iT邦幫忙

0

實驗室如何複製DDoS攻擊

客戶反映我們家Server搭配的ASPEED AST2300晶片, BMC/IPMI提供的IP會被DDoS攻擊, 然後掛點. 發信給RD相關部門尋找解決方案.
RD回了一句你可以複製出來客戶的狀況嗎? 不然我沒有辦法處理.

請問有誰知道如何在實驗室複製出來DDoS攻擊的現象嗎?
硬體網路設備應當如何配置?

看更多先前的討論...收起先前的討論...
可惜我不認識
不然就可以替你去問


駭客
我不確定 DDOS 是那一層的
由於是客戶反應的
我就假設他是 Layer 7 的

有空不妨試試這個工具
因為他免費又 open source
比較讓人放心

話先說在前
我自己是沒用過的
臉紅臉紅臉紅
summertw iT邦好手 1 級 ‧ 2014-12-24 20:40:15 檢舉
tecksin提到:
RD回了一句你可以複製出來客戶的狀況嗎? 不然我沒有辦法處理.


這真是一個非常不適任的RD啊...
....
我的車車防盜被小偷給破解並破壞了,去找原廠的修理,原廠技師說...
請你【複製出被破解並破壞的狀況】,否則我沒有辦法處理.
....
XD
okra iT邦研究生 3 級 ‧ 2014-12-24 22:16:55 檢舉
資源有限R&D SE 如何PK Hackers?Orz
BMC,IPMI Server Vendors,Firmware Vendors也有限:
http://www.fish2.com/ipmi/
raytracy iT邦大神 1 級 ‧ 2014-12-25 09:49:44 檢舉
summertw提到:
我的車車防盜被小偷給破解並破壞了,去找原廠的修理,原廠技師說...
請你【複製出被破解並破壞的狀況】,否則我沒有辦法處理.

如果鎖的外觀根本沒壞, 只有車主對車廠說:「小偷曾經進來弄亂我的車子」, 但卻沒有監視器可以證明發生過有人入侵車子的行為, 請問原廠會怎麼處理?

這兩個事件不同的地方在於:
1. BMI/IPMI 在「疑似攻擊」的事件過後, 仍能正常操作
2. 沒有證據可以證明, BMI/IPMI曾經遭受過攻擊

鎖被破壞, 會留下受損的鎖, 可以倒推出入侵的手法. 但若小偷拿一個複製的遙控器, 以正常管道開啟鎖再把車開走, 除非錄下過程, 否則事後就算找回車子, 沒人看到或說出上面那段過程的話, 還是不會有人知道車子是如何被開走的?
tecksin提到:
客戶反映我們家Server搭配的ASPEED AST2300晶片, BMC/IPMI提供的IP會被DDoS攻擊, 然後掛點

這段,只有口述嗎?有沒有具體點資料?
至於

RD回了一句你可以複製出來客戶的狀況嗎? 不然我沒有辦法處理.


雖然不該有這樣的應答,但是有他的道理在

通常,一般網通設備對應ddos都有基本防護力,客戶這樣的反應有證據嗎?
另方面則是:R&D(是的,不是RD),設備對DDOS的承受力如何?有數據嗎?

另外,我也想知道怎麼模擬DDOS攻擊狀況。

DDoS找暗黑天線哥
summertw iT邦好手 1 級 ‧ 2014-12-25 15:58:44 檢舉
看了回應,真的還是有些失望..
其實,以上兩位都弄錯方向了,我的比喻是在說明,R&D不應該如此回答...或許是我比喻不當吧。
...
我常遇到很多客戶,很直接的跟我說,資料不見了、資料無法輸入、資料怎樣怎樣的...等等奇奇怪怪的問題,最後一定會畧下一句,我什麼都不知道,什麼也沒做...
這時你你若是用工程師性格說...請你說明清楚你的狀況,否則......
這就不用再說啦..因為事情仍然無解..
所以,R&D是否應該想方設法的引導你的客戶說出狀況(方法一)或查詢可能的所有攻擊,試著先行模擬攻擊(方法二),試著找出類似點,如此才能有良性的雙方溝通,問題才容易取得解決..
像撞球一樣。一下子就把問題給打回去,不次客戶大概也不會再找你了,可能連一聲謝謝都沒有就直接Bye Bye了...
不要把焦點放在比喻上,要把焦點放在問題的解決方法上...
okra iT邦研究生 3 級 ‧ 2014-12-26 02:48:32 檢舉
summertw提到:
最後一定會畧下一句,我什麼都不知道,什麼也沒做...

