實驗室如何複製DDoS攻擊

ddos

鐵殼心 2014-12-24 10:48:18 ‧ 8853 瀏覽

客戶反映我們家Server搭配的ASPEED AST2300晶片, BMC/IPMI提供的IP會被DDoS攻擊, 然後掛點. 發信給RD相關部門尋找解決方案.
RD回了一句你可以複製出來客戶的狀況嗎? 不然我沒有辦法處理.

請問有誰知道如何在實驗室複製出來DDoS攻擊的現象嗎?
硬體網路設備應當如何配置?

看更多先前的討論...收起先前的討論...

海綿寶寶 iT邦大神 1 級 ‧ 2014-12-24 12:25:40 檢舉

可惜我不認識
不然就可以替你去問

他

海綿寶寶 iT邦大神 1 級 ‧ 2014-12-24 12:40:58 檢舉

我不確定 DDOS 是那一層的
由於是客戶反應的
我就假設他是 Layer 7 的

有空不妨試試這個工具
因為他免費又 open source
比較讓人放心

話先說在前
我自己是沒用過的

summertw iT邦好手 1 級 ‧ 2014-12-24 20:40:15 檢舉

tecksin提到：
RD回了一句你可以複製出來客戶的狀況嗎? 不然我沒有辦法處理.

這真是一個非常不適任的RD啊...
....
我的車車防盜被小偷給破解並破壞了，去找原廠的修理，原廠技師說...
請你【複製出被破解並破壞的狀況】，否則我沒有辦法處理.
....
XD

okra iT邦研究生 3 級 ‧ 2014-12-24 22:16:55 檢舉

資源有限R&D SE 如何PK Hackers？

BMC，IPMI Server Vendors，Firmware Vendors也有限：
http://www.fish2.com/ipmi/

Ray iT邦大神 1 級 ‧ 2014-12-25 09:49:44 檢舉

summertw提到：
我的車車防盜被小偷給破解並破壞了，去找原廠的修理，原廠技師說...
請你【複製出被破解並破壞的狀況】，否則我沒有辦法處理.

如果鎖的外觀根本沒壞, 只有車主對車廠說:「小偷曾經進來弄亂我的車子」, 但卻沒有監視器可以證明發生過有人入侵車子的行為, 請問原廠會怎麼處理?

這兩個事件不同的地方在於:
1. BMI/IPMI 在「疑似攻擊」的事件過後, 仍能正常操作
2. 沒有證據可以證明, BMI/IPMI曾經遭受過攻擊

鎖被破壞, 會留下受損的鎖, 可以倒推出入侵的手法. 但若小偷拿一個複製的遙控器, 以正常管道開啟鎖再把車開走, 除非錄下過程, 否則事後就算找回車子, 沒人看到或說出上面那段過程的話, 還是不會有人知道車子是如何被開走的?

Ken(Bigcandy) iT邦大師 1 級 ‧ 2014-12-25 10:42:43 檢舉

tecksin提到：
客戶反映我們家Server搭配的ASPEED AST2300晶片, BMC/IPMI提供的IP會被DDoS攻擊, 然後掛點

這段，只有口述嗎？有沒有具體點資料？
至於

RD回了一句你可以複製出來客戶的狀況嗎? 不然我沒有辦法處理.

雖然不該有這樣的應答，但是有他的道理在

通常，一般網通設備對應ddos都有基本防護力，客戶這樣的反應有證據嗎？
另方面則是：R&D(是的，不是RD)，設備對DDOS的承受力如何？有數據嗎？

另外，我也想知道怎麼模擬DDOS攻擊狀況。

林門神JanusLin iT邦超人 1 級 ‧ 2014-12-25 13:39:51 檢舉

DDoS找暗黑天線哥

summertw iT邦好手 1 級 ‧ 2014-12-25 15:58:44 檢舉

看了回應，真的還是有些失望..
其實，以上兩位都弄錯方向了，我的比喻是在說明，R&D不應該如此回答...或許是我比喻不當吧。
...
我常遇到很多客戶，很直接的跟我說，資料不見了、資料無法輸入、資料怎樣怎樣的...等等奇奇怪怪的問題，最後一定會畧下一句，我什麼都不知道，什麼也沒做...
這時你你若是用工程師性格說...請你說明清楚你的狀況，否則......
這就不用再說啦..因為事情仍然無解..
所以，R&D是否應該想方設法的引導你的客戶說出狀況(方法一)或查詢可能的所有攻擊，試著先行模擬攻擊(方法二)，試著找出類似點，如此才能有良性的雙方溝通，問題才容易取得解決..
像撞球一樣。一下子就把問題給打回去，不次客戶大概也不會再找你了，可能連一聲謝謝都沒有就直接Bye Bye了...
不要把焦點放在比喻上，要把焦點放在問題的解決方法上...

okra iT邦研究生 3 級 ‧ 2014-12-26 02:48:32 檢舉

summertw提到：
最後一定會畧下一句，我什麼都不知道，什麼也沒做...

