如何精準地找到 SYN 攻擊者的真實 IP ?
伺服器每天被100G左右流量攻擊.明白的人應該知道是誰攻擊的.現在的目的性是要找到真實的攻擊者IP.不是說去有效的防禦.防禦的話160G硬防.可以防的住.但是比較麻煩.想找到真實的攻擊者IP.來有效的去做一些手段..各位大牛有什麼意見.怎樣去挖掘SYN攻擊者真實.IP.
如果是ddos攻擊應該沒有太好辦法,唯有運營商做清洗。如果出口帶寬沒問題的話,用syn cookie扛的話也可以,或者防火牆來扛也行。
以前處理過一種特殊的回放攻擊,表現來自大量不同源地址。寫了個程序抓包對源地址進行統計,並找到互聯網IP地址資料庫反查,結果發現來自某運營商。因回放攻擊對業務數據產生了影響,所以報了案,最終找到攻擊來源是某運營商合作單位利用運營商dpi吐出的url進行回放,做行業用戶行為分析。
這經歷和方法應該不適用於ddos攻擊。我想這時應該讓運營商協助排查。一天幾百G流量的客戶,和運營商關係應該不錯。還有就是看看能不能報案。自己扛只能等他自動停止了。
有個段子:把伺服器和你最大的競爭對手放在同一個機房( ̄▽ ̄),要死大家一起死23333
說正經的,你要先確定是不是SYN攻擊(這麼大的流量我非常懷疑根本不是基於TCP的攻擊)
第二個,我碰到的流量型DDoS大部分都是基於UDP的,由於基於UDP的流量更適合單向去flooding,說簡單點:我不管你接不接受,我都給你泛洪到出口,使得你出口帶寬被垃圾流量阻塞
防禦流量型DDoS的關鍵點在於:運營商不把沒有清洗過的垃圾流量給你潑下來
你自己買個非常牛逼的硬體防火牆或者流量清洗設備也是無法解決流量型DDoS的....
第三個,既然叫DDoS,肯定是買的肉機來發起攻擊,這是一個非常成熟的黑色產業鏈了(攻擊成本遠遠低於防禦成本),你溯源抓到也是botnet的IP。
http://note.youdao.com/share/?id=a0c3b4514a5fab67da3d6a113ff069c8type=note#/
真能這樣的話我們早知道 某FW 的地址了。
任何DDOS真正攻擊者的IP是基本是不可能發現的。
發起攻擊的人手頭都是操縱著一個龐大的殭屍網路。如何獲取殭屍網路的肉機,這在黑客圈已經是一個成熟的產業鏈。
某網路專家所謂的方法,其實至多只能追溯到某個受到遙控的肉機上。想要進一步找到遙控肉機的遠程IP地址,恐怕得聯繫其所在的ISP才行。且不論你沒有國安的權力和技術力量,就算有,黑客的殭屍網路可不是吃素的。整個命令控制鏈都是經過多重路徑和加密,往往是在全球的多個ISP網路繞一圈。
所以如果你動用不了像NSA或FBI這樣的機構幫你,還是做做社會工程,考慮一下從商業利益的角度,誰能從攻擊你的系統中獲益。發動大規模DDOS攻擊的,在這年頭肯定還是要有投入,發動者肯定期待回報的。
根據抓包內容可以大致分析攻擊軟體
如果沒有特徵大致是遭遇分散式的了,攻擊來源多樣,此時考慮攻擊來源已經沒有意義了。更應該關注防禦。
路由器去查啊,我是得罪誰了全國各地的ip都攻擊我50.7.37.98118.99.28.80120.71.182.208113.128.219.142190.59.95.02.193.4.012.209.88.144183.218.159.48115.125.101.0131.225.226.0
你是無解的,一級ISP的省級公司也無解,一級ISP總部可以協調各省資源定位到bot的接入點。但是,你會出這個費用嗎?估計你出不起,所以還是無解。
1.如果真的是普通的DOS攻擊,很容易抓包,或者netflow就能看到攻擊者源IP.
2.如果是DDOS,會產生大量的流量,以至於擁塞整個Internet出口.這些攻擊源如果是真是的ip地址.就可以通過上面的方式,或F5,或找你的ISP供應商進行查詢和攔截.
3.對於偽造的源地址的DDOS攻擊.是非常簡單的.隨機偽造源地址,去訪問你的伺服器,這樣你很難抓到到底哪個才是攻擊你的人.很可能無功而返.
1一個設想: 分析syn報文的特徵,大致能看出來是什麼殭屍工具。加入殭屍網路,分析出控制機,在再從控制機得到被控制的機器。這時可能是二級控制機。
2
傳統的實現是全網分析netflow。
如今一般的攻擊都是真實ip,並且攻擊源一般都是來自殭屍網路,所以你可以收集這些ip,然後想辦法侵入其中的一台或數台機器,在這些機器上,你能找到殭屍網路控制端的ip,瞎扯瞎扯,沒有實踐
推薦閱讀: