遇到个难题,追查DDOS攻击来源.

南野秀一

有个网吧,只有5MB的出口，被一两百MB的带宽打得不行了,通过电信的朋友找到我，攻击是解决了(自己表扬一个，这次是解决了底出口带宽被堵的问题)，现在用户出花红让我找对方的攻击来源.抓到了让对方断手断脚.攻击来的包我分析了,好象是用的肉机,是使用的UDP SRC.PROT 5444端口发过来的，主要打我的80,或者是ICMP的包,过来的IP很多,不是很好查.大家有什么思路没?我没有政府背景和ISP背景.靠自己查\r\n目前我有个思路，就是侵入,对方的肉机,NETSTAT/AN 或者分析木马被控制端的程序，其他的我还没想出什么办法，抓到幕后攻击者.\n\n[ 本帖最后由 南野秀一 于 2007-8-20 00:56 编辑 ]

南野秀一

之前看到有文章说，通过攻击包的TTL,来还原来确定肉机的大楷位置.没看得太明白

brokencluster

是个思路，不过他的你找到的肉鸡的ip也可能也是伪造的啊。\r\n小龙女的文章里看到的吧。ttl。不过ttl也可以伪造啊。\r\n楼猪有兴趣讨论下。

带脚镣跳舞

你怎么解决的\r\n\r\n封了UDP\r\n封了UDP这个端口\r\n封了ICMP\r\n\r\n???\r\n如果对方是10M SYN过来 估计你要歇菜了\r\n别告诉我说 换了IP了

unsword

哈哈， 又见流量牵引，无奈了，还原创。

shenbo7

老婆,出来看<黑客帝国>啊!!....

南野秀一

攻击我的人，以及幕后的人的人都抓到了,yes。。。。\r\n\r\n我抓到了，在网吧内暴露IP的那个小崽了，一恐吓，就把幕后的人说出来了，\r\n\r\n原来是同行竞争

brokencluster

呵呵。果然是恐吓,,,

sshnuke

樓上的\r\n這叫社交工程

likeforrest

ddos攻击，整个行业都在找最优的方案，难怪你找不到。\r\nlz用引流？把攻击报文都引到蜜罐了？这种办法我敢100％保证下次类似攻击还会造成同样的后果。\r\n至于ip、ttl都不可靠的，所有的参数都可以伪造。\r\n通过技术手段跟踪到源的话，别忘了留言哦