攻击者可以通过反弹技术使我们对DDOS攻击更难以防御——利用反弹服务器反弹DDOS
![](/icons/3881de.gif)
洪水包
![](/icons/3881dou.gif)
也就是说
![](/icons/3881dou.gif)
通过发送大量
![](/icons/3881de.gif)
欺骗请求数据包(来源地址为victim
![](/icons/3881dou.gif)
受害服务器
![](/icons/3881dou.gif)
或目标服务器)给Internet上大量
![](/icons/3881de.gif)
服务器群
![](/icons/3881dou.gif)
而这些服务器群收到请求后将发送大量
![](/icons/3881de.gif)
应答包给victim
![](/icons/3881dou2.gif)
结果是原来用于攻击
![](/icons/3881de.gif)
洪水数据流被大量
![](/icons/3881de.gif)
服务器所稀释
![](/icons/3881dou.gif)
并最终在受害者处汇集为洪水
![](/icons/3881dou.gif)
使受害者更难以隔离攻击洪水流
![](/icons/3881dou.gif)
并且更难以用Traceback 跟踪技术去找到洪水流
![](/icons/3881de.gif)
来源
![](/icons/3881dou2.gif)
在分布式DOS攻击(DDOS)中
![](/icons/3881dou.gif)
攻击者事先入侵了大量服务器
![](/icons/3881dou.gif)
并在这些服务器上植入了DDOS攻击
![](/icons/3881chengxu.gif)
![](/icons/3881dou.gif)
然后结合这些被入侵
![](/icons/3881de.gif)
服务器
![](/icons/3881de.gif)
网络传输力量发动攻击
![](/icons/3881dou2.gif)
利用大量
![](/icons/3881de.gif)
服务器发动攻击不仅增加了攻击
![](/icons/3881de.gif)
力度
![](/icons/3881dou.gif)
而且更难于防范
![](/icons/3881dou2.gif)
以往DDOS攻击
![](/icons/3881de.gif)
结构:
![](/icons/3881yi.gif)
个主机
![](/icons/3881dou.gif)
主服务器(Master)
![](/icons/3881dou.gif)
作用是发送控制消息给事先入侵并已植入DDOS
![](/icons/3881chengxu.gif)
![](/icons/3881de.gif)
从服务器群(Slave)
![](/icons/3881dou.gif)
控制从服务器群发起对目标服务器
![](/icons/3881de.gif)
攻击
![](/icons/3881dou2.gif)
从服务器群将产生高容量
![](/icons/3881de.gif)
源地址为伪造
![](/icons/3881de.gif)
或随机
![](/icons/3881de.gif)
网络数据流
![](/icons/3881dou.gif)
并把这些数据流发送给目标服务器
![](/icons/3881dou2.gif)
![](/icons/3881yinwei.gif)
数据流
![](/icons/3881de.gif)
源地址是伪造
![](/icons/3881de.gif)
![](/icons/3881dou.gif)
增加了追查
![](/icons/3881de.gif)
难度
![](/icons/3881dou2.gif)
利用成百上千
![](/icons/3881de.gif)
从服务器不仅可以另追查
![](/icons/3881de.gif)
难度加大(
![](/icons/3881yinwei.gif)
难以识别大量区别
![](/icons/3881de.gif)
来源
![](/icons/3881dou.gif)
需要查询大量
![](/icons/3881de.gif)
路由器)
![](/icons/3881dou.gif)
而且极大
![](/icons/3881de.gif)
阻碍了当成功追查后所需采取
![](/icons/3881de.gif)
行动(
![](/icons/3881yinwei.gif)
这要和大量
![](/icons/3881de.gif)
网络管理员联系
![](/icons/3881dou.gif)
安装大量
![](/icons/3881de.gif)
网络过滤器)
![](/icons/3881dou2.gif)
而今考虑周密
![](/icons/3881de.gif)
攻击者可以通过利用反弹服务器(Reflector)
![](/icons/3881dou.gif)
更好
![](/icons/3881de.gif)
组织他们
![](/icons/3881de.gif)
攻击
![](/icons/3881dou2.gif)
反弹服务器是指
![](/icons/3881dou.gif)
当收到
![](/icons/3881yi.gif)
个请求数据报后就会产生
![](/icons/3881yi.gif)
个回应数据报
![](/icons/3881de.gif)
主机
![](/icons/3881dou2.gif)
例如
![](/icons/3881dou.gif)
所有
![](/icons/3881de.gif)
WEB服务器
![](/icons/3881dou.gif)
DNS服务器
![](/icons/3881dou.gif)
及路由器都是反弹服务器
![](/icons/3881dou.gif)
![](/icons/3881yinwei.gif)
他们会对SYN报文或其他TCP报文回应SYN
ACKs或RST报文
![](/icons/3881dou.gif)
以及对
![](/icons/3881yi.gif)
些IP报文回应ICMP数据报超时或目
![](/icons/3881de.gif)
地不可达消息
![](/icons/3881de.gif)
数据报
![](/icons/3881dou2.gif)
而攻击者可以利用这些回应
![](/icons/3881de.gif)
数据报对目标服务器发动DDOS攻击
![](/icons/3881dou2.gif)
攻击者首先锁定大量
![](/icons/3881de.gif)
可以做为反弹服务器
![](/icons/3881de.gif)
服务器群
![](/icons/3881dou.gif)
比如说100万台(这并不是件很难
![](/icons/3881de.gif)
