ddos如何防御,DDoS的肉鸡是哪来的?
首先,我们弄清楚DDoS是什么:
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
可以看到,只要是联网的设备都可以发动攻击,只不过攻击流量的大小有区别罢了。
肉鸡是什么:
百科对肉鸡的解释是这样的:“肉鸡”也称“傀儡机”,常指受到攻击者控制的电脑,但是随着技术的发展具备“肉鸡”价值的设备除了电脑、服务器外,手机以及物联网设备也沦为攻击者进行网络攻击的傀儡。
简单点儿说,DDoS的肉鸡可以来自各种联网的设备(这里不限于终端设备,只要是联网即可),常见的有服务器、个人PC、物联网设备(传感器、摄像头)、手机、路由器等等。
肉鸡怎么获取?
1、国内出售DDoS攻击服务或者是肉鸡
2、国外一些专业的DDoS攻击网页端,通常你只要画上几百刀/月,可以拥有上百Gbps的攻击力,这些网站通常都是利用机房服务器发动DDoS攻击,隐蔽性好
3、暗网中有大量出售DDoS攻击服务
4、有些可以利用的漏洞甚至你不需要控制肉鸡都能发动攻击
肉鸡是怎么攻击的:
黑客是如何进行攻击的呢?对于这个问题,目前来看主要是源于两方面:漏洞入侵和网络陷阱。
漏洞入侵:对于普通用户来说,攻击者可以通过地址扫描识别用户的地理位置和发现漏洞并入侵,目前的技术可以做到在45分钟内将全球的IP地址扫描一遍,搜集到活动主机信息从而发起攻击,入侵用户的计算机。虽说这种方式看起不太炫酷,但是茫茫机海,总有有一些不设防的“裸奔机”,当他们无忧无虑的徜徉在网络的海洋时,不知不觉就被选中了,成为“肉鸡贩”的囊中之物。
这里提到一点,在一台肉鸡的背后绝不仅仅是一个网络攻击者,还有为他提供扫描软件的“高级专家”以及负责为“肉鸡贩”提供“接单”服务的“中介商”。所以说,如果个人电脑沦为肉鸡,可能是不止一个攻击者,细思极恐。
网络陷阱:普通用户在日常的使用中还可能通过访问被挂了木马的网页、下载来历不明的软件和文件、游戏外挂,汉化包,破解补丁,以及点击包含有恶意程序的邮件或者链接等遭到控制,被植入病毒让自己的电脑变成“肉鸡”用于DDoS攻击。诸如美女荷官在线发牌这类网站、热映XX电影最新资源等文件,他们可能不仅会让电脑变成肉鸡,还可能掏光用户的荷包。
Discovery协议被滥用于发起DDoS攻击?
早在今年五月,外媒就已经报道过 WS-Discovery 协议被滥用于发起 DDoS 攻击。为了防止被更多别有用心者利用,研究人员只能相对克制地不披露更多细节。
然而最近一个月,滥用 WS-Discovery 协议发起的大规模 DDoS 攻击已经愈演愈烈,频度几乎达到了一周一次。
作为一种多播协议,该协议原本用于在本地网络上“发现”通过特定协议或接口进行通信的附近其它设备。
(题图 via ZDNet)
鉴于该协议通过 SOAP 消息传递格式来支持设备间的发现和通信,并且使用了 UDP 数据包,因此有时也被称作 SOAP-over-UDP 。
尽管普通人不太熟悉,但 WS-Discovery 已被 ONVIF 所采用。作为一个行业组织,ONVIF 致力于促进网络产品互操作性的标准化接口。
其成员包括 Axis、Sony、Bosch 等业内巨头,为 ONVIF 的标准化奠定了基础。作为即插即用互操作性的一部分,该组织从 2010 年中期开始,在标准中推荐用于设备发现的 WS-Discovery 协议。
作为标准持续化工作的一部分,WS-Discovery 协议已被用到一系列产品上,涵盖 IP 摄像头、打印机、家用电器、DVR 等各种类别。
根据互联网搜索引擎 BinaryEdge 检索结果,目前有近 63 万台基于 ONVIF WS-Discovery 发现协议的设备在线,这让它们处于极大的风险之中。
问题在于这是一个基于 UDP 的协议,意味着数据包目的地可被欺骗。攻击者能够伪造返回 IP 地址,将 UDP 数据包发送到设备的 WS-Discovery 服务端。
当设备传递回复时,就会将数据包发送到被篡改的 IP 地址,使得攻击者能够在 WS-Discovery 设备上反弹流量,将之瞄向所需的 DDoS 攻击目标。
其次,WS-Discovery 的响应,会比初始输入大许多倍。基于这项原理的 DDoS 攻击,会对受害者造成极大的伤害。研究人员称之为 DDoS 放大因子。
(2019 年 5 月数据,图自:Tucker Preston)
