2、 使用wireshark static->ipv4->endpoint分析數(shù)據(jù)包源地址分布。當使用偽造IP地址的DDoS攻擊發(fā)生時，抓包文件中的數(shù)據(jù)包數(shù)目和源地址對應關系會發(fā)生明顯變化。從圖中實例可以發(fā)現(xiàn)，除了被攻擊的目的IP意外，wireshark統(tǒng)計每個源地址對應的數(shù)據(jù)包數(shù)目較小，數(shù)據(jù)包大小字節(jié)數(shù)(Bytes)幾乎一致。

3、TTL分析發(fā)現(xiàn)攻擊者的蛛絲馬跡。當使用隨機源進行DDoS攻擊時，雖然使用了偽造源地址進行攻擊，但攻擊者無法偽造攻擊主機與目標主機之間的位置關系。有時候通過觀察數(shù)據(jù)包的TTL值變化，也能夠獲得攻擊者的蛛絲馬跡，為攻擊防御提供輔助支持。下圖所示的這個攻擊程序并沒有修改攻擊數(shù)據(jù)包的TTL值，所有的攻擊數(shù)據(jù)包使用相同的TTL值。聰明的你可能已經(jīng)發(fā)現(xiàn)了，沒錯，這個攻擊數(shù)據(jù)包是由局域網(wǎng)內(nèi)的一個windows計算機發(fā)出的。

UDP FLOOD

UDP FLOOD攻擊的主要目的是通過發(fā)送大量的UDP數(shù)據(jù)包來堵塞服務器的帶寬。同時針對DNS ，語音和流媒體等互聯(lián)網(wǎng)業(yè)務，也會有通過UDP承載的應用層攻擊出現(xiàn)。圖示是著名的蝸牛攻擊器產(chǎn)生的攻擊數(shù)據(jù)包，可以明顯的看出，這種數(shù)據(jù)包的payload固定，使用UDP大包進行攻擊，同時使用真實源地址進行攻擊。

ICMP FLOOD

與UDP FLOOD相同，ICMP FLOOD主要以阻塞服務器帶寬為主。但與UDP FLOOD不同的是，ICMP通常不會承載數(shù)據(jù)業(yè)務，比較容易通過交換機ACL或者服務器的iptables等進行防御。同時，攻擊實施者為了更加有效的 利用手上的僵尸主機，會使用包大小較大的數(shù)據(jù)包和IP層分片的數(shù)據(jù)包進行攻擊，這種攻擊會繞過沒有設置IP層分配的ACL，也會加重服務器分配重組的負 擔。值得一提的是，window客戶端發(fā)出的ping數(shù)據(jù)包有特定的格式和數(shù)據(jù)包大小，使用通用的做白邏輯進行防御在大多數(shù)情況下也是有效的。

上圖中的數(shù)據(jù)包是一個典型的UDP FLOOD攻擊數(shù)據(jù)包，數(shù)據(jù)包大小為1514Byte，payload固定，同時使用了分片標志。

來自應用層的DDoS

除了傳統(tǒng)的網(wǎng)絡層攻擊之外，一些針對特定應用系統(tǒng)比如apache的應用層攻擊也能夠取得很好的效果。例如CVE-2011-3192 Range header DoS vulnerability Apache HTTPD，是典型的使用應用層漏洞進行DDoS攻擊的攻擊方法。在這種攻擊中，攻擊者刻意構造畸形的http頭，其中包含了大量重復的range字段。Apach在處理這種http請求時，會不斷的進行range重組，最終導致目標系統(tǒng)CPU繁忙而無法響應正常請求。

正常流量TTL分布性質(zhì)

在講synflood 的時候已經(jīng)提到，可以通過分析數(shù)據(jù)包的TTL值分布情況對是否發(fā)生攻擊進行簡要判斷。但是在實際操作時不容易找到現(xiàn)網(wǎng)中TTL值的分布規(guī)律，或者需要很長 時間訓練才能明確。通過對現(xiàn)網(wǎng)中流量進行測量分析，能夠得出現(xiàn)網(wǎng)中正常流量TTL分布性質(zhì)，本文作者對國內(nèi)外現(xiàn)網(wǎng)測量實驗結論進行了簡要整理，整理出性質(zhì) 如下：

1、某一條鏈路上的入境數(shù)據(jù)包源IP地址數(shù)目在不同TTL值上的分布基本保持穩(wěn)定，但對整個觀測區(qū)間內(nèi)入境數(shù)據(jù)包源IP地址總數(shù)的測量顯示：在當前網(wǎng)絡環(huán)境下，入境數(shù)據(jù)包IP地址數(shù)目不會在較短時間內(nèi)增加到飽和趨勢，而是在比較長時間內(nèi)保持近似常數(shù)的增長速率。

從圖中可以得出，該鏈路未發(fā)生攻擊時基于最終TTL值的數(shù)據(jù)包分布呈雙峰分布。大部分的入境數(shù)據(jù)包的最終TTL值集中在64和128的左側，這是由于參與通信的大部分境外主機采用缺省初始TTL值64和128作為初始TTL值。同時，分布曲線的重合證明基于最終TTL 值的入境IP地址數(shù)目的分布在同一測量間隔內(nèi)保持穩(wěn)定，隨測量時間變化較小。

小結：

在沒有專用的防護設備的條件下，相對于攻擊者而言，防御方在資源方面處于絕對的弱勢。對攻擊發(fā)生時的cap文件進行仔細的分析，找出攻擊者忽略的地 方，找出攻擊數(shù)據(jù)包與正常業(yè)務流量中有區(qū)別的地方，有些時候能夠起到四兩撥千斤的作用。而攻擊者需要不斷的變換特征和構造復雜的攻擊，也在一定程度上提升 了攻擊實施的成本，使得防御方更加有利，能夠有效的控制攻擊影響

zhangcun