[推荐]DDOS反击实战--冗长的DDOS反击思路!
[color=#DC143C]【11/2/2004 16:1:26】 【马丁】 【cnsea.org】
前言:这篇文章是“黑客张大民江南小城奇遇记”与“黑客张大民江南小城奇遇记”的姐妹篇,如果想了解一下黑客张大民的来龙去脉和背景,可以参考下面这两篇文章。
本文借他的生活和研究来传播一些比较乏味的网络安全的知识。
序
凌晨两点,黑客张大民的手机开始狂响起来。张大民睡眼惺忪,翻起身看了一下手机号码,知道他必须得接这个电话。最近张大民换了个工作,新公司给一些主要的网站做安全咨询和安全管理。几个主要的技术人员每一个人负责一些客户,这个电话就是一个主要客户的网站管理员打来的。“这么晚了,小子还在上班?”,张大民心里嘀咕着。
“喂,小李”,张大民很不情愿的接了电话。
“大民兄弟,网站出事了!”,在电话的那边,小李的声音已经有点变形了。
“怎么出事了?”,张大民间?
“不知道啊,流量特别大,已经死机两回了!客户的电话都快把线打爆了”,小李说。
“深更半夜的,谁还打你们的客服电话啊?”,张大民觉得小李有可能在蒙他。
“大民兄弟,你不知道啊,我们的网站海外客户很多,大概时差是十几个小时,现在是他们哪里下午,正是用得时候!”。小李说。
“好,好,那我去看看”,张大民无可奈何,只好匆匆忙用冷水洗了把脸,尽快的赶到机房。
到了机房,张大民才知道问题的严重性,通过分析网络流量日志,张大民查出这是最普通的TCP的SYN洪水攻击,也就是攻击网站WEB服务器HTTP的TCP端口80,流量很大,基本上每秒钟收到50万个TCP的SYN报文。每一个SYN报文都要浪费WEB服务器的一定资源,几乎WEB服务器的所有资源都被这个洪水攻击所占据了,正常的网页访问更本进不来。而且由于WEB服务器长时间超负荷运转,性能很不稳定,已经崩溃两次了。
张大民不是没有见过类似的情况。这种洪水攻击大部分时候都是伪造IP报文的源地址,有的时候挑RFCl918里面的私有IP地址,就是不让你发现攻击的源头。因为这些攻击的源头一旦被发现了,网络管理员们会彼此通告,这些问题主机很快会被管理员弄下线,这样黑客就少了一个可以控制的网上资源。
张大民希望这次攻击也是类似情况,因为这样的洪水攻击使反击的方法很简单,私有地址只能在私有空间使用,不应该在公用的互联网上出现,他只要在这个网站的网关路由器上配置一些访问控制列表,把IP报文中IP源地址是RFCl918的私有地址报文过滤掉就行了,因为这些报文肯定不会是有效报文。
但再进一步分析网络流量日志,张大民发现这个攻击是分部式的洪水攻击。大部分IP报文的源地址都是互联网上的真实地址。张大民试了几个地址,都是可以PING的通的。用NMAP扫描了一下,发现大部分是微软的主机,看样子都是被OWN的了“肉鸡”。张大民估计了一下,攻击源大概有四五万个不同的IP地址。日志里面也搀杂了很多伪造的IP源地址报文,一时之间,张大民也无法判断哪些是真实的IP地址,哪些是伪造的IP地址。估计真实的地址会在几百到一千台左右“很牛X啊”,张大民暗自想。“摆明了是不怕暴露被控制的主机(攻击源)的真实身份,估计被控制的主机的数目比目前发动DDOS估计的数目还要多的多,所以这个家伙也不在乎损失几千台肉鸡”。 “别光看日志啊”,小李等不急了,“有没有办法啊
“给你上游的ISP打电话了么?”,张大民间。
“打了,跟本就没人接”,小李的声音里已经带了点哭腔。
“唉”,张大民叹了口气。发生这种情况,最好的办法就是同上游的ISP联系,让ISP在他们的网络中找到DDOS网络进入ISP网络的入口,在ISP网络的入口出将其掐断。虽然DDOS估计来自四面八方,但大多数情况下会汇集到一起,进入上游ISP网络的入口点还是有限的。但如果紧急时刻找不到ISP的网络管理员,那就基本上没有什么办法了。
“如果找不到他们,我也没什么折”,张大民一摊手。“除非你想在你的网关路由器上配置上万个访问控制列表,把这些DDOS攻击的源头一个一个的掐掉”。
“今晚我是没有了”,张大民说,看着自己客户一脸绝望的样子,张大民心里也不是滋味,心中暗想,“道高一尺,魔高一丈,一定会有好方法来反击这些DDOS的家伙,也不一定非要向ISP的网管告急,我一定要好好研究一下怎么样能好好的反击DDOS。
|