僵尸网络

在现阶段的移动互联网环境中，除了僵尸网络能够在网络中造成不同形式的攻击外，伪造地址与反射点在网络中发起的攻击也是不容忽视的。如在DDoS攻击中，出现的这两种现象的给DDOS处理和防护带来了诸多困难。这篇主要分享伪造地址和反射点造成的DDOS怎么处理？ 我们先讲下伪造地址攻击，伪造地址对攻击溯源追查起来变得更加闲难，因此攻击者承担的风险小，导致他们更加肆无忌惮。而且伪造地址可以发动更大规模的DDoS攻击。其中主要包括DNS反射式DDoS攻击，它能够使原始的攻击流量放大很多倍，其威胁的程度更大。最终使得DDOS防护变得更为困难，使用源地址过滤的方式不能抵抗攻击。因此有人提出了路由过滤的缓解方法 ，在网络入口处添加路由器，然后对数据包进行过滤。其中还有单播反向路径转发也属于一种缓解地址伪造的技术，路由器会对进入的数据包检查源地址和端口是否存在路由表中。如果存在就认为该数据包是通过最优路径到达该路由器，可以正常转发，否则丢弃也属于分布式过滤方法。反射式DDoS攻击，主要是DNS反射攻击，在互联网中有大量的DNS服务器可以作为反射点，而且通过伪造地址隐藏攻击源以及反射攻击的放大作用，因此也是最具破坏力的攻击方式之一。类似的攻击主要有ACK、DNS、SNMP、NTP等类型。针对反射点攻击的有效治理方法是提高DNS服务器的安全性，做到定期检查。检查内容：限制允许访问地址范围，防止被滥用；采用RRL，Knot DNS和NSD将其作为标准选项；用户端设备不应该在广域网接口监听DNS数据包，包括网络和广播地址等。墨者安全觉得想要有效的避免DDOS攻击，首先要解决潜在的威胁手段，比如僵尸网络，地址伪造以及反射性攻击等。以上属于个人观点，不喜勿喷，可以互相交流。

现阶段重视网络安全的程度从最近的护网行动中就可以看出，其中也涉及到了大批量的微信社群被封，不正规的网站被封等等，网络安全的实质就是技术人员与技术人员的较量，这属于一场网络战争。那么各自的进攻和防御均是由各种因素组成的。在网络安全行业大家知道的流量攻击，也是现下最流行，最泛滥的一种攻击。同时针对DDoS攻击的防护技术我们也是一直在提升中。大家都知道DDOS的攻击是由僵尸网络组建成的，那么如何有效的治理僵尸网络以此来避免遭遇DDOS？ 治理僵尸网络的，可以切断DDoS攻击的源头。从理论层面上讲这是抵抗DDOS攻击最有效的方法。但是在实际操作过程中，在僵尸网络的治理方面，也面临着很多的困难和问题。困难的点：首先是在能够检测到网络异常的情况下，才能知道系统是否感染了僵尸程序。如果僵尸主机用来发动DDOS攻击，会在每秒单位时间内产生大量的攻击流量。对于安装在网络出口的检测设备可能会出现异常提示，在内存占用上一部分主机也可以发现异常。但是针对小流量并且加密过得，这些可能就会隐藏在正常的请求中不易被发觉，由此察觉不到被感染。 一般在检测到感染后，就会提取样本，然后对其进行逆向分析，找出需要的信息。不过这个时间是根据样本的难易程度来决定。最后根据分析结果来制定治理方案。一种是编写僵尸程序清除工具，分发至企业局域网的其他感染主机进行清除处理，同时将C&C服务器域名或地址以及数据包等特征加入规则予以拦截。不过这样做只能清除掉僵尸网络的一部分，剩余的僵尸网络还是可以运营，所以我们的网络仍然面临着被攻击的风险，如源于僵尸网络的DDoS攻击等。 另一种是接管或摧毁整个僵尸网络。