共 6 篇相关文章
这篇讲的是绿盟科技首次以“IP团伙”为单位对DDoS攻击进行研究的报告。作者从一个新角度出发,将协作发起DDoS攻击的惯犯群体定义为“IP团伙”,并基于2017年以来的攻击数据,分析了如何识别这些团伙及其行为特征。 研究发现,这些团伙虽然只占攻击者总数的2%,却发起了约20%的攻击,且约20%的头部团伙对大部分攻击流量负责。在攻击方法上,反射型攻击(尤其是NTP反射)是团伙实施大流量攻击的首选。报告还揭示了一些反直觉的结论:团伙的攻击能力(如总流量、峰值带宽)与其成员规模并非简单正比,一个256人的团伙可能产生比大团伙更猛的攻击流量。 通过为团伙建立“画像”,研究旨在更精准地描述攻击者的行为模式、偏好与能力极限。这为网络安全防御提供了一个更聚焦的视角——不仅应对孤立事件,更能基于团伙历史行为来检测、缓解甚至预测未来的协同攻击。
这篇讲的是DDoS攻击的完整图景——从基础概念到实战工具。作者从“拒绝服务”和“分布式”这两个核心点出发,解释了攻击如何演变成依靠“僵尸网络”进行的协同作战。文章梳理了DDoS的发展史:早期只是黑客的炫技游戏,后来被宗教和商业组织用于勒索与报复,最终甚至成为国家级网络战争的武器,其中中国和美国是受灾最严重的地区。 在技术层面,文章将攻击方式归纳为四类:耗尽网络带宽的流量洪水、针对TCP连接表的SYN洪水、专门攻击DNS和Web服务的应用层攻击,以及混合多种手段的综合性攻击。特别提到随着僵尸网络小型化,慢速应用层攻击正成为新的趋势。文章还介绍了几款知名的开源工具,比如曾被广泛使用的低轨道离子炮(LOIC)和专门产生HTTP流量的HULK,让读者直观了解攻击的实现手段。 整体而言,这篇文章不仅解释了DDoS“是什么”,更通过攻击工具和态势分析展现了“如何发生”,对于理解当前网络空间中的流量型威胁提供了清晰的框架。
这篇文章讲的是2014年1月21日中国互联网大规模DNS瘫痪事件的技术剖析。作者从一个普通用户的视角出发,描述了当时所有网站都打不开的异常现象,并以通俗的“电话本”比喻,解释了DNS作为互联网基础设施的核心作用。 作者详细梳理了从用户输入网址到获得IP地址的正常DNS解析流程,并与当天故障时的实际流程进行对比:所有查询都直接返回了同一个错误IP(65.49.2.178),跳过了正常的层层解析步骤。通过分析,作者排除了全球根域名服务器自身出错的可能,将原因锁定在“DNS劫持”上——即有人伪造了根服务器的响应。 文章进一步通过追踪那个错误IP的历史关联信息,发现其与特定组织及“无界浏览器”等翻墙工具存在关联,并指出这种大规模、快速的劫持手法与GFW(防火长城)的运作机制高度一致,从而提出了事件可能由某墙导致的观点。整个分析过程层层递进,从现象描述到技术原理拆解,再到幕后推断,为读者提供了一次生动的网络故障排查案例。
这篇文章来自作者2008年的一个备忘录,他决定将这个关于 DDoS 攻击防御的早期想法电子化。文章探讨了一个在 IP 协议基础上的扩展技术,即“差分确定性数据包标记”,旨在帮助服务器在遭受 DDoS 攻击时识别攻击流量并定位来源。 他提出的方案核心在于,让网络边缘的接入路由器对经过的数据包 IP 头进行标记。利用一个关键假设——正常流量源 IP 与路由器接口 IP 通常仅在末尾若干位不同,路由器可以仅标记这些不同的位,而不是冗长的完整路径信息。算法中甚至用上了 IP 头里闲置的 IDENTIFICATION 字段来承载这些标记。 这一改进带来了几个实际好处:大部分正常数据包仅需一个包就能完成回溯,极大减轻了路由器计算负担,同时也避免了正常 IP 分片受到标记操作的影响。 当然,作者自己也坦言,这个想法创新有限,且需要在运营商全网部署,工程实现难度极高,因此当年并未发表。但它清晰地展示了一个从实际网络假设出发、优化现有协议以解决特定安全问题的技术思考过程。
这篇讲的是一次真实的服务器安全事件:运维团队发现某天凌晨的流量异常激增,导致核心API服务响应延迟甚至超时,业务几乎瘫痪。 作者从紧急排查切入,通过分析监控日志和网络流量,迅速锁定了这是一次DDoS攻击。文章详细拆解了攻击的混合特征——不仅有大流量的UDP洪泛,还有消耗连接数的HTTP慢速攻击,让防御系统一度陷入两难。 解决过程体现了分层应对的思路:首先紧急联系云服务商启用高防IP进行流量清洗,挡住第一波冲击;随后在应用层配置WAF规则,精确拦截恶意慢速请求;同时优化了服务器自身的连接超时设置。整个处理耗时约三小时,服务最终完全恢复。 文章最后复盘了防御短板,比如预案不足导致初期响应仓促,并提出了建立分级预警、定期演练攻击场景等长期加固建议。
这篇记录的是一次针对服务器的“慢连接”攻击事件。作者从9月18日遇到的异常现象讲起:服务器资源占用异常,但进程列表和网络连接数看似正常,常规监控难以捕捉问题。 通过深入分析,作者发现攻击者利用大量处于半关闭状态的TCP连接(即完成了三次握手但传输缓慢或长期空闲的连接)来耗尽服务器资源。这些“慢连接”单看每个连接消耗不大,但积少成多,像缓慢的水滴最终淹没了系统资源池。文章详细剖析了此类攻击的隐蔽性——它们区别于直接的SYN Flood或CC攻击,更难从常规流量指标中识别。 最终,作者通过调整内核参数、优化连接超时设置以及部署更精细的连接状态监控工具,构建了针对性的防御方案。这次经历揭示了一个关键点:运维监控不仅要关注宏观的流量与连接数,还需深入洞察连接的状态质量与生命周期。对于防御资源耗尽型攻击,粒度更细的连接状态分析是不可或缺的一环。
