遭遇DDoS攻击，如何查找背后的攻击者(图文)

DDoS 攻击给服务器带来了诸多困扰，严重影响了网络的正常运行。
首先，DDoS 攻击会堵塞服务器。攻击时，大量的计算机同时向目标服务器发送请求，消耗服务器的资源，使其无法为正常用户提供服务。据统计，DDoS 攻击可以让多台计算机在同一时间内遭受到攻击，导致很多的大型网站出现无法进行操作的情况。攻击流量会占用大量的服务器资源，导致服务器的性能下降，从而影响到网站的响应速度，使页面加载缓慢或者是无法正常显示。
其次，DDoS 攻击会影响域名解析访问。攻击可能导致域名解析系统（如 DNS）过载，进而影响域名的正常解析，导致用户无法正常访问目标网站。例如，2016 年美国的 “黑色星期五” 事件，导致大半个美国 “断网”，就是由于美国的 DNS 服务商 Dyn 遭遇大规模 DDoS 攻击所造成的。
此外，DDoS 攻击还可能导致域名劫持。攻击者通过伪造 DNS 记录，将用户引导至恶意网站，从而窃取用户信息或传播恶意软件。同时，域名声誉也会受损，DDoS 攻击可能导致域名被误认为是恶意网站，进而影响域名的声誉和信任度。
总之，DDoS 攻击给服务器带来了巨大的困扰，严重威胁着网络安全。我们需要采取有效的防御措施，来应对 DDoS 攻击带来的挑战。

二、追踪之法

（一）监控流量与分析日志

实时监控网络流量是定位 DDoS 攻击源的重要方法之一。DDoS 攻击通常会引起网络流量的剧烈增长，当我们密切关注流量变化时，可以快速发现异常的流量峰值，从而帮助我们定位攻击源。例如，一旦发现流量在短时间内突然大幅增加，就有可能是遭受了 DDoS 攻击。
分析日志文件也能为我们提供关键信息。日志文件记录了网络活动的详细信息，包括网络连接、IP 地址和数据包信息等。通过分析日志文件，我们可以了解攻击发生的时间、攻击类型以及攻击目标等重要信息。比如，从日志中可以找出频繁向服务器发送请求的 IP 地址，这些可能就是攻击源的线索。

（二）借助工具与技术

使用网络流量分析工具可以深入了解网络流量的特征和模式。通过分析网络数据包的源 IP 地址、传输协议和端口号等信息，可以帮助我们追踪和定位 DDoS 攻击的源头。例如，某些专业的网络流量分析工具能够快速识别出异常的流量来源，为我们提供准确的追踪方向。
路由追踪是另一种有效的方法。通过跟踪数据包在网络中的路径，我们可以找到数据包到达目标服务器的路径，从而确定攻击流量的来源，并定位攻击源。
如果发现自己成为 DDoS 攻击的受害者，及时与 ISP（互联网服务提供商）联系并报告攻击事件是很重要的。ISP 通常拥有更强大的资源和技术来追踪和应对 DDoS 攻击，他们可以帮助我们定位攻击源并采取必要的措施。
防火墙和入侵检测系统也能发挥重要作用。它们可以帮助我们监控网络流量和检测异常行为。当遭受 DDoS 攻击时，它们可以及时发现并阻止攻击流量，同时记录相关信息以便后续分析。

（三）特殊方法与途径

查询网吧 ROS 被攻击的 IP 攻击器方法有一定的特殊性。方法一：右击流量最高的网卡找到 Torch 然后点击一下 RxRate 从大到小排列，看看是哪个网址流量高就可以确定可能的攻击源。方法二：TOOLS - TORCH 然后选 WAN，点击 START。
利用 IP 地址追踪也是一种有效的手段。反向 DNS 查询可以将 IP 地址转换为域名，如果攻击源有对应的域名，可能会提供一些关于攻击者的线索。IP 地址定位服务通过数据库将 IP 地址与地理位置信息进行关联，虽然地理位置信息不能直接确定攻击者的身份，但可以帮助了解攻击的大致来源区域。数据包追踪技术如 traceroute 或 tcpdump 可以跟踪网络数据包的传输路径，确定攻击流量经过的网络节点和可能的来源 IP 地址。

三、挑战与应对

（一）追踪面临的挑战

1. 使用跳板：攻击者利用多个 “跳板主机” 转发攻击数据包，使得追踪变得极为困难。例如，在西北工业大学被网络攻击事件中，攻击者运用了 54 台跳板来隐藏真正的 IP 地址。随着跳板路径的增长，追踪攻击者的难度呈指数级上升。

