黑客安全:DDOS反击浅谈

  媒介：这篇文章是“黑客张大民在IPv6里的幸福与懊恼”与“黑客张大民江南小城奇遇记”的姐妹篇，要是想相识一下黑客张大民的来龙去脉和背景，可以参考这两篇文章。
  本文借他的生活和研讨来流传一些比力乏味的网络宁静的知识。
  序
  凌晨两点，黑客张大民的手机开始狂响起来。张大民睡眼惺忪，翻起家看了一动手机号码，晓得他必须得接这个电话。最近张大民换了个事情，新公司给一些主要的网站做宁静征询和宁静管理。几个主要的技术职员每一个人负责一些客户，这个电话便是一个主要客户的网站管理员打来的。“这么晚了，小子还在上班?”，张大民气里嘀咕着。
  “喂，小李”，张大民很不情愿的接了电话。
  “大民兄弟，网站失事了!”，在电话的那里，小李的声响曾经有点变形了。
  “怎么失事了?”，张大民问?
  “不晓得啊，流量特别大，曾经死机两回了!客户的电话都快把线打爆了”，小李说。
  “深更半夜的，谁还打你们的客服电话啊?”，张大民觉得小李有可能在蒙他。
  “大民兄弟，你不晓得啊，我们的网站海外客户许多，大约时差是十几个小时，现在是他们那里下午，正是用得时间!”。小李说。
  “好，好，那我去看看”，张大民无可若何怎样，只好匆匆忙用冷水洗了把脸，尽快的赶到机房。
  到了机房，张大民才晓得题目的紧张性，通太过析网络流量日志，张大民查出这是最普通的TCP的SYN洪水攻击，也便是攻击网站WEB办事器HTTP的TCP端口80，流量很大，根本上每秒钟收到50万个TCP的SYN报文。每一个SYN报文都要糜费WEB办事器的肯定资源，险些WEB办事器的所有资源都被这个洪水攻击所占据了，正常的网页拜访更本进不来。而且由于WEB办事器永劫间超负荷运转，功能很不稳定，曾经崩溃两次了。
  张大民不是没有见过雷同的环境。这种洪水攻击大部门时间都是伪造IP报文的源地址，有的时间挑RFCl918内里的公有IP地址，便是不让你发现攻击的源头。由于这些攻击的源头一旦被发现了，网络管理员们会彼此通告，这些题目主机很快会被管理员弄下线，如许黑客就少了一个可以控制的网上资源。
  张大民希望这次攻击也是雷同环境，由于如许的洪水攻击使还击的要领很简单，公有地址只能在公有空间利用，不该该在公用的互联网上呈现，他只要在这个网站的网关路由器上配置一些拜访控制列表，把IP报文中IP源地址是RFCl918的公有地址报文过滤掉就行了，由于这些报文肯定不会是有效报文。
  但再进一步分析网络流量日志，张大民发现这个攻击是分部式的洪水攻击。大部门IP报文的源地址都是互联网上的真实地址。张大民试了几个地址，都是可以PING的通的。用NMAP扫描了一下，发现大部门是
  微软的主机，看样子都是被OWN的了“肉鸡”。张大民估计了一下，攻击源大约有四五万个不同的IP地址。日志内里也搀杂了许多伪造的IP源地址报文，一时之间，张大民也无法判断哪些是真实的IP地址，哪些是伪造的IP地址。估计真实的地址会在几百到一千台左右“很牛X啊”，张大民暗自想。“摆明白是不怕暴露被控制的主机(攻击源)的真实身份，估计被控制的主机的数量比目前发动DDOS估计的数量还要多的多，以是这个家伙也不在乎损失几千台肉鸡”。 　　“别光看日志啊”，小李等不急了，“有没有措施啊
  “给你下游的ISP打电话了么?”，张大民问。
  “打了，跟本就没人接”，小李的声响里曾经带了点哭腔。
  “唉”，张大民叹了口吻。发生这种环境，最好的措施便是同下游的ISP接洽，让ISP在他们的网络中找到DDOS网络进入ISP网络的入口，在ISP网络的入口出将其掐断。虽然DDOS估计来自五湖四海，但大多数环境下会搜集到一同，进入下游ISP网络的入口点还是有限的。但要是告急时刻找不到ISP的网络管理员，那就根本上没有什么措施了。
  “要是找不到他们，我也没什么折”，张大民一摊手。“除非你想在你的网关路由器上配置上万个拜访控制列表，把这些DDOS攻击的源头一个一个的掐掉”。
