反射型DDOS与防御手段

一、原理

# 反射 #

我们需要一个中间介质将攻击者发送的网络数据包反射给受害者,如DNS服务、NTP服务、SSDP服务、Memcached等,而这种中间介质可以是互联网上任何服务器任何端口的任何协议,只要这种协议有请求有响应,用此方法,需要对某些可以达到反射效果的网络协议有个清晰的认识,并能够找到破绽为我所用。

正常的请求发送过去后,响应会直接沿原路返回,如图所示

反射会将攻击者A发送的网络数据包通过中间介质B,反射给受害者C,即请求的源IP会修改为受害者C的IP,响应就会发送给受害者,如图所示

当然攻击者不会只发送给一个中间介质,否则形成不了DDoS,于是就有了下图

# 放大 #

要成功形成一个反射型DDoS攻击,还需要中间介质达成的流量放大效果,如果响应包和请求包相比,流量基本不变,或只是稍微大一点,这种反射DDoS的效果不会比单纯流量堆叠的DDoS效果要好,所以攻击者往往会选择一个可以通过接收较小流量,来产生一个大得多的流量的中间介质,来获得几倍甚至几百倍的放大效果,最新的memcache放大效果甚至达到了万倍,被称为DDoS核弹攻击,通过发送1M的流量触发memcache放大效果,将会接收到10G的流量,这对某些流量计费的VPS服务器可以说是打击巨大。

反射和放大组合起来使用,攻击者A可以通过非常小的流量请求,来形成非常大的DDoS流量,对受害者C进行攻击。

反射型DDoS攻击方式隐秘,难以逆向追踪,无需控制中间介质,且无需攻击者A自身有着多大的带宽资源,即可发动一次极具破坏力的攻击。

受到dos攻击能在流量中看到大量NTP协议数据包,且NTP包的请求码为42。此类手法为NTP Monlist攻击

如果遭受Dos攻击时能在流量中看到大量DNS协议应答包,且包中查询类型为255,则此类攻击手法为DNS放大攻击

公网NTP服务器:时钟同步协议服务器,NTP协议数据包(时钟同步)。

 日志信息:日志时间同步。

 时间服务器就是NTP服务器。

C/S模式:服务器让客户端同步时间。(一对多,服务器地址已知)

对等体模式:两端互相协商,协商完之后同步时间。 (一对一)

 

DNS协议:是因特网上作为域名和IP地址相互映射的一个分布式数据库,这个分布式数据库采用树型结构。通过主机名得到对应IP地址的过程叫做域名解析。DNS使用UDP协议,端口号为53。

二、反射型DDOS防御手段

通过dpi/dfi防御反射型ddos。

DFI和DPI的介绍 - 知乎

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值