ZDNet 指出,该协议已在世界各地的 DDoS 攻击中被观察到,放大倍数高达 300~500 。相比之下,其它基于 UDP 协议的攻击,平均也只有 10 倍。
网络安全公司 ZeroBS GmbH 一直在追踪本月发生的一起事件,庆幸的是,其发现超大倍数的 WS-Discovery DDoS 攻击并非常态。
即便如此,2018 年末在 GitHub 上发布的用于启动 WS-Discovery DDoS 攻击的概念验证脚本,还是声称可实现 70~150 的放大倍数。
(图自:ZeroBS GmbH)
今年 5 月的时候,安全研究人员 Tucker Preston 首次公布了基于滥用 WS-Discovery 协议的大规模攻击事件。通过对 130 起事件的观察,可知其中一些攻击的规模超过了 350 Gbps 。
接下来几个月的攻击有所减少,但在 8 月份又再次升级。与第一波攻击不同的是,这次的攻击要小得多,很可能是不怎么了解该协议的普通攻击者所发起的。
放大系数不超过 10,最高只冲到 40 Gbps,且只有 5000 台设备(主要是 IP 摄像头和打印机)被纳入发起 WS-Discovery DDoS 攻击的僵尸网络中。
新睿云高防IP防御电商行业ddos攻击可以吗?
电商行业每年的“双11”都会遭受最大规模的“DDoS”攻击!当然这是开玩笑,对于电商平台来说这可能是幸福的烦恼,自然流量如果能冲垮服务器可能做梦都能笑醒把!当然你盈利总有人看你不爽,如果在你服务器繁忙的时候来进行DDoS攻击往往会取得出其不意的效果!新睿云的高防IP10T的无敌般防御,你值得拥有!
如何分辨DDos攻击现象?
如何识别DDoS攻击?
Ping测试:若发现Ping超时或丢包严重,首先检查主机到服务器间的ICMP协议有没有被路由器和防火墙等设备屏蔽,如果没有,则可能遭受攻击,如果发现相同交换机上的服务器也无法访问,基本可以确定为DDOS流量攻击。
Telnet测试:若网站访问突然非常缓慢或无法访问,但可Ping通,则很可能遭受攻击,若在服务器上用Netstat-na命令观察到大量 SYN_RECEIVED、 TIME_WAIT, FIN_ WAIT_1等状态,而EASTBLISHED很少,可判定为资源耗尽攻击,特征是受害主机Ping不通或丢包严重而Ping相同交换机上的服务器正常,则原因是攻击导致系统内核或应用程序CPU利用率达100%无法回应Ping命令,但因仍有带宽,可ping通相同交换机上主机。
当我们发现服务器被攻击的时候不要过度惊慌失措,先查看一下网站服务器是不是被黑了,找出网站存在的黑链,然后做好网站的安全防御,开启IP禁PING,可以防止被扫描,关闭不需要的端口。这些是只能防简单的攻击,对于大流量DDOS攻击,必须要有足够的带宽和防火墙配合起来才能防御,你的防御能力大于攻击者的攻击流量那就防住了。不过单独硬防的成本挺高的,企业如果对成本控制有要求的话可以选择墨者.安全的集群防护,防御能力是很不错的,成本也比阿里云网易云这些大牌低。
raksmart是如何做到有效防御的呢?
DdoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。Raksmart确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDOS攻击的系统都没有及时打上补丁。Raksmart确保管理员对所有主机进行检查,而不仅针对关键主机。Raksmart确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Raksmart确保运行在Unix上的所有服务都有TCP封装程序,限制对主机的访问权限。数据包采用核心算法,精确算出数据包的危害性,有效防止连接耗尽,主动清除服务器上的残余连接。限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。Raksmart确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。Raksmart在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDOS攻击成功率很高,所以Raksmart每次定要认真检查特权端口和非特权端口。