工作
![](/icons/3881dou.gif)
![](/icons/3881yinwei.gif)
在Internet上光是WEB服务器就不止这么多
![](/icons/3881de.gif)
![](/icons/3881dou.gif)
更何况还有更多其他
![](/icons/3881de.gif)
机器可以作为反弹服务器)
![](/icons/3881dou2.gif)
然后攻击者们集中事先搞定
![](/icons/3881de.gif)
从服务器群
![](/icons/3881dou.gif)
向已锁定
![](/icons/3881de.gif)
反弹服务器群发送大量
![](/icons/3881de.gif)
欺骗请求数据包(来源地址为victim
![](/icons/3881dou.gif)
受害服务器或目标服务器)
![](/icons/3881dou2.gif)
反弹服务器将向受害服务器发送回应数据报
![](/icons/3881dou2.gif)
结果是:到达受害服务器
![](/icons/3881de.gif)
洪水数据报不是几百个
![](/icons/3881dou.gif)
几千个
![](/icons/3881de.gif)
来源
![](/icons/3881dou.gif)
而是上百万个来源
![](/icons/3881dou.gif)
来源如此分散
![](/icons/3881de.gif)
洪水流量将堵塞任何其他
![](/icons/3881de.gif)
企图对受害服务器
![](/icons/3881de.gif)
连接
![](/icons/3881dou2.gif)
受害服务器不需要追查攻击
![](/icons/3881de.gif)
来源
![](/icons/3881dou.gif)
![](/icons/3881yinwei.gif)
所有攻击数据报
![](/icons/3881de.gif)
源IP都是真实
![](/icons/3881de.gif)
![](/icons/3881dou.gif)
都是反弹服务器群
![](/icons/3881de.gif)
IP
![](/icons/3881dou2.gif)
而另
![](/icons/3881yi.gif)
方面
![](/icons/3881dou.gif)
反弹服务器
![](/icons/3881de.gif)
管理人员则难以追查到从服务器
![](/icons/3881de.gif)
位置
![](/icons/3881dou.gif)
![](/icons/3881yinwei.gif)
他所收到
![](/icons/3881de.gif)
数据报都是伪造
![](/icons/3881de.gif)
(源IP为受害服务器
![](/icons/3881de.gif)
IP)
![](/icons/3881dou2.gif)
原则上
![](/icons/3881dou.gif)
我们可以在反弹服务器上利用追踪技术来发现从服务器
![](/icons/3881de.gif)
![](/icons/3881de.gif)
位置
![](/icons/3881dou2.gif)
但是
![](/icons/3881dou.gif)
反弹服务器上发送数据报
![](/icons/3881de.gif)
流量远小于从服务器发送
![](/icons/3881de.gif)
流量
![](/icons/3881dou2.gif)
每
![](/icons/3881yi.gif)
个从服务器可以把它发送
![](/icons/3881de.gif)
网络流量分散到所有或者
![](/icons/3881yi.gif)
大部分反弹服务器
![](/icons/3881dou2.gif)
例如:如果这里有Nr个反弹服务器
![](/icons/3881dou.gif)
Ns个从服务器
![](/icons/3881dou.gif)
每个从服务器发送
![](/icons/3881de.gif)
网络流量为F
![](/icons/3881dou.gif)
那么每
![](/icons/3881yi.gif)
个反弹服务器将产生
![](/icons/3881de.gif)
网络流量为
![](/icons/3881dou.gif)
而Nr远大于Ns
![](/icons/3881dou2.gif)
所以
![](/icons/3881dou.gif)
服务器根据网络流量来自动检测是否是DDOS攻击源
![](/icons/3881de.gif)
这种机制将不起作用
![](/icons/3881dou2.gif)
值得注意
![](/icons/3881de.gif)
是
![](/icons/3881dou.gif)
不象以往DDOS攻击
![](/icons/3881dou.gif)
利用反弹技术
![](/icons/3881dou.gif)
攻击者不需要把服务器做为网络流量
![](/icons/3881de.gif)
放大器(发送比攻击者发送
![](/icons/3881de.gif)
更大容量
![](/icons/3881de.gif)
网络数据)
![](/icons/3881dou2.gif)
他们甚至可以使洪水流量变弱
![](/icons/3881dou.gif)
最终才在目标服务器回合为大容量
![](/icons/3881de.gif)
洪水
![](/icons/3881dou2.gif)
这样
![](/icons/3881de.gif)
机制让攻击者可以利用区别网络结构机制
![](/icons/3881de.gif)
服务器作为反弹服务器
![](/icons/3881dou.gif)
使其更容易找到足够数量
![](/icons/3881de.gif)
反弹服务器
![](/icons/3881dou.gif)
用以发起攻击
![](/icons/3881dou2.gif)
我们
![](/icons/3881de.gif)
分析显示
![](/icons/3881dou.gif)
有 3种特别具威胁性
![](/icons/3881de.gif)
反弹服务器是:DNS服务器、Gnutella服务器、和基于TCP-IP
![](/icons/3881de.gif)
服务器(特别是WEB 服务器)
![](/icons/3881dou.gif)
基于TCP
![](/icons/3881de.gif)
实现将遭受可预测
![](/icons/3881chushi.gif)
序列号
![](/icons/3881de.gif)
威胁
上
篇文章: 常见![](/icons/3881de.gif)
些留后门手法
下
篇文章: 清空密码进入WINDOWS2000
延伸阅读
最新评论