开发者社区> 行者武松> 正文

针对爱尔兰DDoS攻击的取证分析

简介:
+关注继续查看

在过去一段时间内,爱尔兰的许多在线服务和公共网络都遭受到了 DDoS 攻击。英国广播公司(BBC)最近的一篇文章[ 链接]就指出 2016 年 DDoS 攻击事件将呈现上升趋势。

针对爱尔兰的 DDoS 攻击大部分为 NTP 放大攻击。之所以使用 NTP 进行DDoS攻击,主要是因为 NTP 像 DNS 一样是一个基于 UDP 的简单协议,可以通过发送一个很小的请求包产生巨大的相应包。

本文首先会针对此次 DDoS 攻击进行取证分析,随后会给出缓解这类 DDoS 攻击的方法。文中所有的截图来源于 LANGuardian系统面板,该系统通过 SPAN 端口监控网络边界流量。

下列截图全部来源于真实网络环境,为 2016 年 1 月份遭受的多次 DDoS 攻击。第一张图展示了没有遭受攻击时的网络相关流量信息,从图中我们发现:

1、主要流量为 IPv4;

2、超过 97% 的流量为 TCP,而 UDP 流量只占到非常少的比例。这是非常正常以及我们期望的情况;

3、UPD 流量中绝大多数为 DNS 流量,对于大部分网络来说,DNS 都会是最为活跃的 UDP 协议。

下图为遭受 DDoS 攻击时的网络流量分布,最大的变化就是此时 UDP 流量占到了绝大多数,这也是遭受放大攻击的典型特征。

进一步分析 UPD 流量发现,网络中存在大量的 NTP 和 DNS 流量。但由于这两个协议都非常重要,所以无法直接将其屏蔽。另一个问题在于,这些网络数据包中包含的均为伪造的 IP 地址,所以基本的防火墙策略变的毫无用处。而这些看似合法的请求流量来自于大量的“僵尸”和伪造的身份,这也使得几乎不可能进行识别并进行阻止这些恶意流量。

再进一步分析发现这些流量来自于4700个不同的服务器。我们可以对这些 IP 进行 whois 查询看其是否来自于声誉较好机构的真实 NTP 服务器。看上去不可能有4700个真实的 NTP 服务器被攻破用来进行这次攻击,所以肯定发生了些其他的事情。

NTP 是一个基于 UDP 的无连接协议。这就意味着恶意攻击的客户端可以不使用自己的 IP 地址作为请求源地址,取而代之使用目标网络的 IP 地址作为源地址创建一个 NTP 请求。而 NTP 服务器会认为请求是真实的并进行响应,但它会回复响应包到目标地址而不是发送客户端的地址。这就是所谓的 NTP 放大攻击。

可以确定现在正在遭受这种攻击,因为我们的网络没有发送任何的 NTP 数据包给 NTP 服务器(0数据包发送,0比特发送)如下图:

更进一步分析,我们可以计算出接收到的 NTP 应答包平均大小为 440 字节,这明显大于标准的 NTP 应答包(90字节)。440 字节的数据包可能是对 monlist 请求进行相应的应答包,NTP 服务器响应 monlist 请求会返回与 NTP 服务器进行过时间同步的最后 600 个客户端的 IP,响应包按照每 6 个 IP 进行分割,最多有 100 个响应包。也就是说一个简单的 monlist 请求会收到多个大尺寸的相应数据包。这就是所谓的放大攻击,只需一个很小的请求数据包就会收到很大的相应数据包。

最后,那么攻击者的客户端是如何发出 NTP 请求的?这点我们无从得知,因为攻击者在 NTP 请求数据包中成功的伪造了源 IP 地址。我们认为这些客户端都是僵尸网络的一部分,在统一接收到命令后就开始攻击目标网络,这些僵尸网络可能拥有成千上万的客户端。

下图展示了一个命令和控制服务器是如何控制众多僵尸节点生成畸形的 NTP 请求并发向许多服务器,进而向目标网络发动 NTP 放大攻击的。

报告中出现的任何本地服务器都需要检测其服务器上是否含有恶意软件,因为这些服务器可能是因为恶意软件从而变成僵尸网络的一个节点也可能其本身就是用于传播恶意软件的服务器。

如何缓解 DDoS 攻击

说到缓解 DDoS 攻击有很多选择,但它取决于你当前情况,如果你目前正在遭受攻击,你可能需要:

1、询问你的 ISP 是否可以屏蔽攻击流量。大部分情况下这是不行的,但如果你是一个教育或政府机构也许可以在 ISP 层面解决这个问题;

2、如果是自己架设 WEB 应用服务器可以考虑部署一个 DDoS 防御系统。高性能的防御系统可以跟踪分析攻击流量并进行清洗,从而抵御较大规模的 DDoS 攻击;

3、如果你的网站是托管在其他地方,那你可以考虑使用像 Cloudflare DDos 防御设施;

4、在一些极端情况下,我听说过有公司直接通过更换 ISP 来摆脱这个问题,公司的公网 IP 是唯一对外的目标,通过更换 ISP 可以转移这个目标。



本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
我花10个小时,写出了小白也能看懂的阿里数据中台分析
数据中台被誉为大数据的下一站,由阿里兴起,核心思想是数据共享,2015年阿里提出“大中台,小前台”的策略。2018 年因为“腾讯数据中台论”,中台再度成为了人们谈论的焦点。 2019年,似乎人人都在提数据中台,但却不是所有人都清楚数据中台到底意味着什么。
3922 0
《Spark与Hadoop大数据分析》——1.2 大数据科学以及Hadoop和Spark在其中承担的角色
本节书摘来自华章计算机《Spark与Hadoop大数据分析》一书中的第1章,第1.2节,作者 [美]文卡特·安卡姆(Venkat Ankam),译 吴今朝,更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1290 0
【干货】第四届中间件性能挑战赛启动,50万奖金、赛题分析、重磅资料为你而来!
Apache基金会联合创始人 Jim Jagielski 表示,Apache顶级项目RocketMQ是一个极其强大且具有变革性的软件项目,众多公司都是它的深度用户。Dubbo目前正在Apache软件基金会内孵化,具有巨大的潜力。
699 0
调试逆向分为动态分析技术和静态分析技术(转)
  在软件开发的过程中,程序员会使用一些调试工具,以便高效地找出软件中存在的错误。而在逆向分析领域,分析者也会利用相关的调试工具来分析软件的行为并验证分析结果。由于操作系统都会提供完善的调试接口,所以利用各类调试工具可以非常方便灵活地观察和控制目标软件。
907 0
移动App如何收费的模式和步骤分析
前一阶段,把一个应用进行了移植,可以在iphone和ipad上运行了,参考: http://www.cnblogs.com/2018/category/273921.html 准备放到app store上,对整个软件的收费方式进行了查找,汇总如下: 收费模式 apple手机app开发者的几种收费方式 1、开发付费app与平台分成 app开发者先申请IDP(iPhone Developer Program)账号(普通个人账号99$/年。
1242 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
20890 0
+关注
行者武松
杀人者,打虎武松也。
17112
文章
2569
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载