DDOS攻擊手段是在傳統(tǒng)的DOS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DOS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。如何追蹤ddos攻擊者?常見電腦黑客攻擊類型與預(yù)防方法是什么?一起和佰佰安全網(wǎng)看看吧。

DDoS的追蹤

DDoS的追蹤主要有兩個(gè)目的：1是通過追蹤攻擊源獲取攻擊包的特征從而對(duì)流量進(jìn)行過濾或者聯(lián)系ISP尋求幫助;2是找到攻擊源并搜集攻擊證據(jù)，從而有可能通過法律手段對(duì)攻擊者進(jìn)行懲罰。無論能否最終找到攻擊源，DDoS攻擊的追蹤技術(shù)對(duì)于DDoS的防御都是十分重要的。目前主要的DDoS追蹤技術(shù)有Packet Marking、ICMP追蹤、Logging以及Controlled Flooding。這些跟蹤技術(shù)一般都需要路由器的支持，實(shí)際中也需要ISP的協(xié)助。

Packet Marking是一大類方法，其基本思想是路由器在IP包中的Identification域加入額外信息以幫助確定包的來源或路徑。由于IP包的Identification域在因特網(wǎng)中被使用到的比率只有0.25%，因此在大多數(shù)包中添加路由信息是十分可行。當(dāng)然如果對(duì)每個(gè)包都做處理沒有必要，因此大多數(shù)Packet Marking方法都是以一個(gè)較低的概率在IP包中加入標(biāo)記信息。Packet Marking方法需要解決的主要問題是：由于IP包的Identification域只有16比特，因此加入的信息量很受限制，如果要追蹤源地址或者路徑就要精心構(gòu)造加入的信息，這涉及到路由器如何更新已有的標(biāo)記信息，如何降低標(biāo)記信息被偽造的可能，如何應(yīng)對(duì)網(wǎng)絡(luò)中存在不支持Packet Marking的路由器的情況。比如，采用用異或和移位來實(shí)現(xiàn)標(biāo)記信息的更新。

Controlled Flooding是Burch和 Cheswick提出的方法。這種方法實(shí)際上就是制造flood攻擊，通過觀察路由器的狀態(tài)來判斷攻擊路徑。首先應(yīng)該有一張上游的路徑圖，當(dāng)受到攻擊的時(shí)候，可以從受害主機(jī)的上級(jí)路由器開始依照路徑圖對(duì)上游的路由器進(jìn)行受控的flood，因?yàn)檫@些數(shù)據(jù)包同攻擊者發(fā)起的數(shù)據(jù)包共享了路由器，因此增加了路由器丟包的可能性。通過這種沿路徑圖不斷向上進(jìn)行，就能夠接近攻擊發(fā)起的源頭。Controlled Flooding最大的缺點(diǎn)就是這種辦法本身就是一種DOS攻擊，會(huì)對(duì)一些信任路徑也進(jìn)行DOS。而且，Controlled Flooding要求有一個(gè)幾乎覆蓋整個(gè)網(wǎng)絡(luò)的拓?fù)鋱D。Burch和 Cheswick也指出，這種辦法很難用于DDOS攻擊的追蹤。這種方法也只能對(duì)正在進(jìn)行攻擊有效。

以上是對(duì)DDOS攻擊的追蹤介紹，學(xué)習(xí)更多的網(wǎng)絡(luò)安全小知識(shí)，請(qǐng)關(guān)注佰佰安全網(wǎng)。

責(zé)任編輯:慕丹萍