自今年3月初开始，有数百家公司收到了自称“无敌舰队”( Armada Collective)的团伙发出的威胁信，宣称要么支付10~50比特币(4600~2.3万美元)的保护费，要么就等着面对1Tbps以上的DDOS攻击。

　　大部分公司不予理会，但有些公司认怂了。该团伙的比特币钱包地址显示，入账高达10万美元之巨。

　　那么究竟如何应对DDOS攻击并快速定位攻击根源呢?

　　1.问题概述

　　某大型单位最近一段时间，经常不定时出现用户访问互联网缓慢的情况，造成用户不能正常使用网络，对工作产生较大影响。经过用户技术人员排查，网内可能存在大数据量的传输，造成网络拥塞，但定位问题根源较困难。

　　2.分析过程

　　在用户互联网出口处部署科来网络回溯分析系统，快速找到流量突发的原因是内部服务器地址XX.XX.17.226与125.88.181.71(互联网IP)之间产生了大流量的数据传输。

　　通过深入分析，发现XX.XX.17.226在对互联网地址发送大量TCP同步包(SYN)，频率非常快速，并且TCP同步包中带有填充数据。SYN数据包是TCP/IP建立连接时使用的握手同步数据包，不应存在任何应用层数据，但是在分析中该数据包中还有HTTP数据，并且填充内容全部为0，这些数据包为明显的伪造数据包。

　　至此基本可以断定用户服务器感染恶意程序，对互联网地址进行大流量的DOS攻击。

　　如上图所示，16点40分30秒左右突然流量大增，我们对产生DOS攻击前时段的可疑会话进行深入分析，成功发现木马主控端地址：

　　如上图，发现XX.XX.17.226服务器会主动向222.186.57.11主机发起TCP801、803、888等多个端口TCP请求，并且长时间保持会话，建立连接后会定期发送1字节的数据保持连接，并且服务器主动向222.186.57.11发送本机的系统信息、内存、CPU及网卡信息。

　　通过上图可以看出，在经过了一段时间的保持会话，主控端向XX.XX.17.226服务器发送了84字节的数据，通过数据流还原可以看到内容为125.88.181.71，正是随后被DOS攻击的IP地址。

　　3.分析结论

　　通过上述分析，可以判断XX.XX.17.226服务器感染了DOS木马，主动向主控端(222.186.57.11)发起TCP会话连接，建立连接后向主控端发送本机的系统、内存、CPU、网卡等信息，并通过定时心跳包保持会话连接。主控端向XX.XX.17.226服务器发送攻击目标指令，服务器就会向目标发送大量伪造数据包进行DOS攻击。而用户出现访问互联网缓慢正是由于大规模的流量造成互联网出口带宽被占满，网络拥塞导致。

　　随后，用户根据分析结论找到相应服务器，对其进行断网、查杀处理，网络恢复正常。