《DDOS Cap 文件分析全攻略》(图文)

一、DDOS 攻击简介

DDOS 攻击是一种恶意行为，通过大规模互联网流量淹没目标服务器或其周围的基础设施，破坏目标服务器、服务或网络的正常流量，利用多个受损的计算机系统作为攻击流量的来源来达到攻击效果。
DDoS 攻击即分布式拒绝服务攻击，是目前最常见的网络攻击方式之一。攻击者操纵大量计算机，或位于不同位置的多个攻击者，在短时间内通过将攻击伪装成大量的合法请求，向服务器资源发动攻击，导致请求数量超过服务器的处理能力，造成服务器运行缓慢或者宕机。通常由僵尸网络用于执行此恶意任务，由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。
不同的 DDoS 攻击向量针对网络连接的不同组件。为了理解不同的 DDoS 攻击是如何工作的，有必要知道如何建立网络连接。因特网上的网络连接由许多不同的组件或 “层” 组成。DDoS 攻击可分为三类：应用层攻击、协议攻击和容量攻击。
应用层攻击，有时被称为第 7 层 DDoS 攻击，目标是耗尽目标的资源。例如 HTTP Flood 攻击，类似于同时在多个不同计算机上反复按 Web 浏览器中的刷新，大量 HTTP 请求泛滥服务器，导致拒绝服务。
协议攻击，也称为状态耗尽攻击，通过消耗 Web 应用程序服务器或防火墙和负载平衡器等中间资源的所有可用状态表容量来导致服务中断。例如 SYN Flood 攻击，通过向目标发送具有欺骗性源 IP 地址的大量 TCP “初始连接请求” SYN 数据包来利用 TCP 握手，使目标机器响应每个连接请求后等待握手中的最后一步，而这一步从未发生过，耗尽目标资源。
容量攻击，此类攻击试图通过消耗目标与较大 Internet 之间的所有可用带宽来创建拥塞。通过使用放大形式或其他创建大量流量的方式（例如来自僵尸网络的请求）将大量数据发送到目标。例如 DNS 放大攻击，向具有欺骗 IP 地址（目标的真实 IP 地址）的开放 DNS 服务器发出请求，使目标 IP 地址从服务器接收响应，攻击者构造请求让 DNS 服务器以大量数据响应目标，实现对目标初始查询的放大。

二、获取 DDOS cap 文件

1. 提交工单获取访问日志信息 cap 文件。

在网络安全领域，当我们遭遇 DDoS 攻击时，获取访问日志信息的 cap 文件是进行分析的重要步骤之一。我们可以通过提交工单的方式来获取这些关键文件。提交工单时，需要明确问题描述，准确清晰地阐述我们需要访问日志信息 cap 文件以分析 DDoS 攻击的情况。同时，选择合适的工单类型，例如 “安全事件处理” 或 “日志查询” 等相关类型。提供必要的信息，包括工单的紧急程度（如高紧急度，因为 DDoS 攻击可能会对业务造成严重影响）、对业务的影响（如网站响应缓慢、服务中断等）以及希望得到的解决方案（获取 cap 文件进行分析以制定应对策略）。在提交工单之前，务必仔细确认工单信息的准确性和完整性，确保问题描述、工单类型和附加信息没有错误或遗漏。提交工单后，要及时跟进和反馈，以便技术支持人员更好地理解问题并尽快处理。像 AskBot 智能工单系统就是一款基于 ITIL 标准专为企业打造的内部服务在线化系统，支持自定义工单模板，自动化派单转单，SLA 管理，资产管理，问题管理等功能，可与 AskBot 机器人深度融合，实现人机协同工作，通过机器学习技术的应用，实现工单流转过程中的智能化，帮助企业更好地管理内部服务。

2. 使用 tcpdump 命令生成 cap 文件，如 tcpdump -i eth0 host 【攻击 ip】 -w 【保存文件名.cap】。

tcpdump 是一个非常强大的网络抓包工具，可以用于生成 cap 文件以分析 DDoS 攻击。首先，了解 tcpdump 的常用参数是很重要的。例如，“-i” 参数用于指定网络接口，“host” 参数后接攻击 IP 地址可以指定要抓取的特定主机的数据包，“-w” 参数用于将抓包结果保存成指定文件名的 cap 文件。在使用 tcpdump 抓包时，可以根据具体需求进行不同的配置。比如，可以选择是否进行地址和端口转换成名字，若不想进行转换，可以添加 “-nn” 参数。如果要抓取特定的协议数据包，如 tcp 端口 80 的 HTTP 数据包，可以使用 “tcpdump tcp port 80 -n -X -s 0 -w /tmp/tcp.cap” 这样的命令。在 Kubernetes 环境中，也可以使用 tcpdump 抓包并保存成 cap 文件。首先在 Kubernetes 集群中选择要抓包的 Pod，然后登录到选定的 Pod 中，使用 “tcpdump -i any -w capture.cap” 进行抓包，最后可以按 “Ctrl+C” 停止抓包，并使用 “kubectl cp” 命令将保存的 cap 文件从 Pod 中拷贝到本地机器上。此外，还可以通过指定来源 IP 或目的 IP、网段，指定端口和协议，使用逻辑表达式进行过滤等方式来灵活运用 tcpdump 抓包，以获取更有针对性的 cap 文件用于 DDoS 攻击分析。

