解决方案-手机ddos攻击软件-手把手教攻防知识点
移动互联网对DDOS攻防带来的新挑战网易信息安全部2013年5月议程移动互联网的兴起移动设备恶意软件对DDOS攻防的新挑战应对方法探讨美丽的“罪行”著名开源视频播放器 VLC 遭到了一次 DDoS 攻击,网站管理员利用 虚拟化工具将黑客对网站的攻击数据进行虚拟化,整个画面非常壮观,好比几千枚导弹在数秒之内射向同一个目标并爆炸。时代的车轮滚滚而来近些年来,移动互联网开始蓬勃发展,在2012年,移动终端的数量首次超过了PC终端,代表着移动互联网的来临。。4“裸奔”的移动设备据统计,截止2012年,大概三分之二的移动设备没有安装安全软件,处于“裸奔”状态5移动僵尸网络大规模移动僵尸网络正在形成移动互联网领域目前已初步形成黑色产业链,黑客通过刷机、应用市场、预装等多种方式窃取用户个人信息和钱财。漏洞、僵尸网络的安全问题也伴随着移动互联网的兴起而来临,在中搜索 ,就可以发现条相关的内容,而病毒中最多的就是远程控制类型的。通过移动智能设备来发动对Apps的DDoS会越来越普遍,并成为一种新的威胁,尤其在手游、电商等竞争激烈的行业应用上。
某些热门应用的盗版Apps数量甚至是正版的几十倍6木马12年底,俄罗斯安全厂商“ Web”日前发现了一个名为“”的平台木马程序。一旦用户安装该应用,该木马程序便会创建一个类似 Play的图标,使用户很难分辨真假。该软件被启动后,便会立即尝试连接到其“指挥和控制”( and )服务器。如果连接成功,该木马程序便会将受害者的电话号码发送给黑客,然后等待对方通过短信的方式给出下一步的指令。据 Web称,该木马程序主要有两大功能,一个是在已知目标地址和端口的前提下攻击黑客指定的服务器,第二是可以控制受感染手机发送短信的号码和内容。7MDK木马2012年,在中国大陆,发现了有史以来最大规模的移动网络僵尸网络,100余万部安卓手机被植入该后门,从而形成了国内规模最大的安卓手机僵尸网络。病毒作者将MDK后门程序植入各种被篡改的热门安卓游戏当中,利用应用市场、论坛、搜索引擎等渠道进行推广。目前截获的染毒APP总数达到了7153个,最早的染毒样本更是在2011年就出现了。工具允许安全专家从移动设备上模拟一个DOS攻击(http post洪水攻击的,当然一个dDOS网络服务器上。
此外,发现一个名为Low Orbit Ion (LOIC)的常见DDoS工具已被重新设计为针对平台,在拉丁美洲的组织推动了该移植技术,该技术完全不需要编程技巧。事实上,如果只有少量的用户受到该木马感染的话,它还很难掀起什么波澜。但如果受影响的设备数量很多,那么黑客就可以 发起一场大规模的DDoS攻击。比如,黑客可以控制大量受感染的智能手机和平板电脑在同一时间攻击某一特定网站,并最终使其瘫痪。9 传统DDOS防御策略IDS/- IPS:产品已经开始集成DDOS防御功能,目前IDS系统是最广泛的攻击检测工具,但是在面临DDOS攻击时,IDS系统往往不能满足要求。原因在于入侵检测系统虽然能够检测应用层的攻击,但是基本机制都是基于规则,需要对协议会话进行还原,但是目前DDoS攻击大部分都是采用基于合法数据包的攻击流量,所以IDS系统很难对这些攻击有效检测。ACL: List,通过路由器,我们可以实施某些安全措施,比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量。
一般来说,ACL可以基于协议或源地址进行设置,但是目前众多的DDOS攻击采用的是常用的一些合法协议,比如http协议,这种情况下,路由器就无法对这样的流量进行过滤。:通过来封禁恶意ip的访问,容易造成误伤。Syn-:SYN 是对TCP服务器端的三次握手协议作一些修改,专门用来防范SYN Flood攻击的一种手段。它的原理是,在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个值。在收到TCP ACK包时,TCP服务器在根据那个值检查这个TCP ACK包的合法性。如果合法,再分配专门的数据区进行处理未来的TCP连接。10 传统DDOS防御策略JS跳转CDN缓存WAF阻挡高频统计CDN缓存:可以通过CDN缓存将大量的请求分发到网络上的各个节点,利用cdn来防御ddos攻击。WAF:Web ,某些waf产品集成一定的ddos防御功能,一般也是基于规则,跟上面的IDS iPS类型,使用范围可以作为虚拟补丁,防御一些特征明显的0day攻击。
