DDoS 攻击：探寻攻击者之路(图文)

DDoS 攻击，即分布式拒绝服务攻击，是一种网络攻击方式。攻击者利用多个计算机或路由器发起攻击，使目标服务器无法正常处理请求。
常见类型有多种。带宽攻击通过大量 “僵尸网络” 向目标系统发送大量数据包，占满网络带宽。SYN 攻击利用 TCP/IP 协议中的漏洞，发送大量 SYN 数据包让目标系统无法处理请求。DNS 攻击针对 DNS 服务器漏洞，发送大量 DNS 请求导致其过载或瘫痪。反射攻击利用第三方系统漏洞，将响应数据发送到目标系统消耗其资源。HTTP 攻击模拟大量正常用户向目标网站发送 HTTP 请求，消耗服务器资源。UDP 攻击向目标系统发送大量 UDP 数据包使目标无法处理请求。
DDoS 攻击危害巨大。首先会造成重大经济损失，例如某电商平台在遭受 DDoS 攻击时，网站无法正常访问甚至关闭，导致合法用户无法下单，造成巨大经济损失和品牌损失。其次可能导致数据泄露，黑客在攻击时可能趁机窃取业务核心数据。再者，存在恶意竞争风险，竞争对手可能通过 DDoS 攻击恶意攻击服务，获取竞争优势，如某游戏业务遭受攻击后玩家数量锐减甚至迅速下线。
DDoS 攻击分为三类：洪水攻击、协议攻击和应用攻击。洪水攻击是最常见的类型，占比达 65%，通过插入反射介质产生大量流量。基于协议的攻击主要集中在 OSI 层的第三、四层漏洞，如 TCPSyn Flood。基于应用的攻击最复杂隐蔽，难以识别和缓解。

二、DDoS 攻击源追踪的难点

（一）跳板众多难以定位

在 DDoS 攻击中，聪明的黑客常常会使用许多跳板。攻击者可以使用两层甚至更多层傀儡机实施攻击，这使得追踪攻击发起者变得极为困难。例如，攻击者先控制一批傀儡机，再通过这些傀儡机去控制更多的傀儡机，形成一个复杂的网络结构。当攻击发生时，追踪者很难确定攻击真正的源头，因为攻击流量经过了多个跳板的转发。对靠近攻击者的傀儡机，黑客还会做彻底的日志清理，进一步阻碍了追踪技术的实施。这就如同在一个错综复杂的迷宫中寻找出口，每一个岔路口都可能是误导，让追踪者陷入困境。

（二）伪地址增加追踪难度

大部分攻击包源地址都是随机生成的伪地址，这给 DDoS 攻击源的追踪带来了极大的困难。由于源地址是伪造的，追踪者无法直接通过源地址确定攻击发起的位置。在互联网中，IP 包的 Identification 域在使用中的比率只有 0.25%，这意味着在大多数包中添加路由信息是可行的，但由于 IP 包的 Identification 域只有 16 比特，加入的信息量很受限制。如果要追踪源地址或者路径，就需要精心构造加入的信息，同时还要考虑如何降低标记信息被伪造的可能，以及如何应对网络中存在不支持 PacketMarking 的路由器的情况。例如，采用用异或和移位来实现标记信息的更新，但这也并非完全可靠的方法。总之，伪地址的存在使得 DDoS 攻击源的追踪变得异常艰难。

三、DDoS 攻击源追踪方法

（一）监控网络流量

实时监控网络流量是发现 DDoS 攻击源的重要方法之一。DDoS 攻击通常会引起网络流量的剧烈增长，据统计，在一些严重的 DDoS 攻击事件中，网络流量可能会瞬间增长数十倍甚至上百倍。因此，密切关注流量变化可以帮助我们快速发现和定位攻击源。通过安装专业的网络流量监控工具，可以实时监测网络中的流量情况，一旦发现异常的流量峰值，就可以立即采取措施进行进一步的分析和追踪。

（二）分析日志文件

日志文件记录了网络活动的详细信息，对于定位 DDoS 攻击源至关重要。通过分析日志文件，我们可以了解攻击发生的时间、攻击类型以及攻击目标等重要信息。例如，日志中可能会记录下异常的 IP 地址、大量重复的请求或者特定的攻击模式。分析这些信息可以帮助我们确定攻击的来源和路径。同时，一些高级的日志分析工具还可以对日志进行深度挖掘，发现潜在的攻击线索。

