|
|
|
|
移动端

2.1.2 DoS/DDoS 攻击源追踪思路

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍DoS/DDoS 攻击源追踪思路。

作者:李晨光来源:机械工业出版社|2014-11-26 19:45

年前最后一场技术盛宴 | 1月27日与京东、日志易技术大咖畅聊智能化运维发展趋势!


2.1.2 DoS/DDoS 攻击源追踪思路

DoS/DDoS 攻击不需要攻击者与受害者进行交互,攻击者可以伪造源IP 地址。而有些DoS 攻击(如SYN Flooding 等),伪造地址会使攻击更有效,从而难以采取有效的措施防范或缓解攻击所造成的影响,因此,DoS/DDoS 攻击源的追踪已经受到越来越广泛的关注。网络管理人员如何对DoS/DDoS 攻击源进行追踪呢?主要有以下两种方法:

(1)逐跳追踪,它是最原始、最有效的追踪方法,即逐个路由器地追踪,直到攻击源。路由器上记录了所有上游链路转发的分组信息。对于网络日志而言,受害者可将提取出的网络设备上攻击分组特征与存储在路由器中的信息比对,逐级找出攻击分组所经过的路由器,最后定位到攻击源。如图2-2 所示。但这种方法的日志信息量大得惊人,会占用大量路由器的系统资源。

1)通过Traceroute 获得从探测机到目标DNS 服务器的路由路径R1→R2→R3。

2)依次向R1/R2/R3 发送DNS 请求探测数据报文。

3)检测是否收到DNS 应答,直到所有路由器探测完毕。

由于路由器的每个接口都有IP,如果知道距离攻击者最近的路由器的入口IP 地址,那么据此同样可以更加接近攻击者的真实IP 位置。

(2)ICMP 追踪,这是一种利用ICMP 消息进行追踪的技术。通过寻找相应的ICMP 追踪消息并检查攻击者的源IP 地址可以确定分组穿越的路由器。尤其是在洪泛型攻击中,被攻击网络能收集到足够的ICMP 追踪消息来构造攻击路径。

上面谈到的两种IP 追踪技术,在实际网络安全分析中非常有用,大家在遇到问题时要根据自身情况综合运用。但它们也有一定的局限。实际上IP 追踪通过防火墙进入企业内部网是很难的。通常情况下最后追踪到的地址可能是企业网边界防火墙地址,这也是企业网的入口。另外一个问题是追踪系统的配置。大多数追踪技术要求改变网络,包括增加路由器功能。有时即使IP 追踪找到了攻击源,这个源可能只是攻击中的一个中转点IP。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

一目了然——Web软件显性设计之路

本书阐述了为什么以及如何设计出简单易用的基于Web的软件,让用户单凭常识即可有效地使用它。主要内容包括:显性设计的概念、如何理解用户...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