技巧与问答

❖ DDoS攻击原理

精确定位攻击源并非易事，因为攻击者对远程计算机或网络进行攻击时，通常采用两种手段来隐藏自己的真实地址：伪造报文IP源地址和间接攻击。互联网中有许多主机提供代理服务或存在安全漏洞，这些主机会被攻击者作为“跳板” 对目标发动攻击，从受害主机只能看到 “跳板” 地址，而无法获得攻击主机地址。

其攻击模型为：

它涉及的机器包括攻击者、跳板机、僵尸机、反射器、被攻击者等。

攻击者（Attacker Host）：指发起攻击的真正起点，也是追踪溯源希望发现的目标。

跳板机（Stepping Stone）：指已经被攻击者危及，并作为其通信管道和隐藏身份的主机。

僵尸机（Zombie）：指已经被攻击者危及，并被其用作发起攻击的主机。

反射器（Reflector）：指未被攻击者危及，但在不知情的情况下参与了攻击。

被攻击者（Victim Host）：指受到攻击的主机，也是攻击源追踪的起点。

❖ 网络追踪溯源技术

计算机网络追踪溯源是指确定网络攻击者身份或位置及其中间介质的过程。身份指攻击者名字、账号或与之有关系的类似信息；位置包括其地理位置或虚拟地址，如IP地址、MAC地址等。追踪溯源过程还能够提供其他辅助信息，如攻击路径和攻击时序等。网络管理者可使用追踪溯源技术定位真正的攻击源，以采取多种安全策略和手段，从源头抑制，防止网络攻击带来更大破坏，并记录攻击过程，为司法取证提供必要的信息支撑。在网络中应用追踪溯源我们可以采取以下措施。

① 确定攻击源，制定实施针对性的防御策略。

② 确定攻击源，采取拦截、隔离等手段，减少损失，保证网络平稳健康的运行。

③ 确定攻击源，记录攻击过程，为司法取证提供有力证据。