（三）使用网络流量分析工具

网络流量分析工具可以深入了解网络流量的特征和模式。通过分析网络数据包的源 IP 地址、传输协议和端口号等信息，可以帮助我们追踪和定位 DDoS 攻击的源头。这些工具可以对网络流量进行实时监测和分析，发现异常的流量模式和来源。例如，某些网络流量分析工具可以识别出大量来自同一 IP 地址或 IP 地址段的请求，这可能是 DDoS 攻击的迹象。此外，这些工具还可以分析数据包的内容，发现潜在的攻击代码或恶意软件。

（四）路由追踪

路由追踪是确定攻击流量来源的有效方法之一。通过使用路由追踪工具，我们可以跟踪数据包在网络中的路径，找到数据包到达目标服务器的路径。这有助于我们确定攻击流量的来源，并定位攻击源。例如，使用 traceroute 命令可以显示数据包从我们的设备到目标 IP 地址经过的各个路由器的 IP 地址。分析 traceroute 的结果，我们可以寻找异常路由器节点或与攻击相关的 IP 地址。如果发现某节点突然出现大量数据包或相应异常，可能是攻击流量的来源或中转点。

（五）协同合作

与 ISP（互联网服务提供商）联系并协同合作是定位 DDoS 攻击源的重要途径。ISP 通常拥有更强大的资源和技术来追踪和应对 DDoS 攻击。当我们发现自己成为 DDoS 攻击的受害者时，应及时向 ISP 报告攻击事件。ISP 可以通过分析网络流量、追踪 IP 地址等方式帮助我们定位攻击源，并采取相应的措施来减轻攻击的影响。例如，ISP 可以调整网络路由、屏蔽攻击源等，以保护我们的网络安全。

（六）使用防火墙和入侵检测系统

防火墙和入侵检测系统可以帮助我们监控网络流量和检测异常行为。当遭受 DDoS 攻击时，它们可以及时发现并阻止攻击流量，同时记录相关信息以便后续分析。防火墙可以设置规则来过滤掉异常的流量和 IP 地址，而入侵检测系统可以实时监测网络活动，发现潜在的攻击行为。例如，一些高级的入侵检测系统可以识别出 DDoS 攻击的特征，并自动采取相应的防御措施。

（七）配置防御机制

为了防范 DDoS 攻击，我们可以采取一些防御措施，如限制 IP 地址的访问频率、设置访问验证码或使用内容分发网络（CDN）等。这些措施可以降低 DDoS 攻击的风险并减轻攻击对我们的网络造成的影响。例如，限制 IP 地址的访问频率可以防止攻击者使用大量的 IP 地址发起攻击，设置访问验证码可以防止自动化攻击工具的攻击，而使用 CDN 可以分散网络流量，减轻对目标服务器的压力。

四、主要追踪技术及局限

（一）PacketMarking

PacketMarking 是一大类方法，其基本思想是路由器在 IP 包中的 Identification 域加入额外信息以帮助确定包的来源或路径。由于 IP 包的 Identification 域在因特网中被使用到的比率只有 0.25%，因此在大多数包中添加路由信息是十分可行的。
PacketMarking 方法需要解决的主要问题不少。首先，由于 IP 包的 Identification 域只有 16 比特，因此加入的信息量很受限制。如果要追踪源地址或者路径，就要精心构造加入的信息。这涉及到路由器如何更新已有的标记信息，比如采用用异或和移位来实现标记信息的更新。其次，要降低标记信息被伪造的可能，因为攻击者可能会尝试篡改标记信息以干扰追踪。此外，还需要应对网络中存在不支持 PacketMarking 的路由器的情况，这可能会导致追踪路径的中断。

（二）ControlledFlooding

ControlledFlooding 是 Burch 和 Cheswick 提出的方法。这种方法实际上就是制造 flood 攻击，通过观察路由器的状态来判断攻击路径。首先应该有一张上游的路径图，当受到攻击的时候，可以从受害主机的上级路由器开始依照路径图对上游的路由器进行受控的 flood。因为这些数据包同攻击者发起的数据包共享了路由器，因此增加了路由器丢包的可能性。通过这种沿路径图不断向上进行，就能够接近攻击发起的源头。
然而，ControlledFlooding 最大的缺点就是这种办法本身就是一种 DOS 攻击，会对一些信任路径也进行 DOS。而且，ControlledFlooding 要求有一个几乎覆盖整个网络的拓扑图，这在实际操作中是非常困难的。Burch 和 Cheswick 也指出，这种办法很难用于 DDOS 攻击的追踪，并且这种方法也只能对正在进行攻击有效。

