被DDOS型网络攻击攻击会出现哪些现象
被DDOS型网络攻击攻击会出现以下现象:
大量目标主机域名解析:根据分析,攻击者在进行DDoS攻击前总要解析目标的主机名。BIND域名服务器能够记录这些请求。每台攻击服务器在进行攻击前会发出PTR反向查询请求,也就是说在DDoS攻击前域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。虽然这不是真正的DDoS通信,但能够用来确定DDoS攻击的来源。
极限通信流量:当DDoS攻击一个站点时,会出现明显超出该网络正常工作时的极限通信流量的现象。现在的技术能够对不同的源地址计算出对应的极限值。当明显超出此极限值时就表明存在DDoS攻击的通信。因此可以在主干路由器端建立访问控制列表(Access Control List,ACL)和访问控制规则,以监测和过滤这些通信。
特大型的ICMP和UDP数据包:正常的UDP会话一般都使用小的UDP包,通常有效数据内容不超过10 B。正常的ICMP消息长度在64128 B之间。那些明显大得多的数据包很有可能就是DDoS攻击控制信息,主要含有加密后的目标地址和一些命令选项。一旦捕获到(没有经过伪造的)控制信息,DDoS服务器的位置就暴露出来了,因为控制信息数据包的目标地址是没有伪造的。
不属于正常连接通信的TCP和UDP数据包:最隐蔽的DDoS工具随机使用多种通信协议(包括基于连接的和无连接协议)发送数据。优秀的防火墙和路由规则能够发现这些数据包。另外,那些连接到高于1024而且不属于常用网络服务的目标端口的数据包也非常值得怀疑。
数据段内容只包含文字和数字字符:例如,没有空格、标点和控制字符的数据包。这往往是数据经过Base 64编码后的特征。TFN2K发送的控制信息数据包就是这种类型。TFN2K及其变种的特征模式是在数据段中有一串A字符(AAA…),这是经过调整数据段大小和加密算法后的结果。如果没有使用Base64编码,对于使用了加密算法的数据包,这个连续的字符就是空格。