月2日,安天公司发现一个新型 DDoS攻击 木马“魔鼬”,通过对样本分析可知,该木马的一个控制端地址为www.linux288.com。CNCERT监测结果显示,我国已有6.4万余个IP地址受控于“魔鼬”木马。其中,受控IP地址数量最多的省份为广东、江苏、浙江,占比分别为18.7%,9.3%和7.5%。这让 我国DDoS黑色 产业链,又出现新内容
绿盟科技分析称 下载站受到攻击流量峰值达632G
黑客将木马程序植入到主机并使其受控,进而受感染的主机会将自身的系统信息(包括CPU,内存,主机名和操作系统等)发给指定的C2服务器,C2服务器将攻击的目标列表回复到受控主机上,使受控主机不断向攻击目标发起大量请求,形成DDoS攻击。
由于C2服务器向受控主机下发的攻击目标指令是变化的,因此互联网上的大量客户都受到了DDoS攻击。从目前捕获到的数据发现,系统下载站点受到的影响最大,某下载站点受到的攻击流量峰值达到 632G 。在绿盟科技发布的 2017Q2ddos攻击报告中显示,300G以上大流量攻击上升7倍
一般情况下 企业应该这样应对DDoS攻击
绿盟科技DDoS攻防专家给出了一些经验,企业客户在DDoS防护体系建设上通常需要开展的工作有:
- 应用系统开发过程中持续消除性能瓶颈,提升性能 通过各类优化技术,提升应用系统的并发、新建以及数据库查询等能力,减少应用型DDOS攻击类型的潜在危害;
- 定期扫描和加固自身业务设备 定期扫描现有的网络主节点及主机,清查可能存在的安全漏洞和不规范的安全配置,对新出现的漏洞及时进行清理,对于需要加强安全配置的参数进行加固;
- 确保资源冗余,提升耐打能力 建立多节点负载均衡,配备多线路高带宽,配备强大的运算能力,借此“吸收”DDoS攻击;
- 服务最小化,关停不必要的服务和端口 关停不必要的服务和端口,实现服务最小化,例如WWW服务器只开放80而将其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻击所影响的概率;
- 选择专业的产品和服务 三分产品技术,七分设计服务,除了防护产品本身的功能、性能、稳定性,易用性等方面,还需要考虑防护产品厂家的技术实力,服务和支持能力,应急经验等;
- 多层监控、纵深防御 从骨干网络、IDC入口网络的BPS、PPS、协议分布,负载均衡层的新建连接数、并发连接数、BPS、PPS到主机层的CPU状态、TCP新建连接数状态、TCP并发连接数状态,到业务层的业务处理量、业务连通性等多个点部署监控系统。即使一个监控点失效,其他监控点也能够及时给出报警信息。多个点信息结合,准确判断被攻击目标和攻击手法;
- 完备的防御组织 囊括到足够全面的人员,至少包含监控部门、运维部门、网络部门、安全部门、客服部门、业务部门等,所有人员都需要2-3个备份
- 明确并执行应急流程 提前演练,应急流程启动后,除了人工处理,还应该包含一定的自动处理、半自动处理能力。例如自动化的攻击分析,确定攻击类型,自动化、半自动化的防御策略,在安全人员到位之前,最先发现攻击的部门可以做一些缓解措施。
但应对632G DDoS攻击 用综合抗D解决方案才行
针对此次木马“魔鼬”引发的DDoS攻击,攻击流量峰值达到632G,仅仅依靠单一解决方案已不能完成所有DDoS攻击清洗。绿盟科技推出综合抗D解决方案可以进行完美防护,确保受攻击目标的带宽使用率和业务连续性。绿盟科技综合抗D解决方案由本地DDoS防护设备(绿盟科技ADS)+运营商清洗服务或者本地DDoS防护设备+云清洗服务构成,面对多变的攻击环境和日新月异的攻击手法能够保证有效的清洗和防护,是保障客户业务安全的首选方案。
绿盟科技综合抗D解决方案由以下三部分构成,可根据实际攻击场景进行组合:
1. 本地DDoS防护设备;
2. 运营商清洗服务;
3. 云清洗服务。
| 类型项目 |
本地DDoS防护设备 |
运营商清洗服务 |
云清洗服务 |
| 引流技术原理 |
企业侧部署设备,串联到网络中或者通过路由进行牵引流量。 |
部署在城域网,多通过路由方式进行引流,多基于Flow方式检测攻击。 |
利用CNAME,将源站解析到新的域名,从而实现引流。 |
本地DDoS防护设备
本地化防护设备,增强了用户监控DDoS能力的同时做到了业务安全可控,且产品具备高度定制化的策略和服务,更加适合通过分析攻击报文,定制策略来应对多样化的、针对性的DDoS攻击类型。
运营商清洗服务
运营商采购安全厂家的DDoS防护设备并部署在城域网,通过路由方式引流,并进行防护。和CNAME引流方式相比其生效时间更快。运营商通过提供清洗服务帮助企业用户解决带宽消耗型的拒绝服务攻击。
云清洗服务
云清洗服务适用于应急场景,当攻击者直接向站点真实IP地址发起攻击而绕过了云清洗中心的时候,通常需要企业用户配合做业务地址更换、CNAME引流等操作配置,业务地址更换的实际过程可能会出现不能落地的情况。另一方面对于HTTPS Flood防御,当前云清洗服务需要用户上传HTTPS业务私钥证书,可操作性不强。此外业务流量导入到云平台,对业务数据安全性也提出了挑战。
综合抗D解决方案
绿盟科技推荐企业用户选用绿盟科技综合抗D解决方案,根据实际情况可以组合本地DDoS防护设备+运营商清洗服务或者本地DDoS防护设备+云清洗服务,实现分层清洗的效果。针对金融行业,更推荐的组合方案是本地DDoS防护设备+运营商清洗服务。对于选择云清洗服务的用户,如果只是在DDoS攻击发生时才选择将流量导入到云清洗平台,需要做好备用业务地址的更换预配置(新业务地址不可泄露,否则一旦被攻击者获悉将会失去其意义)。
谷歌下架300个隐匿劫持手机以发动DDoS攻击的Android应用
在被发现存在隐蔽劫持 Android 设备、供黑客调用手机发动大规模分布式拒绝服务攻击(DDoS)所需流量的隐患之后,谷歌已经紧急下架了 Play Store 上的 300 款问题应用。Gizmodo 指出,这批应用提供了铃声或存储管理等服务,但又安全研究人员揭露其与“WireX”僵尸网络有关联。恶意软件被深藏在受影响的 app 中,一旦被触发,即可被调用来发动 DDoS 攻击。
在某公司遭受来自数十万 IP 的 DDoS 攻击之后,云服务提供商 Akamai 的研究人员们发现背后有 WireX 僵尸网络的身影。分布式拒绝服务攻击DDoS的流氓之处,在于通过巨大的流量来拖慢目标网站(或其它线上服务)的速度,甚至直接导致服务器宕机。
Google 在一份声明中称,其当前正在移除受影响设备上的恶意应用。研究人员指出,本次事件或影响百个国家的 70000 台设备,此外有 WireX 攻击要求支付赎金。
原文发布时间:2017年8月30日
本文由:绿盟科技发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/632g-ddos-attack#
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
