您的位置: 新闻资讯 > 行业动态 > 正文

遭遇DDoS攻击,如何查找背后的攻击者(图文)


来源:mozhe 2024-10-14

DDoS 攻击给服务器带来了诸多困扰,严重影响了网络的正常运行。
首先,DDoS 攻击会堵塞服务器。攻击时,大量的计算机同时向目标服务器发送请求,消耗服务器的资源,使其无法为正常用户提供服务。据统计,DDoS 攻击可以让多台计算机在同一时间内遭受到攻击,导致很多的大型网站出现无法进行操作的情况。攻击流量会占用大量的服务器资源,导致服务器的性能下降,从而影响到网站的响应速度,使页面加载缓慢或者是无法正常显示。
其次,DDoS 攻击会影响域名解析访问。攻击可能导致域名解析系统(如 DNS)过载,进而影响域名的正常解析,导致用户无法正常访问目标网站。例如,2016 年美国的 “黑色星期五” 事件,导致大半个美国 “断网”,就是由于美国的 DNS 服务商 Dyn 遭遇大规模 DDoS 攻击所造成的。
此外,DDoS 攻击还可能导致域名劫持。攻击者通过伪造 DNS 记录,将用户引导至恶意网站,从而窃取用户信息或传播恶意软件。同时,域名声誉也会受损,DDoS 攻击可能导致域名被误认为是恶意网站,进而影响域名的声誉和信任度。
总之,DDoS 攻击给服务器带来了巨大的困扰,严重威胁着网络安全。我们需要采取有效的防御措施,来应对 DDoS 攻击带来的挑战。

二、追踪之法

(一)监控流量与分析日志


实时监控网络流量是定位 DDoS 攻击源的重要方法之一。DDoS 攻击通常会引起网络流量的剧烈增长,当我们密切关注流量变化时,可以快速发现异常的流量峰值,从而帮助我们定位攻击源。例如,一旦发现流量在短时间内突然大幅增加,就有可能是遭受了 DDoS 攻击。
分析日志文件也能为我们提供关键信息。日志文件记录了网络活动的详细信息,包括网络连接、IP 地址和数据包信息等。通过分析日志文件,我们可以了解攻击发生的时间、攻击类型以及攻击目标等重要信息。比如,从日志中可以找出频繁向服务器发送请求的 IP 地址,这些可能就是攻击源的线索。

(二)借助工具与技术


使用网络流量分析工具可以深入了解网络流量的特征和模式。通过分析网络数据包的源 IP 地址、传输协议和端口号等信息,可以帮助我们追踪和定位 DDoS 攻击的源头。例如,某些专业的网络流量分析工具能够快速识别出异常的流量来源,为我们提供准确的追踪方向。
路由追踪是另一种有效的方法。通过跟踪数据包在网络中的路径,我们可以找到数据包到达目标服务器的路径,从而确定攻击流量的来源,并定位攻击源。
如果发现自己成为 DDoS 攻击的受害者,及时与 ISP(互联网服务提供商)联系并报告攻击事件是很重要的。ISP 通常拥有更强大的资源和技术来追踪和应对 DDoS 攻击,他们可以帮助我们定位攻击源并采取必要的措施。
防火墙和入侵检测系统也能发挥重要作用。它们可以帮助我们监控网络流量和检测异常行为。当遭受 DDoS 攻击时,它们可以及时发现并阻止攻击流量,同时记录相关信息以便后续分析。

(三)特殊方法与途径


查询网吧 ROS 被攻击的 IP 攻击器方法有一定的特殊性。方法一:右击流量最高的网卡找到 Torch 然后点击一下 RxRate 从大到小排列,看看是哪个网址流量高就可以确定可能的攻击源。方法二:TOOLS - TORCH 然后选 WAN,点击 START。
利用 IP 地址追踪也是一种有效的手段。反向 DNS 查询可以将 IP 地址转换为域名,如果攻击源有对应的域名,可能会提供一些关于攻击者的线索。IP 地址定位服务通过数据库将 IP 地址与地理位置信息进行关联,虽然地理位置信息不能直接确定攻击者的身份,但可以帮助了解攻击的大致来源区域。数据包追踪技术如 traceroute 或 tcpdump 可以跟踪网络数据包的传输路径,确定攻击流量经过的网络节点和可能的来源 IP 地址。

