前提
有些企業(yè)高度依賴其在線托管的服務(wù)。重要的是,它們的服務(wù)器必須在工作時(shí)間內(nèi)正常運(yùn)行。
股市和賭場就是這類機(jī)構(gòu)的例子。他們是處理大量金錢的企業(yè),并且他們期望服務(wù)器在核心工作時(shí)間內(nèi)正常工作。黑客可能會威脅在這些時(shí)間內(nèi)關(guān)閉或阻止這些服務(wù)器,從而勒索金錢。拒絕服務(wù) (DoS)攻擊是用于執(zhí)行此類攻擊的最常用方法。
所以Dos是什么呢?
DoS是最古老的網(wǎng)絡(luò)勒索攻擊形式之一。顧名思義,分布式拒絕服務(wù)(DDoS)意味著它拒絕向合法用戶提供服務(wù)。如果你把中國鐵路的網(wǎng)站給弄關(guān)閉了,那么它就不能跟任何一個(gè)人提供預(yù)訂車票的服務(wù)。中國基本所有人都過不好年了。
DoS攻擊有兩種方式:
特殊設(shè)計(jì)的數(shù)據(jù):如果將特殊設(shè)計(jì)的數(shù)據(jù)發(fā)送給受害者,而受害者沒有設(shè)置好處理這些數(shù)據(jù),那么受害者就有可能崩潰。這并不涉及發(fā)送太多的數(shù)據(jù),但包括受害者無法處理的特殊設(shè)計(jì)的數(shù)據(jù)包。這包括操作網(wǎng)絡(luò)協(xié)議包中的字段、利用服務(wù)器等等。Ping的死亡和碎片攻擊就是這類攻擊的例子。
泛濫:給受害者發(fā)送過多的數(shù)據(jù)也會減慢它的速度。因此,它將花費(fèi)資源來消耗攻擊者的數(shù)據(jù),而無法提供合法的數(shù)據(jù)。這可能是一種DDoS攻擊,攻擊者從許多計(jì)算機(jī)向受害者發(fā)送數(shù)據(jù)包。
知識點(diǎn)引申——知道為什么12306軟件就喜歡沒事崩潰一下么?為什么每天晚上都要維護(hù)么?很多都是因?yàn)榉簽E引起的。很多攜程、智行、飛豬等等,都是屬于電腦程序搶12306的票,機(jī)器就會每秒點(diǎn)擊幾百上千次,而每一次12306上都會需要給到反饋,并且鐵路道路復(fù)雜,上車下車票的增減,不僅是線上,還有線下買票,更是增加了很多負(fù)擔(dān)。所以在春節(jié)期間,天貓的雙十一數(shù)據(jù)處理都是小兒科。也就需要晚上停止運(yùn)行去處理大量的數(shù)據(jù)。
而作為黑客,攻擊也可以使用兩者的組合。例如,UDP泛洪和SYN泛洪就是這類攻擊的例子。
還有另一種形式的DoS攻擊,稱為DDoS攻擊。DoS攻擊使用一臺計(jì)算機(jī)進(jìn)行攻擊。DDoS攻擊使用一系列計(jì)算機(jī)來實(shí)施攻擊。有時(shí),目標(biāo)服務(wù)器會被大量數(shù)據(jù)淹沒,無法處理。另一種方法是利用內(nèi)部協(xié)議的工作原理。處理勒索的DDoS攻擊通常被稱為勒索DDoS。
現(xiàn)在我們將討論可能發(fā)生的各種類型的DoS攻擊。
淚滴攻擊或IP碎片攻擊
在這種類型的攻擊中,黑客需要向受害者發(fā)送一個(gè)特制的數(shù)據(jù)包。要理解這一點(diǎn),必須了解TCP/IP協(xié)議。為了跨網(wǎng)絡(luò)傳輸數(shù)據(jù),IP數(shù)據(jù)包被分解成更小的數(shù)據(jù)包。這叫做碎片化。
當(dāng)數(shù)據(jù)包最終到達(dá)目的地時(shí),它們被重新組裝在一起以獲得原始數(shù)據(jù)。在碎片化過程中,一些字段被添加到碎片化的包中,以便在重新組裝時(shí)可以在目的地跟蹤它們。在淚滴攻擊中,攻擊者精心設(shè)計(jì)一些彼此重疊的包。因此,目的地的操作系統(tǒng)對如何重新組裝數(shù)據(jù)包感到困惑,從而導(dǎo)致崩潰。
用戶數(shù)據(jù)報(bào)協(xié)議洪泛
用戶數(shù)據(jù)報(bào)協(xié)議(UDP)是一個(gè)不可靠的包。這意味著數(shù)據(jù)的發(fā)送方不關(guān)心接收方是否已經(jīng)接收到它。在UDP洪水,許多UDP數(shù)據(jù)包被發(fā)送到隨機(jī)端口的受害者。當(dāng)受害者在一個(gè)端口上得到一個(gè)包時(shí),它會尋找正在監(jiān)聽那個(gè)端口的應(yīng)用程序。當(dāng)它找不到包時(shí),它會用一個(gè)Internet控制消息協(xié)議(ICMP)包進(jìn)行應(yīng)答。ICMP包用于發(fā)送錯(cuò)誤消息。當(dāng)接收到大量UDP包時(shí),受害者使用ICMP包進(jìn)行回復(fù)會消耗大量資源。這可能會阻止受害者響應(yīng)合法的請求。
