溯源溯源，什么是源，我覺得分幾個(gè)級(jí)別： 1，攻擊流量的來源IP 2，攻擊流量的發(fā)起IP 3，攻擊流量的發(fā)起者。溯到1，基本上可以用來做流量清洗了，到了2，那理論上就存在可以近源壓制的可能，已經(jīng)算是高級(jí)，如果能搞定3，那我們做ddos檢測(cè)防護(hù)的差不多要么失業(yè)要么轉(zhuǎn)行了。

DDoS攻擊分不同的類型，不同類型，根據(jù)上面要溯的不同的源難易也有差異，下面討論方面，把上面說的源123表示為level1/level2/level3.

直接攻擊型：

比如SYN flood／ACK Flood／DNS Flood／UDP Plain Flood／http flood等，這些往往都是botnet發(fā)起的，發(fā)起的時(shí)候有的會(huì)偽造源IP，有的不偽造。識(shí)別了攻擊流量，簡(jiǎn)單統(tǒng)計(jì)就知道到了level 1。沒有偽造源ip的，leve2就等于level1。對(duì)于偽造源ip的情況，level2在被攻擊方就無法獲取，運(yùn)營(yíng)商級(jí)別可以做spoof檢測(cè)，或者持續(xù)的跟蹤botnet，進(jìn)而持續(xù)的跟蹤C(jī)C發(fā)起的攻擊指令，看CC都連了哪些client，看哪些client接收到了攻擊指令。level3單獨(dú)討論。

反射放大型：

反射放大基本都是為了打帶寬，由于有了反射放大的因素在里面，基本都不用botnet，找／黑／租幾個(gè)機(jī)器上去打流量就行了。在被攻擊端，看到的ip都是真實(shí)的ip，都是被利用的反射放大節(jié)點(diǎn)，level1簡(jiǎn)單。但是和上面直接攻擊型不一樣的是，這時(shí)候的發(fā)起IP可不能說就是看到的真實(shí)攻擊IP了，因?yàn)橛蟹瓷涞囊蛩卦诶锩妫琹evel2的ip應(yīng)該是那幾臺(tái)發(fā)起原始流量的機(jī)器，而不是反射流量的源ip。這個(gè)level2，運(yùn)營(yíng)商可以做，看哪些子網(wǎng)有非自己段的源ip的流量出來，然后可以做端的流量檢測(cè)，比如HIDS。level3單獨(dú)討論。

你看，上面我說到運(yùn)營(yíng)商，都是說他們“可以做”，但是他們能不能做，想不想做，這就是另外的話題了。

之所以單獨(dú)討論level3，是因?yàn)閘evel1/level2屬于如果想干，理論上是肯定能干成的。而level3，理論上就沒法說肯定能干成?？碈C是被誰控制的，反射放大的控制人是誰，這個(gè)比較難，畢竟網(wǎng)絡(luò)攻擊抓現(xiàn)場(chǎng)你也看不到人，不過思路也不是沒有，攻擊也都是為了掙錢，他們會(huì)有交易，會(huì)有圈子，初期的信息采集（比如找可用的反射放大源）可能用的都是自己的ip，各種小動(dòng)作會(huì)漏出馬腳，在多個(gè)階段關(guān)聯(lián)，有時(shí)也能關(guān)聯(lián)出來。

USA-IDC提供美國(guó)服務(wù)器租用，性能穩(wěn)定快速，全美最低延遲，全程運(yùn)維24小時(shí)在線，秒級(jí)回復(fù)，歡迎廣大用戶聯(lián)系24小時(shí)在線客服