溯源溯源,什么是源,我覺得分幾個級別: 1,攻擊流量的來源IP 2,攻擊流量的發起IP 3,攻擊流量的發起者。溯到1,基本上可以用來做流量清洗了,到了2,那理論上就存在可以近源壓制的可能,已經算是高級,如果能搞定3,那我們做ddos檢測防護的差不多要么失業要么轉行了。
DDoS攻擊分不同的類型,不同類型,根據上面要溯的不同的源難易也有差異,下面討論方面,把上面說的源123表示為level1/level2/level3.
直接攻擊型:
比如SYN flood/ACK Flood/DNS Flood/UDP Plain Flood/http flood等,這些往往都是botnet發起的,發起的時候有的會偽造源IP,有的不偽造。識別了攻擊流量,簡單統計就知道到了level 1。沒有偽造源ip的,leve2就等于level1。對于偽造源ip的情況,level2在被攻擊方就無法獲取,運營商級別可以做spoof檢測,或者持續的跟蹤botnet,進而持續的跟蹤CC發起的攻擊指令,看CC都連了哪些client,看哪些client接收到了攻擊指令。level3單獨討論。
反射放大型:
反射放大基本都是為了打帶寬,由于有了反射放大的因素在里面,基本都不用botnet,找/黑/租幾個機器上去打流量就行了。在被攻擊端,看到的ip都是真實的ip,都是被利用的反射放大節點,level1簡單。但是和上面直接攻擊型不一樣的是,這時候的發起IP可不能說就是看到的真實攻擊IP了,因為有反射的因素在里面,level2的ip應該是那幾臺發起原始流量的機器,而不是反射流量的源ip。這個level2,運營商可以做,看哪些子網有非自己段的源ip的流量出來,然后可以做端的流量檢測,比如HIDS。level3單獨討論。
你看,上面我說到運營商,都是說他們“可以做”,但是他們能不能做,想不想做,這就是另外的話題了。
之所以單獨討論level3,是因為level1/level2屬于如果想干,理論上是肯定能干成的。而level3,理論上就沒法說肯定能干成。看CC是被誰控制的,反射放大的控制人是誰,這個比較難,畢竟網絡攻擊抓現場你也看不到人,不過思路也不是沒有,攻擊也都是為了掙錢,他們會有交易,會有圈子,初期的信息采集(比如找可用的反射放大源)可能用的都是自己的ip,各種小動作會漏出馬腳,在多個階段關聯,有時也能關聯出來。
USA-IDC提供美國服務器租用,性能穩定快速,全美最低延遲,全程運維24小時在線,秒級回復,歡迎廣大用戶聯系24小時在線客服