SYN洪泛
TCP是一種可靠的連接。這意味著它確保發(fā)送方發(fā)送的數(shù)據(jù)被接收方完全接收。要啟動發(fā)送方和接收方之間的通信,TCP遵循三次握手。SYN表示同步包,ACK表示確認(rèn):
發(fā)送方首先發(fā)送一個(gè)SYN包,接收方使用synack進(jìn)行應(yīng)答。發(fā)送者返回一個(gè)ACK包,后面跟著數(shù)據(jù)。在SYN洪泛中,發(fā)送方是攻擊者,接收方是受害者。攻擊者發(fā)送一個(gè)SYN包,服務(wù)器用synack響應(yīng)。但是攻擊者不會使用ACK包進(jìn)行回復(fù)。服務(wù)器期望攻擊者發(fā)送一個(gè)ACK包并等待一段時(shí)間。攻擊者發(fā)送大量SYN包,服務(wù)器等待最終的ACK直到超時(shí)。因此,服務(wù)器耗盡了等待ACK的資源。這種攻擊稱為SYN洪泛。
Ping的死亡
在internet上傳輸數(shù)據(jù)時(shí),數(shù)據(jù)被分成更小的數(shù)據(jù)包塊。接收端將這些中斷的數(shù)據(jù)包重新組合在一起,以獲得一個(gè)確定的意義。在一次ping死亡攻擊中,攻擊者發(fā)送一個(gè)大于65,536字節(jié)的數(shù)據(jù)包,這是IP協(xié)議允許的最大數(shù)據(jù)包大小。這些包被分割并通過互聯(lián)網(wǎng)發(fā)送。但是,當(dāng)數(shù)據(jù)包在接收端重新組裝時(shí),操作系統(tǒng)卻不知道如何處理這些較大的數(shù)據(jù)包,因此它會崩潰。
Exploits 利用
對服務(wù)器的攻擊也會導(dǎo)致DDoS漏洞。許多web應(yīng)用程序都駐留在web服務(wù)器上,比如Apache和Tomcat。如果這些web服務(wù)器存在漏洞,攻擊者可以針對該漏洞發(fā)起攻擊。這種攻擊不一定要控制,但它會使web服務(wù)器軟件崩潰。這會導(dǎo)致DoS攻擊。如果服務(wù)器有默認(rèn)配置,黑客可以很容易地找到web服務(wù)器及其版本。攻擊者找出web服務(wù)器可能存在的漏洞和漏洞。如果web服務(wù)器沒有打補(bǔ)丁,攻擊者可以通過發(fā)送漏洞使其宕機(jī)。
僵尸網(wǎng)絡(luò)攻擊
僵尸網(wǎng)絡(luò)可以用來實(shí)施DDoS攻擊。僵尸網(wǎng)絡(luò)群是被感染的計(jì)算機(jī)的集合。被入侵的電腦被稱為“機(jī)器人”,它們會根據(jù)來自C&C服務(wù)器的命令采取行動。這些機(jī)器人,在C&C服務(wù)器的命令下,可以發(fā)送大量的數(shù)據(jù)到受害服務(wù)器,結(jié)果,受害服務(wù)器超載:
反射DDoS攻擊和放大攻擊
在這種攻擊中,攻擊者通過隱藏自己的IP地址,使用合法的計(jì)算機(jī)對受害者發(fā)起攻擊。通常的方法是,攻擊者在偽造數(shù)據(jù)包發(fā)送者之后,將一個(gè)小數(shù)據(jù)包發(fā)送到一個(gè)合法的機(jī)器上,使其看起來像是來自受害者。合法的機(jī)器將依次向受害者發(fā)送響應(yīng)。
如果響應(yīng)數(shù)據(jù)很大,則會放大影響。我們可以把這種攻擊稱為合法的計(jì)算機(jī)反射器,這種攻擊者發(fā)送少量數(shù)據(jù),而受害者接收大量數(shù)據(jù)的攻擊稱為放大攻擊。由于攻擊者并不直接使用自己控制的計(jì)算機(jī),而是使用合法的計(jì)算機(jī),因此這種攻擊被稱為反射式DDoS攻擊:
與僵尸網(wǎng)絡(luò)不同,這些反射器并不是被破壞的機(jī)器。反射器是響應(yīng)特定請求的機(jī)器。可以是DNS請求或網(wǎng)絡(luò)時(shí)間協(xié)議(network Time Protocol, NTP)請求,等等。
DNS擴(kuò)增攻擊、WordPress pingback攻擊和NTP攻擊都是擴(kuò)增攻擊。在DNS擴(kuò)展攻擊中,攻擊者向DNS服務(wù)器發(fā)送一個(gè)偽造的包,其中包含受害者的IP地址。DNS服務(wù)器會用更大的數(shù)據(jù)回復(fù)給受害者。其他類型的擴(kuò)增攻擊包括SMTP、SSDP等。
黑客實(shí)例
有幾組網(wǎng)絡(luò)罪犯負(fù)責(zé)實(shí)施勒索DDoS攻擊,如 DD4BC, Armada Collective, Fancy Bear, XMR-Squad, 和Lizard Squad.
