一、原理
# 反射 #
我们需要一个中间介质将攻击者发送的网络数据包反射给受害者,如DNS服务、NTP服务、SSDP服务、Memcached等,而这种中间介质可以是互联网上任何服务器任何端口的任何协议,只要这种协议有请求有响应,用此方法,需要对某些可以达到反射效果的网络协议有个清晰的认识,并能够找到破绽为我所用。
正常的请求发送过去后,响应会直接沿原路返回,如图所示
反射会将攻击者A发送的网络数据包通过中间介质B,反射给受害者C,即请求的源IP会修改为受害者C的IP,响应就会发送给受害者,如图所示
当然攻击者不会只发送给一个中间介质,否则形成不了DDoS,于是就有了下图
# 放大 #
要成功形成一个反射型DDoS攻击,还需要中间介质达成的流量放大效果,如果响应包和请求包相比,流量基本不变,或只是稍微大一点,这种反射DDoS的效果不会比单纯流量堆叠的DDoS效果要好,所以攻击者往往会选择一个可以通过接收较小流量,来产生一个大得多的流量的中间介质,来获得几倍甚至几百倍的放大效果,最新的memcache放大效果甚至达到了万倍,被称为DDoS核弹攻击,通过发送1M的流量触发memcache放大效果,将会接收到10G的流量,这对某些流量计费的VPS服务器可以说是打击巨大。
反射和放大组合起来使用,攻击者A可以通过非常小的流量请求,来形成非常大的DDoS流量,对受害者C进行攻击。
反射型DDoS攻击方式隐秘,难以逆向追踪,无需控制中间介质,且无需攻击者A自身有着多大的带宽资源,即可发动一次极具破坏力的攻击。
受到dos攻击能在流量中看到大量NTP协议数据包,且NTP包的请求码为42。此类手法为NTP Monlist攻击。
如果遭受Dos攻击时能在流量中看到大量DNS协议应答包,且包中查询类型为255,则此类攻击手法为DNS放大攻击。
公网NTP服务器:时钟同步协议服务器,NTP协议数据包(时钟同步)。
日志信息:日志时间同步。
时间服务器就是NTP服务器。
C/S模式:服务器让客户端同步时间。(一对多,服务器地址已知)
对等体模式:两端互相协商,协商完之后同步时间。 (一对一)
DNS协议:是因特网上作为域名和IP地址相互映射的一个分布式数据库,这个分布式数据库采用树型结构。通过主机名得到对应IP地址的过程叫做域名解析。DNS使用UDP协议,端口号为53。
二、反射型DDOS防御手段
通过dpi/dfi防御反射型ddos。
2302
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
