学习手册:盘点DDoS带来的误会

江河塞绝,本是古人生存之大患;而今处于网络空间,DDoS已然成为这一新生空间的重大灾难。一说到DDoS(Distributed Denial of Service),大家都知道这是一种以破坏为目的的攻击,十多年来不断变化,成为不同组织和个人的工具,在网络中的勒索、报复、战争中花样翻新。

如果大家想了解这些内容:谁在攻击?他们为什么攻击?用了什么方法?这些方法为什么有用?如果我受到了攻击,那么该如何保护自己呢?可以参考小编之前写的文章《学习手册:浅析DDoS的攻击及防御》,今天在这里,小编总结了几点之前在学习过程中发现的误区,给大家分享一下,欢迎各种探讨。

在总结之前,先讲讲啥是“分布式拒绝服务攻击”?为啥很多成本高昂的防护系统+群英荟萃的安全团队,在面对DDoS攻击的时候那么不堪一击?

其实在二战的时候,DDoS的攻击方式就已经用于军事上了。早在1939年,德军14个师兵分三路,从北、南、西不同地方同时进攻波兰,由于波兰兵力分散且移动迟缓,不容易及时调配,因此80万人组成的防线瞬间瓦解。历时20天的战役,主力全军覆没,被世人称之为“闪电战”。这种从多个来源,彼此协同进行攻击方法就是DDoS分布式攻击的根本特征,这种攻击的优势是:持续制造局部优势。

对于DDoS攻击,大部分人都是通过报道或者新闻得知的,新闻为了博眼球经常把攻击流量和影响范围来做特别处理,让大家了解到攻击的严重性,但是这样的引导就会带来误会。

误会一 DDoS就是大流量的洪水攻击,就是为了搞搞破坏

提到DDoS,大家就条件反射想到了UDP、SYN、RST洪水攻击等,DDoS来袭就跟洪水一样,通过快速发送大量数据和请求,达到迅速消耗大量资源的目的。

实际上,供水攻击的确是在DDoS攻击中站很大比例,毕竟短时间攻击的成本比较好控,但是并不是所有的这种攻击都是洪水的,还有一种类型被称为慢速攻击。慢速攻击很坚定,缓慢而顽固地发送长期请求,一点一点地蚕食目标资源,有点儿滴水穿石的感觉。

而且,的确有不少企业经历过庞大的DDoS攻击,但是更多的企业并没有碰到过真正的巨量型攻击。相反,很多企业网络都是被具有同样破坏力的、小密度的攻击拿下的。

如果认为发起了一个DDoS攻击,仅仅是因为黑客们头脑发热,搞搞破坏,损人不利己,那简直是对黑客的极大误解。当今时代的攻击者们,对于计算收益的敏感性远超于常人,破坏的威力必须换取对等的利润,用最小的代价换取坐地收银的可能。破坏只是手段,利益则是永恒。

误会二 DDoS用了工具试试,应该不至于犯法

如若个人、组织、团体、公司发起,或组织,或从事这个行业,通过DDoS发起攻击,恶意破坏第三方网站,属于犯法,不要存在侥幸,网警一旦发现会立案调查的,造成损失的要追究刑事责任。在中国的任何一部有关计算机的法律,都会指出攻击信息系统违法的。

比如:计算机信息系统安全保护条例,第七条 任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。

刑法里涉及计算机犯罪的在第285、286、287条

第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。

故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。

第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。

就算发动肉鸡进行攻击,想查还是能查到的,所以请一定不要越过法律的边界!!

误会三 DDoS攻击都是僵尸网络干的,部署很麻烦,应该离“我”很远

很多人甚至包括大量IT从业人员都觉得组建一个僵尸网络技术要求很高、非常困难,因此大规模DDoS攻击是很少见的。其实这个观点是错误的,僵尸网络的技术困难程度是随着互联网规模的增加而迅速递减的。

比如:僵尸网络租赁服务,就是给不懂技术的小白们提供一种发动DDoS攻击的可能性,只要愿意支付服务费,僵尸网络租赁服务平台就能帮你做到。购买者可以订购僵尸网络的攻击时限,比如每个月累计攻击时间不超过1小时。这样一来不懂DDoS的人也可以通过这种简单的方式发动DDoS攻击。

但是,并不是所有的DDoS攻击都是僵尸网络干的,因为技术能力的提升,高性能服务器的处理性能和带宽使用迅速增加,让很多黑客把注意力转移到高性能服务器,而且很多黑客组织更喜欢真实的参与者一起进行攻击实施。

