DDOS攻击手段是在传统的DOS攻击基础之上产生的一类攻击方式。单一的DOS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。如何追踪ddos攻击者?常见电脑黑客攻击类型与预防方法是什么?一起和https://www.nc005.com/看看吧。
DDoS的追踪
DDoS的追踪主要有两个目的:1是通过追踪攻击源获取攻击包的特征从而对流量进行过滤或者联系ISP寻求帮助;2是找到攻击源并搜集攻击证据,从而有可能通过法律手段对攻击者进行惩罚。无论能否最终找到攻击源,DDoS攻击的追踪技术对于DDoS的防御都是十分重要的。目前主要的DDoS追踪技术有Packet Marking、ICMP追踪、Logging以及Controlled Flooding。这些跟踪技术一般都需要路由器的支持,实际中也需要ISP的协助。
Packet Marking是一大类方法,其基本思想是路由器在IP包中的Identification域加入额外信息以帮助确定包的来源或路径。由于IP包的Identification域在因特网中被使用到的比率只有0.25%,因此在大多数包中添加路由信息是十分可行。当然如果对每个包都做处理没有必要,因此大多数Packet Marking方法都是以一个较低的概率在IP包中加入标记信息。Packet Marking方法需要解决的主要问题是:由于IP包的Identification域只有16比特,因此加入的信息量很受限制,如果要追踪源地址或者路径就要精心构造加入的信息,这涉及到路由器如何更新已有的标记信息,如何降低标记信息被伪造的可能,如何应对网络中存在不支持Packet Marking的路由器的情况。比如,采用用异或和移位来实现标记信息的更新。
Controlled Flooding是Burch和 Cheswick提出的方法。这种方法实际上就是制造flood攻击,通过观察路由器的状态来判断攻击路径。首先应该有一张上游的路径图,当受到攻击的时候,可以从受害主机的上级路由器开始依照路径图对上游的路由器进行受控的flood,因为这些数据包同攻击者发起的数据包共享了路由器,因此增加了路由器丢包的可能性。通过这种沿路径图不断向上进行,就能够接近攻击发起的源头。Controlled Flooding最大的缺点就是这种办法本身就是一种DOS攻击,会对一些信任路径也进行DOS。而且,Controlled Flooding要求有一个几乎覆盖整个网络的拓扑图。Burch和 Cheswick也指出,这种办法很难用于DDOS攻击的追踪。这种方法也只能对正在进行攻击有效。
以上是对DDOS攻击的追踪介绍,学习更多的网络安全小知识,请关注https://www.nc005.com/。