三、分析 DDOS cap 文件方法

1. 用 wireshark 打开数据包，默认界面分为上中下三个部分，上面是数据包的列表集，每行代表一条交互消息；中间部分内容视具体情况而定；最下面是原消息的二进制表达式，一般不看直接忽略。

当我们使用 wireshark 打开 DDOS cap 文件时，首先映入眼帘的是其独特的界面布局。界面上方的数据包列表集展示了一条条交互消息，这些消息代表着网络中的各种通信活动。每一行都可能蕴含着关键的信息，需要我们仔细分析。中间部分的内容会根据具体的数据包情况而有所不同，可能包含详细的协议信息、数据内容等。而最下面的原消息二进制表达式通常情况下可以直接忽略，因为对于大多数分析来说，我们主要关注的是上层的协议和数据内容。

2. 分析数据包要有 OSI 的七层数据模型概念，从低到高：物理层、数据链路层、网络层、传输层、(会话层、表示层)、应用层，wireshark 解析的消息也按此顺序显示，但在具体应用中，会话层和表示层基本不用，大部分直接转移到应用层，有的甚至没有应用层、传输层、网络层等，不过物理层和数据链路层通常是可用的。

在分析 DDOS cap 文件时，我们需要具备 OSI 七层数据模型的概念。OSI 模型从低到高分别为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。wireshark 在解析数据包时也会按照这个顺序显示信息。然而，在实际应用中，会话层和表示层通常很少被用到，很多情况下数据会直接转移到应用层。甚至在一些情况下，可能没有应用层、传输层和网络层。不过，物理层和数据链路层通常是可用的。
物理层主要负责为数据端设备提供传送数据的通路，例如通过网线、网卡等物理设备传输比特流。在分析 DDOS cap 文件时，我们可以关注物理层的一些特征，如信号强度、传输速率等，虽然这些信息可能不是直接与 DDOS 攻击相关，但可以帮助我们了解网络的整体状况。
数据链路层则将由物理层传来的未经处理的位数据包装成数据帧。交换机在数据链路层发挥着重要作用，它可以根据 MAC 地址智能地转发数据帧。通过分析数据链路层的信息，我们可以了解数据包的源和目的 MAC 地址，以及交换机的转发情况。例如，我们可以查看 MAC 地址表，了解交换机所学习到的条目，判断是否有异常的 MAC 地址出现。

四、DDOS 攻击案例及解决办法

1. CentOS 上 NTP 服务的 DDOS 攻击案例

• 场景描述：服务器频繁报警，流量过大遭 DDOS 攻击，服务被隔离不可用。

• 分析：通过查看 cap 文件，确定是 NTP 服务被外部反复请求造成。

• 何为 NTP：NTP 服务器即网络时间协议（Network Time Protocol）服务器，是一种利用 NTP 为计算机系统提供准确时间同步的服务器。它能够通过连接到上层时间源（如原子钟、GPS、无线电时间信号等），将其客户端的时钟同步到毫秒级甚至微秒级的精度。NTP 采用分层的时间分布模型，称为 “Stratum”。Stratum-0 代表最高级的时间源，如铯原子钟或 GPS。Stratum-1 服务器直接连接 Stratum-0 时间源，Stratum-2 服务器同步于 Stratum-1，以此类推。用户设备通常连接到 Stratum-2 或更高层的服务器。

• 如何解决：服务器现象为由于服务配置不当，导致被黑客利用进行 DDOS 攻击，表现为机器对外带宽占满。Linux 系统加固 NTP 服务的方法有：通过 Iptables 配置只允许信任的 IP，访问本机的 UDP 的 123 端口，修改配置文件执行 echo "disable monitor" >> /etc/ntp.conf，然后重启 NTP 服务，service ntpd restart；也可以直接关闭掉 NTP 服务，执行 service ntp stop，并禁止其开机自启动执行 chkconfig ntpd off。此外，还可以加固 Chargen 服务、Simple tcp/ip 服务和 WEB 应用等。

2. Linux 服务器被 DDOS 攻击案例

• 发生了什么事：服务器响应极慢，超带宽，怀疑内部有问题但未找到原因。

• 怎么发现的：在网络运维朋友的帮助下，使用 iftop 插件发现服务器受到大量 IP 访问。

• 如何防御 DDOS：少量攻击可在服务器安全组设置 IP

 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。