流量攻击

定位网络攻击一例 Xplico 是一个从 pcap 文件中解析出IP流量数据的工具，当它解码后可产生KML信息。如果将它和其他工具结合就能得出另一种用途，在 《Unix/Linux网络日志分析与流量监控》 一书 13.4.6 节中给出了具体案例，下面先在Xplico中通过geomap输出IP的定位坐标然后再Google Earth中动态展示。 视频效果： http://www.tudou.com/programs/view/oNn5WbaZpag/ 本文出自 “ 李晨光原创技术博客 ” 博客，请务必保留此出处 http://chenguang.blog.51cto.com/350944/1718240 转载于:https://my.oschina.net/chenguang/blog/613898 来源： https://blog.csdn.net/chengtuo9085/article/details/100785998

　　如何知道自己的网站是不是出现了劫持类问题？iis7网站监控 　　网站是否被劫持、DNS是否被污染、网站打开速度测试的检查。 　　在谈流量劫持之前，首先我们来了解一下什么叫做流量劫持。对于互联网的最终用户来说，用户对上网的直观感受就是我打开浏览器，输入一个网址，然后我立刻就能看到网页。这是站在用户的角度来看上网，但在这个“上网”的过程中，隐藏了非常多的技术细节。 　　我们国内用户，一般是在家用路由器后面，要访问一个网站的话，会有三个步骤： 　　首先访问 DNS 服务器，将域名转换为 IP 地址。 　　访问这个 IP 地址，这样用户就访问了目标网站。 　　如果是一个建设良好的网站，一般会把静态资源放在 CDN 上。 　　流量劫持就是在这些环节当中，对数据进行偷窃、篡改，甚至转发流量进行攻击的这样一类行为。从危害上来说，互联网上最可怕的攻击也莫过于此了。那互联网发展这么多年了，为什么流量劫持还能够横行呢？流量劫持能够发生，无非是两个原因： 　　网络链路本身不安全。网络链路牵扯到具体的网络协议，这些协议当中，有些从设计上就没有考虑安全问题，贻害至今；另有一些，在当时可能是安全的，但正所谓“没有绝对的安全”，随着计算力和攻击手段的发展，当时安全的协议如今可能已经变得不再安全。 　　干扰安全链路，迫使链路降级到不安全的方案上。这一点可以归结到前面，但单独拿出来说

由于DDoS 黑色产业链的人员与技术的演进降低了整体 DDoS 入门的门槛，所以DDoS攻击数量更加庞大，被牵连的行业网站领域也随之而大类型包括： 1) 地域辽阔运营商众多的网站 因为中国特殊的网络环境已经持续多年无法得到妥善解决，所以移动的用户访问联通的网站，或多或少会出现网络延迟。 2) 高峰时期流量有承载问题的网站 很多网站在营销过后或是节日期间会出现流量激增的情况，这种情况下，增加带宽成本过高。 3) 频繁受到网络攻击问题的网站 DdoS、CC等攻击现阶段已经无处不在，十之八九的网站曾遭受过网络攻击，尤其是但并不是所有的网站这些攻击给网站带来了极大的危害，严重甚至会影响网站的生存。 来源： https://my.oschina.net/u/4143265/blog/3102265

一、DDOS攻击的来源 任何攻击都不会凭空产生，DDOS也有特定的来源。绝大多数的DDOS攻击都来自于僵尸网络。僵尸网络就是由数量庞大的可联网僵尸主机组成，而僵尸主机可以是任何电子设备（不仅是X86架构的设备，更多反而是物联网中的ARM架构设备），只要被植入僵尸程序即可！ 僵尸网络有一个特点： 控制者和僵尸主机之间存在一对多的关系，在控制者发布命令后就可以断开与僵尸网络的连接，之后控制命令会在僵尸主机之间自行传播和执行。 　　 僵尸网络架构一般有以下两种： 　　　　1、client—to—server型： 　　　　　　client—to—server型僵尸网络是一种典型的星型拓扑，由若干僵尸主机和控制服务器两部分组成。 　　　　　　这种僵尸网络相对比较传统，僵尸主机在被植入僵尸程序后会主动连接一个固定的地址（即控制服务器），然后由控制服务器进行集中管理。 　　　　　　这类的僵尸网络控制相对较容易，而且能快速分发控制者的命令，但是这种控制方式也存在两个重要的不足： 　　　　　　　　①、控制服务器一旦故障则整张网络失效 　　　　　　　　②、从僵尸主机侧可以查出控制服务器的地址（容易被抓） 　　　 　P2P型： 相比client—to—server型P2P型就显得略微复杂一些。在P2P型僵尸网络中充当控制服务器的节点不再单一，而是每台僵尸主机既扮演控制服务器的角色又扮演客户端角色