对syn报文或其他tcp报文回应synacks或rst报文,以及对一些ip报文回应icp数据报超时或目的地不可达消息的数据报。而攻击者可以利用这些回应的数据报对目标服务器发动ddos攻击。
攻击者首先锁定大量的可以做为反弹服务器的服务器群,比如说100万台(这并不是件很难的工作,因为在inter上光是eb服务器就不止这么多的,更何况还有更多其他的机器可以作为反弹服务器)。然后攻击者们集中事先搞定的从服务器群,向已锁定的反弹服务器群发送大量的欺骗请求数据包(来源地址为victi,受害服务器或目标服务器)。反弹服务器将向受害服务器发送回应数据报。结果是:到达受害服务器的洪水数据报不是几百个,几千个的来源,而是上百万个来源,来源如此分散的洪水流量将堵塞任何其他的企图对受害服务器的连接。
显示了利用反弹进行ddos攻击的结构。注意到,受害服务器不需要追查攻击的来源,因为所有攻击数据报的源ip都是真实的,都是反弹服务器群的ip。而另一方面,反弹服务器的管理人员则难以追查到从服务器的位置,因为他所收到的数据报都是伪造的(源ip为受害服务器的ip)。
原则上,我们可以在反弹服务器上利用追踪技术来发现从服务器的的位置。但是,反弹服务器上发送数据报的流量远小于从服务器发送的流量。每一个从服务器可以把它发送的网络流量分散到所有或者一大部分反弹服务器。例如:如果这里有nr个反弹服务器,ns个从服务器,每个从服务器发送的网络流量为f,那么每一个反弹服务器将产生的网络流量为
而nr远大于ns。所以,服务器根据网络流量来自动检测是否是ddos攻击源的这种机制将不起作用。
值得注意的是,不象以往ddos攻击,利用反弹技术,攻击者不需要把服务器做为网络流量的放大器(发送比攻击者发送的更大容量的网络数据)。他们甚至可以使洪水流量变弱,最终才在目标服务器回合为大容量的洪水。这样的机制让攻击者可以利用不同网络结构机制的服务器作为反弹服务器,使其更容易找到足够数量的反弹服务器,用以发起攻击。
我们的分析显示,有三种特别具威胁性的反弹服务器是:dns服务器、gnutella服务器、和基于tcp-ip的服务器(特别是eb服务器),基于tcp的实现将遭受可预测初始序列号的威胁。
天才一秒记住17小说网35d1.
攻击者首先锁定大量的可以做为反弹服务器的服务器群,比如说100万台(这并不是件很难的工作,因为在inter上光是eb服务器就不止这么多的,更何况还有更多其他的机器可以作为反弹服务器)。然后攻击者们集中事先搞定的从服务器群,向已锁定的反弹服务器群发送大量的欺骗请求数据包(来源地址为victi,受害服务器或目标服务器)。反弹服务器将向受害服务器发送回应数据报。结果是:到达受害服务器的洪水数据报不是几百个,几千个的来源,而是上百万个来源,来源如此分散的洪水流量将堵塞任何其他的企图对受害服务器的连接。
显示了利用反弹进行ddos攻击的结构。注意到,受害服务器不需要追查攻击的来源,因为所有攻击数据报的源ip都是真实的,都是反弹服务器群的ip。而另一方面,反弹服务器的管理人员则难以追查到从服务器的位置,因为他所收到的数据报都是伪造的(源ip为受害服务器的ip)。
原则上,我们可以在反弹服务器上利用追踪技术来发现从服务器的的位置。但是,反弹服务器上发送数据报的流量远小于从服务器发送的流量。每一个从服务器可以把它发送的网络流量分散到所有或者一大部分反弹服务器。例如:如果这里有nr个反弹服务器,ns个从服务器,每个从服务器发送的网络流量为f,那么每一个反弹服务器将产生的网络流量为
而nr远大于ns。所以,服务器根据网络流量来自动检测是否是ddos攻击源的这种机制将不起作用。
值得注意的是,不象以往ddos攻击,利用反弹技术,攻击者不需要把服务器做为网络流量的放大器(发送比攻击者发送的更大容量的网络数据)。他们甚至可以使洪水流量变弱,最终才在目标服务器回合为大容量的洪水。这样的机制让攻击者可以利用不同网络结构机制的服务器作为反弹服务器,使其更容易找到足够数量的反弹服务器,用以发起攻击。
我们的分析显示,有三种特别具威胁性的反弹服务器是:dns服务器、gnutella服务器、和基于tcp-ip的服务器(特别是eb服务器),基于tcp的实现将遭受可预测初始序列号的威胁。
天才一秒记住17小说网35d1.
本章未完,请点击下一页继续阅读》》