這樣子不說明狀況,拉屎不擦屁股的客戶,可能會被他搞到吃力不討好做白工,背黑鍋的下場。Orz
summertw iT邦好手 1 級 ‧ 2014-12-26 08:28:21 檢舉
所以客戶需要教育,R&D也需要教育..
教育客戶是在教他的IQ,教育R&D是在教他的EQ...
.....
不說明狀況的,不只在電腦這個行業的客戶,到處都有,不必太過..
.....
客戶節提問,是你(R&D)存在的價值...
所以,有良性的互動,客戶才會一直來找你(或煩你)...
於此之時,是你在選客戶,而不是客戶在選你..
.....
是否會【背黑鍋】,以下有個本人的案例,可供參考..
我個客戶,他們的資料是北中南大連線的客戶,某日,我收到該客戶的一封由他們內部轉發後的信件,這封電郵是由他們資訊部門主管傳來的,主旨是,XX的程式會吃資料,台北入的資料,高雄不見了,而且措詞極為的不友善(意思程式很爛,資料會不見),我們的工程師沒人要接(因為已是澳客了),我就收下了..
在詢問該客戶資訊室主管後,取後他們的共識,由我遠端的進入該客戶主機去看Log記錄,最後,發現,該遺失的資料是原發信的那位員工自已刪掉了,我最後把該Log給了他們的資訊室主管,並要求該轉發信件必須澄清,資料不是本公司的程式【吃掉】,而是被人刪掉了...
此類是讓他們碰個軟釘子,我們也沒有背黑鍋,日後,該客戶還是會回頭再來煩我,雖然我很不喜歡這個客戶....
以上經驗與客戶分享了....
summertw iT邦好手 1 級 ‧ 2014-12-26 09:00:56 檢舉
這裡有一篇,應該是可以用..
http://blog.xuite.net/ecfox/elearning/4126108-%5B%E6%95%99%E5%AD%B8%5D+%E9%98%B2%E7%A6%A6DDOS%E6%94%BB%E6%93%8A
summertw iT邦好手 1 級 ‧ 2014-12-26 09:08:36 檢舉
這個網站也提供很多的DDoS的攻擊工具,只是要小心,這些工具多半含有後門,找一台不用的電腦,專門拿來測這些軟體...
http://www.freebuf.com/tools/36545.html
測完後就把該系統給Format掉...
hwahuang iT邦研究生 4 級 ‧ 2014-12-26 15:20:08 檢舉
這裡有討論ddos相關的訊息

http://serverfault.com/questions/515908/tools-for-simulating-ddos-attacks
4
okra
iT邦研究生 3 級 ‧ 2014-12-24 14:27:14
最佳解答

tecksin提到:
BMC/IPMI

建議參考HD Moore 與IPMI相關各種問題的一套方法:
https://community.rapid7.com/community/metasploit/blog/2013/07/02/a-penetration-testers-guide-to-ipmi
及其推的必讀(must-read)文檔:
Widespread Vulnerabilities in BMCs and the IPMI Protocol - Frequently Asked Questions
https://community.rapid7.com/docs/DOC-2344
IPMI++ Security Best Practices
http://www.fish2.com/ipmi/bp.pdf

10
weiclin
iT邦高手 4 級 ‧ 2014-12-24 11:22:48

看是怎麼樣的 DDoS 攻擊, 首先就是用 wireshark, tcpdump 之類的工具取樣
如果取樣後發現不是需要建立完整連線的封包, 那你可以用 tcpreplay 之類的工具來 "播放" 這些攻擊的封包
如果要建立連線的話, 那可能就得自己動手寫程式去模擬了
例如說我遇過一大串跟正常連線沒兩樣, 但是傳輸異常緩慢的攻擊模式
這種就必須先弄台機器當 router, 在這邊增加限速與延遲, 然後讓別的機器透過這 router 往目標模擬攻擊

以上是自己硬幹的作法啦..我也很好奇有沒有更好的方法

12
raytracy
iT邦大神 1 級 ‧ 2014-12-24 11:46:09

那個攻擊是針對 BMC/IPMI 晶片, OS 內的Wireshark 讀不到這個裝置上的流量的.
真要 Sniffing 的話, 要從 Switch 上面做 Mirror port 的流量出來給另一台讀.

但我真正的疑問是: 這真的是 DDoS 嗎? 客戶如何證明這是 DDoS 攻擊造成的?
他拿出來的證據夠不夠扎實? 能否經過資安專家的檢驗或確認?
如果客戶手上的證據夠明確, 其實就足夠製造出相同的情境來驗證了.

稍微 Google 了一下, 似乎沒有這樣的案例; 如果真的有的話, 應該不可能只有這個客戶會發生, 全球其他客戶都沒事?

把問題推給 DDoS 對客戶來說當然很方便, 但在證據明確之前, 也可以合理懷疑是客戶想砍價的手段. RD 的堅持是對的, 客戶這麼說, 要由客戶自己提出證據才行, 你們沒有義務去幫客戶證明這件事情.

等到事情證明真的是 DDoS 之後, 再來談如何解決吧...

weiclin iT邦高手 4 級 ‧ 2014-12-24 13:25:47 檢舉

這麼說來, 也可以請客戶研究看看有沒有重現問題的方法

0
cmwang
iT邦高手 1 級 ‧ 2014-12-26 14:10:19

用Smartbit硬幹不知道算不算啊疑惑疑惑....

我要發表回答

立即登入回答