前提

有些企業(yè)高度依賴其在線托管的服務(wù)。重要的是，它們的服務(wù)器必須在工作時(shí)間內(nèi)正常運(yùn)行。
股市和賭場就是這類機(jī)構(gòu)的例子。他們是處理大量金錢的企業(yè)，并且他們期望服務(wù)器在核心工作時(shí)間內(nèi)正常工作。黑客可能會威脅在這些時(shí)間內(nèi)關(guān)閉或阻止這些服務(wù)器，從而勒索金錢。拒絕服務(wù) （DoS）攻擊是用于執(zhí)行此類攻擊的最常用方法。

所以Dos是什么呢？

DoS是最古老的網(wǎng)絡(luò)勒索攻擊形式之一。顧名思義，分布式拒絕服務(wù)（DDoS）意味著它拒絕向合法用戶提供服務(wù)。如果你把中國鐵路的網(wǎng)站給弄關(guān)閉了，那么它就不能跟任何一個(gè)人提供預(yù)訂車票的服務(wù)。中國基本所有人都過不好年了。

DoS攻擊有兩種方式:

特殊設(shè)計(jì)的數(shù)據(jù):如果將特殊設(shè)計(jì)的數(shù)據(jù)發(fā)送給受害者，而受害者沒有設(shè)置好處理這些數(shù)據(jù)，那么受害者就有可能崩潰。這并不涉及發(fā)送太多的數(shù)據(jù)，但包括受害者無法處理的特殊設(shè)計(jì)的數(shù)據(jù)包。這包括操作網(wǎng)絡(luò)協(xié)議包中的字段、利用服務(wù)器等等。Ping的死亡和碎片攻擊就是這類攻擊的例子。
泛濫:給受害者發(fā)送過多的數(shù)據(jù)也會減慢它的速度。因此，它將花費(fèi)資源來消耗攻擊者的數(shù)據(jù)，而無法提供合法的數(shù)據(jù)。這可能是一種DDoS攻擊，攻擊者從許多計(jì)算機(jī)向受害者發(fā)送數(shù)據(jù)包。
知識點(diǎn)引申——知道為什么12306軟件就喜歡沒事崩潰一下么？為什么每天晚上都要維護(hù)么？很多都是因?yàn)榉簽E引起的。很多攜程、智行、飛豬等等，都是屬于電腦程序搶12306的票，機(jī)器就會每秒點(diǎn)擊幾百上千次，而每一次12306上都會需要給到反饋，并且鐵路道路復(fù)雜，上車下車票的增減，不僅是線上，還有線下買票，更是增加了很多負(fù)擔(dān)。所以在春節(jié)期間，天貓的雙十一數(shù)據(jù)處理都是小兒科。也就需要晚上停止運(yùn)行去處理大量的數(shù)據(jù)。
而作為黑客，攻擊也可以使用兩者的組合。例如，UDP泛洪和SYN泛洪就是這類攻擊的例子。
還有另一種形式的DoS攻擊，稱為DDoS攻擊。DoS攻擊使用一臺計(jì)算機(jī)進(jìn)行攻擊。DDoS攻擊使用一系列計(jì)算機(jī)來實(shí)施攻擊。有時(shí)，目標(biāo)服務(wù)器會被大量數(shù)據(jù)淹沒，無法處理。另一種方法是利用內(nèi)部協(xié)議的工作原理。處理勒索的DDoS攻擊通常被稱為勒索DDoS。
現(xiàn)在我們將討論可能發(fā)生的各種類型的DoS攻擊。

淚滴攻擊或IP碎片攻擊

在這種類型的攻擊中，黑客需要向受害者發(fā)送一個(gè)特制的數(shù)據(jù)包。要理解這一點(diǎn)，必須了解TCP/IP協(xié)議。為了跨網(wǎng)絡(luò)傳輸數(shù)據(jù)，IP數(shù)據(jù)包被分解成更小的數(shù)據(jù)包。這叫做碎片化。
當(dāng)數(shù)據(jù)包最終到達(dá)目的地時(shí)，它們被重新組裝在一起以獲得原始數(shù)據(jù)。在碎片化過程中，一些字段被添加到碎片化的包中，以便在重新組裝時(shí)可以在目的地跟蹤它們。在淚滴攻擊中，攻擊者精心設(shè)計(jì)一些彼此重疊的包。因此，目的地的操作系統(tǒng)對如何重新組裝數(shù)據(jù)包感到困惑，從而導(dǎo)致崩潰。

