破坏之王

 

 

不同阶段DDos攻击事件的特点

时期	使用者	目的	时机	目标
探索期	黑客个体	兴趣和炫耀	随意	随意
工具化	政治宗教商业组织	勒索竞争报复	精确	精确
武器化	国家	网络战	精确	精确
普及化	群体组织	表达主张	受外部事件触发	相关范围

 

 

 

知名僵尸网络

1.ZeroAccess

2.Zeus

3.Pushdo/Cutwail

4.Mariposa

5.Waledac

僵尸网络组建的节点

PC，服务器，移动设备

僵尸网络的控制

IRC，HTTP型，P2P型

 

 

 

DDos攻击方法

攻击分类	洪水攻击	慢速攻击
网络层攻击	ICMP/IGMP洪水攻击
传输层攻击	UDP洪水攻击 TCP连接洪水攻击 SYN洪水攻击 PSH+ACK洪水攻击 ACK反射攻击 RST洪水攻击 SSL洪水攻击	Sockstress攻击 THC SSL 攻击
应用层攻击	DNS query洪水攻击 DNS NXdomain洪水攻击 HTTP洪水攻击 DNS方法攻击 SNMP方法攻击 NTP方法攻击	Slowloris攻击 慢速POST请求攻击 数据处理过程攻击

1)PSH+ACK洪水攻击  PSH表示清空缓冲区将数据交给应用层，这个攻击是让服务器频繁清空缓冲区

2)Sockstress攻击 建立连接后就发送窗口为0然后不动了，于是服务端只能保持连接并且每过一段时间发

    数据报探测窗口是否正常

3)DNS query，全部攻击一个DNS服务器，发送各种URL让DNS的LRU缓存不断作废，甚至DNS服务器

   找不到之后只能再查.com或者根服务器进一步拖慢响应

4)DNS NXDOMAIN  全部攻击一个DNS服务器，发送的是不存在的域名，这样导致每次都会递归查询到

   根服务器

5)Slowloris攻击  发送HTTP头之后不发送\r\n\r\n，或者头部发送不完整一次一个字节，让服务端保持连接

   又不能断开

6)慢速POST攻击   将POST提交的请求头Content-Length设置一个很大的值，然后每次一个字节传输，让

   服务端保持连接不能断开

7)数据处理过程攻击   精心设计的正则表达式让服务端消耗过多CPU，hash表变成链表让服务端消耗CPU

8)THC SSL 攻击   SSL连接之后客户端可以发送Regegotiation请求让服务端重新计算秘药，大量的请求

   不断发送这个请求让服务端消耗CPU 

 

 

 

DDos工具

工具	类型
Hping	ICMP/UDP/SYN
Slowloris	HTTP GET
LOIC	UPD/TCP/HTTP GET
PenTBox	SYN/TCP
R.U.D.Y	HTTP POST
HOIC	HTTP GET
THC SSL DOS	SSL renegotiation
Zarp	SYN
HULK	HTTP GET

 

 

 

DDos攻击成本，很多地方都有明码标价了

获取收益

1.敲诈勒索

2.实施报复

3.获取竞争优势

 

 

 

DDos攻击的治理和缓解

1.僵尸网络的治理    

    根据逆向结果分析写清理脚本到僵尸网络将其干掉 

2.地址伪造攻击的治理

    升级路由器设备，检查源地址和目的地址合法性

    如果A-->B-->C<--D--<--E   如果E伪造了地址是B然后攻击C，但是D发现从E到C不经过B于是将这个

          数据包丢弃

3.放大器的治理

    升级DNS服务器，NTP服务器等，打补丁

 

4.攻击流量的稀释

    通过CDN将流量进行稀释(但如果攻击者使用ip不是域名就不行了)

    使用anycast技术，任播寻址，ayncast能稀释攻击流量，在寻址过程中会将流量导入网络中最近的节点

5.攻击流量的清洗

1)IP信誉度检查，也就是IP白名单
2)攻击特征匹配，静态匹配和动态匹配，也就是检查攻击的特征并记录下之后相同的全部丢弃
3)速度检测和限制，如频繁的SSL连接，慢速POST请求
TCP代理和验证，对于SYN攻击，代理直接返回SYN+ACK，如果是正常访问会返回ACK，之后代理和
    后端服务器建立连接并将源地址改为客户端，之后客户端就可以跟服务器正常通讯了，否则就丢球请求，
    代理经过了优化可以接受大量的SYN请求
4)协议完整性验证，如果是DNS解析代理返回truncated要求客户端改用TCP连接到DNS，之后如果是正常
   的TCP则通过否则丢弃，同理也可以做HTTP的验证就是302跳转
5)客户端真实性验证，返回一个js的计算给客户端，或者发送一个图片如答不出就拒绝

 

 

 

DDos主要事件

1.雅虎遭遇DDos攻击，攻击者是15岁的黑手党男孩

2.13台根域名服务器遭到攻击

3.网络战爆发，爱沙尼亚国会，总统府，央行，主要媒体遭到攻击

4.匿名者挑战山达基教会

5.格鲁吉亚战争，媒体，通讯，交通遭到攻击

6.伊朗大选，反对者发送DDos攻击

7.美国韩国政府网站遭到DDos攻击

8.世界杯临近三甲博彩网站遭到DDos攻击

9.维基解密揭露企业黑幕被冻结资金，匿名者宣发阿桑奇复仇行动

10.美国中情局遭到DDos攻击

11.索尼信息泄露案

12.加拿大民主党选举系统遭到攻击

13.哈桑网络战争发送燕子行动，对美国金融界宣战

14.匿名者请愿，讨论DDos合法化

15.反垃圾邮件组织Spamhaus遭到300G/s 攻击

 

 

 

黑客组织

黑客组织	类型
朝鲜110实验室	国家级网军
叙利亚电子军	国家级网军
LulzSec	黑客行动主义
匿名者Anonymous	黑客行动主义
The Jester	犯罪团伙
Icefog	犯罪团伙

 

 

 

DDos误区

1.DDos攻击都是PC组成的僵尸网络

2.DDos攻击都是消耗网络带宽资源的攻击

3.DDos攻击都是洪水攻击

4.普通人不会遭遇DDos攻击

5.只有黑客才能发起DDos攻击

6.DDos攻击目的就是单纯破坏

7.防火墙和入侵检测/防御系统能够缓解DDos攻击

8.系统优化和增加带宽能够有效缓解DDos攻击

9.DDos的云端清洗服务和本地缓解设备可以相互替代