這樣子不說明狀況，拉屎不擦屁股的客戶，可能會被他搞到吃力不討好做白工，背黑鍋的下場。

summertw iT邦好手 1 級 ‧ 2014-12-26 08:28:21 檢舉

所以客戶需要教育，R&D也需要教育..
教育客戶是在教他的IQ，教育R&D是在教他的EQ...
.....
不說明狀況的，不只在電腦這個行業的客戶，到處都有，不必太過..
.....
客戶節提問，是你(R&D)存在的價值...
所以，有良性的互動，客戶才會一直來找你(或煩你)...
於此之時，是你在選客戶，而不是客戶在選你..
.....
是否會【背黑鍋】，以下有個本人的案例，可供參考..
我個客戶，他們的資料是北中南大連線的客戶，某日，我收到該客戶的一封由他們內部轉發後的信件，這封電郵是由他們資訊部門主管傳來的，主旨是，XX的程式會吃資料，台北入的資料，高雄不見了，而且措詞極為的不友善(意思程式很爛，資料會不見)，我們的工程師沒人要接(因為已是澳客了)，我就收下了..
在詢問該客戶資訊室主管後，取後他們的共識，由我遠端的進入該客戶主機去看Log記錄，最後，發現，該遺失的資料是原發信的那位員工自已刪掉了，我最後把該Log給了他們的資訊室主管，並要求該轉發信件必須澄清，資料不是本公司的程式【吃掉】，而是被人刪掉了...
此類是讓他們碰個軟釘子，我們也沒有背黑鍋，日後，該客戶還是會回頭再來煩我，雖然我很不喜歡這個客戶....
以上經驗與客戶分享了....

summertw iT邦好手 1 級 ‧ 2014-12-26 09:00:56 檢舉

這裡有一篇，應該是可以用..
http://blog.xuite.net/ecfox/elearning/4126108-%5B%E6%95%99%E5%AD%B8%5D+%E9%98%B2%E7%A6%A6DDOS%E6%94%BB%E6%93%8A

summertw iT邦好手 1 級 ‧ 2014-12-26 09:08:36 檢舉

這個網站也提供很多的DDoS的攻擊工具，只是要小心，這些工具多半含有後門，找一台不用的電腦，專門拿來測這些軟體...
http://www.freebuf.com/tools/36545.html
測完後就把該系統給Format掉...

hwahuang iT邦研究生 4 級 ‧ 2014-12-26 15:20:08 檢舉

這裡有討論ddos相關的訊息

http://serverfault.com/questions/515908/tools-for-simulating-ddos-attacks

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

okra

iT邦研究生 3 級 ‧ 2014-12-24 14:27:14

最佳解答

tecksin提到：
BMC/IPMI

建議參考HD Moore 與IPMI相關各種問題的一套方法：
https://community.rapid7.com/community/metasploit/blog/2013/07/02/a-penetration-testers-guide-to-ipmi
及其推的必讀（must-read）文檔：
Widespread Vulnerabilities in BMCs and the IPMI Protocol - Frequently Asked Questions
https://community.rapid7.com/docs/DOC-2344
IPMI++ Security Best Practices
http://www.fish2.com/ipmi/bp.pdf

回應
分享
檢舉

登入發表回應

weiclin

iT邦高手 4 級 ‧ 2014-12-24 11:22:48

看是怎麼樣的 DDoS 攻擊, 首先就是用 wireshark, tcpdump 之類的工具取樣
如果取樣後發現不是需要建立完整連線的封包, 那你可以用 tcpreplay 之類的工具來 "播放" 這些攻擊的封包
如果要建立連線的話, 那可能就得自己動手寫程式去模擬了
例如說我遇過一大串跟正常連線沒兩樣, 但是傳輸異常緩慢的攻擊模式
這種就必須先弄台機器當 router, 在這邊增加限速與延遲, 然後讓別的機器透過這 router 往目標模擬攻擊

以上是自己硬幹的作法啦..我也很好奇有沒有更好的方法