  “今晚我是没有了”，张大民说，看着自己客户一脸绝望的样子，张大民气里也不是味道，心中暗想，“道高一尺，魔高一丈，肯定会有好要领来还击这些DDOS的家伙，也不肯定非要向ISP的网管告急，我肯定要好好研讨一下怎么样能好好的还击DDOS。
  DDOS网络攻击定义
  虽然张大民一向不太看得起这些DDOS的人的所作所为，但易攻难守的特点，让张大民还是觉得有肯定的挑衅性，千台“肉鸡”，发网络流量便是了，张大民不是没做过，现在曾经懒得做了。但防卫起来可就难了。
  IPv4网络设计上的一个特点(缺点)便是任何人在互联网上都可以向任何人发报文，哪怕你不想让别人向你的主机发送报文，但只要你的IP地址是公用的IP地址，你也没措施制止他。而且TCP在设计的时间，设计的头脑之一便是所有的在互联网上的主机都要做个好人，各人都是互联网上规端正矩的诚实人，要是那里有网络的塞车，TCP会主动的低落网络的发送流量，等网络的环境好点了，TCP再试着一点一点的增长网络流量，目标是只管即便不给网络增长负担。当全天下的主机上的TCP都按照如许的方式运作时，就有了我们本日的互联网。各人都可以浏澜任何一个想浏澜的网站。就像在一个高速公路上，所有的司机都谦逊三先，保证不要让高速公路塞车的环境呈现。
  但黑客们可就不论这么多了，他们就像哪些在高速公路上飙车的大年轻一样，在互联网的高速公路上横冲直撞。主机是我的，我想让它做什么都行，用不着谦逊三先，也用不着服从TCP的协议规定，不按照TCP状态机规定的状态行事。
  拒绝办事的攻击(DOS)便是这么发展而来的。在学校里学过网络基来源根基理的人都晓得TCP的三方握手协议，便是TCP客户要发一个SYN的报文，办事器回一个SYNACK的报文，客户再回一个ACK的报文，两方面就创建起了TCP的连接。
  在这个历程中，办事器要为每一个TCP连接分部肯定的内存来跟踪TCP庞大的状态，以便更好的保证TCP连接的正常事情。而拒绝办事的攻击不按照TCP的状态转换图来事情，只象办事器公布TCP的SYN报文，办事器以为是一个将要创建的TCP连接，由于它以为对面肯定是一个遵纪遵法的互联网公民，会为这个TCP连接创建状态，分派内存。而网络那一端的客户可不按照端正办事，它只向办事器公布少量高速的TCP SYN报文。但办事器还是仁慈的相信每一个TCP SYN报文背面都是一个遵纪遵法的互联网公民，连续为他们分派内存，导致了少量的糜费。更遭的是，由于这个不遵法的主机的行为，导致别的遵法的主机无法拜访这台办事器，由于险些所有的资源都被这台不遵法的主机所占用了，别的遵法的主机曾经享受不到这台办事器提供的办事。这也是为什么如许的办事叫作拒绝办事的攻击。等人们认识到了这个题目，发现最简单的解决措施便是把这些不负责任的主机屏蔽掉。而能屏蔽这些主机的独一要领便是根据这些主机的IP源地址，在IPv4的天下里，这是决议一台主机的独一标识。
  黑客们也有措施，好，你不是要根据我的IP源地址来屏蔽我吗?那我就伪造我的IP源地址，让你猜不出我是那里来的，而且我的源地址是随机的，每一个报文都在变，如许你就不晓得我是那里来的了。他们这么一弄，网站管理员就没有措施了，究竟如何屏蔽呢?网站管理员就找到体系管理员和网络管理员，他们一看，说这个很好解决，黑客可以伪造IP源地址，但这些机器可都是在网络管理员和体系管理员管理之下的，不论IP地址怎么变，攻击源只有一个，把攻击源屏蔽掉了就可以了。但道高一尺，魔高一丈，黑客们又说，好，你是想屏蔽我的攻击源是吧，那我就弄它几百几千个攻击源，每个攻击源还在不同的网络。每一个攻击源再用随机的IP源地址，这下看你怎么办。如许，不论是网站管理员，体系管理员还是网络管理员都在挠脑袋了。

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：