关于本人对反射型DDOS攻击的防御见解
小刀网络 2023-08-21 07:56:16 0

今天之所以写这个是由于小编最近工作的公司遭到了一次长达两个小时的反射型ddos攻击,说起ddos攻击这类东西真的是很让人头疼,曾圈内有人用这样一句话来形容ddos攻击“如果渗透测试是诱奸,那末ddos就是强奸”渗透可以防御但是ddos从一定意义上讲是没法完全防御的,关于ddos的攻击原理我会在下一篇文章中详细介绍,本文先给大家讲下对反射型ddos的一点防御见解,请各位大牛指教!

以下是当时被攻击是我抓包的截图

反射型ddos

这次攻击是一种基于dns协议的反射型ddos攻击,攻击峰值流量大概在50G左右,最大的返回包超过3000字节,放大倍数30⑷0倍,攻击者使用的dns傀儡机大约有600个左右,由于我国带宽比较贵,我推测这些dns服务器的平均带宽在50M⑴00M之间,所以这600个左右的dns傀儡性能发出的最大攻击流量也就应当在40⑸0G之间,由于攻击者使用了dns放大反射攻击,所以我猜想攻击者的初始流量也就一两个G左右。

以下是获得到的dns傀儡机的ip截图

dns傀儡机

接下来小编给大家讲讲这类反射型攻击的实现条件:

反射型攻击的实现主要有两个方面;

第一:要求包要比回应包小很多,他们之间的差距越大,反射攻击的放大倍数就越大,目前黑客们比较经常使用的有NTP/DNS/SNMP/SSDP等这几种常见协议,这些协议都有一个特点就是它们都是udp协议,所以要实现反射型攻击就一定要依托于udp协议进行。

第二:攻击者要能实现源地址的捏造,目前我国电信是不能随便捏造源地址发送数据的,由于电信全网都开启了疏松的urpf,只能捏造同一网段的源地址,也正是这个限制才让反射型ddos攻击遭到了巨大的限制。

接下来我画了一张草图来简单说明下dns反射型攻击的流程:

dns反射型攻击流程图

最后小编想说下关于这类dns反射型攻击我们做为普通用户应当怎样来有效防御:

第一种防御方法:将攻击流量引导到没有业务的服务器上或个人宽带电脑上,这类方式最好实现,不需要捏造地址,我们一般的家庭宽带就能够。

防御反射型ddos攻击

第二种防御方法:取得了反射服务器的地址列表后,迅速进行排列,让排名靠前的一半也DDOS攻击靠后的一半,缘由是依照数量排列靠前的说明发包多,也间接说明这个服务器带宽大,让他来攻击后面带宽小的比较容易起作用,这样消耗前一半的带宽,也阻塞后一半的入口带宽,如果效果好理论上能减少攻击流量的一半以上。但是这类方法对NTP和ssdp的攻击不适用,由于NTP服务器和SSDP所在的网络大部份是在家庭网络(比如家用路由器),家庭网络上行带宽小下行带宽大,所以没法到达想要的效果。

总结:

其实严格来说在网络世界中没有拒收这类概念,你只能不响应他人的发的数据。比如把电话号码拉黑,实际你或者会收到这个人的电话或短信,只是拉黑后会直接挂断或删除。如果攻击者用1000个号码同时给你打电话,明显他目的是消耗你的手电机量或干扰通讯,这时候候防骚扰的拉黑功能就没有任何用途,但是目前我国的大多数互联网公司都还在使用“拒收”黑名单这类功能来做ddos防御,其实当攻击流量到达一定的峰值,这类“拒收”的作用就会完全崩溃,本文写的仓促,如果各位有更好的建议无妨留言一起讨论!

标签: 反射这类
相关信息推荐