ddos攻击取证

作者：

发布时间：2020-10-30

　　近期有客户想安全狗咨询，网站受到了竞争对手的攻击，多半是DDOS，想进行调查取证后诉诸法律，但是对这方面的了解知之不多，于是向安全狗求助，这里就跟大家聊聊ddos攻击取证。

　　ddos攻击取证

　　有需要攻击取证与溯源分析服务的朋友可以向安全狗咨询：

　　安全狗攻击取证与溯源分析服务：http://www.safedog.cn/seniorService.html?transferCode=1

　　团队由具有8年以上的一线攻防经验的安全专家组成，具备丰富的渗透和反渗透经验，能在复杂的网络环境中完成精准的攻击取证和追踪溯源;同时能辅助客户完成高强度的RED TEAM OPERATION挑战, 帮助客户建立应急响应中心。

　　在安全技术研究方向，进行最新前沿安全趋势动态追踪、最新安全漏洞分析、恶意软件特征库规则编写研究、0day漏洞发掘研究、Web安全及浏览器安全技术研究分析、手机恶意代码分析研究、网络蜜罐捕获技术研究、软件逆向分析、恶意代码逆向分析，最新木马病毒技术研究等。实验室与业界安全圈众多同行及组织建立了合作关系，分享并共享更多的安全研究成果及技术创新。

　　服务目的

　　审计服务器之前被黑轨迹，挖掘攻击手法和系统的漏洞。评估统计攻击造成的危害，提供攻击者侧写，了解我们的敌人。审计服务器配置，扫描安全基线，确定系统安全性。保证不出现弱口令，不安全配置，数据泄漏等高危安全问题。审计业务系统安全，确保集团Web端及APP客户端安全、登录安全、注册安全、密码找回安全、交易安全，服务端安全检查不出现重大安全问题。黑盒审计，渗透测试外部系统，寻找Web系统，操作系统，数据库系统存在的安全漏洞，提供修复方法和安全建设方案，保障今后在线业务可以规避这些高危风险。审计整改，建立漏洞安全检查常态化机制，提升客户信息泄漏风险主动发现和防护能力，及时全面的整改业务支撑系统存在的信息泄露漏洞，降低客户信息泄露安全事件发生的概率。

　　多纬度追踪溯源分析

　　白盒与黑盒审计结合，全面追踪分析与攻击取证

　　关于ddos攻击取证，最难的部分在于溯源分析，想要找到ddos的攻击源非常困难，如果有兴趣的朋友可以尝试以下办法：

　　目前主要的DDoS追踪技术有PacketMarking、ICMP追踪、Logging以及ControlledFlooding。这些跟踪技术一般都需要路由器的支持，实际中也需要ISP的协助。

　　PacketMarking是一大类方法，其基本思想是路由器在IP攻击器包中的Identification域加入额外信息以帮助确定包的来源或路径。由于IP包的Identification域在因特网中被使用到的比率只有0。25%，因此在大多数包中添加路由信息是十分可行。当然如果对每个包都做处理没有必要，因此大多数PacketMarking方法都是以一个较低的概率在IP包中加入标记信息。PacketMarking方法需要解决的主要问题是：由于IP包的Identification域只有16比特，因此加入的信息量很受限制，如果要追踪源地址或者路径就要精心构造加入的信息，这涉及到路由器如何更新已有的标记信息，如何降低标记信息被伪造的可能，如何应对网络中存在不支持PacketMarking的路由器的情况。比如，采用用异或和移位来实现标记信息的更新。

　　ControlledFlooding是Burch和Cheswick提出的方法。这种方法实际上就是制造flood攻击，通过观察路由器的状态来判断攻击路径。首先应该有一张上游的路径图，当受到攻击的时候，可以从受害主机的上级路由器开始依照路径图对上游的路由器进行受控的flood，因为这些数据包同攻击者发起的数据包共享了路由器，因此增加了路由器丢包的可能性。通过这种沿路径图不断向上进行，就能够接近攻击发起的源头。ControlledFlooding最大的缺点就是这种办法本身就是一种DOS攻击，会对一些信任路径也进行DOS。而且，ControlledFlooding要求有一个几乎覆盖整个网络的拓扑图。Burch和Cheswick也指出，这种办法很难用于DDOS攻击的追踪。这种方法也只能对正在进行攻击有效。ICMP追踪主要依靠路由器自身产生的ICMP跟踪消息。每个路由器都以很低的概率(比如：1/20000)，将数据包的内容复制到一个ICMP消息包中，并且包含了到临近源地址的路由器信息。当DDoS攻击开始的时候，受害主机就可以利用这些ICMP消息来重新构造攻击者的路径。这种方法的缺点是ICMP可能被从普通流量中过滤掉，并且，ICMP追踪消息依赖于路由器的相关功能，但是，可能一些路由器就没有这样的功能。同时ICMPTracking必须考虑攻击者可能发送的伪造ICMPTraceback消息。

　　Logging通过在主路由器上记录数据包，然后通过数据采集技术来决定这些数据包的穿越路径。虽然这种办法可以用于对攻击后的数据进行追踪，但也有很明显的缺点，如要求记录和处理大量的信息。

　　如果您对于溯源分析技术并不了解，也可以向安全狗咨询ddos攻击取证服务，我们会安排专业的技术团队为您提供服务，帮助全面防御ddos攻击，及时防范于未然。

标签：

上一篇：手机被黑客攻击如何取证

下一篇：网络溯源分析系统

最新资讯: 企业级网络防火墙可以防护哪些方面?; 企业网络等保测评必须要做吗-企业网络等保测评的必要性分析; 云安全环境加固需要哪些措施？; 网络安全隔离设备有哪些; 网站被挂马怎么解决; web应用防火墙怎么部署?; 网络安全审计系统有哪些功能?多少钱?; 服务器卡顿动不了怎么解决; 网站中木马被反复篡改的彻底修复方法; 服务器被篡改登录不上怎么办？

相关资讯