14 | 安全:用Wireshark把DDoS攻击照出原形
该思维导图由 AI 生成,仅供参考
NTP 反射攻击案例
- 深入了解
- 翻译
- 解释
- 总结
Wireshark是一款强大的网络分析工具,通过实际案例和Wireshark分析,帮助读者深入了解DDoS攻击的工作原理和防范措施。文章介绍了NTP反射攻击和SSDP反射放大攻击的原理和过程,以及利用Wireshark分析抓包文件来揭示攻击报文的细节。通过详细解释攻击过程和背景知识,读者可以了解攻击报文的细节,包括UDP报文长度和载荷大小等。此外,文章还介绍了UDP报文长度限制的背景知识,以及攻击者如何利用IP协议的漏洞进行反射攻击。最后,作者提到了应对这种攻击的方法,包括升级NTP服务器版本和使用高防护措施。整篇文章通过实际案例和Wireshark分析,帮助读者深入了解DDoS攻击的工作原理和防范措施。文章内容丰富,深入浅出,适合技术人员和网络安全从业者阅读。文章还介绍了anycast和多POP以及CDN等策略,通过多点分布来达到防护或者缓解DDoS攻击的目的。文章还提到了应对DDoS攻击的策略,包括使用高防产品、云堤类产品、部署多POP和anycast、以及使用CDN等方法。同时,文章还提供了一些技术细节和思考题,帮助读者更好地理解和思考DDoS攻击及其防范措施。
《网络排查案例课》,新⼈⾸单¥59
全部留言(10)
- 最新
- 精选
- Realm1 假如利用反射攻击,有可能攻击流量翻倍;也有可能攻击流量打出来,被运营商给干掉了一部分,结果没有100M; 2 cdn按照不同来源IP,把攻击流量稀释了,一定程度上可以缓解ddos;
作者回复: 你答的很全面,区分了反射攻击和直接攻击👍确实如你所说,如果是直接攻击,因为流量会因为链路上存在的各种限制和瓶颈(这也是为什么tcp需要做拥塞控制),流量会降低不少。有说法是真正到达被攻击站点的流量只有最初发起时的1/10。当然这是指大规模发起攻击的时候。如果只是单台发起100Mbps,衰减没有这么厉害,但是比出发时低是肯定的。 第二个答案也正确:)
2022-02-2134 - ChaoCDN通过 GSLB 将流量都分散到不同的POP节点去了。 如果堵住GSLB,应该就另说了吧
作者回复: 正确,CDN分散吸收了流量。 GSLB本质上是DNS服务,本身不接受HTTP流量,只接受DNS请求,然后通过回复不同的解析结果,来控制流量的配比和分布。DNS是分布式同步机制,是各个运营商帮你“分担”的,所以GSLB被“堵住”的概率应该是不太大的~
2022-02-2323 - JianXu为什么IP 协议不检查源IP 呢?
作者回复: IP本身是一种浮动的资源。今天你用这个IP,明天用别的IP;同一个IP也经常被不同的资源所使用。所以在设计IP协议的时候,就没有考虑过如何验证发送方是否是宣称的这个IP的真实拥有者的机制。IP协议的重点是目标网络的寻址,交换机和路由器的核心功能是把报文送到它该去的地方。即使源IP错了,那也是错在发送方,跟中间网络设备无关。 至于源IP是否准确,就让目的地设备收到报文后,再做决定。 不仅IP协议,早期的很多协议都是有这种“不足”的,比如邮件协议。邮件发件人是不做约束和校验的,所以造成了垃圾邮件的泛滥。人们不得不采取在原有协议上做很多增强,来缓解这个问题。
2022-08-01归属地:上海2 - Bachue Zhou我记得 QUIC 协议的 UDP 包载荷普遍大于 512 字节
作者回复: 512字节的UDP报文长度限制算是一个比较老的软性的规范或者说推荐值,所以同样来自“上古时代”的DNS协议就把UDP的报文长度限制在512字节内,也包括这一小节提到的NTP协议。 QUIC是最新的协议,它的初衷就是要打破TCP协议栈是实现在内核中的这个“先天不足”,仅仅借用UDP的基本传输功能,把流控和拥塞控制等特性都封装到QUIC中,这样只要升级客户端库就可以了,不需要等待系统内核更新。 QUIC的UDP报文长度,依然受到三层MTU的制约,也就是1500字节减去IP头部~
2022-10-26归属地:上海1 - 那时刻这次理解了为什么dns协议为啥既采用UDP,又采用TCP的原因了。
作者回复: 恩~
2022-02-211 - 追风筝的人UDP 头部其实只有 8 个字节,分别是:2 个字节的源端口号;2 个字节的目的端口号;2 个字节的报文长度;2 个字节的校验和。 TCP header : 20字节
作者回复: 笔记很详细:)
2022-03-21 - 那时刻“肉机”发出 100Mbps 的攻击流量,到达被攻击站点的时候,仍然是 100Mbps 吗?为什么呢? 答:到达被攻击点的时候;可能高于100Mbps,可能因为中间节点mtu导致的。 为什么 CDN 可以达到缓解 DDoS 的效果呢? 答:因为CDN有多个边缘节点,这些边缘节点的IP不同,ddos在这些边缘节点会被消散很多
作者回复: 第一个答案我没看明白,为什么中间节点mtu会导致流量增大呢? 第二个答案对的,cdn节点多,攻击流量来自全国乃至全球,就相应的被很多cdn节点给平均消化掉了,到达每个cdn节点的流量并不很高,节点一般可以搞定。即使几个节点挂了,因为多数节点依然是好的,对业务影响小很多
2022-02-212 - 原则文中说,当 DNS 报文超过 512 会自动转为 TCP 报文,可是实际情况是,一般都要求 DNS 解析的 IP 不能超过 15 个 IP,以避免超过 512,这是为什么呢?2023-06-08归属地:广东
- 上杉夏香三刷笔记: # 学到的知识 主要就是学习了DDoS的原理以及相应的抓包实现。 DDoS拒绝服务攻击的种类 1、耗尽服务器资源:无法接受用户的请求,比如TCP的半连接队列满了。 2、耗尽网络带宽:用户的请求发不进来 ## 直接攻击 利用TCP直接进行攻击。 如果用TCP的话,就直接攻击,而不像借助UDP的反射攻击。 比如SYN攻击、半连接攻击、全连接攻击、CC攻击。 ## 耗尽网络带宽 利用UDP依靠别的服务器资源耗尽目标受害者的网络带宽。 典型的有NTP借力打力的放大攻击。 所谓借力打力,指的是「IP协议不验证源地址的特性」,可以依托别的服务器资源作为手中的武器 所谓放大指的就是请求与响应数据体的大小完全不成比例,响应数据远大于请求数据。 为什么放大攻击都是依托于UDP呢? 1、UDP报文简单 因为UDP简单,易于构造。只有8个字节,分别是2字节的源端口、目的端口、长度、校验和。 2、UDP是无状态的 不需要握手,不需要维持连接。 感觉1和2就是一体两面的。因为UDP无状态,所以协议报文不需要那么复杂,8字节就够了。2022-11-18归属地:北京
- 追风筝的人如果你也担心自己家的路由器也中招了的话,可以自测一下。访问https://badupnp.benjojo.co.uk/这个站点,它会对你的出口 IP(家用路由器的出口 IP)进行探测,看看是否有 1900 端口可以被利用。如果没有漏洞,网页会提醒你“All good! It looks like you are not listening on UPnP on WAN”。2022-03-21