DDOS攻击的方法有哪几种？_百度知道
DDOS攻击的方法有哪几种？
我有更好的答案
DDoS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。 这种攻击方式可分为以下几种：通过使网络过载来干扰甚至阻断正常的网络通讯；通过向服务器提交大量请求，使服务器超负荷；阻断某一用户访问服务器；阻断某服务与特定系统或个人的通讯。IP SpoofingIP欺骗攻击是一种黑客通过向服务端发送虚假的包以欺骗服务器的做法。具体说，就是将包中的源IP地址设置为不存在或不合法的值。服务器一旦接受到该包便会返回接受请求包，但实际上这个包永远返回不到来源处的计算机。这种做法使服务器必需开启自己的监听端口不断等待，也就浪费了系统各方面的资源。LAND attack这种攻击方式与SYN floods类似，不过在LAND attack攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环，最终耗尽资源而死机。ICMP floodsICMPfloods是通过向未良好设置的路由器发送广播信息占用系统资源的做法。Application与前面叙说的攻击方式不同，Application level floods主要是针对应用软件层的，也就是高于OSI的。它同样是以大量消耗系统资源为目的，通过向IIS这样的网络服务程序提出无节制的资源申请来迫害正常的网络服务。
采纳率：64%
来自团队：
DDOS攻击的目的有两个，一个是消耗网络带宽资源，一个是消耗服务器系统资源。因此在遇到DDOS攻击的典型现象就是，带宽资源被耗尽，或者服务器系统资源被占满。
本回答被提问者采纳
DDOS的主要几个攻击SYN变种攻击
发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。TCP混乱数据包攻击
发送伪造源IP的 TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。针对用UDP协议的攻击
很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截，针对WEB Server的多连接攻击
通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封，针对WEB Server的变种攻击
通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护，后面给大家介绍防火墙的解决方案针对WEB Server的变种攻击
通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析，这种攻击，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种攻击也非常难防护，因为如果只简单的拦截客户端发送过来没有GET字符的数据包，会错误的封锁很多正常的数据包造成正常用户无法访问，后面给大家介绍防火墙的解决方案针对游戏服务器的攻击
因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口7000,人物选择端口7100，以及游戏运行端口00等,因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。
以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包，或者有限的分析数据连接建立的状态，防护SYN,或者变种的SYN,ACK攻击效果不错,但是不能从根本上来分析tcp，udp协议，和针对应用层的协议,比如http,游戏协议，软件视频音频协议，现在的新的攻击越来越多的都是针对应用层协议漏洞,或者分析协议然后发送和正常数据包一样的数据，或者干脆模拟正常的数据流，单从数据包层面，分析每个数据包里面有什么数据，根本没办法很好的防护新型的攻击。编辑本段SYN攻击解析
SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。
第一次握手：建立连接时，客户端发送syn包到服务器，并进入SYN_SEND状态，等待服务器确认；
第二次握手：服务器收到syn包，必须确认客户的SYN 同时自己也发送一个SYN包 即SYN+ACK包，此时服务器进入SYN_RECV状态；
第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。
SYN攻击利用TCP协议三次握手的原理，大量发送伪造源IP的SYN包也就是伪造第一次握手数据包，服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列，如果短时间内接收到的SYN太多，半连接队列就会溢出，操作系统会把这个连接信息丢弃造成不能连接，当攻击的SYN包超过半连接队列的最大值时，正常的客户发送SYN数据包请求连接就会被服务器丢弃, 每种操作系统半连接队列大小不一样所以抵御SYN攻击的能力也不一样。那么能不能把半连接队列增加到足够大来保证不会溢出呢，答案是不能，每种操作系统都有方法来调整TCP模块的半连接队列最大数，例如Win2000操作系统在注册表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters里 TcpMaxHalfOpen，TcpMaxHalfOpenRetried ，Linux操作系统用变量tcp_max_syn_backlog来定义半连接队列的最大数。但是每建立一个半连接资源就会耗费系统的核心内存，操作系统的核心内存是专门提供给系统内核使用的内存不能进行虚拟内存转换是非常紧缺的资源windows2000 系统当物理内存是4g的时候 核心内存只有不到300M，系统所有核心模块都要使用核心内存所以能给半连接队列用的核心内存非常少。Windows 2003 默认安装情况下，WEB SERVER的80端口每秒钟接收5000个SYN数据包一分钟后网站就打不开了。标准SYN数据包64字节 5000个等于 (换算成bit)/K也就是 2.5M带宽 ，如此小的带宽就可以让服务器的端口瘫痪，由于攻击包的源IP是伪造的很难追查到攻击源,，所以这种攻击非常多。编辑本段如何防止和减少DDOS攻击的危害拒绝服务攻击的发展
从拒绝服务攻击诞生到现在已经有了很多的发展，从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢？DoS是一种利用单台计算机的攻击方式。而DdoS（Distributed Denial of Service，分布式拒绝服务）是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话，那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难，如何采取措施有效的应对呢？下面我们从两个方面进行介绍。
为您推荐：
您可能关注的内容
ddos攻击的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。Runtime Error
Server Error in '/' Application.
