探寻 DDoS 攻击源：网络安全的关键挑战与应对(图文)

DDoS 攻击即分布式拒绝服务攻击，攻击者利用多个计算机或路由器发起攻击，使目标服务器无法正常处理请求。攻击者首先控制多台计算机或路由器作为 “肉机” 或 “傀儡机”，向目标服务器发送大量请求，耗尽服务器资源，导致其无法响应合法请求。
DDoS 攻击危害巨大。业务方面，如游戏平台、在线教育、电商平台等，服务器因攻击无法访问会造成业务受损，失去业务机会。据调查，企业认为失去业务机会是 DDoS 攻击最严重后果，26% 企业将其视为最大风险。信誉方面，业务网站、服务器无法访问会导致用户体验差，潜在用户流失，现有的客户也可能会重新评估平台安全性、稳定性，对企业形象和声誉造成影响，37% 的 DDoS 攻击会破坏企业信誉。资料外泄方面，攻击者常以 DDoS 攻击为掩护进行窃取数据等犯罪活动，每 3 个 DDoS 事件中就有 1 个与网络入侵相结合，22% 的企业在发生 DDoS 时数据被盗。
DDoS 攻击给网络安全带来了严峻挑战。其攻击主体分布广泛，可分布在地区、国家甚至全球各个角落，攻击方式隐蔽，利用傀儡机间接攻击，使攻击者更难被追踪和识别。攻击规模可由攻击者控制傀儡机数量来调整，且攻击影响严重，除使目标网络服务能力下降、占用大量网络带宽导致拥塞外，在某些情况下甚至会引发信息基础设施瘫痪。例如，2017 年 9 月针对 Google 服务的攻击规模达到了 2.54 Tbps，对 Google Cloud 的可用性产生严重影响；2018 年 2 月，GitHub 遭受规模高达 1.3 Tbps 的 DDoS 攻击，攻击者利用 memcached 数据库缓存系统的放大效应，使攻击规模放大了约 5 万倍；2016 年，Dyn 作为主要的 DNS 提供商，遭受大规模 DDoS 攻击，攻击者利用 Mirai 恶意软件和受感染的物联网设备构建僵尸网络发动攻击。

二、追溯攻击源的方法

（一）反向 DNS 查询

反向 DNS 查询是一种将 IP 地址转换为域名的技术。在 DDoS 攻击中，如果攻击源有对应的域名，可能会提供一些关于攻击者的线索。DNS 将域名转换为 IP 地址，而反向 DNS 查询则反向操作。攻击者可能使用特定的域名来控制僵尸网络，通过反向 DNS 查询可以发现这些关联。
步骤如下：首先，使用在线反向 DNS 查询工具或命令行工具如 nslookup、dig 等，输入攻击源 IP 地址进行查询。然后，分析查询结果，如果得到一个域名，进一步研究该域名的注册信息、所有者等，可以找到与攻击相关的线索。例如，通过查询发现某个攻击源 IP 对应的域名注册信息显示为一家可疑的公司，这就为进一步调查提供了方向。

（二）IP 地址定位

IP 地址定位服务通过数据库将 IP 地址与地理位置信息进行关联。其原理主要依赖于地理信息系统技术，通过收集大量的数据，包括从互联网上爬取的数据、来自电话公司和其他服务提供商的数据，以及通过卫星和无线电信号追踪设备收集的数据，将 IP 地址与特定的地理位置相关联。
利用 IP 数据云进行定位时，输入攻击源 IP 地址进行查询，可获得地理位置信息。虽然地理位置信息不能直接确定攻击者的身份，但可以帮助了解攻击的大致来源区域，进一步提供调查线索。比如，查询到攻击源 IP 地址来自某个特定地区，结合该地区的网络活动地点、已知的恶意活动热点区域等进行分析，可能会发现一些异常情况。