Nginx整数溢出漏洞,高频统计,基于ip访问的高频统计对某些ip做出封禁处理,确定同样是会造成误伤。11业务层的DDOS攻击绕过手机验证注册垃圾账号垃圾短信“呼死你”传统的僵尸网络可以发送垃圾电子邮件,发起ddos攻击等在移动互联网内,移动僵尸网络同样可以做这些事情;同时,由于移动设备比起pc终端设备,具有更多的功能,并且具备跟个人的手机账号,银行账号等更多的关联性,对业务层的攻击更加容易,门槛更低。可以通过发送和读取短信来绕过服务的账号注册验证功能,造成大量的垃圾账号,然后进行业务层的ddos攻击可以发动很流行的“呼死你”攻击,骚扰正常用户12传统基于IP封禁的防御策略手机通过ISP网络出口上网直接封IP误伤更大传统的应对ddos的方法中,可以通过高频统计来对ip进行封禁,从而缓解ddos攻击的影响由于移动设备的ip会不断变化,同时大量的设备通过同一个网关出口,造成很多设备共用这些ip那么传统的基于ip的统计和封禁将会失效,会造成更大的误伤13传统JS跳转策略移动应用越来越多的采用 app在人均日启动总次数减少的同时,浏览器被其他APP调用的比例也越来越低,原因在于很多大型 APP (如微博、微信、搜索等)已内置浏览器。
也就是说移动互联网对于浏览器的依赖越来越少。传统的ddos防御系统中,为了避免误伤,很多会对一些异常的请求范围js跳转代码来达到防御机器人的目的。很多不支持js的执行,那么这部分正常用户就不能执行js,造成不能正常访问服务。14行业应对多层次立体防御,联合打击僵尸网络运营商操作系统应用市场杀软厂商应用提供者为了应对移动互联网的ddos攻击,需要整个移动互联网行业的通力协作,打击移动僵尸网络的形成与发展运营商,作为移动互联网的基础设置提供者,在骨干上可以过滤掉很大一部分的非法数据。各个ISP,IDC在源端进行清洗,建立DDoS事件应急响应中心,对于异常流量,比如手机僵尸网络、手机病毒、手机垃圾彩信、垃圾邮件等,这些流量必须进行一定管控和清洗。操作系统提供者, apple ,可以提供基于可信设备的服务,来判断设置是否被木马控制,比如认证你的无线连接。及时更新版本应用市场,尤其是应用市场,要对发布的应用做严格的审核,杜绝重打包、恶意的软件发布,已经发布相应的检测工具杀软厂商,要提供移动的平台的杀毒软件,保护用户应用提供者,不滥用权限,保证软件安全15企业应对网络系统监控、响应流程更多的依靠云计算平台的能力基于用户行为的判断通过判断对传统策略做修正,例如IP评分机制利用Geo IP80 / 20原则对于移动互联网企业来说,Ddos不可能根治,没有万能药,只能缓解;需要通过企业内各个部门的通力合作协调,建立起有效快速的响应机制和流程;对网络,服务器等各处进行监控现在的云计算平台很多都集成扛ddos的功能,提供抗ddos服务,所以企业可以更多的依靠云计算平台的能力,未知攻击(0day)完美防御,客户端行为的分析和跟踪针对业务层的ddos攻击,更多的需要基于用户行为的分析和判断来应对此类ddos攻击,难度较大虽然大部分 app不支持使用浏览器,但是内部的通信大量使用的http协议的包,对于的支持较好,可以通过植入的方式判断求情方是机器还是正常用户传统基于统计和ip的封禁策略虽然渐渐力不从心,但是真正攻击的ip还是有迹可循的,遵循8020原则,80%的请求来自20%的ip,采用对ip进行评分和黑白灰名单等策略仍然可以起到一定的作用。
而且虽然误伤较大,但是在必要的时候,可以牺牲掉一部分用户的方式,来保护服务正常。16THE !凡事预则立,不预则废。移我们也应该看到,安全问题是无时不在、无处不在,技术手段只能被动防御。在此基础上,只有提高网络建设者和消费者的安全防护意识,做到技术和安全意识相结合,才能让移动互联网安全、平稳地长期发展下去。 & == & ===》Learn & Fight
~
网络安全学习,我们一起交流
~
1470
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