這些組織的目標(biāo)是企業(yè)。他們會先發(fā)出一封勒索郵件,如果受害者不支付贖金,他們就會發(fā)動攻擊。
先說說DD4BC
D4BC集團(tuán)被認(rèn)為在2014年運(yùn)作。它收取比特幣作為勒索費(fèi)。該集團(tuán)主要針對媒體、娛樂和金融服務(wù)。他們會發(fā)送一封恐嚇性電子郵件,聲明將首先進(jìn)行一次低強(qiáng)度的DoS攻擊。他們會聲稱他們將保護(hù)組織免受更大的攻擊。他們還威脅說,他們將在社交媒體上發(fā)布有關(guān)攻擊的信息,從而降低公司的聲譽(yù),比如下面這封勒索信。
通常,DD4DC會利用WordPress pingback的漏洞,通過它,WordPress站點(diǎn)或博客的原始作者可以得到他的站點(diǎn)被鏈接或引用的通知。我們可以將引用原始站點(diǎn)的站點(diǎn)稱為參考站點(diǎn),將原始站點(diǎn)稱為原始站點(diǎn)。如果引用方使用原始的請求,則它將一個(gè)稱為pingback請求的請求發(fā)送到包含其自身URL的原始請求。
這是一種來自引用方對原始站點(diǎn)的通知,通知它正在鏈接到原始站點(diǎn)。現(xiàn)在原來的站點(diǎn)按照WordPress設(shè)計(jì)的協(xié)議下載參考站點(diǎn)作為對pingback請求的響應(yīng),這個(gè)動作被稱為反射。攻擊中使用的WordPress站點(diǎn)被稱為reflector。因此,攻擊者可以通過創(chuàng)建一個(gè)偽造的帶有受害站點(diǎn)URL的pingback請求并將其發(fā)送到WordPress站點(diǎn)來濫用它。攻擊中使用了這些WordPress站點(diǎn)。因此,WordPress站點(diǎn)會響應(yīng)受害者。
Armada Collective(無敵艦隊(duì))
無敵艦隊(duì)集體組在2015年首次出現(xiàn)。他們攻擊了俄羅斯、瑞士、希臘和泰國的各種金融服務(wù)和網(wǎng)站。2017年10月,他們再次出現(xiàn)在中歐。下面是無敵艦隊(duì)的勒索信。
混跡黑客圈的人很多都會知道,這個(gè)組織通過NTP實(shí)施反射性DDoS攻擊。NTP協(xié)議是一種用于在協(xié)議中同步計(jì)算機(jī)時(shí)鐘時(shí)間的協(xié)議。NTP協(xié)議為管理目的提供了對monlist命令的支持。當(dāng)管理員將monlist命令發(fā)送到NTP服務(wù)器時(shí),服務(wù)器將使用連接到該NTP服務(wù)器的600臺主機(jī)的列表進(jìn)行響應(yīng)。
攻擊者可以利用這一點(diǎn),通過創(chuàng)建一個(gè)偽造的NTP包,其中包含一個(gè)monlist命令,其中包含受害者的IP地址,然后將多個(gè)副本發(fā)送到NTP服務(wù)器。NTP服務(wù)器認(rèn)為monlist請求來自受害者地址,并發(fā)送一個(gè)包含連接到該服務(wù)器的600臺計(jì)算機(jī)的響應(yīng)。因此,受害者收到太多的數(shù)據(jù)控制項(xiàng)目的響應(yīng),它就可能會崩潰了。
Fancy Bear
他就喜歡用Mirai僵尸網(wǎng)絡(luò),Mirai僵尸網(wǎng)絡(luò)的目標(biāo)是物聯(lián)網(wǎng)設(shè)備中使用的Linux操作系統(tǒng)。它主要感染閉路電視攝像機(jī)。這里有一封來自Fancy Bear的信。
好啦,到這里告一段落了,我們已經(jīng)討論了一些因?qū)嵤〥oS勒索的組織和他們使用的一些技術(shù)。不管你是想做矛還是盾,都要在遵守法律的前提下哦。歡迎關(guān)注。
評論