其他分享
首页 > 其他分享> > 前端安全第三期

前端安全第三期

作者:互联网

DDOS

前言

DDoS是目前成本较低的一种攻击方式之一。攻击发动者意图通常为敲诈勒索,竞争利益冲突,表达政治立场,采用DDoS攻击吸引企业安全团队注意力,而实际进行进一步入侵窃取,给受害用户造成包括业务不可用/不稳定等造成的用户流失,公信力受损,品牌损害等;经济损失每天从几万到几千万不等,甚至直接导致业务倒闭(游戏/互联网/创业公司等)

DDOS 不是一种攻击,而是一大类攻击的总称,它有几十种类型,新的攻击方法还在不断发明出来,网站运行的各个环节,都可以是攻击目标,只要把一个环节攻破,使得整个流程跑不起来,就达到了瘫痪服务的目的

 

什么是DDOS

如上图式例,老李开了一家餐厅,正常情况下,最多可以容纳30个人同时进餐,正常情况下客户直接走进餐厅,找一张桌子坐下点餐,马上就可以吃到东西

很不幸,现在来了300多个流氓同时涌进餐厅,这些人看上去跟正常的顾客一样,每个都说”赶快上餐”。但是,餐厅的容量只有30个人,根本不可能同时满足这么多的点餐需求,加上他们把门口都堵死了,里三层外三层,正常用餐的客人根本进不来,实际上就把餐厅整瘫痪了

这就是 DDOS 攻击,它在短时间内发起大量请求、被大量的请求、被接收大量数据等等,耗尽服务器的资源,无法响应正常的访问,造成系统实质下线,DDOS 里面的 DOS 是 denial of service(停止服务)的缩写,表示这种攻击的目的,就是使得服务中断。最前面的那个 D 是 distributed (分布式),表示攻击不是来自一个地方,而是来自四面八方,因此更难防。你关了前门,他从后门进来;你关了后门,他从窗口跳起来

 

DDoS攻击的发展之三个阶段

曾经有安全专家把DDoS攻击比作互联网“核武器”:一旦调动足够数量遍布互联网的“肉鸡”和存在各种协议漏洞的开放服务器,就可以瘫痪掉任何互联网业务。尽可能地对被攻击目标造成最大程度的资源破坏是DDoS攻击的根本初衷。站在这个角度上来看DDoS攻击的发展,可以梳理出清晰的脉络

名词解析

 

第一阶段

由个人计算机组建僵尸网络,发动DDoS攻击,最为传统的DDoS攻击也是多利用僵尸主机(Zombies,又叫肉鸡)组成僵尸网络来发起的

在一些实际攻击事件中,从攻击流量中分析来看,来源非常分散,全国甚至全世界各地都有,此类攻击很可能就是由大量受操控“肉鸡“组成的僵尸网络发起。可见,“肉鸡”对于互联网、特别是网站系统的威胁是很大的。即便单个“肉鸡”的攻击能力有限,但如果肉鸡数量很多,汇总后的攻击流量也将是惊人的

形象示例图

第二阶段

利用互联网开放服务器(如DNS、NTP)发起反射攻击,虽然肉鸡的效果显著,但是无论组建还是僵尸网络的维护都需要较高的成本,伴随黑客不断对更低成本获得更大效果的追求,利用互联网开放服务器发起反射拒绝服务攻击逐渐流行

反射拒绝服务攻击又称DRDoS攻击(Distributed Reflection Denial of Service),或分布式反射拒绝服务攻击。其原理是黑客伪造成被攻击者的IP地址,向互联网上大量开放特定服务的服务器发起请求,接收到请求的那些主机根据源IP地址将响应数据包返回给受害者。整个过程中,返回响应的服务器并不知道请求源的恶意动机。  黑客往往会选择那些响应包远大于请求包的服务来利用,这样才可以以较小的流量换取更大的流量,获得几倍甚至几十倍的放大效果。一般来说,可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SNMP服务、Chargen服务等

形象示例图

第三阶段

利用智能/IoT设备协议(如SSDP)的脆弱性发起反射攻击

虽然利用NTP协议的反射放大效果最好,超过500倍。也就是说攻击者只需要发起100Mbps的请求流量,经过NTP服务器的反射放大,可以换来5Gbps的攻击流量。2014年2月,在国外某云计算服务提供商遭受的400Gbps DDoS攻击中,黑客就采用了NTP 反射放大攻击

但是,一方面,随着互联网上存在DNS、NTP、SNMP等协议脆弱性的开放服务漏洞不断被修复,可以用来发起反射攻击的服务器数量数量越来越少。另一方面,互联网上家用路由器、网络摄像头、打印机、智能家电等设备数量的激增,让黑客看到了另一个可以不断挖掘的金山。SSDP攻击的崛起,这些智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的发现是通过源端口为1900的SSDP(简单服务发现协议)进行相互感知。 利用SSDP协议进行反射攻击的原理与利用DNS服务、NTP服务类似,都是伪造成被攻击者的IP地址向互联网上大量的智能设备发起SSDP请求,接收到请求的智能设备根据源IP地址将响应数据包返回给受害者

 

根据USCERT的数据,SSDP的放大倍数是30倍,虽然较NTP和Chargen等协议的放大倍数小很多,但是由于互联网上智能设备的数量非常庞大,随着IoT的发展,这个数字更将呈现几何级数的增加。这无疑为黑客提供了丰富的攻击来源,SSDP严峻的形势在阿里云上同样得到了体现。根据阿里云云盾安全运营团队在2015年6月的统计,在对阿里云用户的UDP DDoS攻击中,80%的攻击方式为SSDP反射放大攻击

新趋势

去年的DDoS攻击又出现了一个新的攻击趋势:使用恶意的JavaScript欺骗用户参与DDoS攻击,NTP或者DNS映射攻击造成的后果受到傀儡服务器数量的限制,同时攻击流量也受傀儡服务器容量的限制。随着时间的推移,服务器会不断的更新补丁,能被攻击者利用的服务器数量也在不断的减少,而基于JavaScript的DDOS攻击有一个非比寻常的特点:任何有浏览器的设备都可能参与攻击,其潜在攻击规模接近无限

NTP或者DNS映射攻击造成的后果受到傀儡服务器数量的限制,同时攻击流量也受傀儡服务器容量的限制。随着时间的推移,服务器会不断的更新补丁,能被攻击者利用的服务器数量也在不断的减少,而基于JavaScript的DDOS攻击有一个非比寻常的特点:任何有浏览器的设备都可能参与攻击,其潜在攻击规模接近无限

而基于JavaScript的DDOS攻击有一个非比寻常的特点:任何有浏览器的设备都可能参与攻击,其潜在攻击规模接近无限

 

标签:攻击,NTP,前端,JavaScript,安全,DDoS,肉鸡,服务器,第三期
来源: https://www.cnblogs.com/zhazhanitian/p/13230280.html