ddos(分布式拒绝服务攻击)分为两种**直接攻击**/**反弹攻击(间接攻击)ddos及对抗方法ip溯源的实现原理和防御措施

ddos(分布式拒绝服务攻击)分为两种直接攻击/反弹攻击(间接攻击)

ddos的实现原理是基于tcp/ip的三次握手实现的

攻击者将发送ip设置为虚假ip,受访者在进行第二次握手时,不能判断ip真伪,向源地址发送响应包,并且等待第三次握手,随时间响应丢失,却占用cpu和内存

直接攻击(控制肉鸡发送大量虚假请求)

就是通过大量的这种虚假连接，消耗主机资源，造成主机资源枯竭，从而导致正常的用户不能进行正常访问。

反弹攻击(反弹shell??)(模拟正常用户访问)

是将包含假受害者的ip数据包发送到一些反射体上，反射体收到数据包后将响应数据包直接发送到受害者，大量响应数据包将占用受害者的入口链路。

对抗技术:ip溯源

internet分为:采用IPSec方案和未采用IPSec方案 采用IPSec方案的internet可以有效防止ip欺骗(识别ddos)

ip溯源:推断出攻击报文在网络中的穿行路线，定位攻击源的位置.

技术思路

找到ip包从攻击者到受害者之间的路由器转发,复现出路径结构.

主要方法

链路测试溯源法; 登陆分析溯源法; ICMP 溯源法; 分组标记溯源法; 路由器日志记录溯源法等

链路测试溯源法(两种,缺点大实现较难)

实现手段:网管人员在每个路由器入端口设置相关过滤条件，如果过滤有效则可以确定上游链路和上游设备。

缺点:攻击结束后或间歇性攻击的情况下不易实现

0x01:输入调试

根据攻击特征设置输出端口过滤,过滤机制可追溯输入端口(上一级路由器),而后重复

缺点:工作量大,调试缓慢,需要其他IPS配合

0x02:flooding控制

通过对预先生成的网络拓扑结构相关链路强行淹没,查看攻击流量变化而确定攻击流来源

缺点:方法属于拒绝服务,算法实现难,仅适用于攻击进行时

0x03登录分析溯源法(未实用)

利用数据发掘技术,确定关键路由器上已登录数据包转发路径

优点:攻击结束后长时间可利用 缺点:需大量数据库集成

0x04icmp跟踪溯源

将信息附加在报文中

缺点:易被过滤,报文易伪造,信息不准确

分组标记溯源法

根据ip地址的序列号对ip进行标记来确定网络层的传输溯源问题

路由器日志溯源

根据路由器日子log排查结合数据挖掘技术,基于hash值的

优点是追踪速度快，可以在攻击发生以后进行溯源，没有实时性要求。

缺点:开销比较大，日志格式不统一，不同运营商日志无法共享，实际可操作性不强。

本文参考文献