14 | 安全：用Wireshark把DDoS攻击照出原形

杨胜辉



该思维导图由 AI 生成，仅供参考

你好，我是胜辉。
在过去几节课里，我们集中学习了 TCP 传输相关的知识，无论是第 8 讲的 MTU、第 9 讲和第 10 讲的传输速度、第 11 讲的拥塞控制，还是第 12 和 13 讲的各种重传，我们可以说是把 TCP 传输相关的核心概念全部过了一遍。一方面学习了 RFC 规范和具体的 Linux 实现，一方面也通过案例，把这些知识灵活运用了起来。想必现在的你，再去处理 TCP 传输问题的时候，已经强大很多了。
不过，上面的种种，其实还是在协议规范这个大框架内的讨论和学习，默认前提就是通信两端是遵照了 TCP 规定而展开工作的，都可谓是谦谦君子，道德楷模。
但是，有明就有暗。不遵照 TCP 规范，甚至寻找漏洞、发起攻击，这种“小人”乃至“强盗”的行为，也并非少见，比如我们熟知的 DDoS 攻击。
那么这节课，我们就不来学习怎么做君子了，当然，也不是教你做“小人”，而是我们要了解“小人”可能有的各种伎俩，通过 Wireshark 把这种种攻击行为照个彻底，认个清楚。这样，以后你如果遇到这类情况，就心里有数，也有对策了。
NTP 反射攻击案例我在公有云做技术工作的时候，发现游戏类业务遭到 DDoS 的情况比较多见。有一次，一个游戏客户就发现，他们的游戏服务器无法登录，被玩家投诉，可以说是十万火急。客户的工程师做了 tcpdump 抓包，然后赶紧把抓包文件传给我们一起分析。

公开

同步至部落

取消

完成

0/2000

荧光笔

直线

曲线

笔记

复制

AI

深入了解
翻译
英语
中文简体
中文繁体
法语
德语
日语
韩语
俄语
西班牙语
阿拉伯语
解释
总结

Wireshark是一款强大的网络分析工具，通过实际案例和Wireshark分析，帮助读者深入了解DDoS攻击的工作原理和防范措施。文章介绍了NTP反射攻击和SSDP反射放大攻击的原理和过程，以及利用Wireshark分析抓包文件来揭示攻击报文的细节。通过详细解释攻击过程和背景知识，读者可以了解攻击报文的细节，包括UDP报文长度和载荷大小等。此外，文章还介绍了UDP报文长度限制的背景知识，以及攻击者如何利用IP协议的漏洞进行反射攻击。最后，作者提到了应对这种攻击的方法，包括升级NTP服务器版本和使用高防护措施。整篇文章通过实际案例和Wireshark分析，帮助读者深入了解DDoS攻击的工作原理和防范措施。文章内容丰富，深入浅出，适合技术人员和网络安全从业者阅读。文章还介绍了anycast和多POP以及CDN等策略，通过多点分布来达到防护或者缓解DDoS攻击的目的。文章还提到了应对DDoS攻击的策略，包括使用高防产品、云堤类产品、部署多POP和anycast、以及使用CDN等方法。同时，文章还提供了一些技术细节和思考题，帮助读者更好地理解和思考DDoS攻击及其防范措施。

仅可试看部分内容，如需阅读全部内容，请付费购买文章所属专栏
《网络排查案例课》，新⼈⾸单¥59

立即购买

登录后留言

全部留言(10)

最新
精选

Realm
1 假如利用反射攻击，有可能攻击流量翻倍；也有可能攻击流量打出来，被运营商给干掉了一部分，结果没有100M； 2 cdn按照不同来源IP，把攻击流量稀释了，一定程度上可以缓解ddos；
作者回复: 你答的很全面，区分了反射攻击和直接攻击👍确实如你所说，如果是直接攻击，因为流量会因为链路上存在的各种限制和瓶颈（这也是为什么tcp需要做拥塞控制），流量会降低不少。有说法是真正到达被攻击站点的流量只有最初发起时的1/10。当然这是指大规模发起攻击的时候。如果只是单台发起100Mbps，衰减没有这么厉害，但是比出发时低是肯定的。第二个答案也正确：）
2022-02-21
3
4
Chao
CDN通过 GSLB 将流量都分散到不同的POP节点去了。如果堵住GSLB，应该就另说了吧
作者回复: 正确，CDN分散吸收了流量。 GSLB本质上是DNS服务，本身不接受HTTP流量，只接受DNS请求，然后通过回复不同的解析结果，来控制流量的配比和分布。DNS是分布式同步机制，是各个运营商帮你“分担”的，所以GSLB被“堵住”的概率应该是不太大的~
2022-02-23
2
3
JianXu
为什么IP 协议不检查源IP 呢？
作者回复: IP本身是一种浮动的资源。今天你用这个IP，明天用别的IP；同一个IP也经常被不同的资源所使用。所以在设计IP协议的时候，就没有考虑过如何验证发送方是否是宣称的这个IP的真实拥有者的机制。IP协议的重点是目标网络的寻址，交换机和路由器的核心功能是把报文送到它该去的地方。即使源IP错了，那也是错在发送方，跟中间网络设备无关。至于源IP是否准确，就让目的地设备收到报文后，再做决定。不仅IP协议，早期的很多协议都是有这种“不足”的，比如邮件协议。邮件发件人是不做约束和校验的，所以造成了垃圾邮件的泛滥。人们不得不采取在原有协议上做很多增强，来缓解这个问题。
2022-08-01归属地：上海

