服务热线：400-678-4567
最新消息：
您现在的位置是： >
怎么查ddos攻击源，查ddos攻击源的方法是什么？
admin 次浏览
　　网站被ddos攻击之后，怎么查ddos攻击源好像是一个比较麻烦的事情。对ddos攻击进行定位或者是追踪的时候，具备深远性的意义。关于怎么查ddos攻击源，不妨现在来看一下吧。
　　怎么查ddos攻击源，一旦网站出现攻击之时，能够随时根据ddos攻击相关信息以及相关路径，发动进攻位置，ddos攻击源主要是针对定位要求，不能准确的定位，因为不少攻击源地址都是随机出现的，根据ddos攻击机构，寻找攻击的难度还是挺大的，分辨好位置之后，再发动攻击才是最重要的。
　　Ddos追踪主要有两个目的，首先是利用追踪源出动攻击，利用攻击特征针对流量过滤，来对ddos寻求帮助。另外在寻找到攻击源之后，收集被攻击的证据，从而利用法律的手段来对攻击进行惩罚，不管最后是不是能够找到攻击源，ddos攻击源的对象针对防御系统都是极为重要的。目前最重要的是ddos追踪技术，利用这种追踪技术，在实际角度出发开始对ddos攻击进行协助服务。
　　怎么查ddos攻击源，还可以利用观察路由器的方式来准确的寻找出ddos攻击源路径在哪里。当网站受到ddos攻击之时，可以在主机受到路由器控制的时候，这些数据会对电脑发动数据包攻击，因此加大了数据丢失的可能性。怎么查ddos攻击源，最后需要提醒大家的是，在ddos遭受到攻击之后，攻击器的设计就会精密不少，而且寻找到真正的攻击者才是最明智的。比如攻击者利用的是傀儡机进行的攻击。就很难利用追踪技术来寻找攻击源了。所以大家需要充分的掌握ddos攻击源查询方法，才能保证网站不被攻击。
相关信息推荐
17:28:45　关键词：ddos攻击
摘要：2016年，DDoS攻击现已变成最有目共睹的、受到黑客期待的攻击方式。跟着全球带宽的不断扩大，DDoS攻击在2016年到达500G的最大攻击峰值，最长的一次攻击乃至持续了15天之久。在2017年，..
15:40:41　关键词：防止ddos攻击
摘要：说到DDOS攻击，相信很多人都很熟悉，它把虚拟服务器定为目标，展开攻击，从而让用户无法正常的访问，造成死机的现象。那么云主机是怎样防止ddos攻击的？有哪些可行的方法？下面针..
19:36:31　关键词：ddos攻击怎么查多大？DDOS攻击的原理是什么
摘要：ddos攻击怎样查多大流量？Ddos攻击的原理是什么？下面针对于ddos攻击怎么查最大的问题，为大家详细的介绍一下。..
15:37:39　关键词：arp攻击，dos攻击？
摘要：想要知道怎么认定arp攻击还是ddos攻击，首先要知道什么是arp？什么是DDOS?只有全面了解这些信息后，才能让你知道怎么认定arp攻击还是ddos攻击的答案。针对这些问题，让我为大家详细的..
17:19:38　关键词：ddos
摘要：什么是dos攻击,什么是ddos攻击?相信这个问题不断困扰着用户，下面针对什么是dos攻击,什么是ddos攻击?等问题，为大家详细的介绍一下，希望对你有所帮助。..
