安全小白成長記
2
信息安全等級高級測評師
CISP-PTE
安全小白成長記2
信息安全等級高級測評師
CISP-PTE
遭遇DoS攻擊會產生以下異常現象:
大量目標主機域名解析:根據分析,攻擊者在進行DDoS攻擊前總要解析目標的主機名。BIND域名服務器能夠記錄這些請求。每臺攻擊服務器在進行攻擊前會發出PTR反向查詢請求,也就是說在DDoS攻擊前域名服務器會接收到大量的反向解析目標IP主機名的PTR查詢請求。雖然這不是真正的DDoS通信,但能夠用來確定DDoS攻擊的來源。
極限通信流量:當DDoS攻擊一個站點時,會出現明顯超出該網絡正常工作時的極限通信流量的現象。現在的技術能夠對不同的源地址計算出對應的極限值。當明顯超出此極限值時就表明存在DDoS攻擊的通信。因此可以在主干路由器端建立訪問控制列表(Access Control List,ACL)和訪問控制規則,以監測和過濾這些通信。
特大型的ICMP和UDP數據包:正常的UDP會話一般都使用小的UDP包,通常有效數據內容不超過10 B。正常的ICMP消息長度在64128 B之間。那些明顯大得多的數據包很有可能就是DDoS攻擊控制信息,主要含有加密后的目標地址和一些命令選項。一旦捕獲到(沒有經過偽造的)控制信息,DDoS服務器的位置就暴露出來了,因為控制信息數據包的目標地址是沒有偽造的。
不屬于正常連接通信的TCP和UDP數據包:最隱蔽的DDoS工具隨機使用多種通信協議(包括基于連接的和無連接協議)發送數據。優秀的防火墻和路由規則能夠發現這些數據包。另外,那些連接到高于1024而且不屬于常用網絡服務的目標端口的數據包也非常值得懷疑。
數據段內容只包含文字和數字字符:例如,沒有空格、標點和控制字符的數據包。這往往是數據經過Base 64編碼后的特征。TFN2K發送的控制信息數據包就是這種類型。TFN2K及其變種的特征模式是在數據段中有一串A字符(AAA…),這是經過調整數據段大小和加密算法后的結果。如果沒有使用Base64編碼,對于使用了加密算法的數據包,這個連續的字符就是空格。
推薦文章
