ddos怎么防_防网站ddos_优惠券
随着年底的临近,人们自然会思考未来,寻找未来的迹象。然而,有时候,你不必太努力地寻找。有时候,这些"征兆"就像一堆砖头砸在你身上。就在年底前10天,我们发现自己在抵御650 Gbps(每秒千兆位)的DDoS攻击,这是我们网络有史以来最大的攻击。这是一个适当的结束了一年的巨大的DDoS攻击,令人讨厌的新的恶意软件类型和大规模的物联网僵尸网络。此外,它还显示了DDoS方面下一步的发展方向。剧透警报:情况会变得更糟。攻击描述攻击开始于12月21日上午10:55左右,目标是Imperva Incapsula网络上的几个任意广播IP。很难说为什么这次攻击没有针对特定的客户。很可能,这是由于罪犯无法解析其实际受害者的IP地址,而该地址被Incapsula代理所掩盖。因此,由于没有更好的选择,最强防御cc,罪犯把注意力转向了他和目标之间的发球。图1:攻击峰值为650 Gbps第一次DDoS爆发持续了大约20分钟,对网,峰值达到400 Gbps。由于未能取得进展,犯罪者重新集结,并返回进行第二轮。这一次僵尸网络"肌肉"足以产生650 Gbps的DDoS洪流,每秒超过1.5亿包(Mpps)。图2:包每秒速率达到150+Mpps第二次爆炸持续了大约17分钟,我们的服务也很容易就反击了。罪犯别无选择,明智地停止了攻击。这两种攻击都源于欺骗IP,这使得追踪僵尸网络的实际地理位置或了解攻击设备的性质变得不可能。图3:用于攻击的一些欺骗IP然而,phpcc防御,我们能够分析有效载荷并发现一些关于攻击僵尸网络身份的线索。有效载荷分析攻击流量由两个不同的SYN有效负载生成:常规大小的SYN包,大小从44字节到60字节不等异常大的SYN包,国内外高防CDN,防火墙如何防御ddos攻击,大小从799到936字节不等前者用于实现较高的Mpps包速率,而后者用于将攻击的容量扩大到650gbps。自2015年最后几个月我们首次报告以来,结合使用小型和大型有效载荷的攻击变得越来越常见。这些策略使攻击者能够通过试图堵塞网络管道和关闭网络交换机来分散他们的机会。对这两种有效载荷类型进行更仔细的检查,发现了一些关于其内容的奇怪事实。我们注意到的第一件事是罪犯在一些常规大小的SYN包中留下了某种"签名"。在这些数据包的TCP Options报头中,这些值被安排为拼写"1337"。对外行来说,这是"leet"或"elite"的leetspeak。值得注意的是,1337序列也出现在常规SYN包中。然而,在本案中,罪犯似乎有意识地将其纳入有效载荷。图4:TCP Options头中的值拼写出1337接下来引起我们注意的是大量SYN有效负载的内容。虽然一些有效负载是由看似随机的字符串填充的,但其他的负载包含IP地址的碎片列表。图5:从分解的IP列表生成的SYN有效负载这些分解的IP列表暗示了有效负载内容的生成方式。我们所面对的恶意软件似乎被编程来访问本地文件(例如,访问日志和iptable列表)并对其内容进行置乱以生成其有效负载。基本上,整个攻击只是成千上万个被破坏设备的粉碎系统文件的一堆乱七八糟的东西。这种攻击方法除了在脑海中画出一个很酷的形象外,还有一个实用的目的。具体地说,它提供了一种有效的模糊处理技术,可以用来产生无限数量的极其随机的有效载荷。利用这些有效负载,攻击者可以绕过基于签名的安全系统,该系统通过识别网络包内容的相似性来减轻攻击。Leet僵尸网络与Mirai的"成就"不相上下这次袭击对我们来说是一年结束的信号,这是恰当的。缓解这一事件是一个重要的里程碑,也是我们网络恢复力的一个很好的证明。然而,我们也把它看作是未来事情的征兆。到目前为止,2016年所有巨大的DDoS攻击都与Mirai恶意软件有关。然而,有效载荷特征清楚地表明,无论是Mirai还是它的最新变种都没有用于这次攻击。具体表现如下:Mirai恶意软件不是用来进行大型SYN攻击的。iph->总长度=htons(sizeof(struct iphdr)+sizeof(struct tcphdr)+20);图6:Mirai代码的摘录,显示了SYN有效负载大小是如何硬编码的Mirai有硬编码的TCP选项(MSS、SACK、TSVAL、WSS),它们在99.99%的有效负载中并不存在(0.01%意外地相似)。//TCP手机*opts++=PROTO\u TCP\u OPT_MSS;*opts++=4;*((uint16_t*)opts)=htons(1400+(rand_next()&0x0f));opts+=大小(uint16);//允许TCP包*opts++=PROTO\u TCP\u OPT_SACK协议;*opts++=2;//TCP时间戳*opts++=PROTO_TCP_OPT_TSVAL协议;*opts++=10;*((uint32_t*)opts)=rand_next();opts+=大小(uint32);*((uint32_t*)opts=0;opts+=大小(uint32);//TCP无*opts++=1;//TCP窗口比例*opts++=PROTO_TCP_OPT_WSS协议;*opts++=3;*opts++=6;图7:Mirai的代码摘录,显示了TCP选项是如何硬编码的Mirai有效负载是由随机字符串生成的,而此攻击中的有效负载是由系统文件的内容构成的。这一切都指向了一个新的僵尸网络,它只能通过恶意软件作者在TCP头中留下的签名"1337"来识别。Leet僵尸网络拥有650 Gbps的带宽,是第一个与Mirai的成就匹敌的公司。然而,这并不是最后一次。今年,我们看到DDoS攻击升级到创纪录的高度,而这些高性能的僵尸网络只不过是时代的征兆而已。就像我们说的,情况会变得更糟。