（三）ICMP 追踪

ICMP 追踪主要依靠路由器自身产生的 ICMP 跟踪消息。每个路由器都以很低的概率（比如：1/20000），将数据包的内容复制到一个 ICMP 消息包中，并且包含了到临近源地址的路由器信息。当 DDoS 攻击开始的时候，受害主机就可以利用这些 ICMP 消息来重新构造攻击者的路径。
但是这种方法也有缺点。ICMP 可能被从普通流量中过滤掉，使得追踪无法进行。并且，ICMP 追踪消息依赖于路由器的相关功能，但是可能一些路由器就没有这样的功能。同时 ICMPTracking 必须考虑攻击者可能发送的伪造 ICMPTraceback 消息，这进一步增加了追踪的难度。

（四）Logging

Logging 通过在主路由器上记录数据包，然后通过数据采集技术来决定这些数据包的穿越路径。虽然这种办法可以用于对攻击后的数据进行追踪，但也有很明显的缺点。
一方面，要求记录和处理大量的信息，这对存储和计算资源都是巨大的挑战。在实际操作中，可能需要大量的硬盘空间来存储数据包记录，并且需要强大的处理器来处理这些数据。另一方面，查询网吧 ROS 被 DDOS 攻击的 IP 攻击器方法也较为复杂，如 Ros 方法一需要右击一下流量最高的网卡找到 Torch 然后点击一下 RxRate 从大到小排列看看是哪个网址流量高；方法二是 TOOLS - TORCH 然后选 WAN，点击 START。这些方法对于普通用户来说可能难以操作。

五、网吧 DDoS 攻击查询方法

（一）方法一

Ros 方法一：右击一下流量最高的网卡找到 Torch，然后点击一下 RxRate，从大到小排列看看是哪个网址流量高就 OK 了。如果是低版本的，可以从 tools 里面找 Torch。这种方法通过查看网卡流量，能够快速定位可能存在攻击的网址。在实际应用中，网吧管理人员可以迅速采取行动，确定高流量网址是否为攻击源，以便及时采取应对措施。例如，在某网吧遭受 DDoS 攻击时，管理人员采用这种方法，发现某个特定网址的流量异常高，经过进一步排查，确定该网址为攻击源之一，从而及时采取了屏蔽措施，减少了攻击对网吧网络的影响。

（二）方法二

Ros 方法二：TOOLS - TORCH 然后选 WAN，点击 START。此方法同样是利用网吧的特定软件工具进行攻击查询。通过选择 WAN 并点击 START，可以对网络流量进行监测和分析。这种方法对于网吧环境下的 DDoS 攻击查询具有针对性和实用性。例如，一家中型网吧在遭受不明来源的 DDoS 攻击后，管理人员使用方法二进行查询，发现了一些异常的网络流量模式，进而追踪到了攻击源的大致方向，为后续的防御和处理提供了重要线索。

六、总结与展望

（一）总结追踪复杂性

DDoS 攻击源追踪是一项极具挑战性的任务。攻击中跳板众多，攻击者利用多层傀儡机使得源头难以定位，同时伪地址的大量使用更是增加了追踪的难度。各种追踪技术也都存在局限性，如 PacketMarking 受限于 Identification 域的信息量限制、标记信息易被伪造以及不支持该技术的路由器的存在；ControlledFlooding 本身是一种 DOS 攻击且需要覆盖整个网络的拓扑图，实际操作困难；ICMP 追踪可能被过滤掉，依赖路由器功能且易受伪造消息干扰；Logging 则面临存储和计算资源的巨大挑战以及复杂的查询方法。此外，网吧环境下的 DDoS 攻击查询方法虽然具有一定的针对性，但对于普通用户来说操作仍有一定难度。

（二）强调综合运用

面对 DDoS 攻击源追踪的复杂性，综合运用多种技术和资源至关重要。监控网络流量、分析日志文件、使用网络流量分析工具、路由追踪、协同合作、使用防火墙和入侵检测系统以及配置防御机制等方法应相互配合。例如，通过实时监控网络流量发现异常后，结合日志文件分析确定攻击时间和类型，再利用网络流量分析工具和路由追踪确定攻击源头的大致位置，同时与 ISP 协同合作获取更强大的资源和技术支持，利用防火墙和入侵检测系统及时阻止攻击流量并记录信息，最后通过配置防御机制降低未来遭受攻击的风险。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。