热门关键词追踪DDoS攻击源，有什么好的方法？ - 知乎有问题，上知乎。知乎作为中文互联网最大的知识分享平台，以「知识连接一切」为愿景，致力于构建一个人人都可以便捷接入的知识分享网络，让人们便捷地与世界分享知识、经验和见解，发现更大的世界。18被浏览863分享邀请回答赞同 添加评论分享收藏感谢收起赞同 添加评论分享收藏感谢收起写回答1 个回答被折叠（）一种追踪DDoS攻击源的算法_百度文库
您的浏览器Javascript被禁用，需开启后体验完整功能，
享专业文档下载特权
&赠共享文档下载特权
&10W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
一种追踪DDoS攻击源的算法
&&提出了一个追踪DDoS攻击源的算法,将攻击源快速锁定到规模相对较小的AS实体中,确定攻击源所属的AS自治域系统。由入侵检测系统的网络数据包采集器负责处理网络中传输的报文,采集到的数据经加工处理后,识别、记录和分析攻击行为或异常情况,形成入侵攻击报警信息数据,对入侵攻击的路径路由进行反追踪以形成有效的入侵攻击路径路由图。实验表明,该算法比PPM算法在计算负载上更有效。
阅读已结束，下载本文需要
定制HR最喜欢的简历
你可能喜欢我很早前研究anti-DDOS，其中就有追踪一块，可以在这里介绍一些，但是实际上只有很少技术被投入使用了，大多数都还是依然是实验室的东西，已经投入实用的我单独提出来。
追踪技术有：
&链级测试 (Link Testing)
多数的追踪技术都是从最接近victim的路由器开始，然后开始检查上流数据链，直到找到攻击流量发起源。理想情况下，这种过程可以递归执行直到找到攻击源头。这种技术假设攻击一直保持活动直到完成追踪，因此很难在攻击结束后、间歇性攻击或对追踪进行攻击调整等情况进行追踪。包括下面两种链级测试：
1、Input debugging 很多路由器都提供Input debugging特性，这能让管理员在一些出口端过滤特定的数据包，而且能决定可以达到那些入口。这种特性就被用来作traceback：首先，victim在确定被攻击时，要从所有的数据包中描述出攻击包标志。通过这些标志，管理员在上流的出口端配置合适的Input debugging。这个过滤会体现出相关的input端口，这个过滤过程可以一直朝上流进行，直到能够到达最初的源头。当然这种工作很多依靠手工，一些国外的ISP联合开发的工具能够在它们的网络中进行自动的追踪。 但是这种办法最大的问题就是管理花费。联系多个ISP并同他们合作需要时间。因此这种办法需要大量的时间，而且几乎不可能完成。
2、Controlled flooding Burch和 Cheswick提出的方法。这种方法实际上就是制造flood攻击，通过观察路由器的状态来判断攻击路径。首先应该有一张上游的路径图，当受到攻击的时候，可以从victim的上级路由器开始依照路径图对上游的路由器进行控制的flood，因为这些数据包同攻击者发起的数据包同时共享了路由器，因此增加了路由器丢包的可能性。通过这种沿路径图不断向上进行，就能够接近攻击发起的源头。 这种想法很有独创性而且也很实际，但是有几个缺点和限制。最大的缺点就是这种办法本身就是一种DOS攻击，会对一些信任路径也进行DOS，这个缺点也很难用程序实施。而且，Controlled flooding要求有一个几乎覆盖整个网络的拓扑图。Burch和 Cheswick也指出，这种办法很难用于DDOS攻击的追踪。这种方法也只能对正在进行攻击的情况有效。
现在CISCO的路由器的CEF（Cisco Express Forwarding）实际上就是一种链级测试，也就是说，要用CEF追踪到最终源头的话，那么整个链路上的路由器都得使用CISCO的路由器，而且支持CEF。就得要Cisco 12000或者7500系列的路由器了。（不知道现在怎么样，没查最新的CISCO文档），但是要用这个功能是很费资源的。
在CISCO路由器（支持ip source-track的路由器）上IP源追踪以下面的步骤实现：
1、当发现目的被攻击，打开整个路由器上对目的地址的追踪，输入命令 ip source-track。 2、每个Line Card为要追踪的目的地址创建特定的CEF队列。对于line card或者端口适配器用特定的ASIC作包转换，CEF队列用于将包置入line card或者port adapter的CPU。 3、每个line card CPU收集关于要追踪目的的通讯信息 4、所产生的数据定时导出到路由器。要现实这些流信息的摘要，输入命令：show ip source-track summary。要显示每个输入接口的更多的细节信息，输入命令show ip source-track 5、统计被追踪的IP地址的细目表。这可用于上游路由器继续分析。可以在当前路由器上关闭IP source tracker，输入命令：no ip source-track。然后在上游路由器上再打开这个功能。 6、重复步骤1到5，直到找到攻击源。
这差不多能够解答securitytest提的了吧。
