分布式反射：新一代的DDoS攻击.doc

攻击在凌晨两点左右开始,那时我正好还在工作,所以我才有机会迅速的抓取到一部分的洪水攻击的信息。这次攻击使Verio(我们的网络提供商)的集合路由器将攻击数据挤满了我们的两条T1。我们的网站服务器因为这次攻击而无法处理其它合法的请求。我们被完全的炸下了网。我们以前就曾遭受过UDP和ICMP洪水攻击,这些攻击其实都可以由被攻击者入侵的主机、zombIE工具及Windows系统简单的实现,我们也被一些经典的SYN洪水攻击过。所以当我查看了一下那些显示我们是被SYN/ACK数据攻击的攻击数据包后,眉毛跳了一下。毕竟这些事实并不重要,就像我以前说的那样,一个SYN/ACK包只是一个SYN数据包带了一个ACK标记。任何有限权制作"rawsocket"的人都可以制作出这种数据包来——不管他是恶意的还是无意的。真正的惊讶是当我看到这些发起攻击的地址:......?看到这些分别来自Verio、Qwest、的洪水数据包,我想它们都是完全合法的SYN/ACK连接回应包,它们显示了一个TCP源端口:179。换句话说,就像一个网页服务器的数据包会从HTTP的80号端口返回一样,这些数据包是从"BGP"的179号端口返回的。BGP是中介路由器支持的"边界网关协议"(BorderGatewayProtocol)。路由器使用BGP与他们的邻居进行即时的信息交流来交换他们的"路由表",这是为了通知它们彼此路由器可以在哪个IP范围进行转交。BGP的细节并不重要,重要的是每个良好连接(高宽带)的中介路由器都会接受在他们179端口上的连接。换句话来说,任何一个SYN数据包到达一个网络路由器上后都会引出一个该路由的SYN/ACK回应包来。我突然知道什么会一定发生…..这些被利用来攻击的两百台主机不可能全存在安全问题,甚至可能没有任何一台有安全问题。我认识到它们只不过全是一些普通的的TCP服务器,发送SYN/ACK数据包的。换句话说,角落里利用带有连接请求的syn数据包对网络路由器进行洪水攻击。这些数据包带有虚假的IP地址,的。这样以来,发送来的,所以它们便对它们发送SYN/ACK数据包作为三次握手过程的第二个步。恶意的数据包其实就被那些被利用的主机“反射”到了受害者主机上。这些被反射的数据包返回到受害者主机上后,就形成了洪水攻击。阻拦反射攻击我们有一些好消息,这种攻击看起来可以很简单的阻拦。因为我们自己不是网络服务提供商,以我们从来没有任何连接到远程带有BGP服务的路由器上的需要。这样以来,我便要求Verio去阻拦任何从BGP服务端口179发起的入站数据。因为这个恶意攻击者的SYN数据包的目标是网络上中介路由的179号端口,任何反射的数据包也应该会从那个端口发出。Verio的工程师加了一个filter到提供我们网络服务的集合路由上,它用来阻拦(丢弃)任何从179端口发来的数据包。从179号端口发送来的数据包洪水立即停止了。上。一个刚从网上抓到的数据包显示我们现在正被一群全新的网络服务器攻击。因为这第二群攻击是在我们阻拦了从179端口发送来的攻击以后才出现的,所以这第二拨攻击没有办法跟第一拨的攻击力相比。我们现在正在被从端口22(SecureShell),23(),53(DNS),和80(H