14
产品文档
控制台使用
基础类问题
应用类问题
网络类问题
安全类问题
追踪DDoS攻击源头-你被哪个IP攻击器的方法

DDos反追踪是一件非常困难的事情,因为现在聪明的黑客都会用许多跳板。IP追踪和攻击源定位技术在DDoS攻击防御研究中有重要意义。

IP追踪和攻击源定位是指当DDoS攻击发生时或攻击完成后,根据现有的信息识别出攻击路径,找到攻击发起位置。DDoS攻击源追踪定位技术的难点在于难以准确定位,因为大部分攻击包源地址都是随机生成的伪地址。根据DDos攻击网络结构,按照准确度的逐渐提高,可分为定位到发起攻击。

DDoS的追踪主要有两个目的:1是通过追踪攻击源获取攻击包的特征从而对流量进行过滤或者联系ISP寻求帮助;2是找到攻击源并搜集攻击证据,从而有可能通过法律手段对攻击者进行惩罚。无论能否最终找到攻击源,DDoS攻击的追踪技术对于DDoS的防御都是十分重要的。目前主要的DDoS追踪技术有PacketMarking、ICMP追踪、Logging以及ControlledFlooding。这些跟踪技术一般都需要路由器的支持,实际中也需要ISP的协助。
  
  PacketMarking是一大类方法,其基本思想是路由器在IP包中的Identification域加入额外信息以帮助确定包的来源或路径。由于IP包的Identification域在因特网中被使用到的比率只有0。25%,因此在大多数包中添加路由信息是十分可行。当然如果对每个包都做处理没有必要,因此大多数PacketMarking方法都是以一个较低的概率在IP包中加入标记信息。PacketMarking方法需要解决的主要问题是:由于IP包的Identification域只有16比特,因此加入的信息量很受限制,如果要追踪源地址或者路径就要精心构造加入的信息,这涉及到路由器如何更新已有的标记信息,如何降低标记信息被伪造的可能,如何应对网络中存在不支持PacketMarking的路由器的情况。比如,采用用异或和移位来实现标记信息的更新。
  
  ControlledFlooding是Burch和Cheswick提出的方法。这种方法实际上就是制造flood攻击,通过观察路由器的状态来判断攻击路径。首先应该有一张上游的路径图,当受到攻击的时候,可以从受害主机的上级路由器开始依照路径图对上游的路由器进行受控的flood,因为这些数据包同攻击者发起的数据包共享了路由器,因此增加了路由器丢包的可能性。通过这种沿路径图不断向上进行,就能够接近攻击发起的源头。ControlledFlooding最大的缺点就是这种办法本身就是一种DOS攻击,会对一些信任路径也进行DOS。而且,ControlledFlooding要求有一个几乎覆盖整个网络的拓扑图。Burch和Cheswick也指出,这种办法很难用于DDOS攻击的追踪。这种方法也只能对正在进行攻击有效。ICMP追踪主要依靠路由器自身产生的ICMP跟踪消息。每个路由器都以很低的概率(比如:1/20000),将数据包的内容复制到一个ICMP消息包中,并且包含了到临近源地址的路由器信息。当DDoS攻击开始的时候,受害主机就可以利用这些ICMP消息来重新构造攻击者的路径。这种方法的缺点是ICMP可能被从普通流量中过滤掉,并且,ICMP追踪消息依赖于路由器的相关功能,但是,可能一些路由器就没有这样的功能。同时ICMPTracking必须考虑攻击者可能发送的伪造ICMPTraceback消息。
  
  Logging通过在主路由器上记录数据包,然后通过数据采集技术来决定这些数据包的穿越路径。虽然这种办法可以用于对攻击后的数据进行追踪,但也有很明显的缺点,如要求记录和处理大量的信息。
  
  查询网吧ROS被DDOS攻击的IP方法Ros
  
  方法一:
  
  右击一下流量最高的网卡找到Torch然后点击一下RxRate从大到小排列看看是哪个网址流量高就OK了
  
  如果你是低版本的从tools里面找Torch应该就可以
  
  方法二:
  
  TOOLS-TORCH
  
  然后选WAN,点击START
  
  需要指出,如果攻击者对攻击程序设计得足够精细,则要想找到真正的攻击者几乎是不可能的。比如攻击者可以使用两层甚至更多层傀儡机实施攻击,而对靠近攻击者的傀儡机做彻底的日志清理,使得跟踪技术无法找到攻击者。另外对于反射式攻击,由于攻击包是合法的,想要追踪到傀儡机本身就已经非常困难了。

这条帮助是否解决了您的问题? 已解决 未解决

提交成功!非常感谢您的反馈,我们会继续努力做到更好! 很抱歉未能解决您的疑问。我们已收到您的反馈意见,同时会及时作出反馈处理!