Runtime Error
Description: An application error occurred on the server. The current custom error settings for this application prevent the details of the application error from being viewed remotely (for security reasons). It could, however, be viewed by browsers running on the local server machine.
Details: To enable the details of this specific error message to be viewable on remote machines, please create a &customErrors& tag within a &web.config& configuration file located in the root directory of the current web application. This &customErrors& tag should then have its &mode& attribute set to &Off&.
&!-- Web.Config Configuration File --&
&configuration&
&system.web&
&customErrors mode=&Off&/&
&/system.web&
&/configuration&
Notes: The current error page you are seeing can be replaced by a custom error page by modifying the &defaultRedirect& attribute of the application's &customErrors& configuration tag to point to a custom error page URL.
&!-- Web.Config Configuration File --&
&configuration&
&system.web&
&customErrors mode=&RemoteOnly& defaultRedirect=&mycustompage.htm&/&
&/system.web&
&/configuration&防范DDoS攻击的15个方法
我的图书馆
防范DDoS攻击的15个方法
来自：开源中国社区
本文地址：http://www.oschina.net/translate/15-ways-to-stop-ddos-attacks-in-network
原文地址：http://securitywing.com/15-ways-to-stop-ddos-attacks-in-network/
为了对抗 DDoS(分布式拒绝服务)攻击，你需要对攻击时发生了什么有一个清楚的理解. 简单来讲，DDoS 攻击可以通过利用服务器上的漏洞，或者消耗服务器上的资源(例如 内存、硬盘等等)来达到目的。DDoS 攻击主要要两大类: 带宽耗尽攻击和资源耗尽攻击. 为了有效遏制这两种类型的攻击，你可以按照下面列出的步骤来做：
1、如果只有几台计算机是攻击的来源，并且你已经确定了这些来源的 IP 地址, 你就在防火墙服务器上放置一份 ACL（访问控制列表) 来阻断这些来自这些 IP 的访问。如果可能的话 将 web 服务器的 IP 地址变更一段时间，但是如果攻击者通过查询你的 DNS 服务器解析到你新设定的 IP，那这一措施及不再有效了。
2、如果你确定攻击来自一个特定的国家，可以考虑将来自那个国家的 IP 阻断，至少要阻断一段时间.