这种做法非常因难，因为僵尸网络的分布比较广泛，并不限定在某一个区、城市、省份、国家等，而且相对应的控制服务器也分布广泛。因此，这种跨区域的打击行动就需要政府间的协调合作，不过这种一般是很难实现，只有实力强大，影响范围广的政府或者是大公司的才可以做到。 僵尸网络是黑客在网络犯罪过程中运用到工具之一。利用它可以衍变出很多种不同的攻击，造成的后果可以使整个基础的信息网络瘫痪，企业的核心数据以及个人的账户信息资料等泄露。所以墨者安全认为对僵尸网络治理的问题应该先重视起来。比如建房子的打地基一样，地基越扎实房子越牢固。相反，僵尸网络蔓延速度极其快，只有先摧毁它才能还网络世界的一点光明。

相信大家常听到DDoS攻击，但是对它的认知大部分人的应该是来源于新闻媒体报道。当然通过这种的普及方式，我们认识到DDoS的危害性，但同时可能对它也会陷入误区。如，新闻媒体关注的是针对一些国际的知名企业和各国政府间的攻击事件，这样就会让很多人认为中小企业网站是不会被DDoS攻击的。而且DDOS针对不同行业的危害性是不一样的。下面我就分享下大家可能对DDOS存在的几个误区？ 1、DDoS攻击都来自PC组成的僵尸网络,虽然常识是DDOS攻击由僵尸网络发起的，但是由于技术的进步，僵尸网络由高性能的服务器组成，在处理性能和带宽方面快速提升了。而且随着物联网的崛起，僵尸网络再次由移动设备组成。这样更有利于进行DDOS攻击。2、DDoS攻击都是消耗网络带宽资源的攻击，经常我们在新闻报道中见到表示DDOS攻击时，都会用攻击流量达到了多少G的语句来描述攻击的严重程度，这种有攻击流量的带宽做为攻击严重程度的描述，使大家误认为DDOS攻击时消耗网络带宽资源的攻击。但事实上，DDOS除了消耗带宽资源，也会消耗系统资源和应用资源的攻击方式。而且对于相同类型的攻击，流量越大危害也就越大。比如SYN洪水攻击和UDP洪水攻击在相同的攻击流量下，前者比后者的危害大。针对不同的攻击方法造成的危害和影响也不同。比如SYN洪水攻击，很多人认为是消耗网络带宽资源的攻击，实际上是耗尽系统连接表的资源。3、DDoS攻击都是洪水攻击，其实在说到DDOS攻击的时候，很多人通常会认为DDOS攻击都是洪水攻击，比如SYN Flood、UDP Flood等。正常洪水攻击是DDOS攻击方式中占比例较大的一部分，但除了洪水攻击还有一些慢速攻击， 它们会缓慢地一点点的发送请求并长期占用目标资源。4、小网站或者个人是不会遭遇攻击，如果有这样的想法，那您肯定是想错了，墨者安全我经常遇见一些用户，说他的网站刚建起来就被攻击了，怎么解决等等，一些非盈利性质的网站自然是没有影响，但是对于一些营利性质的网站就需要去解决攻击问题，还有一些个人博客等等，这种刚开始的都是小流量的站，依然碰到了攻击事件，那这种该怎么解释他为什么会受到攻击呢？所以网站的是否营利不会影响攻击行为的本质，因此做为企业的领导人是不应该忽视这个问题的。5、只有黑客才能发起DDoS，技术的发展必然会促进分工.当前大部分黑客都专注于特定领域。有些擅长发现漏洞，有些擅于开发工具.有些负责人侵过程.有些专门处理账户信息。在DDoS攻击中，他们有的利用僵尸网络.有的控制高性能服务器，形成攻击能力后对外提供租用服务。而最终的租用者很可能只是不具备任何专业知识的普通人。他们只要输入攻击目标的地址就可以完成整个攻击过程。发起DDoS攻击的可能是竞争对手，或者是一些对服务行文不满意的恶意报复行为的人。