（三）数据包追踪

数据包追踪技术如 traceroute 或 tcpdump 可以跟踪网络数据包的传输路径。在 DDoS 攻击中，通过追踪攻击数据包的路径，可以确定攻击流量经过的网络节点和可能的来源 IP 地址。
步骤如下：首先，使用 traceroute 命令跟踪攻击数据包。它会显示数据包从你的设备到目标 IP 地址经过的各个路由器的 IP 地址。例如，在追踪过程中，可能会发现某个路由器节点突然出现大量数据包，这可能是攻击流量的来源或中转点。然后，分析 traceroute 的结果，寻找异常路由器节点或与攻击相关的 IP 地址。最后，使用 tcpdump 等数据包捕获工具捕获攻击数据包，进一步分析数据包的源 IP 地址、协议特征等信息，以确定攻击的来源。

（四）其他追踪技术

1. PacketMarking：基本思想是路由器在 IP 包中的 Identification 域加入额外信息以帮助确定包的来源或路径。由于 IP 包的 Identification 域在因特网中被使用到的比率只有 0.25%，所以在大多数包中添加路由信息是可行的。但该方法也存在一些问题，比如加入的信息量很受限制，需要精心构造加入的信息，还要考虑如何降低标记信息被伪造的可能，以及应对网络中存在不支持 PacketMarking 的路由器的情况。

2. ICMP 追踪：主要依靠路由器自身产生的 ICMP 跟踪消息。每个路由器都以很低的概率（比如：1/20000），将数据包的内容复制到一个 ICMP 消息包中，并且包含了到临近源地址的路由器信息。但这种方法的缺点是 ICMP 可能被从普通流量中过滤掉，且依赖路由器的相关功能，同时还需考虑攻击者可能发送的伪造 ICMPTraceback 消息。

3. Logging：通过在主路由器上记录数据包，然后通过数据采集技术来决定这些数据包的穿越路径。虽然可以用于对攻击后的数据进行追踪，但要求记录和处理大量的信息。

在网吧 ROS 查询被 DDOS 攻击的 IP 攻击器方法有：方法一，右击流量最高的网卡找到 Torch 然后点击一下 RxRate 从大到小排列看看是哪个网址流量高；方法二，TOOLS - TORCH 然后选 WAN，点击 START。

三、公有云 DDoS 溯源系统构建

（一）业务需求

公有云 DDoS 溯源系统的业务需求主要体现在以下几个方面。首先，攻击源实时分析至关重要。正如资料中提到的，做威胁情报系统的同事深知黑客基础设施寿命不长，证据有效性会随时间推移而降低。因此，及时对攻击源进行分析，能够提高溯源的准确性和时效性。其次，降低溯源成本是关键需求之一。目前溯源成本较高，如阿里的同僚所说，溯源收费标准达 50 万 / 单。构建廉价的溯源系统，能够降低警方的立案标准，提高对 DDoS 攻击的打击力度。最后，溯源要定位到人或者团伙，不能仅仅搞定黑客基础设施。未接触性网络犯罪由人发起，最终也需要抓捕到嫌疑人，才能真正完结案件。

（二）系统架构

在公有云平台上搭建的业务系统中，黑客通常通过控制 C&C 服务器，间接控制肉鸡进行 DDoS 攻击。肉鸡的组成成分较为复杂，大部分是 IDC 内部的 linux 服务器，因为 ISP 或者公有云厂商的物理服务器拥有很大的带宽资源。公有云根据部署架构的区分，有双 POP 点、多 AZ 节点和多活的数据中心。在每个 AZ 中需要部署分光和分流设备，同时支持数据镜像，一份给全流量系统（包含 DDoS 检测系统），一份给网络入侵检测系统。根据流量统计需求，4 层检测需要部署多台 dumpServer 和流量采样 PcapServer 模块；7 层检测需要多台 LVS 转发系统中部署 CC 检测引擎。最终，检测数据发送给公有云 DDoS 溯源系统，结合安全运营团队分析，确定黑客身份，完成 DDoS 溯源。