3、监控进入的网络流量。通过这种方式可以知道谁在访问你的网络，可以监控到异常的访问者，可以在事后分析日志和来源IP。在进行大规模的攻击之前，攻击者可能会使用少量的攻击来测试你网络的健壮性。
4、对付带宽消耗型的攻击来说，最有效（也很昂贵）的解决方案是购买更多的带宽。
5、也可以使用高性能的负载均衡软件，使用多台服务器，并部署在不同的数据中心。
6、对web和其他资源使用负载均衡的同时，也使用相同的策略来保护DNS。
7、优化资源使用提高 web server 的负载能力。例如，使用 apache 可以安装 apachebooster 插件，该插件与 varnish 和 nginx 集成，可以应对突增的流量和内存占用。
8、使用高可扩展性的 DNS 设备来保护针对 DNS 的 DDOS 攻击。可以考虑购买 Cloudfair 的商业解决方案，它可以提供针对 DNS 或 TCP/IP3 到7层的 DDOS 攻击保护。
9、启用路由器或防火墙的反IP欺骗功能。在 CISCO 的 ASA 防火墙中配置该功能要比在路由器中更方便。在 ASDM（Cisco Adaptive Security Device Manager）中启用该功能只要点击“配置”中的“防火墙”，找到“anti-spoofing”然后点击启用即可。也可以在路由器中使用 ACL（access control list）来防止 IP 欺骗，先针对内网创建 ACL，然后应用到互联网的接口上。
10、使用第三方的服务来保护你的网站。有不少公司有这样的服务，提供高性能的基础网络设施帮你抵御拒绝服务攻击。你只需要按月支付几百美元费用就行。
11、注意服务器的安全配置，避免资源耗尽型的 DDOS 攻击。
12、听从专家的意见，针对攻击事先做好应对的应急方案。
13、监控网络和 web 的流量。如果有可能可以配置多个分析工具，例如：Statcounter 和 Google analytics，这样可以更直观了解到流量变化的模式，从中获取更多的信息。
14、保护好 DNS 避免 DNS 放大攻击。
15、在路由器上禁用 ICMP。仅在需要测试时开放 ICMP。在配置路由器时也考虑下面的策略：流控，包过滤，半连接超时，垃圾包丢弃，来源伪造的数据包丢弃，SYN 阀值，禁用 ICMP 和 UDP 广播。
最后多了解一些 DDOS 攻击的类型和手段，并针对每一种攻击制定应急方案。
来自：开源中国社区
本文地址：http://www.oschina.net/translate/15-ways-to-stop-ddos-attacks-in-network
原文地址：http://securitywing.com/15-ways-to-stop-ddos-attacks-in-network/
TA的最新馆藏
喜欢该文的人也喜欢posts - 137,&
comments - 268,&
trackbacks - 0
1. SYN Flood&12. WinNuke&33. Smurf&44. Land-based&55. Ping of Death&56. PingSweep&67. Pingflood&68. Teardrop&79. UDP Flood&810. IGMP攻击&8
1. SYN Flood特征：SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。正常的TCP建立连接的过程：第一步，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号； 第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。 第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。 以上的连接过程在TCP协议中被称为三次握手（Three-way Handshake）。问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。预防：1.&缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x& SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。2.&设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。可是上述的两种方法只能对付比较原始的SYN Flood攻击，缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效，SYN Cookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用SOCK_RAW随机改写IP报文中的源地址，以上的方法将毫无用武之地。3.&修改最大半连接数目TcpMaxHalfOpen以及半连接的测试次数TcpMaxHalfOpenRetried（当超过次数目时，开始启动SYN Flood防护），一般TcpMaxHalfOpen=TcpMaxHalfOpenRetried*1.25。4.&基于DNS解析的负载均衡5.&丢弃第一个SYN请求数据包，等待超时重传。