三、挑战与应对


(一)追踪面临的挑战
  1. 使用跳板:攻击者利用多个 “跳板主机” 转发攻击数据包,使得追踪变得极为困难。例如,在西北工业大学被网络攻击事件中,攻击者运用了 54 台跳板来隐藏真正的 IP 地址。随着跳板路径的增长,追踪攻击者的难度呈指数级上升。
  1. 伪地址攻击
    • 虚假 IP 溯源:在虚假 IP 溯源问题中,取证人员检测到的攻击数据包中源 IP 地址是伪造的。如典型的 SYN Flood 攻击,攻击者将攻击数据包中的源 IP 地址替换为伪造的 IP 地址,受害主机收到数据包后,将响应数据包发送给伪造的 IP 地址主机,导致无法得到攻击主机的 IP 地址。还有 “反射攻击”,如 Smurf 攻击、DNS 放大攻击等,攻击者将攻击数据包中的源 IP 地址替换为受害者的 IP 地址,反射主机收到数据包后,响应数据包将发送给受害主机,从受害主机端观察,只能判断这些数据包来自反射主机,无法知道真正攻击者的 IP 地址。
    • 僵尸网络溯源:攻击者利用僵尸网络发动攻击,取证人员检测到攻击数据包中源 IP 地址来自于 Botnet 中的 bot 主机,难以追踪定位攻击者的主机。
    • 匿名网络溯源:攻击者利用匿名网络,如 “Tor” 发动攻击,取证人员检测到攻击数据包中源 IP 地址来自于匿名网络,只能观察到攻击数据包来自于出口路由器,而不能发现真正的攻击者。
    • 局域网络溯源:攻击者位于私有网络内,其攻击数据包中的源 IP 地址经过了网关的 NAT 地址转换。在这种攻击中,由于攻击者的 IP 地址是私有 IP 地址,在受害主机端只能看到 NAT 网关的 IP 地址,在大型私有网络内,特别是无线局域网中,寻找定位攻击者并非易事。

(二)应对策略

  1. 加强防御机制
    • 保证服务器系统安全:确保服务器软件没有漏洞,保证系统和网络资源都采用最新系统,并打上安全补丁,防止攻击者入侵。
    • 采用高性能网络设备:选择路由器、交换机、硬件防火墙等设备时要充分考虑其性能,尽量选用知名度高、口碑好的产品。当大量攻击发生的时候,可以请网络提供商在网络接点处做一下流量限制来对抗某些种类的 DDoS 攻击。
    • 充足的网络带宽保证:网络带宽直接决定了承受攻击的能力,当前至少要选择 100M 的共享带宽,最好挂在 1000M 的主干上。但要注意主机上的网卡、交换机以及网络服务商可能对实际带宽的限制。
    • 升级主机服务器硬件:在有网络带宽保证的前提下,尽量提升硬件配置。要有效对抗每秒 10 万个 SYN 攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD。关键是 CPU 和内存,可选用志强双 CPU,内存选择 DDR 的高速内存,硬盘选择 SCSI 的,网卡选用 3COM 或 Intel 等名牌。
    • 把网站做成静态页面:把网站尽可能做成静态页面,能大大提高抗攻击能力,也给黑客入侵带来不少麻烦。若需要动态脚本调用,可单独放在另一台主机上,避免遭受攻击时连累主服务器。在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问网站的 80% 属于恶意行为。
    • 增强操作系统的 TCP/IP 栈:Win2000 和 Win2003 作为服务器操作系统,开启后可抵挡约 10000 个 SYN 攻击包,若没有开启则仅能抵御数百个。对于 Linux 和 FreeBSD 系统,可以参考《SYN cookies》进行设置。
    • 安装专业抗 DDOS 防火墙:如金盾防火墙就是使用率最高、最专业的抗 DDOS 防火墙。
  1. 利用技术手段
    • 查询网吧 ROS 被攻击的 IP 攻击器方法:方法一,右击流量最高的网卡找到 Torch 然后点击一下 RxRate 从大到小排列,看看是哪个网址流量高就可以确定可能的攻击源;方法二,TOOLS - TORCH 然后选 WAN,点击 START。
    • 利用 IP 地址追踪:反向 DNS 查询可以将 IP 地址转换为域名,如果攻击源有对应的域名,可能会提供一些关于攻击者的线索。IP 地址定位服务通过数据库将 IP 地址与地理位置信息进行关联,虽然地理位置信息不能直接确定攻击者的身份,但可以帮助了解攻击的大致来源区域。数据包追踪技术如 traceroute 或 tcpdump 可以跟踪网络数据包的传输路径,确定攻击流量经过的网络节点和可能的来源 IP 地址。
  1. 多方合作
    • 当发现自己成为 DDoS 攻击的受害者,及时与 ISP(互联网服务提供商)联系并报告攻击事件。ISP 通常拥有更强大的资源和技术来追踪和应对 DDoS 攻击,他们可以帮助我们定位攻击源并采取必要的措施。
    • 企业可以建立具有高级缓解功能的可扩展 DDoS 保护系统,具体包括流量监控、自适应实时调节、DDoS 防护遥测、监控和警报、快速响应小组等。同时,组建一个明确如何识别、缓解和监测攻击的 DDoS 快速响应团队。通过模拟网络攻击来评估系统安全防御质量、识别潜在的攻击风险,在被 DDoS 攻击后,应立刻建立的 DDoS 响应团队或其他专业人员进行攻击调查和攻击后分析,及时溯源,修改安全防御措施,提高 DDoS 响应策略的有效性。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家,在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制,能够精准识别 Webshell 的各种类型和变体,无论是复杂的大马,还是隐蔽的内存马,都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能,对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象,立即发出警报,并迅速采取隔离和清除措施,将风险扼杀在萌芽状态。
在防护策略上,墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击,还能深入系统内部,对服务器的文件系统、进程等进行深度检查和保护,确保 Webshell 无法植入和运行。
同时,墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时,专业的安全团队能够迅速介入,进行深入的分析和处理,最大程度减少攻击带来的损失,并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训,为用户提供关于 Webshell 防范的专业知识和最佳实践,帮助用户提升自身的安全意识和防范能力,共同构建坚实的网络安全防线。

热门文章

X

7x24 小时

免费技术支持

15625276999


-->