2
Bachue Zhou
我记得 QUIC 协议的 UDP 包载荷普遍大于 512 字节
作者回复: 512字节的UDP报文长度限制算是一个比较老的软性的规范或者说推荐值，所以同样来自“上古时代”的DNS协议就把UDP的报文长度限制在512字节内，也包括这一小节提到的NTP协议。 QUIC是最新的协议，它的初衷就是要打破TCP协议栈是实现在内核中的这个“先天不足”，仅仅借用UDP的基本传输功能，把流控和拥塞控制等特性都封装到QUIC中，这样只要升级客户端库就可以了，不需要等待系统内核更新。 QUIC的UDP报文长度，依然受到三层MTU的制约，也就是1500字节减去IP头部~
2022-10-26归属地：上海

1
那时刻
这次理解了为什么dns协议为啥既采用UDP，又采用TCP的原因了。
作者回复: 恩～
2022-02-21

1
追风筝的人
UDP 头部其实只有 8 个字节，分别是：2 个字节的源端口号；2 个字节的目的端口号；2 个字节的报文长度；2 个字节的校验和。 TCP header ： 20字节
作者回复: 笔记很详细：）
2022-03-21


那时刻
“肉机”发出 100Mbps 的攻击流量，到达被攻击站点的时候，仍然是 100Mbps 吗？为什么呢？答：到达被攻击点的时候；可能高于100Mbps，可能因为中间节点mtu导致的。为什么 CDN 可以达到缓解 DDoS 的效果呢？答：因为CDN有多个边缘节点，这些边缘节点的IP不同，ddos在这些边缘节点会被消散很多
作者回复: 第一个答案我没看明白，为什么中间节点mtu会导致流量增大呢？第二个答案对的，cdn节点多，攻击流量来自全国乃至全球，就相应的被很多cdn节点给平均消化掉了，到达每个cdn节点的流量并不很高，节点一般可以搞定。即使几个节点挂了，因为多数节点依然是好的，对业务影响小很多
2022-02-21
2

原则
文中说，当 DNS 报文超过 512 会自动转为 TCP 报文，可是实际情况是，一般都要求 DNS 解析的 IP 不能超过 15 个 IP，以避免超过 512，这是为什么呢？
2023-06-08归属地：广东


上杉夏香
三刷笔记： # 学到的知识主要就是学习了DDoS的原理以及相应的抓包实现。 DDoS拒绝服务攻击的种类 1、耗尽服务器资源：无法接受用户的请求，比如TCP的半连接队列满了。 2、耗尽网络带宽：用户的请求发不进来 ## 直接攻击利用TCP直接进行攻击。如果用TCP的话，就直接攻击，而不像借助UDP的反射攻击。比如SYN攻击、半连接攻击、全连接攻击、CC攻击。 ## 耗尽网络带宽利用UDP依靠别的服务器资源耗尽目标受害者的网络带宽。典型的有NTP借力打力的放大攻击。所谓借力打力，指的是「IP协议不验证源地址的特性」，可以依托别的服务器资源作为手中的武器所谓放大指的就是请求与响应数据体的大小完全不成比例，响应数据远大于请求数据。为什么放大攻击都是依托于UDP呢？ 1、UDP报文简单因为UDP简单，易于构造。只有8个字节，分别是2字节的源端口、目的端口、长度、校验和。 2、UDP是无状态的不需要握手，不需要维持连接。感觉1和2就是一体两面的。因为UDP无状态，所以协议报文不需要那么复杂，8字节就够了。
2022-11-18归属地：北京


追风筝的人
如果你也担心自己家的路由器也中招了的话，可以自测一下。访问https://badupnp.benjojo.co.uk/这个站点，它会对你的出口 IP（家用路由器的出口 IP）进行探测，看看是否有 1900 端口可以被利用。如果没有漏洞，网页会提醒你“All good! It looks like you are not listening on UPnP on WAN”。
2022-03-21



收起评论