2、 使用wireshark static->ipv4->endpoint分析數(shù)據(jù)包源地址分布。當(dāng)使用偽造IP地址的DDoS攻擊發(fā)生時(shí)，抓包文件中的數(shù)據(jù)包數(shù)目和源地址對應(yīng)關(guān)系會(huì)發(fā)生明顯變化。從圖中實(shí)例可以發(fā)現(xiàn)，除了被攻擊的目的IP意外，wireshark統(tǒng)計(jì)每個(gè)源地址對應(yīng)的數(shù)據(jù)包數(shù)目較小，數(shù)據(jù)包大小字節(jié)數(shù)(Bytes)幾乎一致。

3、TTL分析發(fā)現(xiàn)攻擊者的蛛絲馬跡。當(dāng)使用隨機(jī)源進(jìn)行DDoS攻擊時(shí)，雖然使用了偽造源地址進(jìn)行攻擊，但攻擊者無法偽造攻擊主機(jī)與目標(biāo)主機(jī)之間的位置關(guān)系。有時(shí)候通過觀察數(shù)據(jù)包的TTL值變化，也能夠獲得攻擊者的蛛絲馬跡，為攻擊防御提供輔助支持。下圖所示的這個(gè)攻擊程序并沒有修改攻擊數(shù)據(jù)包的TTL值，所有的攻擊數(shù)據(jù)包使用相同的TTL值。聰明的你可能已經(jīng)發(fā)現(xiàn)了，沒錯(cuò)，這個(gè)攻擊數(shù)據(jù)包是由局域網(wǎng)內(nèi)的一個(gè)windows計(jì)算機(jī)發(fā)出的。

UDP FLOOD

UDP FLOOD攻擊的主要目的是通過發(fā)送大量的UDP數(shù)據(jù)包來堵塞服務(wù)器的帶寬。同時(shí)針對DNS ，語音和流媒體等互聯(lián)網(wǎng)業(yè)務(wù)，也會(huì)有通過UDP承載的應(yīng)用層攻擊出現(xiàn)。圖示是著名的蝸牛攻擊器產(chǎn)生的攻擊數(shù)據(jù)包，可以明顯的看出，這種數(shù)據(jù)包的payload固定，使用UDP大包進(jìn)行攻擊，同時(shí)使用真實(shí)源地址進(jìn)行攻擊。

ICMP FLOOD

與UDP FLOOD相同，ICMP FLOOD主要以阻塞服務(wù)器帶寬為主。但與UDP FLOOD不同的是，ICMP通常不會(huì)承載數(shù)據(jù)業(yè)務(wù)，比較容易通過交換機(jī)ACL或者服務(wù)器的iptables等進(jìn)行防御。同時(shí)，攻擊實(shí)施者為了更加有效的 利用手上的僵尸主機(jī)，會(huì)使用包大小較大的數(shù)據(jù)包和IP層分片的數(shù)據(jù)包進(jìn)行攻擊，這種攻擊會(huì)繞過沒有設(shè)置IP層分配的ACL，也會(huì)加重服務(wù)器分配重組的負(fù) 擔(dān)。值得一提的是，window客戶端發(fā)出的ping數(shù)據(jù)包有特定的格式和數(shù)據(jù)包大小，使用通用的做白邏輯進(jìn)行防御在大多數(shù)情況下也是有效的。

上圖中的數(shù)據(jù)包是一個(gè)典型的UDP FLOOD攻擊數(shù)據(jù)包，數(shù)據(jù)包大小為1514Byte，payload固定，同時(shí)使用了分片標(biāo)志。

來自應(yīng)用層的DDoS

除了傳統(tǒng)的網(wǎng)絡(luò)層攻擊之外，一些針對特定應(yīng)用系統(tǒng)比如apache的應(yīng)用層攻擊也能夠取得很好的效果。例如CVE-2011-3192 Range header DoS vulnerability Apache HTTPD，是典型的使用應(yīng)用層漏洞進(jìn)行DDoS攻擊的攻擊方法。在這種攻擊中，攻擊者刻意構(gòu)造畸形的http頭，其中包含了大量重復(fù)的range字段。Apach在處理這種http請求時(shí)，會(huì)不斷的進(jìn)行range重組，最終導(dǎo)致目標(biāo)系統(tǒng)CPU繁忙而無法響應(yīng)正常請求。

正常流量TTL分布性質(zhì)

在講synflood 的時(shí)候已經(jīng)提到，可以通過分析數(shù)據(jù)包的TTL值分布情況對是否發(fā)生攻擊進(jìn)行簡要判斷。但是在實(shí)際操作時(shí)不容易找到現(xiàn)網(wǎng)中TTL值的分布規(guī)律，或者需要很長 時(shí)間訓(xùn)練才能明確。通過對現(xiàn)網(wǎng)中流量進(jìn)行測量分析，能夠得出現(xiàn)網(wǎng)中正常流量TTL分布性質(zhì)，本文作者對國內(nèi)外現(xiàn)網(wǎng)測量實(shí)驗(yàn)結(jié)論進(jìn)行了簡要整理，整理出性質(zhì) 如下：

1、某一條鏈路上的入境數(shù)據(jù)包源IP地址數(shù)目在不同TTL值上的分布基本保持穩(wěn)定，但對整個(gè)觀測區(qū)間內(nèi)入境數(shù)據(jù)包源IP地址總數(shù)的測量顯示：在當(dāng)前網(wǎng)絡(luò)環(huán)境下，入境數(shù)據(jù)包IP地址數(shù)目不會(huì)在較短時(shí)間內(nèi)增加到飽和趨勢，而是在比較長時(shí)間內(nèi)保持近似常數(shù)的增長速率。

從圖中可以得出，該鏈路未發(fā)生攻擊時(shí)基于最終TTL值的數(shù)據(jù)包分布呈雙峰分布。大部分的入境數(shù)據(jù)包的最終TTL值集中在64和128的左側(cè)，這是由于參與通信的大部分境外主機(jī)采用缺省初始TTL值64和128作為初始TTL值。同時(shí)，分布曲線的重合證明基于最終TTL 值的入境IP地址數(shù)目的分布在同一測量間隔內(nèi)保持穩(wěn)定，隨測量時(shí)間變化較小。

小結(jié)：

在沒有專用的防護(hù)設(shè)備的條件下，相對于攻擊者而言，防御方在資源方面處于絕對的弱勢。對攻擊發(fā)生時(shí)的cap文件進(jìn)行仔細(xì)的分析，找出攻擊者忽略的地 方，找出攻擊數(shù)據(jù)包與正常業(yè)務(wù)流量中有區(qū)別的地方，有些時(shí)候能夠起到四兩撥千斤的作用。而攻擊者需要不斷的變換特征和構(gòu)造復(fù)雜的攻擊，也在一定程度上提升 了攻擊實(shí)施的成本，使得防御方更加有利，能夠有效的控制攻擊影響

zhangcun