• Realm
    2022-02-21
    1 假如利用反射攻击,有可能攻击流量翻倍;也有可能攻击流量打出来,被运营商给干掉了一部分,结果没有100M; 2 cdn按照不同来源IP,把攻击流量稀释了,一定程度上可以缓解ddos;

    作者回复: 你答的很全面,区分了反射攻击和直接攻击👍确实如你所说,如果是直接攻击,因为流量会因为链路上存在的各种限制和瓶颈(这也是为什么tcp需要做拥塞控制),流量会降低不少。有说法是真正到达被攻击站点的流量只有最初发起时的1/10。当然这是指大规模发起攻击的时候。如果只是单台发起100Mbps,衰减没有这么厉害,但是比出发时低是肯定的。 第二个答案也正确:)

    共 3 条评论
    4
  • Chao
    2022-02-23
    CDN通过 GSLB 将流量都分散到不同的POP节点去了。 如果堵住GSLB,应该就另说了吧

    作者回复: 正确,CDN分散吸收了流量。 GSLB本质上是DNS服务,本身不接受HTTP流量,只接受DNS请求,然后通过回复不同的解析结果,来控制流量的配比和分布。DNS是分布式同步机制,是各个运营商帮你“分担”的,所以GSLB被“堵住”的概率应该是不太大的~

    共 2 条评论
    3
  • JianXu
    2022-08-01 来自上海
    为什么IP 协议不检查源IP 呢?

    作者回复: IP本身是一种浮动的资源。今天你用这个IP,明天用别的IP;同一个IP也经常被不同的资源所使用。所以在设计IP协议的时候,就没有考虑过如何验证发送方是否是宣称的这个IP的真实拥有者的机制。IP协议的重点是目标网络的寻址,交换机和路由器的核心功能是把报文送到它该去的地方。即使源IP错了,那也是错在发送方,跟中间网络设备无关。 至于源IP是否准确,就让目的地设备收到报文后,再做决定。 不仅IP协议,早期的很多协议都是有这种“不足”的,比如邮件协议。邮件发件人是不做约束和校验的,所以造成了垃圾邮件的泛滥。人们不得不采取在原有协议上做很多增强,来缓解这个问题。

    
    2
  • 那时刻
    2022-02-21
    这次理解了为什么dns协议为啥既采用UDP,又采用TCP的原因了。

    作者回复: 恩~

    
    1
  • Bachue Zhou
    2022-10-26 来自上海
    我记得 QUIC 协议的 UDP 包载荷普遍大于 512 字节

    作者回复: 512字节的UDP报文长度限制算是一个比较老的软性的规范或者说推荐值,所以同样来自“上古时代”的DNS协议就把UDP的报文长度限制在512字节内,也包括这一小节提到的NTP协议。 QUIC是最新的协议,它的初衷就是要打破TCP协议栈是实现在内核中的这个“先天不足”,仅仅借用UDP的基本传输功能,把流控和拥塞控制等特性都封装到QUIC中,这样只要升级客户端库就可以了,不需要等待系统内核更新。 QUIC的UDP报文长度,依然受到三层MTU的制约,也就是1500字节减去IP头部~

    
    
  • 追风筝的人
    2022-03-21
    UDP 头部其实只有 8 个字节,分别是:2 个字节的源端口号;2 个字节的目的端口号;2 个字节的报文长度;2 个字节的校验和。 TCP header : 20字节

    作者回复: 笔记很详细:)

    
    
  • 那时刻
    2022-02-21
    “肉机”发出 100Mbps 的攻击流量,到达被攻击站点的时候,仍然是 100Mbps 吗?为什么呢? 答:到达被攻击点的时候;可能高于100Mbps,可能因为中间节点mtu导致的。 为什么 CDN 可以达到缓解 DDoS 的效果呢? 答:因为CDN有多个边缘节点,这些边缘节点的IP不同,ddos在这些边缘节点会被消散很多

    作者回复: 第一个答案我没看明白,为什么中间节点mtu会导致流量增大呢? 第二个答案对的,cdn节点多,攻击流量来自全国乃至全球,就相应的被很多cdn节点给平均消化掉了,到达每个cdn节点的流量并不很高,节点一般可以搞定。即使几个节点挂了,因为多数节点依然是好的,对业务影响小很多

    共 2 条评论
    
  • 原则
    2023-06-08 来自广东
    文中说,当 DNS 报文超过 512 会自动转为 TCP 报文,可是实际情况是,一般都要求 DNS 解析的 IP 不能超过 15 个 IP,以避免超过 512,这是为什么呢?
    
    
  • 上杉夏香
    2022-11-18 来自北京
    三刷笔记: # 学到的知识 主要就是学习了DDoS的原理以及相应的抓包实现。 DDoS拒绝服务攻击的种类 1、耗尽服务器资源:无法接受用户的请求,比如TCP的半连接队列满了。 2、耗尽网络带宽:用户的请求发不进来 ## 直接攻击 利用TCP直接进行攻击。 如果用TCP的话,就直接攻击,而不像借助UDP的反射攻击。 比如SYN攻击、半连接攻击、全连接攻击、CC攻击。 ## 耗尽网络带宽 利用UDP依靠别的服务器资源耗尽目标受害者的网络带宽。 典型的有NTP借力打力的放大攻击。 所谓借力打力,指的是「IP协议不验证源地址的特性」,可以依托别的服务器资源作为手中的武器 所谓放大指的就是请求与响应数据体的大小完全不成比例,响应数据远大于请求数据。 为什么放大攻击都是依托于UDP呢? 1、UDP报文简单 因为UDP简单,易于构造。只有8个字节,分别是2字节的源端口、目的端口、长度、校验和。 2、UDP是无状态的 不需要握手,不需要维持连接。 感觉1和2就是一体两面的。因为UDP无状态,所以协议报文不需要那么复杂,8字节就够了。
    
    
  • 追风筝的人
    2022-03-21
    如果你也担心自己家的路由器也中招了的话,可以自测一下。访问https://badupnp.benjojo.co.uk/这个站点,它会对你的出口 IP(家用路由器的出口 IP)进行探测,看看是否有 1900 端口可以被利用。如果没有漏洞,网页会提醒你“All good! It looks like you are not listening on UPnP on WAN”。
    
    