DDoS 溯源：探寻网络攻击的源头(图文)

DDoS 攻击在当今的网络环境中呈现出愈发严峻的态势。根据网络安全公司 Gcore 的报告显示，2024 年上半年全球分布式拒绝服务攻击事件数量达到了 44.5 万起，与去年同期相比增长了 46%。游戏和博彩业继续成为 DDoS 攻击的主要目标，占攻击事件总数的 49%。在线游戏由于其高风险和竞争性，特别容易受到攻击和破坏。
以热门游戏《黑神话：悟空》为例，其发行平台 Steam 就遭遇了罕见的 DDoS 攻击。攻击指令一夜暴涨了 2 万多倍，有近 60 个僵尸网络主控发起攻击，涉及 13 个国家和地区的 107 个 Steam 服务器 IP。由于 Steam 平台的突然崩溃，该游戏的实时在线人数一度骤降至百万以下。此前曾有数据显示，一款游戏如果持续遭到攻击一天，玩家数量将流失 80%，这对游戏企业来说是致命的打击。
在金融行业，DDoS 攻击也屡见不鲜。金融行业是国家经济的核心，涉及大量的资金流动和交易，攻击者可能试图通过瘫痪金融机构的网络服务来造成经济混乱，甚至获取非法利益。企业遭到 DDoS 攻击后，不仅会导致收入损失，还可能失去客户信任、声誉下降，甚至出现数据泄露的风险。
然而，企业在遭遇 DDoS 攻击后立案却面临诸多困难。一方面，攻击源的地理分布广泛，确定攻击者的位置具有一定难度；另一方面，攻击行为与结果间的因果关系证明难、经济损失认定不统一等问题也给立案带来了挑战。

二、DDoS 溯源的必要性

（一）提升证据有效性

在网络安全领域，黑客基础设施的寿命通常较短。据相关数据统计，大部分黑客基础设施的存活时间可能仅在数小时到数天之间。做威胁情报系统的同事们深知，随着时间的推移，证据的有效性就难以保证。因此，对 DDoS 攻击源进行实时分析至关重要。通过实时分析攻击源，可以在黑客基础设施被销毁或转移之前，迅速获取关键证据，为后续的调查和法律行动提供有力支持。例如，在某企业遭受 DDoS 攻击后，安全团队立即启动实时分析程序，成功在攻击发生后的数小时内锁定了部分攻击源的 IP 地址和相关信息。这些信息在后续的调查中发挥了重要作用，为确定攻击者的身份提供了 valuable 线索。

（二）降低溯源成本

目前，不是每一起 DDoS 攻击事件都能溯源，主要原因之一就是溯源成本很高。构建廉价的溯源系统成为当务之急。如果能够降低溯源成本，那么警方的立案标准也会相应降低。目前的标准是攻击流量峰值达到 100G 攻击以上才立案，这使得许多中小规模的 DDoS 攻击事件无法得到及时处理。例如，一些小型企业遭受的攻击流量可能只有几十 G，但由于无法达到立案标准，只能自行承担损失。如果能够构建廉价的溯源系统，就可以提高溯源的可能性，让更多的 DDoS 攻击事件得到应有的关注和处理。

（三）精准定位嫌疑人

DDoS 溯源不仅仅是要找到攻击的源头，更重要的是要定位到人或者团伙。未接触性网络犯罪是由人发起的，最终的完结也需要抓捕到嫌疑人。只有将攻击者绳之以法，才能真正起到威慑作用，减少 DDoS 攻击的发生。例如，在某起 DDoS 攻击事件中，警方通过艰苦的调查和溯源，最终锁定了一个黑客团伙。这个团伙利用肉鸡进行 DDoS 攻击，给多个企业造成了巨大损失。通过精准定位嫌疑人，警方成功将该团伙成员抓获，为受害者挽回了损失，也维护了网络空间的秩序。

三、DDoS 溯源的方法与技术

（一）系统架构搭建
在公有云平台搭建业务系统时，需要精心设计系统架构以实现有效的 DDoS 溯源。公有云根据部署架构的区分，有双 POP 点、多 AZ 节点以及多活的数据中心。在每个 AZ 中部署分光和分流设备，同时支持数据镜像，将数据分别提供给全流量系统（包含 DDoS 检测系统）和网络入侵检测系统。这样的架构设计可以确保在攻击发生时，能够全面地收集和分析网络流量数据，为溯源工作提供丰富的信息来源。例如，中国联通作为业界领先的电信运营商，在其 DDoS 防护体系中，已在境内 31 个省级行政区设立防护中心，一旦发生 DDoS 攻击，可在攻击源头附近快速反应，有效拦截并清理恶意流量。这种近源防御策略不仅缩短了响应时间，还减少了无效数据在网络中的传播，为 DDoS 溯源提供了有力的支持。