2. 伪地址攻击：

• • 虚假 IP 溯源：在虚假 IP 溯源问题中，取证人员检测到的攻击数据包中源 IP 地址是伪造的。如典型的 SYN Flood 攻击，攻击者将攻击数据包中的源 IP 地址替换为伪造的 IP 地址，受害主机收到数据包后，将响应数据包发送给伪造的 IP 地址主机，导致无法得到攻击主机的 IP 地址。还有 “反射攻击”，如 Smurf 攻击、DNS 放大攻击等，攻击者将攻击数据包中的源 IP 地址替换为受害者的 IP 地址，反射主机收到数据包后，响应数据包将发送给受害主机，从受害主机端观察，只能判断这些数据包来自反射主机，无法知道真正攻击者的 IP 地址。

• • 僵尸网络溯源：攻击者利用僵尸网络发动攻击，取证人员检测到攻击数据包中源 IP 地址来自于 Botnet 中的 bot 主机，难以追踪定位攻击者的主机。

• • 匿名网络溯源：攻击者利用匿名网络，如 “Tor” 发动攻击，取证人员检测到攻击数据包中源 IP 地址来自于匿名网络，只能观察到攻击数据包来自于出口路由器，而不能发现真正的攻击者。

• • 局域网络溯源：攻击者位于私有网络内，其攻击数据包中的源 IP 地址经过了网关的 NAT 地址转换。在这种攻击中，由于攻击者的 IP 地址是私有 IP 地址，在受害主机端只能看到 NAT 网关的 IP 地址，在大型私有网络内，特别是无线局域网中，寻找定位攻击者并非易事。

（二）应对策略

1. 加强防御机制：

• • 保证服务器系统安全：确保服务器软件没有漏洞，保证系统和网络资源都采用最新系统，并打上安全补丁，防止攻击者入侵。

• • 采用高性能网络设备：选择路由器、交换机、硬件防火墙等设备时要充分考虑其性能，尽量选用知名度高、口碑好的产品。当大量攻击发生的时候，可以请网络提供商在网络接点处做一下流量限制来对抗某些种类的 DDoS 攻击。

• • 充足的网络带宽保证：网络带宽直接决定了承受攻击的能力，当前至少要选择 100M 的共享带宽，最好挂在 1000M 的主干上。但要注意主机上的网卡、交换机以及网络服务商可能对实际带宽的限制。

• • 升级主机服务器硬件：在有网络带宽保证的前提下，尽量提升硬件配置。要有效对抗每秒 10 万个 SYN 攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD。关键是 CPU 和内存，可选用志强双 CPU，内存选择 DDR 的高速内存，硬盘选择 SCSI 的，网卡选用 3COM 或 Intel 等名牌。

• • 把网站做成静态页面：把网站尽可能做成静态页面，能大大提高抗攻击能力，也给黑客入侵带来不少麻烦。若需要动态脚本调用，可单独放在另一台主机上，避免遭受攻击时连累主服务器。在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问网站的 80% 属于恶意行为。

• • 增强操作系统的 TCP/IP 栈：Win2000 和 Win2003 作为服务器操作系统，开启后可抵挡约 10000 个 SYN 攻击包，若没有开启则仅能抵御数百个。对于 Linux 和 FreeBSD 系统，可以参考《SYN cookies》进行设置。

• • 安装专业抗 DDOS 防火墙：如金盾防火墙就是使用率最高、最专业的抗 DDOS 防火墙。

2. 利用技术手段：

• • 查询网吧 ROS 被攻击的 IP 攻击器方法：方法一，右击流量最高的网卡找到 Torch 然后点击一下 RxRate 从大到小排列，看看是哪个网址流量高就可以确定可能的攻击源；方法二，TOOLS - TORCH 然后选 WAN，点击 START。

• • 利用 IP 地址追踪：反向 DNS 查询可以将 IP 地址转换为域名，如果攻击源有对应的域名，可能会提供一些关于攻击者的线索。IP 地址定位服务通过数据库将 IP 地址与地理位置信息进行关联，虽然地理位置信息不能直接确定攻击者的身份，但可以帮助了解攻击的大致来源区域。数据包追踪技术如 traceroute 或 tcpdump 可以跟踪网络数据包的传输路径，确定攻击流量经过的网络节点和可能的来源 IP 地址。

3. 多方合作：

• • 当发现自己成为 DDoS 攻击的受害者，及时与 ISP（互联网服务提供商）联系并报告攻击事件。ISP 通常拥有更强大的资源和技术来追踪和应对 DDoS 攻击，他们可以帮助我们定位攻击源并采取必要的措施。

• • 企业可以建立具有高级缓解功能的可扩展 DDoS 保护系统，具体包括流量监控、自适应实时调节、DDoS 防护遥测、监控和警报、快速响应小组等。同时，组建一个明确如何识别、缓解和监测攻击的 DDoS 快速响应团队。通过模拟网络攻击来评估系统安全防御质量、识别潜在的攻击风险，在被 DDoS 攻击后，应立刻建立的 DDoS 响应团队或其他专业人员进行攻击调查和攻击后分析，及时溯源，修改安全防御措施，提高 DDoS 响应策略的有效性。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。