这种方法通过在主路由器上记录数据包，然后通过数据采集技术来决定这些数据包的穿越路径。虽然这种办法可以用于对攻击后的数据进行追踪，它也有很明显的缺点，比如可能要求大量的资源（或者取样），并且对付大量数据的综合问题。
这种方法主要依靠路由器自身产生的ICMP跟踪消息。每个路由器都有很低的概率（比如：1/200000），数据包可能会把内容复制到一个ICMP消息包中，并且包含了到临近源地址的路由器信息。当flood攻击开始的时候，victim就可以利用这些ICMP消息来重新构造攻击者的路径。这种方式同上面介绍的比较，有很多优点，但是也有一些缺点。比如：ICMP可能被从普通流量中过滤掉，并且，ICMP追踪消息还要同input debugging特性（将数据包同数据包input端口和/或者要到达的MAC地址关联的能力）相关，但是，可能一些路由器就没有这样的功能。同时，这种办法还必须有一种办法来处理攻击者可能发送的伪造ICMP Traceback消息。也就是说，我们可以把这种方式同其他办法一起使用来让跟踪机制更有效。(IETF iTrace)
这就是yawl说的IETF的工作组研究的内容，当时我给Bellovin提出一些意见，但是没有得到答案。比如： 1、尽管是随机1/20000发送追踪包，但是，对于伪造TRACEBACK的包情况下，对路由器的效率将有一定的影响。 2、追踪包的认证并不能解决伪造问题。因为要判别是否是伪造包，那么必须去认证，加大了工作量。 3、即便使用NULL 认证，同样能够达到目的（有认证的情况下）。而且也不会有太大影响。 4、itrace的本来目的是去对付DOS的欺骗源问题，但是现在的设计仿佛让我们更关心的是路径而不是源头。难道路径比源头更对我们解决DOS问题有用么？
等等，还有一堆问题，都是我觉得iTrace将会面临的很难处理的问题。
&数据包标记
这种技术构想（因为现在没有实用）就是要在现有协议的基础上进行修改，而且修改很小，不象iTrace的想法，个人认为比iTrace更好一些。这种追踪技术有很多细节研究，形成多种标记算法，但是最好的还是经过压缩的边缘取样算法。
这种技术原理就是修改IP头中，重载其中的identification域。也就是如果没有使用到identification域的话，将这个域定义为标记。
将16bit的idnetification分成：3bit的offset（可允许8次分片）,5bit的distance，以及8bit的边缘分片。5bit的distance可以允许31级路由，这对于目前的网络来说已经足够了。
标记和重构路径的算法是：
Marking procedure at router R: let R = BitIntereave(R, Hash(R)) let k be the number of none-overlappling fragments in R for each packet w let x be a random number from [0..1) if x&p then let o be a random integer from [0..k-1] let f be the fragment of R at offset o write f into w.frag write 0 into w.distance wirte o into w.offset else if w.distance=0 then let f be the fragment of R at offset w.offset write f&w.frag into w.frag increment w.distance
Path reconstruction procedure at victim v:
let FragTbl be a table of tuples(frag,offset,distance) let G be a tree with root v let edges in G be tuples(start,end,distance) let maxd:=0 let last:=v for each packet w from attacker FragTbl.Insert(w.frag,w.offset,w.distance) if w.distance&maxd then maxd:=w.distance for d:=0 to maxd for all ordered combinations of fragments at distance d construct edge z if d!=0 then z:= z&last if Hash(EvenBits(z))=OddBits(z) then insert edge(z,EvenBits(z),d) into G last:=EvenBits(z); remove any edge(x,y,d) with d!=distance from x to v in G extract path(Ri..Rj) by enumerating acyclic paths in G
实验室情况下这种标记技术只需要victim能够抓到个包就能够重构整个路径了，应该说结果是很好的，但是没有投入到实用中，主要是需要路由器厂商和ISP支持。
