2、 使用wireshark static->ipv4->endpoint分析數據包源地址分布。當使用偽造IP地址的DDoS攻擊發(fā)生時，抓包文件中的數據包數目和源地址對應關系會發(fā)生明顯變化。從圖中實例可以發(fā)現，除了被攻擊的目的IP意外，wireshark統(tǒng)計每個源地址對應的數據包數目較小，數據包大小字節(jié)數(Bytes)幾乎一致。

3、TTL分析發(fā)現攻擊者的蛛絲馬跡。當使用隨機源進行DDoS攻擊時，雖然使用了偽造源地址進行攻擊，但攻擊者無法偽造攻擊主機與目標主機之間的位置關系。有時候通過觀察數據包的TTL值變化，也能夠獲得攻擊者的蛛絲馬跡，為攻擊防御提供輔助支持。下圖所示的這個攻擊程序并沒有修改攻擊數據包的TTL值，所有的攻擊數據包使用相同的TTL值。聰明的你可能已經發(fā)現了，沒錯，這個攻擊數據包是由局域網內的一個windows計算機發(fā)出的。

UDP FLOOD

UDP FLOOD攻擊的主要目的是通過發(fā)送大量的UDP數據包來堵塞服務器的帶寬。同時針對DNS ，語音和流媒體等互聯(lián)網業(yè)務，也會有通過UDP承載的應用層攻擊出現。圖示是著名的蝸牛攻擊器產生的攻擊數據包，可以明顯的看出，這種數據包的payload固定，使用UDP大包進行攻擊，同時使用真實源地址進行攻擊。

ICMP FLOOD

與UDP FLOOD相同，ICMP FLOOD主要以阻塞服務器帶寬為主。但與UDP FLOOD不同的是，ICMP通常不會承載數據業(yè)務，比較容易通過交換機ACL或者服務器的iptables等進行防御。同時，攻擊實施者為了更加有效的 利用手上的僵尸主機，會使用包大小較大的數據包和IP層分片的數據包進行攻擊，這種攻擊會繞過沒有設置IP層分配的ACL，也會加重服務器分配重組的負 擔。值得一提的是，window客戶端發(fā)出的ping數據包有特定的格式和數據包大小，使用通用的做白邏輯進行防御在大多數情況下也是有效的。

上圖中的數據包是一個典型的UDP FLOOD攻擊數據包，數據包大小為1514Byte，payload固定，同時使用了分片標志。

來自應用層的DDoS

除了傳統(tǒng)的網絡層攻擊之外，一些針對特定應用系統(tǒng)比如apache的應用層攻擊也能夠取得很好的效果。例如CVE-2011-3192 Range header DoS vulnerability Apache HTTPD，是典型的使用應用層漏洞進行DDoS攻擊的攻擊方法。在這種攻擊中，攻擊者刻意構造畸形的http頭，其中包含了大量重復的range字段。Apach在處理這種http請求時，會不斷的進行range重組，最終導致目標系統(tǒng)CPU繁忙而無法響應正常請求。

正常流量TTL分布性質

在講synflood 的時候已經提到，可以通過分析數據包的TTL值分布情況對是否發(fā)生攻擊進行簡要判斷。但是在實際操作時不容易找到現網中TTL值的分布規(guī)律，或者需要很長 時間訓練才能明確。通過對現網中流量進行測量分析，能夠得出現網中正常流量TTL分布性質，本文作者對國內外現網測量實驗結論進行了簡要整理，整理出性質 如下：

1、某一條鏈路上的入境數據包源IP地址數目在不同TTL值上的分布基本保持穩(wěn)定，但對整個觀測區(qū)間內入境數據包源IP地址總數的測量顯示：在當前網絡環(huán)境下，入境數據包IP地址數目不會在較短時間內增加到飽和趨勢，而是在比較長時間內保持近似常數的增長速率。

從圖中可以得出，該鏈路未發(fā)生攻擊時基于最終TTL值的數據包分布呈雙峰分布。大部分的入境數據包的最終TTL值集中在64和128的左側，這是由于參與通信的大部分境外主機采用缺省初始TTL值64和128作為初始TTL值。同時，分布曲線的重合證明基于最終TTL 值的入境IP地址數目的分布在同一測量間隔內保持穩(wěn)定，隨測量時間變化較小。

小結：

在沒有專用的防護設備的條件下，相對于攻擊者而言，防御方在資源方面處于絕對的弱勢。對攻擊發(fā)生時的cap文件進行仔細的分析，找出攻擊者忽略的地 方，找出攻擊數據包與正常業(yè)務流量中有區(qū)別的地方，有些時候能夠起到四兩撥千斤的作用。而攻擊者需要不斷的變換特征和構造復雜的攻擊，也在一定程度上提升 了攻擊實施的成本，使得防御方更加有利，能夠有效的控制攻擊影響

zhangcun