不同阶段DDos攻击事件的特点
时期 | 使用者 | 目的 | 时机 | 目标 |
探索期 | 黑客个体 | 兴趣和炫耀 | 随意 | 随意 |
工具化 | 政治宗教商业组织 | 勒索竞争报复 | 精确 | 精确 |
武器化 | 国家 | 网络战 | 精确 | 精确 |
普及化 | 群体组织 | 表达主张 | 受外部事件触发 | 相关范围 |
知名僵尸网络
1.ZeroAccess
2.Zeus
3.Pushdo/Cutwail
4.Mariposa
5.Waledac
僵尸网络组建的节点
PC,服务器,移动设备
僵尸网络的控制
IRC,HTTP型,P2P型
DDos攻击方法
攻击分类 | 洪水攻击 | 慢速攻击 |
网络层攻击 | ICMP/IGMP洪水攻击 | |
传输层攻击 | UDP洪水攻击 TCP连接洪水攻击 SYN洪水攻击 PSH+ACK洪水攻击 ACK反射攻击 RST洪水攻击 SSL洪水攻击 | Sockstress攻击 THC SSL 攻击 |
应用层攻击 | DNS query洪水攻击 DNS NXdomain洪水攻击 HTTP洪水攻击 DNS方法攻击 SNMP方法攻击 NTP方法攻击 | Slowloris攻击 慢速POST请求攻击 数据处理过程攻击 |
1)PSH+ACK洪水攻击 PSH表示清空缓冲区将数据交给应用层,这个攻击是让服务器频繁清空缓冲区
2)Sockstress攻击 建立连接后就发送窗口为0然后不动了,于是服务端只能保持连接并且每过一段时间发
数据报探测窗口是否正常
3)DNS query,全部攻击一个DNS服务器,发送各种URL让DNS的LRU缓存不断作废,甚至DNS服务器
找不到之后只能再查.com或者根服务器进一步拖慢响应
4)DNS NXDOMAIN 全部攻击一个DNS服务器,发送的是不存在的域名,这样导致每次都会递归查询到
根服务器
5)Slowloris攻击 发送HTTP头之后不发送\r\n\r\n,或者头部发送不完整一次一个字节,让服务端保持连接
又不能断开
6)慢速POST攻击 将POST提交的请求头Content-Length设置一个很大的值,然后每次一个字节传输,让
服务端保持连接不能断开
7)数据处理过程攻击 精心设计的正则表达式让服务端消耗过多CPU,hash表变成链表让服务端消耗CPU
8)THC SSL 攻击 SSL连接之后客户端可以发送Regegotiation请求让服务端重新计算秘药,大量的请求
不断发送这个请求让服务端消耗CPU
DDos工具
工具 | 类型 |
Hping | ICMP/UDP/SYN |
Slowloris | HTTP GET |
LOIC | UPD/TCP/HTTP GET |
PenTBox | SYN/TCP |
R.U.D.Y | HTTP POST |
HOIC | HTTP GET |
THC SSL DOS | SSL renegotiation |
Zarp | SYN |
HULK | HTTP GET |
DDos攻击成本,很多地方都有明码标价了
获取收益
1.敲诈勒索
2.实施报复
3.获取竞争优势
DDos攻击的治理和缓解
1.僵尸网络的治理
根据逆向结果分析写清理脚本到僵尸网络将其干掉
2.地址伪造攻击的治理
升级路由器设备,检查源地址和目的地址合法性
如果A-->B-->C<--D--<--E 如果E伪造了地址是B然后攻击C,但是D发现从E到C不经过B于是将这个
数据包丢弃
3.放大器的治理
升级DNS服务器,NTP服务器等,打补丁
4.攻击流量的稀释
通过CDN将流量进行稀释(但如果攻击者使用ip不是域名就不行了)
使用anycast技术,任播寻址,ayncast能稀释攻击流量,在寻址过程中会将流量导入网络中最近的节点
5.攻击流量的清洗
1)IP信誉度检查,也就是IP白名单2)攻击特征匹配,静态匹配和动态匹配,也就是检查攻击的特征并记录下之后相同的全部丢弃
3)速度检测和限制,如频繁的SSL连接,慢速POST请求
TCP代理和验证,对于SYN攻击,代理直接返回SYN+ACK,如果是正常访问会返回ACK,之后代理和
后端服务器建立连接并将源地址改为客户端,之后客户端就可以跟服务器正常通讯了,否则就丢球请求,
代理经过了优化可以接受大量的SYN请求
4)协议完整性验证,如果是DNS解析代理返回truncated要求客户端改用TCP连接到DNS,之后如果是正常
的TCP则通过否则丢弃,同理也可以做HTTP的验证就是302跳转
5)客户端真实性验证,返回一个js的计算给客户端,或者发送一个图片如答不出就拒绝
DDos主要事件
1.雅虎遭遇DDos攻击,攻击者是15岁的黑手党男孩
2.13台根域名服务器遭到攻击
3.网络战爆发,爱沙尼亚国会,总统府,央行,主要媒体遭到攻击
4.匿名者挑战山达基教会
5.格鲁吉亚战争,媒体,通讯,交通遭到攻击
6.伊朗大选,反对者发送DDos攻击
7.美国韩国政府网站遭到DDos攻击
8.世界杯临近三甲博彩网站遭到DDos攻击
9.维基解密揭露企业黑幕被冻结资金,匿名者宣发阿桑奇复仇行动
10.美国中情局遭到DDos攻击
11.索尼信息泄露案
12.加拿大民主党选举系统遭到攻击
13.哈桑网络战争发送燕子行动,对美国金融界宣战
14.匿名者请愿,讨论DDos合法化
15.反垃圾邮件组织Spamhaus遭到300G/s 攻击
黑客组织
黑客组织 | 类型 |
朝鲜110实验室 | 国家级网军 |
叙利亚电子军 | 国家级网军 |
LulzSec | 黑客行动主义 |
匿名者Anonymous | 黑客行动主义 |
The Jester | 犯罪团伙 |
Icefog | 犯罪团伙 |
DDos误区
1.DDos攻击都是PC组成的僵尸网络
2.DDos攻击都是消耗网络带宽资源的攻击
3.DDos攻击都是洪水攻击
4.普通人不会遭遇DDos攻击
5.只有黑客才能发起DDos攻击
6.DDos攻击目的就是单纯破坏
7.防火墙和入侵检测/防御系统能够缓解DDos攻击
8.系统优化和增加带宽能够有效缓解DDos攻击
9.DDos的云端清洗服务和本地缓解设备可以相互替代