DDOS反击浅谈

　　前言：这篇文章是“黑客张大民在IPv6里的幸福与烦恼”与“黑客张大民江南小城奇遇记”的姐妹篇，如果想了解一下黑客张大民的来龙去脉和背景，可以参考这两篇文章。

　　本文借他的生活和研究来传播一些比较乏味的网络安全的知识。

　　序

　　凌晨两点，黑客张大民的手机开始狂响起来。张大民睡眼惺忪，翻起身看了一下手机号码，知道他必须得接这个电话。最近张大民换了个工作，新公司给一些主要的网站做安全咨询和安全管理。几个主要的技术人员每一个人负责一些客户，这个电话就是一个主要客户的网站管理员打来的。“这么晚了，小子还在上班?”，张大民心里嘀咕着。

　　“喂，小李”，张大民很不情愿的接了电话。

　　“大民兄弟，网站出事了!”，在电话的那边，小李的声音已经有点变形了。

　　“怎么出事了?”，张大民问?

　　“不知道啊，流量特别大，已经死机两回了!客户的电话都快把线打爆了”，小李说。

　　“深更半夜的，谁还打你们的客服电话啊?”，张大民觉得小李有可能在蒙他。

　　“大民兄弟，你不知道啊，我们的网站海外客户很多，大概时差是十几个小时，现在是他们哪里下午，正是用得时候!”。小李说。

　　“好，好，那我去看看”，张大民无可奈何，只好匆匆忙用冷水洗了把脸，尽快的赶到机房。

　　到了机房，张大民才知道问题的严重性，通过分析网络流量日志，张大民查出这是最普通的TCP的SYN洪水攻击，也就是攻击网站WEB服务器HTTP的TCP端口80，流量很大，基本上每秒钟收到50万个TCP的SYN报文。每一个SYN报文都要浪费WEB服务器的一定资源，几乎WEB服务器的所有资源都被这个洪水攻击所占据了，正常的网页访问更本进不来。而且由于WEB服务器长时间超负荷运转，性能很不稳定，已经崩溃两次了。

　　张大民不是没有见过类似的情况。这种洪水攻击大部分时候都是伪造IP报文的源地址，有的时候挑RFCl918里面的私有IP地址，就是不让你发现攻击的源头。因为这些攻击的源头一旦被发现了，网络管理员们会彼此通告，这些问题主机很快会被管理员弄下线，这样黑客就少了一个可以控制的网上资源。

　　张大民希望这次攻击也是类似情况，因为这样的洪水攻击使反击的方法很简单，私有地址只能在私有空间使用，不应该在公用的互联网上出现，他只要在这个网站的网关路由器上配置一些访问控制列表，把IP报文中IP源地址是RFCl918的私有地址报文过滤掉就行了，因为这些报文肯定不会是有效报文。

　　但再进一步分析网络流量日志，张大民发现这个攻击是分部式的洪水攻击。大部分IP报文的源地址都是互联网上的真实地址。张大民试了几个地址，都是可以PING的通的。用NMAP扫描了一下，发现大部分是

　　微软

　　的主机，看样子都是被OWN的了“肉鸡”。张大民估计了一下，攻击源大概有四五万个不同的IP地址。日志里面也搀杂了很多伪造的IP源地址报文，一时之间，张大民也无法判断哪些是真实的IP地址，哪些是伪造的IP地址。估计真实的地址会在几百到一千台左右“很牛X啊”，张大民暗自想。“摆明了是不怕暴露被控制的主机(攻击源)的真实身份，估计被控制的主机的数目比目前发动DDOS估计的数目还要多的多，所以这个家伙也不在乎损失几千台肉鸡”。 　　“别光看日志啊”，小李等不急了，“有没有办法啊

　　“给你上游的ISP打电话了么?”，张大民问。

　　“打了，跟本就没人接”，小李的声音里已经带了点哭腔。

　　“唉”，张大民叹了口气。发生这种情况，最好的办法就是同上游的ISP联系，让ISP在他们的网络中找到DDOS网络进入ISP网络的入口，在ISP网络的入口出将其掐断。虽然DDOS估计来