6、防火墙和入侵检测/防御系统能够缓解DDoS攻击，防火墙是最常用的安全产品，但传统的防火墙是通过高强度的检测来进行防护的，主要部署在网络入口位置，虽然可以保护网络内部的所有资源，但是也成为了DDOS攻击的目标，入侵检测/防御系统属于应用最广泛的攻击检测/防护工具.但在面临DDoS攻击是，入侵检测/防御系统通常也不能完全满足要求。它们一般是对于特征规则的情况下进行应用层攻击的检测，但目前DDqS攻击大部分模拟正常的用户数据请求进行攻击。因此防火墙和入侵检测/防御系统在有效缓解DDOS攻击的问题上存在着性能问题。7、系统优化和增加带宽能够有效的缓解DDOS攻击，系统优化主要是对被攻击系统的核心参数进行调整，比如增加TCP连接表的数量或者是建立连接超时时间等，对于小规模的DDOS攻击可以起到缓解作用，但是遇见大流量攻击，就完全没有任何作用。增加带宽也是一样的，而且最终解决不了根本的问题，只能面临小流量的缓解，大的完全是不起作用。而且不断的增加也会无限制增加的投入。8、DDoS的云端清洗服务和本地缓解设备可以相互替代，DDOS属于多种攻击的统称，不同的攻击有不同的解决方法。通常情况下云端清洗主要是通过特定的技术手段，对访问请求进行过滤分析，清洗，然后回源的方式来缓解DDOS攻击，而本地基础设施设备可以处理较小的流量攻击，需要组合高防IP，云清洗等多种方式进行有效缓解。 所以建议用户如果被攻击需要根据自身的业务选择合适的防护方法。如果是高危的行业，如游戏、支付、金融、商城网站、APP等行业，可以提前做好最基础的防护措施，避免遇见攻击后被丢入黑洞，导致业务停止，给企业造成比较大的损失。

僵尸网络是由多个系统元素组成，节点也是由PC端和高性能服务器以及移动设备，那么它们之间是怎么进行相互联系的呢？僵尸网络的节点有几种方式，它也是根据通信的协议进行控制，大家都知道，互联网有很多种协议，我们主要讲下僵尸网络利用哪几种协议进行控制？ 僵尸网络出现最早时期，是通过IRC通信协议进行控制。随着攻击和防御技术的升级，通信协议由较简单的IRC向HTTP衍变，甚至更进一步的发展为P2P模式。僵尸网络随着通信协议的变化其网络拓扑结构也发什么了变化。由此也变得更加复杂和抗击性。首先我们说下IRC型僵尸网络：它是出现的最早、大数量存在的僵尸群。主要利用IRC协议构造命令与控制通道，容易创建。一个服务器可以很容易的创建和控制多台僵尸主机。那么，僵尸主机和C&C服务器之间是怎么进行通信的呢？僵尸程序执行后，会解码内置的配置信息，获取C&C服务器域名及端口，以此来建立三次握手连接，会通过发送固定前缀的NICK和USER命令，加入预定义频道后，僵尸程序会进入PINC/PONC状态等待接收指令。因此通过IRC协议对僵尸网络的控制是相对比较容易的。但也有不足之处，如果中央服务器被关闭，僵尸程序就会失去与C&C服务器的通信，因此攻击也就不存在啦。 接下来我们说下HTTP型僵尸网络：这种僵尸网络的规模不是很大，但攻击活动很频繁。国内的小企业每天有很多家被攻击。相比于IRC型僵尸网络，HTTP型僵尸网络对端口以及通信的加解密具有更大的灵活性。IRC必须要考虑隐蔽性和稳定性，其IRC服务器端口是固定的，而HTTP型通信端口默认为80，但由于是控制者搭建的C&C服务器，控制者就可以任意选择端口的设定。HTTP构建的通道，可以很容易的隐藏攻击活动信息，而且经过Web通信中很难被检测出来。