2. WinNuke特征：WinNuke攻击是一种拒绝服务攻击，又称“带外传输攻击”，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为1，即紧急模式。WinNuke攻击就是利用了Windows操作系统的一个漏洞，向这些端口发送一些携带TCP带外（OOB）数据报文的，但这些攻击报文与正常携带OOB数据报文不同的是，其指针字段与数据的实际位置不符，即存在重合。这样Windows操作系统在处理这些数据的时候，就会崩溃。目前的WinNuke系列工具已经从最初的简单选择IP攻击某个端口，发展到可以攻击一个IP区间范围的计算机，并且可以进行连续攻击，还能够验证攻击的效果，还可以检测和选择端口。所以，使用它可以造成某一个IP地址区间的计算机全部蓝屏死机。预防：首先判断数据包目标端口是否为139、138、137等，并判断URG位是否为1。如果是，则丢弃该数据包，并对这种攻击进行审计（记录事件发生的时间、源主机和目标主机的MAC地址和IP地址）。3. Smurf特征：该攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。通过向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。预防：每次收到ICMP Request包时，先记录下来（可以用hash表），记录的项包括ICMP头标识符（ID），源IP，目标IP；当下次收到ICMP Reply包时，根据源IP与目标IP，去查找保存的记录，判断本次的ICMP Reply头标识符与保存的ICMP Request标识符是否一致，如果不一致，则有可能受到Smurf攻击，将该包丢弃。4. Land-based特征：攻击者将一个包的源地址和目的地址都设置为目标主机的地址（一般是在局域网内，所以也可以是源MAC地址和目的MAC地址都等于本机MAC地址），然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。预防：由于如果目的MAC地址不等于本机，直接被网卡扔掉，因此只需判断目的网卡MAC与源网卡MAC是否相同即可。如果相同，则丢弃。5. Ping of Death特征：据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。预防：对接收到的ICMP Ping包，检查IP头，看是否有分片，如果有分片的话，则将第一个ICMP Ping包保存下来，对于下一个ICMP Ping包，则根据源IP与目标IP找到上次保存的，如果次包与保存的包的标识符相同，则累加包长度，如果超过65536，则说明有可能受到ping of death攻击，将该包丢弃。6. PingSweep特征：使用ICMP Echo轮询多个主机。预防：预防：对接收到的ICMP Ping包，将其记录下来，对随后的Ping包，如果是同一的源地址，则将计数加一，如果超过指定的允许数目，则将该包丢弃。7. Pingflood特征：该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。预防：对接收到的ICMP Ping包，将其记录下来，对随后的Ping包，如果是同一的源地址，则将计数加一，如果超过指定的允许数目，则将该包丢弃。8. Teardrop特征：Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。（利用UDP包重组时重叠偏移（假设数据包中第二片IP包的偏移量小于第一片结束的位移，而且算上第二片IP包的Data，也未超过第一片的尾部，这就是重叠现象。）的漏洞对系统主机发动拒绝服务攻击，最终导致主机菪掉；对于Windows系统会导致蓝屏死机，并显示STOP 0x0000000A错误。）预防：对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。9. UDP Flood特征：UDP淹没攻击是导致基于主机的服务拒绝攻击的一种。UDP 是一种无连接的协议，而且它不需要用任何程序建立连接来传输数据。当攻击者随机地向受害系统的端口发送 UDP 数据包的时候，就可能发生了 UDP 淹没攻击。当受害系统接收到一个 UDP 数据包的时候，它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存在正在等待的应用程序，它就会产生一个目的地址无法连接的 ICMP 数据包发送给该伪造的源地址。如果向受害者计算机端口发送了足够多的 UDP 数据包的时候，整个系统就会瘫痪。预防：监控指定的源IP与目标IP为同一的UDP数据包，并计数，当超过指定的允许的数目时，则丢弃该包。10. IGMP攻击特征：IGMP攻击就是伪造一个目的地址是单个ip， 但ip层指定协议为IGMP，系统会为你打造一个IGMP报头，因为组播使用D类地址，所以系统不知如何处理，造成崩溃。预防：对接收到的IP包，检查其包头，看是否是IGMP（2）协议，并且目标地址是单个IP，而非D类地址，则丢弃该包。
阅读(2582)
&re: 典型DDOS攻击及预防对策
很多都只是原理上证明可行，但现在很个系统协议实现早已做好了防范，就是说实践起来已经过时了...&&&&&&
