|
|
2002 年一月11 日凌晨两点,grc.com 被一些更先进的恶意洪水数据包攻击。这种新型的DDoS 攻击可以被成为分布式反射拒绝服务攻击(Distributed Reflection Denial of Servie Attack )— DRDoS
神秘的洪水攻击
攻击在凌晨两点左右开始,那时我正好还在工作,所以我才有机会迅速的抓取到一部分的洪水攻击的信息。这次攻击使Verio(我们的网络提供商)的集合路由器将攻击数据挤满了我们的两条T1。我们的网站服务器因为这次攻击而无法处理其它合法的请求。我们被完全的炸下了网。
我们以前就曾遭受过UDP 和ICMP 洪水攻击,这些攻击其实都可以由被攻击者入侵的主机、zombie 工具及Windows 系统简单的实现,我们也被一些经典的SYN 洪水攻击过。所以当我查看了一下那些显示我们是被SYN/ACK 数据攻击的攻击数据包后,眉毛跳了一下。毕竟这些事实并不重要,就像我以前说的那样,一个SYN/ACK 包只是一个SYN 数据包带了一个ACK标记。任何有限权制作"raw socket"的人都可以制作出这种数据包来 —— 不管他是恶意的还是无意的。
真正的惊讶是当我看到这些发起攻击的地址,我们看起来是在被超过200 多个网络核心基础设施路由器攻击。
发生什么事了?
看到这些分别来自Verio、Qwest、和 Above.net 的洪水数据包,我想它们都是完全合法的SYN/ACK 连接回应包,它们显示了一个TCP 源端口:179。换句话说,就像一个网页服务器的数据包会从HTTP 的80 号端口返回一样,这些数据包是从"BGP"的179 号端口返回的。
BGP 是中介路由器支持的"边界网关协议"(Border Gateway Protocol)。 路由器使用BGP与他们的邻居进行即时的信息交流来交换他们的" 路由表" ,这是为了通知它们彼此路由器可以在哪个IP 范围进行转交。
BGP 的细节并不重要,重要的是每个良好连接(高宽带)的中介路由器都会接受在他们179端口上的连接。换句话来说,任何一个SYN 数据包到达一个网络路由器上后都会引出一个该路由的SYN/ACK 回应包来。
我突然知道什么会一定发生……
反射式DDOS攻击.pdf
(298.58 KB, 下载次数: 29)
|
|
发表于 2013-2-28 14:22:21
发表于 2013-2-28 20:48:17