（三）详细设计

1. 判断攻击类型是公有云 DDoS 溯源系统的重要环节。当通过分布式抓包方式获取到 pcap 数据包后，对包内容进行统计，可判断攻击类型。例如，SYN 包占比达到 40%，即可认为是 SYN Flood；NTP 包占比达到 60%，可认为是 NTP Flood；DNS 包占比达到 60%，可认为是 DNS Flood；UDP 包占比达到 40%，可认为是 UDP Flood；TCP 包占比达到 40%，可认为是 TCP Flood。当判断为 TCP Flood 时，需要联动 7 层数据。如果攻击阈值达到 2G 或者为动态阈值，需给运营商上游路由器发送黑洞请求。

2. 抓包集群部署及统计 Top1000 攻击源的方法如下：把抓包通过集群方式部署，每台 x86 服务器处理 20G，dump 数据包的前 80 个字节。通过包过滤分析出是出流量还是入流量，然后过滤与指定目标 IP 无关的流量。接着统计 Top1000 的流量 IP，并把这些统计数据发送给 pcap Server，再把整个集群发过来的 Top1000 的数据统一排序，生成新的 Top1000 数据。这样就可以统计出针对公有云 floatingIP 对应的 top1000 攻击源。

3. 数据清洗的步骤包括：首先，去除伪造 IP，使用简单的 syn cookies 判断即可。然后，通过扫描器回扫 Top1000IP，寻找可反入侵的 IP，反入侵后获取 DDoS 程序。此外，获取威胁情报数据，当攻击 IP 为 IDC 时，大部分主机上被部署了下载器，可直接获取 DDoS 程序。

4. 获取身份信息的方式有多种。可以通过 DDoS 程序，放入养鸡场；或者使用 EDR 程序监控；或者使用沙箱方式收集外连数据。通过这些方式寻找到 C&C 服务器，因为只有控制服务器才能找到黑客。

四、总结与展望

DDoS 攻击作为网络安全领域的重大威胁，追溯其攻击源至关重要。一方面，确定攻击源能够为遭受攻击的企业和个人提供有力的证据，以便采取法律手段维护自身权益，同时也对潜在的攻击者起到威慑作用。另一方面，通过追溯攻击源，可以深入了解攻击者的手段和策略，从而有针对性地加强网络安全防护，提升整体网络安全水平。
然而，追溯 DDoS 攻击源面临着诸多困难。攻击者常常利用大量的分布式僵尸主机发起攻击，使得攻击源头难以确定。同时，攻击者还会采用各种技术手段来隐藏自己的身份，增加了追溯的难度。例如，攻击包的源 IP 可能是伪造的，难以追查到真正的攻击者；攻击者可能使用多层傀儡机实施攻击，并对靠近攻击者的傀儡机做彻底的日志清理，使得跟踪技术无法找到攻击者。此外，对于反射式攻击，由于攻击包是合法的，想要追踪到傀儡机本身就已经非常困难了。
尽管面临困难，但通过多种方法和系统构建，我们有望提升网络安全防护能力。反向 DNS 查询、IP 地址定位、数据包追踪等技术为追溯攻击源提供了有力的手段。同时，公有云 DDoS 溯源系统的构建，整合了多种技术和资源，能够更有效地分析攻击源，为网络安全防护提供支持。
在未来，我们可以进一步加强技术研发，提高追溯攻击源的准确性和时效性。例如，利用人工智能和大数据技术，对网络流量进行更深入的分析和挖掘，发现潜在的攻击行为和攻击源。同时，加强国际合作，共同应对跨国网络安全威胁。不同国家和地区的网络安全机构可以协同合作，共享信息，联合开展调查和打击行动。
此外，提高公众的网络安全意识也是非常重要的。用户应该加强对个人设备的安全防护，不轻易点击不明链接，不随意泄露个人信息，防范被攻击者利用成为僵尸主机。企业和组织也应该加强网络安全管理，采取有效的防护措施，提高网络安全防护能力。
总之，追溯 DDoS 攻击源是一项艰巨而重要的任务。虽然面临诸多困难，但通过不断努力和创新，我们有望提升网络安全防护能力，为网络空间的安全和稳定做出贡献。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。