&re: 典型DDOS攻击及预防对策
@www.helpsoff.com.cn
你的意思是目前协议层已经可以防范大部分攻击了？&&&&&&
&re: 典型DDOS攻击及预防对策
用得最多的还是第一种吧。这些手段最流氓，却最难解决。&&&&&&
&re: 典型DDOS攻击及预防对策
@zwp
是啊，对于变ip，变端口的快速攻击，攻击方法简单，但很难有效的通过纯软件的方式防护&&&&&&
293012345678910111213141516171819202122232425262728293031123456789
留言簿(17)
随笔分类(138)
随笔档案(137)
C++基础知识
积分与排名
阅读排行榜
评论排行榜美国知名网络安全公司Imperva遭遇大规模DDoS攻击
黑客一般都会攻击挑战性大的，利益大的网站或者公司。网络安全公司也是黑客们重点攻击的对象。比如说Imperva。
Imperva公司是一家全球领先的新型数据应用安全的技术领导者和知名公司,提供的数据库安全和审计解决方案,可为用户解决这一重要问题。
12月21日凌晨，公司网络遭遇大规模DDoS攻击，其攻击峰值流量达650 Gbps。
文章报告来源E安全，转载请标注来源。
Imperva将攻击主力称为“Leet僵尸网络”（Leet Botnet），针对的是Imperva Incapsula网络中的多个IP地址。
虽然尚不清楚实施攻击的具体设备，但有可能如同Mirai一样，使用的是成千上万受感染物联网设备。
此次攻击未针对特定用户，可能是因为黑客无法解析受害者的IP地址，因为Incapsula缓解代理服务器对受害者的IP地址做了隐藏处理。
Imperva发布的分析指出，“至于攻击为什么没有针对某个特定用户，这很难说。
很可能罪犯无法解析被Incapsula代理隐藏的受害者真实IP地址。”
Imperva公司Incapsula产品线的安全研究专家Avishay Zawoznik表示，“由于使用了IP地址欺骗技术，难以精确确定攻击中使用的设备。
然而，我们在有效载荷内容中发现一些可靠线索，对个别有效载荷进行手工分析后发现某类Linux设备。
例如，某些设备包含/proc（pro文件系统）文件夹详情，这是Unix类系统特有的。”
对攻击进行分析后，Imperva认为攻击者无法找到隐藏在Imperva代理后的具体目标，从而选择攻击基于云的服务。
安全公司Imperva遭受高达650 Gbps的“Leet僵尸网络”攻击-E安全 此次攻击有两波。
第一波持续20分钟，峰值达400 Gbps，但未达到目的。Imperva报告称，“攻击者重新集结并展开第二轮攻击，而这次峰值达650 Gbps，攻击每秒的数据包数量达到了1.5亿个。”
第二波持续约17分钟，仍以失败告终。“无奈之下，攻击者只好收手。”
由于攻击者隐藏在欺骗IP地址背后，因此无法确定攻击设备的地理位置。但Imperva能分析数据包的内容。
虽然规模与KrebsOnSecurity10月遭受的Mirai攻击类似，但却有不同之处。
Imperva指出，“Leet这个名字源于数据包内的“签名”。
这些数据包的TCP选项头部的值为“1337”语言。被称为‘leet’或‘elite’”。 1337语言国外黑客使用的奇怪语言。通常是把拉丁字母转变成数字或是特殊符号。
安全公司Imperva遭受高达650 Gbps的“Leet僵尸网络”攻击-E安全 攻击中使用了两个单独的有效载荷：常规SYN数据包（44到60个字节不等），以及异常达的SYN数据包（799到936个字节不等）。
大数据包的内容来自受感染的设备。其结果是，大量模糊的随机有效载荷能绕过基于签名的防御（通过识别数据包内容的相似之处缓解攻击）。
Imperva认为， Leet僵尸网络的能力堪比Mirai。随着不安全的物联网设备不断增加，情况会变得更糟。
F-Secure公司的安全顾问Sean Sullivan指出，“组织机构应做好准备缓解DDoS攻击，并在攻击结束时做好准备使网络正常运行。
DDoS攻击无法避免，只能在事件发生后时刻准备减少下线时间，从而缓解DDoS威胁。”
从长远来看，物联网僵尸网络的解决方案可能在于监管。各国政府因担心遏制创新，而不愿意规范互联网。
但到了一定程度时，这是唯一的解决方案。安全行业数年来一直在警告物联网存在安全隐患，但制造商为了尽早获取市场份额，仍在不断推出不安全的新产品。
其它行业已经开始实施监管措施，例如保健和工程行业。
应让物联网制造商更加清楚地认识到推出不安全产品需承担法律责任，这一步实施起来很艰难。
安全认证也许有帮助，但可能还远远不够。监管者对情节严重的罪犯处以巨额罚款将会使开发人员更重视安全问题。
Sullivan警告称，“短期内，要使网络和物联网设备更安全，其希望渺茫，但互联网服务提供商（ISP）可以授权安全团队运行更安全的网络。”
@悬镜安全，悬镜是一款免费Linux服务器安全软件,拥有风险诊断、网站防护、服务器加固、安全运维、云监控、Webshell查杀等功能.网站安全、服务器安全,首选悬镜!
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
悬镜是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全
关系大了，不看不知道，一看就涨知识了
今日搜狐热点