ddos攻击是什么意思,Discovery协议被滥用于发起DDoS攻击?
早在今年五月,外媒就已经报道过 WS-Discovery 协议被滥用于发起 DDoS 攻击。为了防止被更多别有用心者利用,研究人员只能相对克制地不披露更多细节。
然而最近一个月,滥用 WS-Discovery 协议发起的大规模 DDoS 攻击已经愈演愈烈,频度几乎达到了一周一次。
作为一种多播协议,该协议原本用于在本地网络上“发现”通过特定协议或接口进行通信的附近其它设备。
(题图 via ZDNet)
鉴于该协议通过 SOAP 消息传递格式来支持设备间的发现和通信,并且使用了 UDP 数据包,因此有时也被称作 SOAP-over-UDP 。
尽管普通人不太熟悉,但 WS-Discovery 已被 ONVIF 所采用。作为一个行业组织,ONVIF 致力于促进网络产品互操作性的标准化接口。
其成员包括 Axis、Sony、Bosch 等业内巨头,为 ONVIF 的标准化奠定了基础。作为即插即用互操作性的一部分,该组织从 2010 年中期开始,在标准中推荐用于设备发现的 WS-Discovery 协议。
作为标准持续化工作的一部分,WS-Discovery 协议已被用到一系列产品上,涵盖 IP 摄像头、打印机、家用电器、DVR 等各种类别。
根据互联网搜索引擎 BinaryEdge 检索结果,目前有近 63 万台基于 ONVIF WS-Discovery 发现协议的设备在线,这让它们处于极大的风险之中。
问题在于这是一个基于 UDP 的协议,意味着数据包目的地可被欺骗。攻击者能够伪造返回 IP 地址,将 UDP 数据包发送到设备的 WS-Discovery 服务端。
当设备传递回复时,就会将数据包发送到被篡改的 IP 地址,使得攻击者能够在 WS-Discovery 设备上反弹流量,将之瞄向所需的 DDoS 攻击目标。
其次,WS-Discovery 的响应,会比初始输入大许多倍。基于这项原理的 DDoS 攻击,会对受害者造成极大的伤害。研究人员称之为 DDoS 放大因子。
(2019 年 5 月数据,图自:Tucker Preston)
ZDNet 指出,该协议已在世界各地的 DDoS 攻击中被观察到,放大倍数高达 300~500 。相比之下,其它基于 UDP 协议的攻击,平均也只有 10 倍。
网络安全公司 ZeroBS GmbH 一直在追踪本月发生的一起事件,庆幸的是,其发现超大倍数的 WS-Discovery DDoS 攻击并非常态。
即便如此,2018 年末在 GitHub 上发布的用于启动 WS-Discovery DDoS 攻击的概念验证脚本,还是声称可实现 70~150 的放大倍数。
(图自:ZeroBS GmbH)
今年 5 月的时候,安全研究人员 Tucker Preston 首次公布了基于滥用 WS-Discovery 协议的大规模攻击事件。通过对 130 起事件的观察,可知其中一些攻击的规模超过了 350 Gbps 。
接下来几个月的攻击有所减少,但在 8 月份又再次升级。与第一波攻击不同的是,这次的攻击要小得多,很可能是不怎么了解该协议的普通攻击者所发起的。
放大系数不超过 10,最高只冲到 40 Gbps,且只有 5000 台设备(主要是 IP 摄像头和打印机)被纳入发起 WS-Discovery DDoS 攻击的僵尸网络中。
我的世界cc事件是什么?
CC(ChallengeCollapsar,挑战黑洞)攻击是DDoS攻击的一种类型,使用代理服务器向受害服务器发送大量貌似合法的请求。
CC根据其工具命名,攻击者使用代理机制,利用众多广泛可用的免费代理服务器发动DDoS攻击。许多免费代理服务器支持匿名模式,这使追踪变得非常困难
宽带风控是什么意思?
宽带风控是指针对宽带网络用户的安全状态,通过网络技术手段采集数据,进行风险智能分析和监控,实现信息安全风险控制管理的过程。宽带风控主要是对宽带网络中的黑客攻击、病毒传播、僵尸网络、钓鱼欺诈、有害信息等恶意行为进行实时监测和全面管理。
宽带风控包含以下方面:
1. 安全加固规范和设备统一管理:对宽带用户采取防火墙、 VPN、入侵检测等多种手段,以防止非法入侵和网络攻击。
2. 恶意网站数据筛查:筛查有害的网络信息,禁止非法行为,比如网站黑名单、IP阻止等。
3. DDoS攻击防护:通过流量分析、数据包过滤、源地址检测等技术手段,剔除无效流量,减少DDoS攻击产生的影响。
4. 用户网络行为监测:对宽带网络中的用户进行监管,及时发现及处理存在的安全隐患。
总之,宽带风控是指对宽带网络中的安全隐患进行监管和分析,从而加强对网络的安全管理和控制。这对于网络服务提供商和个人或企业用户都有很大的意义,可以保证网络的安全和稳定运行。
如何提前发现网站遭遇ddos攻击?
DDOS攻击是没有办法提前发现的,说来就来。
DDoS,中文名是分布式拒绝服务攻击,具体原理是黑客控制多台服务器/设备,对一个目标IP进行请求不响应。什么是请求不响应,就是不断的向一个IP进行请求操作,但不回复对方,从而堵死目标网络,使其无法提供服务。
由于DDoS来势汹涌,就像是洪水,根本没有办法提前发现。
所以,你可以做的是提前预防,例如:
硬件方面可以购买带有硬件防护的设备、部署CDN、服务器分布群集和采用负载均衡。
系统层面可以做的是优化系统资源、停止不必要的服务和端口,以及限制特殊流量。
只要站长做到上面几种防护手段,并配合日常维护,那么遇到攻击的时候,就能将损失降到最低。
电脑显示网络环境存在风险?
就是当前网络环境存在的风险,大致有如下内容:
第一是设备漏洞。无论是计算机软硬件或网络系统,都是由人创造,由程序员编程得来,不可避免的会有漏洞与缺陷,而这些漏洞则为网络攻击保留了机会,一旦遭受病毒的攻击,大多数文件就会被加密,就不能再打开原本正常的文件了。所以应该及时做好防护或补丁,充分利用免疫技术。
第二是数据泄露。网络普及,数据流通加快,这是问题滋生的源头。过去的系统都是尽量地不联网,但现在几乎已经不可能。
数据泄露分为内外部,外部包含政企用户的供应链、第三方供应商以及各种通过搜索引擎公开的代码仓库等所导致,内部比如内部人员或终端木马窃取,有数据显示,目前超过85%的网络安全威胁都源于内部,它的危害程度远超乎想象。
第三是DDOS攻击。其实不熟悉计算机的人一定没有听过这个名字,那大部分的DDOS攻击是经过僵尸网络产生的,它可以让服务器或网络溢出,拒绝服务。
比如确定了你的IP或域名后,控制者便可发出攻击指令,指令可以在僵尸程序中自如地传播与行动。大家应该注意服务器禁止开放与业务无关端口,并在防火墙上对没用的端口进行过滤。