用戶數(shù)據(jù)報(bào)協(xié)議洪泛

用戶數(shù)據(jù)報(bào)協(xié)議(UDP)是一個(gè)不可靠的包。這意味著數(shù)據(jù)的發(fā)送方不關(guān)心接收方是否已經(jīng)接收到它。在UDP洪水，許多UDP數(shù)據(jù)包被發(fā)送到隨機(jī)端口的受害者。當(dāng)受害者在一個(gè)端口上得到一個(gè)包時(shí)，它會尋找正在監(jiān)聽那個(gè)端口的應(yīng)用程序。當(dāng)它找不到包時(shí)，它會用一個(gè)Internet控制消息協(xié)議(ICMP)包進(jìn)行應(yīng)答。ICMP包用于發(fā)送錯(cuò)誤消息。當(dāng)接收到大量UDP包時(shí)，受害者使用ICMP包進(jìn)行回復(fù)會消耗大量資源。這可能會阻止受害者響應(yīng)合法的請求。

SYN洪泛

TCP是一種可靠的連接。這意味著它確保發(fā)送方發(fā)送的數(shù)據(jù)被接收方完全接收。要啟動發(fā)送方和接收方之間的通信，TCP遵循三次握手。SYN表示同步包，ACK表示確認(rèn):

發(fā)送方首先發(fā)送一個(gè)SYN包，接收方使用synack進(jìn)行應(yīng)答。發(fā)送者返回一個(gè)ACK包，后面跟著數(shù)據(jù)。在SYN洪泛中，發(fā)送方是攻擊者，接收方是受害者。攻擊者發(fā)送一個(gè)SYN包，服務(wù)器用synack響應(yīng)。但是攻擊者不會使用ACK包進(jìn)行回復(fù)。服務(wù)器期望攻擊者發(fā)送一個(gè)ACK包并等待一段時(shí)間。攻擊者發(fā)送大量SYN包，服務(wù)器等待最終的ACK直到超時(shí)。因此，服務(wù)器耗盡了等待ACK的資源。這種攻擊稱為SYN洪泛。

Ping的死亡

在internet上傳輸數(shù)據(jù)時(shí)，數(shù)據(jù)被分成更小的數(shù)據(jù)包塊。接收端將這些中斷的數(shù)據(jù)包重新組合在一起，以獲得一個(gè)確定的意義。在一次ping死亡攻擊中，攻擊者發(fā)送一個(gè)大于65,536字節(jié)的數(shù)據(jù)包，這是IP協(xié)議允許的最大數(shù)據(jù)包大小。這些包被分割并通過互聯(lián)網(wǎng)發(fā)送。但是，當(dāng)數(shù)據(jù)包在接收端重新組裝時(shí)，操作系統(tǒng)卻不知道如何處理這些較大的數(shù)據(jù)包，因此它會崩潰。

Exploits 利用

對服務(wù)器的攻擊也會導(dǎo)致DDoS漏洞。許多web應(yīng)用程序都駐留在web服務(wù)器上，比如Apache和Tomcat。如果這些web服務(wù)器存在漏洞，攻擊者可以針對該漏洞發(fā)起攻擊。這種攻擊不一定要控制，但它會使web服務(wù)器軟件崩潰。這會導(dǎo)致DoS攻擊。如果服務(wù)器有默認(rèn)配置，黑客可以很容易地找到web服務(wù)器及其版本。攻擊者找出web服務(wù)器可能存在的漏洞和漏洞。如果web服務(wù)器沒有打補(bǔ)丁，攻擊者可以通過發(fā)送漏洞使其宕機(jī)。

僵尸網(wǎng)絡(luò)攻擊

僵尸網(wǎng)絡(luò)可以用來實(shí)施DDoS攻擊。僵尸網(wǎng)絡(luò)群是被感染的計(jì)算機(jī)的集合。被入侵的電腦被稱為“機(jī)器人”，它們會根據(jù)來自C&C服務(wù)器的命令采取行動。這些機(jī)器人，在C&C服務(wù)器的命令下，可以發(fā)送大量的數(shù)據(jù)到受害服務(wù)器，結(jié)果，受害服務(wù)器超載:

反射DDoS攻擊和放大攻擊

在這種攻擊中，攻擊者通過隱藏自己的IP地址，使用合法的計(jì)算機(jī)對受害者發(fā)起攻擊。通常的方法是，攻擊者在偽造數(shù)據(jù)包發(fā)送者之后，將一個(gè)小數(shù)據(jù)包發(fā)送到一個(gè)合法的機(jī)器上，使其看起來像是來自受害者。合法的機(jī)器將依次向受害者發(fā)送響應(yīng)。
如果響應(yīng)數(shù)據(jù)很大，則會放大影響。我們可以把這種攻擊稱為合法的計(jì)算機(jī)反射器，這種攻擊者發(fā)送少量數(shù)據(jù)，而受害者接收大量數(shù)據(jù)的攻擊稱為放大攻擊。由于攻擊者并不直接使用自己控制的計(jì)算機(jī)，而是使用合法的計(jì)算機(jī)，因此這種攻擊被稱為反射式DDoS攻擊:
與僵尸網(wǎng)絡(luò)不同，這些反射器并不是被破壞的機(jī)器。反射器是響應(yīng)特定請求的機(jī)器。可以是DNS請求或網(wǎng)絡(luò)時(shí)間協(xié)議(network Time Protocol, NTP)請求，等等。
DNS擴(kuò)增攻擊、WordPress pingback攻擊和NTP攻擊都是擴(kuò)增攻擊。在DNS擴(kuò)展攻擊中，攻擊者向DNS服務(wù)器發(fā)送一個(gè)偽造的包，其中包含受害者的IP地址。DNS服務(wù)器會用更大的數(shù)據(jù)回復(fù)給受害者。其他類型的擴(kuò)增攻擊包括SMTP、SSDP等。

