DDoS 如何溯源？

01-13

DDOS攻擊源追蹤難點在於準確定位，因為大部分攻擊包源地址都可能是隨機生成的偽地址。難道溯源取證只能碰運氣了？感謝大牛們分享下經驗。

說一個案例，再一次大流量過後，前10的訪問ip都可以規為可疑目標，目的是查看目標存活性。

既然叫DDoS，源大多都是反射出來的ntp或dns之類，或者是肉雞或假地址。想溯源出明確主犯地址基本是Mission Impossible。

運營商級DDoS防護重點在常態的flow分析、戰時的清洗能力和設計出可運營的收費模式；

企業級DDoS防護重點在小帶寬應用層DDoS攻擊的清洗和大帶寬時是否能與運營商聯動。

現在有些牽引流量的雲端防護MSSP也有一些防DDoS的功能在裡面。

非得溯源的話，見過某中型公司發現攻擊流量90%來自同一個國外的國家，直接把那個國家屏蔽了…

溯源溯源，什麼是源，我覺得分幾個級別： 1，攻擊流量的來源IP 2，攻擊流量的發起IP 3，攻擊流量的發起者。溯到1，基本上可以用來做流量清洗了，到了2，那理論上就存在可以近源壓制的可能，已經算是高級，如果能搞定3，那我們做ddos檢測防護的差不多要麼失業要麼轉行了。

DDoS攻擊分不同的類型，不同類型，根據上面要溯的不同的源難易也有差異，下面討論方面，把上面說的源123表示為level1/level2/level3.

直接攻擊型：

比如SYN flood／ACK Flood／DNS Flood／UDP Plain Flood／http flood等，這些往往都是botnet發起的，發起的時候有的會偽造源IP，有的不偽造。識別了攻擊流量，簡單統計就知道到了level 1。沒有偽造源ip的，leve2就等於level1。對於偽造源ip的情況，level2在被攻擊方就無法獲取，運營商級別可以做spoof檢測，或者持續的跟蹤botnet，進而持續的跟蹤CC發起的攻擊指令，看CC都連了哪些client，看哪些client接收到了攻擊指令。level3單獨討論。

反射放大型：

反射放大基本都是為了打帶寬，由於有了反射放大的因素在裡面，基本都不用botnet，找／黑／租幾個機器上去打流量就行了。在被攻擊端，看到的ip都是真實的ip，都是被利用的反射放大節點，level1簡單。但是和上面直接攻擊型不一樣的是，這時候的發起IP可不能說就是看到的真實攻擊IP了，因為有反射的因素在裡面，level2的ip應該是那幾台發起原始流量的機器，而不是反射流量的源ip。這個level2，運營商可以做，看哪些子網有非自己段的源ip的流量出來，然後可以做端的流量檢測，比如HIDS。level3單獨討論。

你看，上面我說到運營商，都是說他們「可以做」，但是他們能不能做，想不想做，這就是另外的話題了。

之所以單獨討論level3，是因為level1/level2屬於如果想干，理論上是肯定能幹成的。而level3，理論上就沒法說肯定能幹成。看CC是被誰控制的，反射放大的控制人是誰，這個比較難，畢竟網路攻擊抓現場你也看不到人，不過思路也不是沒有，攻擊也都是為了掙錢，他們會有交易，會有圈子，初期的信息採集（比如找可用的反射放大源）可能用的都是自己的ip，各種小動作會漏出馬腳，在多個階段關聯，有時也能關聯出來。

把ddos的肉雞ip搜集起來，挨個掃漏洞，進去後拖ddos馬回來分析，找c2伺服器，找到後看看能不能拿下或者take over。之後重複以上步驟

DDOS攻擊源追蹤是可能的，目前運營商基本部署了netflow，這個運營商級別的流量分析工具，通過這個，可以分析目標IP，源IP，路由器介面等信息。綜合分析流量的途徑，可以找到發出IP包的用戶。但難點在於：

1、發出IP包的互聯網用戶可能本身是個肉雞，也是網路安全的受害者，不是最終的發起者，只是電腦被控制

2、肉雞存在於多個運營商網路上，需要多個運營商配合，而這些運營商存在於多個國家，實踐上難度很大

3、肉雞網路的控制端往往通過多層跳板來控制肉雞/殭屍網路，找到控制端更難，主要看控制端會不會漏出馬腳了

@雲舒巨巨好像對DDOS攻防這一塊研究很深入

太難了，你看看這篇文章，就知道如今ddos攻擊流量也是可以轉發的。解密物聯網殭屍網路技術複雜性

常規的手段溯源到肉雞基本截止了，但也不是沒有辦法。

學術屆古老的traceback問題，要麼要求運營商相互配合，要麼需要全球部署額外的設備。目前沒有實際的解決方法。找到bot master目前仍是open problem。

網路追蹤溯源一直以來都是難題。學術界對它的研究也有大概20年的歷史。方法也有很多，比如進入過濾，已成為RFC標準。但是他只能抑制偽造源地址，而且依賴於它的具體應用。還有就是輸入調試技術，包標記，日誌記錄等方法。其中包標記就是在攻擊包里標註一些信息，比如這個包經過的路由器信息，然後在victim端重構。現在也有一些用來追蹤的工具，效果如何就不得而知了。如果有興趣就google一下吧，這裡只是簡單的說說。

＠餘弦對， DDoS

十來年前讀過一篇paper，大概是說攻擊包的源可以偽造，但經過的路徑是確定的，於是作者提出了一種方法，在路由設備上給包加tag，分析逮到的包就能知道源頭以及路徑。理論上大概是可行的，但實施上基本沒法操作。

若是如你所說源地址被偽造，那麼你說的這種情況最普遍的就是syn flood了，這種攻擊要想溯源就就需要運營商配合，主要就看運營商的態度了，難度較大不太可行。但是syn flood通過反響代理，反向探測等有了很成熟的防禦方法，上設備加帶寬或者使用雲防護都是比較好的辦法。