最近我的路由器不断遭受 DDoS 攻击,出于教育目的,我想知道攻击者如何发现我的路由器何时遭到 DDoS 攻击。
他们说他们正在做一些与 ping 有关的事情?有人能告诉我他们在做什么,以及他们如何检查 DDoS 是否导致我的互联网离线吗?
答案1
假设一个简单的家庭/小型办公室路由器,具有良好的连接性(这似乎就是您所描述的) - DDoS 会指示大量系统尝试用流量使您的路由器超载。因此,为了检测它的成功程度,它可以查看您的路由器如何响应。
您的路由器很可能对 ping 的某些变体做出响应。Ping 的工作原理是发送数据包、等待响应并计时,因此可以大致了解远程路由器的情况 - 以下是可以得出结论的常见结果:
- 路由器停止响应所有 ping(已被离线)
- 路由器响应了一些 ping,但丢弃了大量数据包(路由器要么被过多的流量淹没,要么无法处理数据包,导致速度缓慢 - 可能无法使用 - 部分成功!)
- 数据包的延迟差异很大(链接被淹没,因此对于使用它的人来说,速度会很慢)。
“Ping” 也可用于攻击您的路由器 - 通过发送您的路由器响应的数据包,它可以占用传入和传出的带宽 - 根据类型(有多种不同的 ping 方式),它可以发送大数据包并取回它们,消耗您的带宽。
答案2
应对 DDoS 攻击的第一件事就是让路由器做出响应。
如果他们 ping 您的 IP 地址并且路由器说:嘿,我在这里,正在 ping 您,那么攻击者就知道您的存在。
如果他们用过多的数据包淹没你的连接以致你的路由器崩溃,然后他们发送 ping 消息,而路由器没有响应,因此 ping 消息会超时。
如果这是现实生活中的情况,则情况如下:
攻击者走到你面前说:嘿,你好吗?你可以回应一下。可以是“很好”、“还好”或其他什么的。
然后攻击者会痛打你,并问:“你想让我停下来吗?”如果你回答:“是的”,攻击者就知道你仍然有意识。他们会继续殴打你,直到他们认为你失去意识。他们再次询问,而你不再回应,他们就知道他们已经达到了目的。
所以基本上,他们有一种方法可以检查您的路由器是否正常运行。他们可能会进行端口扫描,而不是使用 IMCP 数据包(ping 请求)直接 ping 路由器,而是 ping 其中一个端口,路由器只需将该数据包中继到网络后面的某个设备即可。端口 80 和 443 是要打开或转发的常见端口。如果路由器崩溃,它也不会再转发端口。
话虽如此,商用路由器非常智能,可以检测到何时有流量可能是 DDoS 攻击。如果检测到,它们将阻止与该 DDoS 攻击生成的流量类型相匹配的传入流量(忽略它)。对于攻击者来说,他们似乎成功了,但实际上并非如此。他们可以使用 VPN 等服务从不同的 IP 地址连接,以测试他们的攻击 IP 是否被阻止。
还有其他方法可以执行 DDoS 攻击,但就本文的回答范围而言,您只需知道方法是相同的。如果攻击者可以让您的路由器做出响应,他们将能够测试他们的攻击是否成功。