黑客實(shí)例

有幾組網(wǎng)絡(luò)罪犯負(fù)責(zé)實(shí)施勒索DDoS攻擊，如 DD4BC, Armada Collective, Fancy Bear, XMR-Squad, 和Lizard Squad.
這些組織的目標(biāo)是企業(yè)。他們會先發(fā)出一封勒索郵件，如果受害者不支付贖金，他們就會發(fā)動攻擊。

先說說DD4BC

D4BC集團(tuán)被認(rèn)為在2014年運(yùn)作。它收取比特幣作為勒索費(fèi)。該集團(tuán)主要針對媒體、娛樂和金融服務(wù)。他們會發(fā)送一封恐嚇性電子郵件，聲明將首先進(jìn)行一次低強(qiáng)度的DoS攻擊。他們會聲稱他們將保護(hù)組織免受更大的攻擊。他們還威脅說，他們將在社交媒體上發(fā)布有關(guān)攻擊的信息，從而降低公司的聲譽(yù)，比如下面這封勒索信。

通常，DD4DC會利用WordPress pingback的漏洞，通過它，WordPress站點(diǎn)或博客的原始作者可以得到他的站點(diǎn)被鏈接或引用的通知。我們可以將引用原始站點(diǎn)的站點(diǎn)稱為參考站點(diǎn)，將原始站點(diǎn)稱為原始站點(diǎn)。如果引用方使用原始的請求，則它將一個(gè)稱為pingback請求的請求發(fā)送到包含其自身URL的原始請求。
這是一種來自引用方對原始站點(diǎn)的通知，通知它正在鏈接到原始站點(diǎn)。現(xiàn)在原來的站點(diǎn)按照WordPress設(shè)計(jì)的協(xié)議下載參考站點(diǎn)作為對pingback請求的響應(yīng)，這個(gè)動作被稱為反射。攻擊中使用的WordPress站點(diǎn)被稱為reflector。因此，攻擊者可以通過創(chuàng)建一個(gè)偽造的帶有受害站點(diǎn)URL的pingback請求并將其發(fā)送到WordPress站點(diǎn)來濫用它。攻擊中使用了這些WordPress站點(diǎn)。因此，WordPress站點(diǎn)會響應(yīng)受害者。

Armada Collective（無敵艦隊(duì)）

無敵艦隊(duì)集體組在2015年首次出現(xiàn)。他們攻擊了俄羅斯、瑞士、希臘和泰國的各種金融服務(wù)和網(wǎng)站。2017年10月，他們再次出現(xiàn)在中歐。下面是無敵艦隊(duì)的勒索信。

混跡黑客圈的人很多都會知道，這個(gè)組織通過NTP實(shí)施反射性DDoS攻擊。NTP協(xié)議是一種用于在協(xié)議中同步計(jì)算機(jī)時(shí)鐘時(shí)間的協(xié)議。NTP協(xié)議為管理目的提供了對monlist命令的支持。當(dāng)管理員將monlist命令發(fā)送到NTP服務(wù)器時(shí)，服務(wù)器將使用連接到該NTP服務(wù)器的600臺主機(jī)的列表進(jìn)行響應(yīng)。
攻擊者可以利用這一點(diǎn)，通過創(chuàng)建一個(gè)偽造的NTP包，其中包含一個(gè)monlist命令，其中包含受害者的IP地址，然后將多個(gè)副本發(fā)送到NTP服務(wù)器。NTP服務(wù)器認(rèn)為monlist請求來自受害者地址，并發(fā)送一個(gè)包含連接到該服務(wù)器的600臺計(jì)算機(jī)的響應(yīng)。因此，受害者收到太多的數(shù)據(jù)控制項(xiàng)目的響應(yīng)，它就可能會崩潰了。

Fancy Bear

他就喜歡用Mirai僵尸網(wǎng)絡(luò)，Mirai僵尸網(wǎng)絡(luò)的目標(biāo)是物聯(lián)網(wǎng)設(shè)備中使用的Linux操作系統(tǒng)。它主要感染閉路電視攝像機(jī)。這里有一封來自Fancy Bear的信。

好啦，到這里告一段落了，我們已經(jīng)討論了一些因?qū)嵤〥oS勒索的組織和他們使用的一些技術(shù)。不管你是想做矛還是盾，都要在遵守法律的前提下哦。歡迎關(guān)注。