iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 66
2
Security

資安x系統x絕對領域系列 第 43

[Day33]DDos x手法x防禦姿勢

哦哦哦,傲天大大的DDos說明出來了!!!!!
下面不用看了,煩請直接點此連結!!!
https://www.facebook.com/outian/posts/1556418854372736?pnref=story

DDos

分佈式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助於客戶/服務器技術,將多個計算機聯合起來作為攻擊平台,對一個或多個目標發動 DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力,只要是聯網的設備都可以發動攻擊,只不過攻擊流量的大小有區別罷了…
http://ithelp.ithome.com.tw/upload/images/20170209/20103647aO5H9tgT46.jpg

攻擊原因

  • 針對某機構或某團體,表達有特殊目的性:
    • 金錢
    • 名譽
    • 網路聲明或抗議活動 像說教育部的DDos事件
    • 癱瘓網路之後又透過其他手法偷取機敏性資料

大部份 DDos 的事件較少因為好玩或一時興起做攻擊。
因為 DDos 需要大量的流量去做攻擊,需要租機器或是要養很多肉雞…
所以大部份都是組織或較大的團體,畢竟做 DDos 還是需要一點成本的…

肉雞哪裡來

好孩子不要學

  • 向專業養雞戶購買
  • 市面上的租雞服務
  • 平時養成養雞習慣
  • 組織團體提供肉雞
  • 我朋友都跟我說:新的零時差攻擊(0Day)漏洞發佈時候,就是抓肉雞的時候哦 XD~~

而且現在的雞除了桌面雞、筆電雞,還新增了手雞,物聯雞、車載雞…
如果發現自己是肉雞,你說不開機不就行了,做一隻離線雞也是可以的,就看你能忍多久了…
但是這種消極的方式不是解決問題的辦法吶
我們還是從攻擊方式去找對應的解法辦法吧 :)

攻擊方式

(1) 應用程:利用程式漏洞或網站弱點

  • 技術性最高
    利用軟體的缺陷,對服務方發送一些可能會引發事故或者故障而無法正常服務的封包,而這種攻擊非常致命,比普通的資源占用型攻擊要兇殘許多,往往一旦攻擊成功就會導致伺服器癱瘓等重大問題。
    像說 wordpress的零時差漏洞 xmlrpc.php 弱點或利用 XXS 的DDoS…

防禦方式

  • 即時更新零時差漏洞
  • 定期資安健檢,提高網站或應用程式的弱點的防護能力
    • 白箱:原始碼檢測
    • 黑箱:滲透測試
    • 灰箱:交叉比對

(2) 系統層:利用協定漏洞發送大量封包

  • 封包攻擊
    利用協定漏洞對系統資源進行占用把客戶的前方防火牆或是Switch打掛…
    一般的狀況下,用戶發送請求,伺服器回應請求,用戶確認和伺服器連接。但是在攻擊時,以協定或封包大量占用伺服器資源導致網站無法正常工作,常見的像說 SYN flood 攻擊或 DNS、NTP 攻擊之類的…

http://ithelp.ithome.com.tw/upload/images/20170209/20103647RVXp7jgjyw.jpg

  • 像說遠古的咒術:
    • Teardrop
    • Land
    • Smurf
    • Ping of Death

網路上很多攻擊教學,但實際上在打的時候就會被網路設備很聰明,會自動學習,通常流量異常就會把你的封包來源擋掉了,所以說攻擊無效,列為已失效的攻擊方式。
但如果對方沒有網路設備的話就…

  • 目前較常見的方式:
    • SYN Flood
    • ACK/RST Flood
    • UDP/ICMP Flood
    • SSL Flood
    • Connection Flood
    • HTTP Flood

//有機會再來補圖說明好了 Q Q"

防禦方式:

因為大部份的客戶都會有買相關網路防火牆之類的產品,會做基本的封包過濾這樣,所以設定好就不太會被打掛。
我們家是推薦 Citrix NetScaler 啦 XD

[可恥的工商時間]

Citrix NetScaler 裡面內建三道防火牆:

  • (1) 第一道是最外面對外的一般防火牆做流量過濾、Load balance

  • (2) 第二道是做 AP 的防火牆

    • 網頁防火牆會檢查攻擊手法針對程式部份去做 DDos,像說它一直做傳送交易,但交易可能是不合法的,我們就可以透過網頁防火牆設定規則去過濾
  • (3) 第三道是做內網的 Load balance (VPN)

回歸正題,我們常見的協定漏洞,像 SYN flood 攻擊,異常的封包進來,我們就可以直接濾掉,大部份的網路產品預設的設定就會自動過濾了。

像之前攻擊教育部的攻擊包括 DNS、NTP,透過設定可以在第一階段濾掉,就是外面丟進來的東西, NTP 對時攻擊,或 DNS 反射攻擊,只要確定客戶沒有需要做這部份的服務,預設設定會過濾掉這樣的封包。
NTP 攻擊方式就是一種校正時間的通訊協定,叫伺服器不斷對時,讓頻寬塞爆。

雖然 ISP 都會通知異常,用到的手法相同,但流量並沒有那麼大,也有 ISP 不痛不癢 XD

(3) 網路層:流量攻擊

  • 簡單粗暴,大量的資源比拼
    流量攻擊,也稱做洪水攻擊,由於攻擊者手中握有很多的代理程式或肉雞,利用這些代理程序向伺服器發送大量的垃圾數據,占用帶寬,導致伺服器拒絕服務。這種方法簡直就是資金硬拼,你用你的流量和攻擊換取我的加強基礎設施建設,甚至超規模建設等問題。
    所以通常有這種攻擊的時候,就要搬機器去客戶家了

防禦方式

第三種的方式就是最近卷商遇到的,他是把整個頻寬塞爆這樣。
所以在客戶端的資源比拼不過就沒辦法做什麼防禦。
現在的做法就都是要找 ISP 幫忙,或者流量清洗服務的公司幫忙,他們的做法是當你發生這樣的問題的時候,他們先把流量導向他們家的網路去,洗完再導回來給你。

一般可以的話,最快就找 ISP ,通常他們都會提供這種服務,所以當他發現到你們頻寬到到一個門檻的時候,他有可能會自動導過去,或是問你要不要導過去($)。

而且在卷商受到攻擊沒有多久,ISP 就有方案出來了,而且還沒降價…

防不過怎麼辦之絕對不要付錢。

目前知道的狀況就大概是這樣啦…
我們大部份還是會請客戶不妥協…
因為付了贖金或妥協,他們下次還是會打你,因為他們知道你最乖了會棒棒付贖金。
建議對長官的交待,還是偏向不要付贖金,因為你付過了,他之後就會一直打你…
而且可能還會呷好道相報,大家約一約一起來打你…

事後調查

  • 錄封包從封包裡面做來源過濾 (黑名單)

自行檢測

  • NTP 自行檢核:www.openntpproject.org
  • DNS Hijacking 檢核:www.openresolverproject.org
  • DNS Root Name Servers Query Amplification Denial Of Service Vulnerability
    https://isc.sans.edu//dnstest.html

資料來源

[新聞]香港公投網站DDoS攻擊內幕大公開,連Google、亞馬遜都擋不住
[每日頭條]早點看這個多好,不用白白做了黑客的「肉雞」


上一篇
[DayX]番外篇x生命禮儀x碎碎念
下一篇
[Day34]駭客思維xWiFi網路加密x破解
系列文
資安x系統x絕對領域47

1 則留言

0
frankyzyao
iT邦新手 1 級 ‧ 2017-02-16 13:02:43

請問Citrix NetScaler 和一般NGFW相比會比較好嗎?還是說兩者都要用?

虎虎 iT邦新手 4 級 ‧ 2017-02-16 14:41:59 檢舉

哈哈哈哈哈 好開心可以說明這一段>\\<
NGFW 每家的產品功能不同所以會不太一樣哦
NetScaler 我們家是推三階(外網/AP/內網)
如果是 Palo Alto NGFW 的話,能監控內網的流量,查看有沒有可疑的攻擊,跟聽User 在幹嘛,所以還是要看客戶的需求跟產品屬性啦 XD

虎虎 iT邦新手 4 級 ‧ 2017-02-16 14:42:00 檢舉

各家產品都有不同的屬性啦 XD

我要留言

立即登入留言