差不多ip traceback的已经实用的技术和实验室技术，或者已经死掉的，就主要是这些，虽然还有其他的一些。
已经很长时间没有搞DDOS防范这一块了，国内也有黑洞这样的产品，以前也了解一些国外的，比如floodguard、toplayer、radware等。受securitytest提示，又了解到riverhead的，我就立刻看了看他们的白皮书。
因为前面bigfoot提出的主要是ip traceback的题目，securitytest也又到防御的问题。针对DDOS的问题ip traceback和Mitigation是不一样的，ip traceback主要是进行追踪，因为DDOS主要是spoof，而很难判别到真正的攻击源，而且如果能够很容易找到真正的攻击源，不仅仅对付DDOS，对付其他的攻击也很有帮助，比如法律问题等。而Mitigation是从受害者的角度，因为victim一般是没有能力去调查整个网络，找出source，而且，即便能够找到source，也得有法律或者一些沟通的手段来让source停下来（攻击的source并不是source的攻击者），这种意味着大量的沟通、跨ISP、跨过等类似的非技术问题，所以，通常很难处理。但是从victim的角度来说，必须得有所解决办法，所以就需要Mitigation。
这又正好是我以前研究的范围，所以，又会说出一大堆。对于Mitigation，其实，技术的根本就是要能从众多的流量中将攻击包和合法包分离出来，把攻击包抛弃掉，让合法包通过就性了。这就是根本，所以实际运用的技术就是要如何尽可能识别出攻击包，而又尽可能小地影响正常包。这又得来分析DDOS（甚至DOS）的方式和原理。基本又下面几种形式： 1、系统形成的DOS。这种特征固定，检测和防御也容易 2、协议攻击（一些跟处理相关，一些跟协议相关）。比如SYN FLOOD，碎片等。特征还好识别，检测和防御相对容易。比如SYN COOKIE、SYN CACHE，碎片可以抛弃。比如land攻击、smurf、teardrop等 3、bandwidth FLOOD。垃圾流量堵塞带宽，特征不好识别，防御不容易 4、基本合法的FLOOD
此文转载至
阅读(...) 评论()ddos攻击有哪些方式？被攻击之后会怎么样？
留言人数：0人
查看人数：69人
相关产品：
商家其他产品
“ ddos攻击有哪些方式？被攻击之后会怎么样？”详细信息
分布式拒绝服务攻击，英文缩写ddos，是一种黑客使用网络上两个或以上被攻陷的电脑向特定的目标发动的“拒绝服务”式攻击。攻击发起者一般针对重要服务进行攻击，比如银行、支付网关甚至根域名服务器等。
受到ddos攻击过后，一般会有如下反应：网络异常缓慢、无法访问特定网站/任何网站、垃圾邮件数量剧增、网络连接异常断开、服务器容易断线、长时间尝试访问网站、互联网服务时被拒绝等。拒绝服务的攻击也可能会导致目标计算机同一网络中的其他计算机被攻击。同时，互联网和局域网之间的带宽也会被攻击导致大量消耗，影响局域网中的其他电脑，甚至会影响整个地区的网络连接。
ddos攻击可以具体分为两种形式：带宽消耗型和资源消耗性。其共同点是通过使用大量合法或伪造的请求占用大量网络及器材资源，达到瘫痪网络以及系统的目的。带宽消耗型攻击分为洪泛攻击或放大攻击。而资源消耗型攻击分为协议分析攻击、LAND attack、CC攻击、僵尸网络攻击和应用程序级洪水攻击等。
香港新天域互联在全球拥有4家自营T3 数据中心，与超微、戴尔等国际一线硬件品牌长期合作。不仅如此，还与十大互联网供应商达成长期战略合作伙伴关系，包括中国电信、中国联通、中国移动、日本NTT、TELIA、GTT、PCCW Global、澳大利亚Telstra Global、HKIX、韩国KT，接入口总量带宽高达100G ，是全港少有的十线高品质国内带宽的BGP智能机房。在网络连接方面，新天域互联的机房全部采用低延时、直接连接一级网络，3线直连中国，其中包括电信CT/CN2线路，让网络无须多余节点直连内地，减低延迟率，保证高速，网络连接率高达99.99%。
在电力方面，新天域互联采用2N UPS不间断电力供应系统，不间断柴油发电机，有效确保数据中心供电零压力；机房温湿控制主要采用高效冷却系统，巧妙地运用了N 1精密空调（CRAC）和下送风、冷热通道布局，使数据中心一直处于温湿适宜的工作环境中；在安保方面，AFA自动火灾报警系统、FM200无水灭火系统及全天候监控系统三管齐下，让数据中心更加安全稳定，让用户放心的将服务器托管于数据中心。
winnie: QQ:
carrie：QQ:
“ ddos攻击有哪些方式？被攻击之后会怎么样？”联系方式
香港新天域互联有限公司
电话：852 传真：852 手机： 地址：九龙长沙湾长裕街8号亿京广场2607-08室
网址：http://wtsimcentric168.cn.b2b168.com/
“ ddos攻击有哪些方式？被攻击之后会怎么样？”商家推荐产品
ddos攻击有哪些方式？被攻击之后会怎么样？相关产品
粤ICP备号 - Copyright (C) 2004 -
B2b168.com All Rights Reserved}