返回
分布式反射:新一代的ddos攻击

分布式反射:新一代的ddos攻击

ID:19913351

大小:53.50 KB

页数:4页

时间:2018-10-07

分布式反射:新一代的ddos攻击_第1页
分布式反射:新一代的ddos攻击_第2页
分布式反射:新一代的ddos攻击_第3页
分布式反射:新一代的ddos攻击_第4页
资源描述:

《分布式反射:新一代的ddos攻击》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、分布式反射:新一代的DDoS攻击~教育资源库  攻击在凌晨两点左右开始,那时我正好还在工作,所以我才有机会迅速的抓取到一部分的洪水攻击的信息。这次攻击使Verio(我们的网络提供商)的集合路由器将攻击数据挤满了我们的两条T1。我们的网站服务器因为这次攻击而无法处理其它合法的请求。我们被完全的炸下了网。  我们以前就曾遭受过UDP和ICMP洪水攻击,这些攻击其实都可以由被攻击者入侵的主机、zombie工具及dash;不管他是恶意的还是无意的。  真正的惊讶是当我看到这些发起攻击的地址:  ...  ...  此

2、处省略了近200个攻击的网络地址  我们看起来是在被超过200多个网络核心基础设施路由器攻击.  发生什么事了?  看到这些分别来自Verio、Qwest、和Above.的洪水数据包,我想它们都是完全合法的SYN/ACK连接回应包,它们显示了一个TCP源端口:179。换句话说,就像一个网页服务器的数据包会从HTTP的80号端口返回一样,这些数据包是从BGP的179号端口返回的。  BGP是中介路由器支持的边界网关协议(BorderGatewayProtocol)。路由器使用BGP与他们的邻居进行即时的信息交流

3、来交换他们的路由表,这是为了通知它们彼此路由器可以在哪个IP范围进行转交。  BGP的细节并不重要,重要的是每个良好连接(高宽带)的中介路由器都会接受在他们179端口上的连接。换句话来说,任何一个SYN数据包到达一个网络路由器上后都会引出一个该路由的SYN/ACK回应包来。  我突然知道什么会一定发生..  这些被利用来攻击的两百台主机不可能全存在安全问题,甚至可能没有任何一台有安全问题。  我认识到它们只不过全是一些普通的的TCP服务器,它们是在认为我们想建立一个TCP连接到它们自带的BGP服务的情况下才向

4、grc.发送SYN/ACK数据包的。  换句话说,一个恶意的入侵者在其他的Inter角落里利用带有连接请求的syn数据包对网络路由器进行洪水攻击。这些数据包带有虚假的IP地址,这些地址都是grc.的。这样以来,路由器认为这些Syn数据包是从grc.发送来的,所以它们便对它们发送SYN/ACK数据包作为三次握手过程的第二个步。  恶意的数据包其实就被那些被利用的主机反射到了受害者主机上。这些被反射的数据包返回到受害者主机上后,就形成了洪水攻击。  阻拦反射攻击  我们有一些好消息,这种攻击看起来可以很简单的阻拦

5、。因为我们自己不是网络服务提供商,以我们从来没有任何连接到远程带有BGP服务的路由器上的需要。这样以来,我便要求Verio去阻拦任何从BGP服务端口179发起的入站数据。因为这个恶意攻击者的SYN数据包的目标是网络上中介路由的179号端口,任何反射的数据包也应该会从那个端口发出。  Verio的工程师加了一个filter到提供我们网络服务的集合路由上,它用来阻拦(丢弃)任何从179端口发来的数据包。从179号端口发送来的数据包洪水立即停止了。  但我们并没有回到Inter上。  一个刚从网上抓到的数据包显示我

6、们现在正被一群全新的网络服务器攻击。因为这第二群攻击是在我们阻拦了从179端口发送来的攻击以后才出现的,所以这第二拨攻击没有办法跟第一拨的攻击力相比。  我们现在正在被从端口22(SecureShell),23(Tel),53(DNS),和80(HTTP/Web)上发送来的SYN/ACK数据包攻击。这其中还有一些从端口4001(代理服务器端口)和6668(IRC聊天)发送来的数据包。  很可惜的是,因为这第二波攻击完全出乎我的意料,所以我没有抓到这第二波攻击的完整的数据包来作为取样。不过,我先前在第一波攻击中

7、所抓到一些日志有展现一些非BGP所发出的SYN/ACK包。  这是一小部分先前从HTTP(网页服务)端口80上所发出SYN/ACK攻击数据包的样本  这蜂拥而来的SYN/ACK数据包和一些非路由的网络服务器告诉了我们,任何用于普通目的TCP连接许可的网络服务器都可以用做数据包反射服务器。当我看到我们光阻拦从BGP端口传来的数据是远远不够的,我开发了一套更全面的解决方案来对付这种攻击。这套方案我们会在下面讨论。  在装置好对付反射攻击的filter后,我们立即就可以重新返回网上了。经过我不可以监控在装置filt

8、er后的攻击状况,但看到下面的这些信息还是让我冒了一阵冷汗  直到攻击停止,Verio的路由丢弃了将近十亿(1,072,519,399)的恶意SYN/ACK数据包。  我是在认识我到没有抓到第二波非BGP的数据包后才联系Verio,从而得知这个数据的。我想要重新装备我们的防御系统,好让我们继续遭受攻击,这样才能抓到那些我先前没有收集到的  资料,但当我这样做的时候,攻击已经停止了。  反射攻击的防御

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。