HTTP型僵尸网络还具有后门性质，搜索基本的系统信息，拥有自动升级插件下载等功能。它虽然组建简单，控制灵活，但是抗击性不强，主服务器被破坏，整个僵尸网络差不多就处于瘫痪期了。 最后讲下P2P型僵尸网络：那什么是P2P呢？P2P即对等网络，如僵尸网络的各节点是处于对等的地位，因此在网络中人和人之间的相互沟通，数据的交换都是直接互换的，不需要使客户端连接到服务器才可以浏览，请求服务的模式。P2P型僵尸网络主要是基于P2P协议建立的命令与控制服务器的节点不再单一，可以通过网络中的任一节点控制整个P2P型僵尸网络。解决了IRC型和HTTP型控制服务器单点失效的问题。而且P2P协议可以定制，在网络检测中很难再发现未知特征的僵尸网络活动信息，而且P2P组建和控制的僵尸网络数量极其庞大，地域分布跨越多个国家，针对其控制者很难找到，所以对于这种僵尸网络打击效果也是微乎其微，也因此，现在这种的僵尸网络组建法也越来越流行。 近期墨者安全会针对一系列的内容为大家分享，目前DDoS攻击方式复杂多样化，而僵尸网络的主导就是流量攻击，因此多了解一些基础的知识，才能更有效的去做好应对的防护措施。所谓干一行爱一行，国家对待网络安全都是相当重视，从事与网络安全人员的我们更是义不容辞。

现在有很多的用户选择ddos防护安全公司的首要条件就是接入方便，价格便宜，还要拥有专业的技术，24小时服务等等要求。导致出现了越来越多鱼龙混杂的安全防护公司，他们的存在意味着激烈的竞争开启了，使用户本来是可以找到更好，更快，更专业的技术团队的周期延长。他们会不断的在网上搜索，进行攀比。有些因为价格原因选择了低价格着，原本心理还美滋滋的，结果等接入后发现防不住，任然会被打挂，然后再开启寻找模式，同时内心止不住的担忧，怕再一次被骗，想着损失是否可以承担的起？大部分客户还是希望应用程序稳定和在线服务能够及时响应。那么企业遇上SSL DDOS该采取的有效防御措施有？ 现阶段，DDOS衍变出新一代更大、更复杂的分布式拒绝服务，使得DDOS防护比以往都更具挑战性。由于物联网的崛起，产生了大规模的物联网僵尸网络，而这些僵尸网络使DDoS攻击的容量越来越大，因此攻击者通过应用层攻击耗尽服务器的资源从而验证出更强大的SSL DDoS攻击。因此企业网络安全需要更严谨的防护来减轻这种攻击。所以针对许多复杂类型的攻击都要求了对出入站的可视性，以此来作为保护。例如ACK洪泛、扫描攻击等，这种是通过出站通信通道攻击，这种攻击方式不能通过查看入口流量。衍变后的SSL DDoS攻击威力是不容小觑的，黑客只要使用少量连接目标服务器提供的资源就可以发起毁灭行的攻击，同时使用SSL洪泛快速地淹没服务器资源。图片描述 因此墨者安全觉得针对于DDOS防护结合了本地服务器和高防的过滤清洗能力。这有助于用户的服务器不被拉入黑洞使其停止服务。一些金融、游戏、支付、网站等行业，只要停服一会，损失也是相当大的。或者对DDOS进行多层DdoS防护，基于基础的的硬件缓解以及高防的过滤清洗能力相结合的情况下，加高带宽，这样能够持续，不间断的容量保护，以此来抵抗大容量的流量攻击。对SSL进行特殊加密，避免SSL密钥暴露。对于一些大流量且相当重视客户体验度的企业，想要避免因流量攻击导致公司业务停滞的领导们，建议提前做好网络安全防护措施。加强底层基础设施及防护过滤清洗能力，隐藏企业的源IP地址，让攻击者无处下手。 ![[1]: /img/bVbubwc [][1]2]: /img/bVbubwk