溯源溯源,什么是源,我觉得分几个级别: 1,攻击流量的来源IP 2,攻击流量的发起IP 3,攻击流量的发起者。溯到1,基本上可以用来做流量清洗了,到了2,那理论上就存在可以近源压制的可能,已经算是高级,如果能搞定3,那我们做ddos检测防护的差不多要么失业要么转行了。
DDoS攻击分不同的类型,不同类型,根据上面要溯的不同的源难易也有差异,下面讨论方面,把上面说的源123表示为level1/level2/level3.
直接攻击型:
比如SYN flood/ACK Flood/DNS Flood/UDP Plain Flood/http flood等,这些往往都是botnet发起的,发起的时候有的会伪造源IP,有的不伪造。识别了攻击流量,简单统计就知道到了level 1。没有伪造源ip的,leve2就等于level1。对于伪造源ip的情况,level2在被攻击方就无法获取,运营商级别可以做spoof检测,或者持续的跟踪botnet,进而持续的跟踪CC发起的攻击指令,看CC都连了哪些client,看哪些client接收到了攻击指令。level3单独讨论。
反射放大型:
反射放大基本都是为了打带宽,由于有了反射放大的因素在里面,基本都不用botnet,找/黑/租几个机器上去打流量就行了。在被攻击端,看到的ip都是真实的ip,都是被利用的反射放大节点,level1简单。但是和上面直接攻击型不一样的是,这时候的发起IP可不能说就是看到的真实攻击IP了,因为有反射的因素在里面,level2的ip应该是那几台发起原始流量的机器,而不是反射流量的源ip。这个level2,运营商可以做,看哪些子网有非自己段的源ip的流量出来,然后可以做端的流量检测,比如HIDS。level3单独讨论。
你看,上面我说到运营商,都是说他们“可以做”,但是他们能不能做,想不想做,这就是另外的话题了。
之所以单独讨论level3,是因为level1/level2属于如果想干,理论上是肯定能干成的。而level3,理论上就没法说肯定能干成。看CC是被谁控制的,反射放大的控制人是谁,这个比较难,毕竟网络攻击抓现场你也看不到人,不过思路也不是没有,攻击也都是为了挣钱,他们会有交易,会有圈子,初期的信息采集(比如找可用的反射放大源)可能用的都是自己的ip,各种小动作会漏出马脚,在多个阶段关联,有时也能关联出来。
USA-IDC提供美国服务器租用,性能稳定快速,全美最低延迟,全程运维24小时在线,秒级回复,欢迎广大用户联系24小时在线客服