或许很多人认为,大规模的DDoS攻击只会针对大企业、大网站、大人物……其实,规模较小的网站防护能力薄弱,更容易得手,只要网站是可被攻击的,那么它就可能遭遇到DDoS侵袭。

误会四 DDoS虽然破坏力强,但是它无法进行精准打击

对于未来的网络战争会出现两种趋势:广泛打击+精准打击。如果以敌对国家为打击目标,广泛打击可以制造社会混乱,从而降低对手的抵抗。比如,电话网络中断,智能电网瘫痪,金融系统数据混乱,交通调度失控等等;而精确打击由于具备打击精度高、作战风险低、附带损伤小等诸多优势,倍受军事界的“青睐”,日益成为信息化条件下一种非常重要的火力打击方式。DDoS具有强大的破坏性,在广泛打击的过程中是有力的武器,或许无法进行精确打击?

其实随着科技发展,DDoS也在进入APT时代,不断出现新特性:智能化技术、过程持续、影响广泛、危害严重等。相信这对于DDoS防护和流程响应提出了更大的挑战,而且随着网络战争的不断升级,新型DDoS攻击将成为普遍现象。

误会五 IPS+增加宽带就分分钟解决DDoS攻击了

虽然入侵防御系统(IPS)是最广泛的攻击检测/防御工具,可以保护网络安全,但在实际上,它算是应用层的防护工具,面对 DDoS攻击,没有办法发挥所长。要防止DDoS攻击,企业还需使用专门的硬件防护解决方案和云端清洗服务等。

当然还会有人说,DDoS攻击就是为了让服务器瘫痪,那么我增加带宽不就可以解决么?增加带宽是一种退让政策,需要购买冗余硬件、增添性能高的服务器等,只要攻击者造成的资源消耗不高于目前的带宽等资源承载能力,那么攻击就无效;反而言之,如果DDoS攻击有效,那么需要通过再次退让来使其无效化。

小常识

构建僵尸网络最核心的工作是获取僵尸节点,介绍几种常见的获取僵尸节点的方法:

利用搜索引擎获取僵尸节点。仅仅利用搜索引擎就可以获取大量现成的或者几乎现成的僵尸节点。黑客经常使用Google Hacking技术和shodan搜索引擎获取僵尸节点。任何一个人在搜索引擎之中搜索关键字“googlehacking backdoor”、“shodan backdoor”都会获得很多这方面的资料,按照这些资料在加上基本的计算机知识就可以获得一些僵尸节点。

利用MetaSploit渗透远程主机。在PopVote案例中,大量的僵尸节点都是来自于台湾,据台湾一些相关专业人士的分析,主要原因在于大多数人都没有更新软件补丁的习惯,而这种现象在全世界都非常普遍,这就给黑客留下了大量的可利用漏洞。MetaSploit是渗透的利器,其中集成了大量已知漏洞的exploit,即便对于根本不了解漏洞原理的人,也可以使用MetaSploit轻松实现对目标系统的入侵。

利用Struct、Apache、Discuz等开源软件的安全漏洞控制主机。有一些开源软件在全世界拥有大量的用户,因此任何针对这些开源软件的安全漏洞都会影响到大量主机。令人难以置信的是,即便是很老的安全漏洞,依然有很多主机没有打补丁。利用shodan、zoomeye、google可以获得大量仍然有漏洞的主机列表,然后利用搜索引擎找到相应exploit,使用exploit即可完成对漏洞主机的控制。

利用破解软件、绿色软件植入木马。曾经风靡一时的破解版、绿色版XP系统大部分都含有root级别的后门程序,而现今网上很多破解、绿色版的软件也都含有木马程序。很多人在享受便利、免费的时候已经被黑客完全控制了。

直接黑市购买僵尸网络服务。如今黑帽黑客已经创造了一个非常巨大的地下产业链,在这里几乎可以买到一切,个人信息、数据库、僵尸网络……发动一次中等规模的DDoS攻击数千美金即可实现。

为了迎接2017年的到来,小编通过刻苦学习,兢兢业业进行了DDoS给人误会的盘点,或许有很多不够全面的地方,还请大家拍砖的时候,手下留情撒~

最后祝大家元旦快乐!

相关链接:

参考书籍《破坏之王》;

http://blog.nsfocus.net/analysis-ddos-attack-defense/

http://blog.nsfocus.net/learning-guide-java-serialization-de-serialization-vulnerability-remediation/

http://blog.nsfocus.net/thoughts-information-disclosure/

http://blog.csdn.net/achejq/article/details/52201195

如果您需要了解更多内容,可以
加入QQ群:570982169、486207500
直接询问:010-68438880-8669

发表评论