（二）四层溯源解决方案

1. 判断攻击类型，如根据包占比确定 SYN Flood、NTP Flood 等。当通过分布式抓包的方式获取到 pcap 数据包后，对包内容进行统计。例如，SYN 包占比达到 40%，即可认为是 SYN Flood；NTP 包占比达到 60%，即可认为是 NTP Flood。这样的判断方式可以快速确定攻击类型，为后续的溯源工作提供重要线索。

2. 通过集群抓包统计 Top1000 攻击源。把抓包通过集群方式部署，每台 x86 服务器处理 20G，dump 数据包的前 80 个字节。通过包过滤分析出是出流量还是入流量，然后过滤与指定目标 IP 无关的流量。接着统计 Top1000 的流量 IP，并把这些统计数据发送给 pcap Server，再将整个集群发过来的 Top1000 的数据统一排序，生成新的 Top1000 数据，从而统计出针对公有云 floatingIP 对应的 top1000 攻击源。

3. 进行数据清洗，去除伪造 IP、反入侵获取 DDoS 程序等。先使用简单的 syn cookies 判断去除伪造 IP。然后通过扫描器回扫 Top1000IP，寻找可反入侵的 IP，反入侵后获取 DDoS 程序。此外，获取威胁情报数据，当攻击 IP 为 IDC 时，大部分主机上被部署了下载器，可直接获取 DDoS 程序。

4. 获取身份信息，通过 DDoS 程序等寻找 C&C 服务器以确定黑客身份。通过 DDoS 程序，放入养鸡场、或者使用 EDR 程序监控、或者使用沙箱方式收集外连数据，寻找到 C&C 服务器。只有控制服务器才能找到黑客，从而实现精准溯源。

（三）其他溯源途径

除了上述方法外，还有其他溯源途径。可以使用 DDoS 防护服务，如快快网络推出的 DDoS 安全防护解决方案，依托强大的自研防护集群优势，结合 AI 智能引擎持续优化防护策略等多维算法，实现大数据联动防护，提高检测和响应速度，减少误报率。同时，在遭受攻击时，可以联系网络运营商，寻求帮助和支持。此外，学习网络安全基础知识也是非常重要的，了解 DDoS 攻击的原理和常见类型，掌握基本的防御和溯源方法，能够在一定程度上提高自身的网络安全防护能力。例如，业界专家提醒广大消费者也要提高防范意识，积极维权，动动手指给骚扰电话打上 “标签”，越多的人参与进来，就越能筑牢防范骚扰电话的 “防火墙”。同样，在网络安全领域，大家共同学习和提高安全意识，也能为 DDoS 溯源工作提供更多的线索和支持。

四、DDoS 溯源的意义与挑战

（一）DDoS 溯源的意义

DDoS 溯源对于保护网络安全、维护网络秩序具有至关重要的意义。首先，通过溯源可以快速锁定攻击源头，采取有效的防御措施，减少攻击造成的损失。例如，当企业遭受 DDoS 攻击时，通过溯源能够及时调整网络安全策略，部署相应的防护设备，降低攻击对业务的影响。其次，溯源能够分析攻击者的作案手法，为网络安全人员提供宝贵的信息，帮助他们提高防御水平。网络攻击手段不断变化，了解攻击者的策略有助于提前做好防范，制定更有效的安全措施。最后，溯源可以为执法部门提供证据，将攻击者绳之以法，维护网络空间的秩序。对攻击者的打击能够起到威慑作用，减少 DDoS 攻击的发生，保障网络环境的安全稳定。

（二）DDoS 溯源面临的挑战

然而，DDoS 溯源也面临着诸多严峻的挑战。其一，攻击者的匿名性使得溯源变得极为困难。攻击者通常会使用代理服务器或其他技术来隐藏自己的身份，增加了追踪的难度。据统计，在众多 DDoS 攻击事件中，能够成功确定攻击者真实身份的比例不足 30%。其二，攻击链路的复杂性也是一个重大挑战。DDoS 攻击的源头可以遍布全球各地，甚至可以跨越多个国家，攻击路径错综复杂。例如，一次大规模的 DDoS 攻击可能涉及数百个甚至上千个攻击节点，这些节点分布在不同的地理位置，使得溯源工作如同大海捞针。其三，数据篡改的可能性也给溯源带来了困难。攻击者可能会篡改网络流量数据，以掩盖自己的行踪。此外，网络环境的动态变化也增加了溯源的难度，如 IP 地址的动态分配、网络拓扑的变化等。
综上所述，DDoS 溯源虽然具有重要意义，但也面临着巨大的挑战。为了更好地应对这些挑战，需要不断创新溯源技术，加强国际合作，提高网络安全意识，共同维护网络空间的安全与秩序。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。