免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 6426 | 回复: 9
打印 上一主题 下一主题

遇到个难题,追查DDOS攻击来源. [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2007-08-20 00:54 |只看该作者 |倒序浏览
有个网吧,只有5MB的出口,被一两百MB的带宽打得不行了,通过电信的朋友找到我,攻击是解决了(自己表扬一个,这次是解决了底出口带宽被堵的问题),现在用户出花红让我找对方的攻击来源.抓到了让对方断手断脚.攻击来的包我分析了,好象是用的肉机,是使用的UDP SRC.PROT 5444端口发过来的,主要打我的80,或者是ICMP的包,过来的IP很多,不是很好查.大家有什么思路没?我没有政府背景和ISP背景.靠自己查\r\n目前我有个思路,就是侵入,对方的肉机,NETSTAT/AN 或者分析木马被控制端的程序,其他的我还没想出什么办法,抓到幕后攻击者.\n\n[ 本帖最后由 南野秀一 于 2007-8-20 00:56 编辑 ]

论坛徽章:
0
2 [报告]
发表于 2007-08-20 01:00 |只看该作者
之前看到有文章说,通过攻击包的TTL,来还原来确定肉机的大楷位置.没看得太明白

论坛徽章:
0
3 [报告]
发表于 2007-08-20 01:06 |只看该作者
是个思路,不过他的你找到的肉鸡的ip也可能也是伪造的啊。\r\n小龙女的文章里看到的吧。ttl。不过ttl也可以伪造啊。\r\n楼猪有兴趣讨论下。

论坛徽章:
0
4 [报告]
发表于 2007-08-20 13:11 |只看该作者
你怎么解决的\r\n\r\n封了UDP\r\n封了UDP这个端口\r\n封了ICMP\r\n\r\n???\r\n如果对方是10M SYN过来 估计你要歇菜了\r\n别告诉我说 换了IP了

论坛徽章:
0
5 [报告]
发表于 2007-08-21 16:18 |只看该作者
哈哈, 又见流量牵引,无奈了,还原创。

论坛徽章:
0
6 [报告]
发表于 2007-08-22 11:12 |只看该作者
老婆,出来看<黑客帝国>啊!!....

论坛徽章:
0
7 [报告]
发表于 2007-08-22 23:03 |只看该作者
攻击我的人,以及幕后的人的人都抓到了,yes。。。。\r\n\r\n我抓到了,在网吧内暴露IP的那个小崽了,一恐吓,就把幕后的人说出来了,\r\n\r\n原来是同行竞争

论坛徽章:
0
8 [报告]
发表于 2007-08-23 09:46 |只看该作者
呵呵。果然是恐吓,,,

论坛徽章:
0
9 [报告]
发表于 2007-08-23 16:26 |只看该作者
樓上的\r\n這叫社交工程

论坛徽章:
0
10 [报告]
发表于 2007-08-29 20:51 |只看该作者
ddos攻击,整个行业都在找最优的方案,难怪你找不到。\r\nlz用引流?把攻击报文都引到蜜罐了?这种办法我敢100%保证下次类似攻击还会造成同样的后果。\r\n至于ip、ttl都不可靠的,所有的参数都可以伪造。\r\n通过技术手段跟踪到源的话,别忘了留言哦
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP