zt-------联合反击DDOS

zt371 发布于 2009/05/05 15:23
阅读 216
收藏 0

转自www.cnsea.org ,原题目太长。没有办法。改了一下,希望马丁不会介意 8) 


ISP防身术之绝地大反攻-- Backscatter Traceback 
www.cnsea.org
讲完了网络下水道技术,和黑洞路由技术,我们可以更近一步,讲一下稍微高级一点的ISP防身术,叫Backscatter Traceback,不知道可不可以翻译成反向追踪。题目上的绝地大反攻是marketing term,是为了骗取点击率。 smill

正如前文所说,对於ISP来说,应付攻击是每天的日常工作之一。不知道国内的ISP,对於北美的ISP来说, 90%的攻击是脚本小子(script kiddy)的攻击, 他们懂的不太多,只会用别人写好的程序,攻击力和威胁力有限,以打游戏做比较,他们就象最低级的菜鸟玩家,能力有限,打你一下不痛不痒,象被蚊子叮了一下,只是有点讨厌。 ISP们每天都会收到一些这样的攻击。

9%是比较严重的分布式DOS, DDOS的攻击,这种攻击的动机各有不同,造成的损害也有大有小,基本是取决于DOS的网络流量。而DDOS所能产生的网络流量取决于黑客对网络资源掌握的程度,与他控制的主机的数量和这些主机能用的互联网带宽有关。象最近发生的史上最强的针对SCO网站的DDOS,每秒流量达340G,可谓惊人。

1%是直接针对ISP网络结构network infrastructure的攻击,能发动这种攻击的人,对网络协议极其了解,对routing极其了解,对网络结构极其了解,对ISP运作也极其了解,这1%是internet underground精英之中的精英,破坏力极大,这些超级玩家随便打你一下,也得要好久才能缓过来。这1%的攻击是ISP最担心的。但发生的机率也小一些。

这里讲一下ISP如何反击DDOS的攻击。大家知道, DDOS的网络流量来自四面八方,而他们的IP Source Address又全部是spoof的,就是不是真的。你不能够通过配置基於ip source address的Access Control List (ACL) 来限制它。其它还有什么别的办法呢?对於一个ISP来说,如果一个顾客给他的网络运行中心打电话,说有人DDOS我,请帮忙, ISP可以做的是,跟踪这些DDOS网络流量来的方向,找到这些DDOS网络流量进入ISP网络的入口点,然后在入口点想办法止住攻击。传统的方法是一个路由一个路由的往上查,直到查到攻击的入口处,这种方法可行,但比较费时间和人力。

这里介绍一个把黑洞路由,下水道技术结合在一起的技术,可以快速发现攻击的入口点,集中管理,不用一个路由一个路由的往上查,而且迅速可靠,但是可能需要兄弟们有一些基本的routing和BGP的知识。

先讲一下什么是backscatter,熟悉ICMP的兄弟们都知道,根据RFC,如果一个主机或路由收到一个数据报文,如果不知道如何 forward目标地址,它会丢弃这个数据报文,丢弃之后,它会向源地址发送一个ICMP unreachable的ICMP数据报文,这个ICMP Unreachable的数据报文,就叫backscatter。就象你投一个石头在水里,反回来的水波。在这个数据报文中,源地址就是这个主机或路由的IP地址。目标地址是它丢弃的报文的源地址。



加载中
返回顶部
顶部