得跟蹤技術(shù)無法找到攻擊者��。另外對(duì)于反射式(DRDOS)攻擊,由于攻擊包是合法的�,想要追蹤到傀儡機(jī)本身就已經(jīng)非常困難了。
本站關(guān)鍵詞:濰坊網(wǎng)站建設(shè) 濰坊網(wǎng)站設(shè)計(jì) 濰坊網(wǎng)站制作
|
