2015年4月3日星期五

阅收藏:寻找DDoS攻击GitHub的幕后组织

为了防止数据在网络中无限循环,名为存活时间(Time to live,TTL)或跳数限制(hop limit)的机制限定了数据包的寿命。当TTL=0,数据包将被丢弃。大多数系统发送IP包时都是从TTL=64开始,如果该数据包抵达你时TTL=46,那么你和发送者之间经过了18跳(64-18=46)。在对GitHub发动大规模DDoS攻击时,攻击者劫持了百度的JS文件。如图所示,百度服务器所发送数据包的TTL=64,第一次抵达用户浏览器时TTL=42(不同位置这一数字会有所不同),经过了22跳,用户发回的请求包的TTL值也是64,但接下来的响应包的TTL值非常怪异,显然有个中间人设备注入了伪造包。如何识别这个中间人设备的IP?你可以借助Traceroute工具。利用该工具发送TTL=1,2,3....的请求包,因为TTL的值很小,在到达目的地前跳数就会变为零被沿路的路由器抛弃,而此时路由器会使用其IP地址发回时间超时的报文。一位研究人员测试发现,注入设备位于第11跳和第12跳之间,通过查询第12跳设备的IP地址,作者发现它位于中国联通骨干网,因此得出了中国政府与此有关的证据。















via Solidot

没有评论: