遇到个难题,追查DDOS攻击来源.

南野秀一

有个网吧,只有5MB的出口，被一两百MB的带宽打得不行了,通过电信的朋友找到我，攻击是解决了(自己表扬一个，这次是解决了底出口带宽被堵的问题)，现在用户出花红让我找对方的攻击来源.抓到了让对方断手断脚.攻击来的包我分析了,好象是用的肉机,是使用的UDP SRC.PROT 5444端口发过来的，主要打我的80,或者是ICMP的包,过来的IP很多,不是很好查.大家有什么思路没?我没有政府背景和ISP背景.靠自己查
目前我有个思路，就是侵入,对方的肉机,NETSTAT/AN 或者分析木马被控制端的程序，其他的我还没想出什么办法，抓到幕后攻击者.

[ 本帖最后由 南野秀一 于 2007-8-20 00:56 编辑 ]

南野秀一

之前看到有文章说，通过攻击包的TTL,来还原来确定肉机的大楷位置.没看得太明白

brokencluster

是个思路，不过他的你找到的肉鸡的ip也可能也是伪造的啊。
小龙女的文章里看到的吧。ttl。不过ttl也可以伪造啊。
楼猪有兴趣讨论下。

南野秀一

原帖由 brokencluster 于 2007-8-20 01:06 发表
是个思路，不过他的你找到的肉鸡的ip也可能也是伪造的啊。
小龙女的文章里看到的吧。ttl。不过ttl也可以伪造啊。
楼猪有兴趣讨论下。

对方可能还没做到伪造TTL这个程度吧..这次攻击，对方估计就是一菜鸟，手里有点肉鸡,而已，感觉不出有深厚的功底

带脚镣跳舞

你怎么解决的

封了UDP
封了UDP这个端口
封了ICMP

???
如果对方是10M SYN过来 估计你要歇菜了
别告诉我说 换了IP了

南野秀一

原帖由 带脚镣跳舞 于 2007-8-20 13:11 发表
你怎么解决的

封了UDP
封了UDP这个端口
封了ICMP

???
如果对方是10M SYN过来 估计你要歇菜了
别告诉我说 换了IP了

对方攻击流量是100-200MB 不是10MB，但是用户的出口只有5MB

我用了一种攻击流量引流的技术（自己独创的，简单但是有效果），把所有的攻击流量吸引到我的服务器上，让我服务器来抗的，

niehaihua

:wink:

unsword

哈哈， 又见流量牵引，无奈了，还原创。

cfk

原帖由 南野秀一 于 2007-8-20 00:54 发表
有个网吧,只有5MB的出口，被一两百MB的带宽打得不行了,通过电信的朋友找到我，攻击是解决了(自己表扬一个，这次是解决了底出口带宽被堵的问题)，现在用户出花红让我找对方的攻击来源.抓到了让对方断手断脚.攻击 ...

通过终端逆路由而上还是比较困难的， 尤其是没有isp协助.

'''
To judge botnet or IP spoofing, you can look at the TTL of every IP packets. If all packets' TTL ar all the same in one period of time, it is likely to be a attack with source IP spoofing.


And check two IP packets with one or two hours interval, check the TTL, if these two TTLs are the same, this case is likely to be a botnet attacking.


But in bose cases, you can not find out the distance between the attacker and the attackee.
'''

从一本书上抄的


前些日子我自己重现了一种 简陋带宽攻击原型, icmp-echo flood with random TTL, random SEQ, random source IP

souce code http://www.shangxinren.org/src/icmp-echo-flood.tar.gz
lz可以参考下。

[ 本帖最后由 cfk 于 2007-8-21 23:04 编辑 ]