分散式阻断服务攻击：反射式攻击与放大式攻击

对于分布式阻断服务攻击（DDoS）的深入解析

攻击者从远程操控多个傀儡机器，同时对受害主机发起大规模的攻击。这些控制指令被加密或隐藏在正常的网络流量中，难以被察觉。其中，DDoS攻击的一个范例是Trinoo TFN。

但与传统的攻击方式不同，反射式攻击与放大式攻击并不直接利用受害主机被感染的中间系统。它们利用网络系统的正常功能进行攻击。攻击者发送一个伪造来源IP地址的数据包给某个服务器。当服务器回应这些伪造IP地址时，大量的回复数据包会涌向受害主机，造成网络阻塞或使受害主机疲于应对。

反射式攻击的核心在于以小换大，即通过发送较小的请求来换取较大的响应。而放大式攻击则是以少换多，一个请求能够引发多个响应。

在反射式攻击中，存在一个关键角色——反射器，它是中间设备，负责反射攻击数据包。攻击者会确保攻击流量与正常流量相似，以避免被检测。这些中间系统通常是高性能的服务器或路由器。例如，在TCP/SYN反射式攻击中，服务器会回复一系列的SYN/ACK数据包给受害主机，即使这些请求的来源IP地址是伪造的。

再来看放大式攻击，其中的中间设备被称为放大器。与反射式攻击相似，放大式攻击也会确保攻击流量与正常流量相似，以免被侦测。在这种攻击中，回复数据包的数量远大于原始数据包的数量。中间系统通常是整个子网络中的主机（通常有多台）。例如，利用ICMP的echo request数据包的ping flooding，以及利用UDP服务的Fraggle program都是放大式攻击的实例。TCP服务不适合放大式攻击，因为其一对一的回复机制。

为了防御这些攻击，一种方法是阻止外部广播数据包进入网络。针对这些攻击的分析和观测，UCSD Network Telescope（网络望远镜）发挥了重要作用。这个系统是一个被动的异常流量观测平台，也被称为网络黑洞，因为它能够收集或观测到几乎没有正常流量的特定网络段的异常流量。这些异常流量被称为互联网背景辐射（IBR），可能源自多种事件，如DoS攻击的反射数据包、蠕虫或病毒自动产生的IP地址的数据包等。这个网络望远镜甚至可以观测到DDoS攻击中假造来源IP地址的散布度，因为其所设立的黑洞范围覆盖了约1/256的IPv4网址，从而能够收集到约1/256的假造网址信息。

面对复杂的网络攻击，我们需要深入理解其背后的原理，采取有效的防御措施，并利用各种工具进行观测和分析，以确保网络的安全稳定。在深度解读这些不寻常的封包数据时，我们能够揭示出受害者主机的周遭环境和遭受的攻击的各种信息。通过解码数据，攻击者的攻击力度便浮现在我们眼前，这如同观察一场网络风暴的猛烈程度。受害主机的频宽也为我们提供了关于其网络带宽使用情况的重要线索，这有助于我们判断攻击对主机网络性能的影响程度。地理位置信息让我们知道受害主机的具体所在地，这对于定位攻击源头和采取相应措施至关重要。我们还可以识别出攻击者针对的服务类型，从而更全面地了解攻击者的目标和策略。我们仍然无法观测到攻击者使用的真实IP地址以及那些由非随机数生成的IP地址所发起的攻击，这给追踪和定位攻击源带来了挑战。这一过程就像是在复杂多变的网络环境中寻找蛛丝马迹，既充满挑战又至关重要。