哦哦哦，傲天大大的DDos說明出來了!!!!!
下面不用看了，煩請直接點此連結!!!
https://www.facebook.com/outian/posts/1556418854372736?pnref=story

DDos

分佈式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助於客戶/服務器技術，將多個計算機聯合起來作為攻擊平台，對一個或多個目標發動 DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力，只要是聯網的設備都可以發動攻擊，只不過攻擊流量的大小有區別罷了…

攻擊原因

• 針對某機構或某團體，表達有特殊目的性：
  • 金錢
  • 名譽
  • 網路聲明或抗議活動 像說教育部的DDos事件
  • 癱瘓網路之後又透過其他手法偷取機敏性資料

大部份 DDos 的事件較少因為好玩或一時興起做攻擊。
因為 DDos 需要大量的流量去做攻擊，需要租機器或是要養很多肉雞…
所以大部份都是組織或較大的團體，畢竟做 DDos 還是需要一點成本的…

肉雞哪裡來

好孩子不要學

• 向專業養雞戶購買
• 市面上的租雞服務
• 平時養成養雞習慣
• 組織團體提供肉雞
• 我朋友都跟我說：新的零時差攻擊(0Day)漏洞發佈時候，就是抓肉雞的時候哦 XD~~

而且現在的雞除了桌面雞、筆電雞，還新增了手雞，物聯雞、車載雞…
如果發現自己是肉雞，你說不開機不就行了，做一隻離線雞也是可以的，就看你能忍多久了…
但是這種消極的方式不是解決問題的辦法吶
我們還是從攻擊方式去找對應的解法辦法吧 ：)

攻擊方式

(1) 應用程：利用程式漏洞或網站弱點

• 技術性最高
  利用軟體的缺陷，對服務方發送一些可能會引發事故或者故障而無法正常服務的封包，而這種攻擊非常致命，比普通的資源占用型攻擊要兇殘許多，往往一旦攻擊成功就會導致伺服器癱瘓等重大問題。
  像說 wordpress的零時差漏洞 xmlrpc.php 弱點或利用 XXS 的DDoS…

防禦方式

• 即時更新零時差漏洞
• 定期資安健檢，提高網站或應用程式的弱點的防護能力
  • 白箱：原始碼檢測
  • 黑箱：滲透測試
  • 灰箱：交叉比對

(2) 系統層：利用協定漏洞發送大量封包

• 封包攻擊
  利用協定漏洞對系統資源進行占用把客戶的前方防火牆或是Switch打掛…
  一般的狀況下，用戶發送請求，伺服器回應請求，用戶確認和伺服器連接。但是在攻擊時，以協定或封包大量占用伺服器資源導致網站無法正常工作，常見的像說 SYN flood 攻擊或 DNS、NTP 攻擊之類的…

• 像說遠古的咒術：
  • Teardrop
  • Land
  • Smurf
  • Ping of Death

網路上很多攻擊教學，但實際上在打的時候就會被網路設備很聰明，會自動學習，通常流量異常就會把你的封包來源擋掉了，所以說攻擊無效，列為已失效的攻擊方式。
但如果對方沒有網路設備的話就…

• 目前較常見的方式：
  • SYN Flood
  • ACK/RST Flood
  • UDP/ICMP Flood
  • SSL Flood
  • Connection Flood
  • HTTP Flood

//有機會再來補圖說明好了 Q Q"

防禦方式：

因為大部份的客戶都會有買相關網路防火牆之類的產品，會做基本的封包過濾這樣，所以設定好就不太會被打掛。
我們家是推薦 Citrix NetScaler 啦 XD

[可恥的工商時間]

Citrix NetScaler 裡面內建三道防火牆：

• (1) 第一道是最外面對外的一般防火牆做流量過濾、Load balance

• (2) 第二道是做 AP 的防火牆

  • 網頁防火牆會檢查攻擊手法針對程式部份去做 DDos，像說它一直做傳送交易，但交易可能是不合法的，我們就可以透過網頁防火牆設定規則去過濾

• (3) 第三道是做內網的 Load balance (VPN)

回歸正題，我們常見的協定漏洞，像 SYN flood 攻擊，異常的封包進來，我們就可以直接濾掉，大部份的網路產品預設的設定就會自動過濾了。

像之前攻擊教育部的攻擊包括 DNS、NTP，透過設定可以在第一階段濾掉，就是外面丟進來的東西， NTP 對時攻擊，或 DNS 反射攻擊，只要確定客戶沒有需要做這部份的服務，預設設定會過濾掉這樣的封包。
NTP 攻擊方式就是一種校正時間的通訊協定，叫伺服器不斷對時，讓頻寬塞爆。

雖然 ISP 都會通知異常，用到的手法相同，但流量並沒有那麼大，也有 ISP 不痛不癢 XD

(3) 網路層：流量攻擊

• 簡單粗暴，大量的資源比拼
  流量攻擊，也稱做洪水攻擊，由於攻擊者手中握有很多的代理程式或肉雞，利用這些代理程序向伺服器發送大量的垃圾數據，占用帶寬，導致伺服器拒絕服務。這種方法簡直就是資金硬拼，你用你的流量和攻擊換取我的加強基礎設施建設，甚至超規模建設等問題。
  所以通常有這種攻擊的時候，就要搬機器去客戶家了

防禦方式

第三種的方式就是最近卷商遇到的，他是把整個頻寬塞爆這樣。
所以在客戶端的資源比拼不過就沒辦法做什麼防禦。
現在的做法就都是要找 ISP 幫忙，或者流量清洗服務的公司幫忙，他們的做法是當你發生這樣的問題的時候，他們先把流量導向他們家的網路去，洗完再導回來給你。

一般可以的話，最快就找 ISP ，通常他們都會提供這種服務，所以當他發現到你們頻寬到到一個門檻的時候，他有可能會自動導過去，或是問你要不要導過去($)。

而且在卷商受到攻擊沒有多久，ISP 就有方案出來了，而且還沒降價…

防不過怎麼辦之絕對不要付錢。

目前知道的狀況就大概是這樣啦…
我們大部份還是會請客戶不妥協…
因為付了贖金或妥協，他們下次還是會打你，因為他們知道你最乖了會棒棒付贖金。
建議對長官的交待，還是偏向不要付贖金，因為你付過了，他之後就會一直打你…
而且可能還會呷好道相報，大家約一約一起來打你…

事後調查

• 錄封包從封包裡面做來源過濾 (黑名單)

自行檢測

• NTP 自行檢核：www.openntpproject.org
• DNS Hijacking 檢核：www.openresolverproject.org
• DNS Root Name Servers Query Amplification Denial Of Service Vulnerability
  https://isc.sans.edu//dnstest.html

資料來源

[新聞]香港公投網站DDoS攻擊內幕大公開，連Google、亞馬遜都擋不住
[每日頭條]早點看這個多好，不用白白做了黑客的「肉雞」