当前位置:主页>资 讯>安全动态>

白帽大胜入侵者 一场经典的DDoS攻防战

上周二,Spamhaus遭受到严重的DDoS攻击,攻击流量达到75Gbps,导致所有用户均无法访问公司网站。ISP采取了实时黑名单的方式也无法阻止攻击。Spamhaus很快转向寻求专业提供网站防护和抗DDoS服务的CloudFlare公司的支持。

经典的一幕发生了。一方面是攻击者聚集了超大流量对单一网站进行攻击,另一方面是CloudFlare采用路由技术——Anycast进行攻击化解。

攻击者的攻击流量为75Gbps,这个流量超过了大多数僵尸网络所能够发起的攻击带宽。为了放大攻击流量,攻击者借助了DNS系统——一种可以将流量放大100倍的手段。DNS放大攻击是借助诸如AT&T、GoDaddy、SoftLayer和巴基斯坦电信这样提供开放式DNS服务器的系统。攻击者借助这些开放的DNS系统发起致命攻击的历史要追溯到若干年前。

CloudFlare公司CEO Matthew Prince称,攻击者发出的DNS请求数据包为36 bytes。然而,DNS服务器的响应数据包长为3000 bytes。攻击者伪装来自Spamhaus向DNS系统发起请求,之后依靠返回的响应包对Spamhaus发起攻击,使得合法用户不能访问到Spamhaus的网站系统。

拯救Spamhaus网站的“英雄”是——Anycast,依托一个路由协议将对某个IP的访问流量分发到全球23个数据中心去。互联网流量总会选择最短的路径。Anycast依据地理位置将海量的流量分散到几十个彼此独立的数据中心去,之后,每个数据包都将被检查。当发现符合异常行为的特征——例如来自开放DNS系统的3000bytes的响应包,数据包就将被丢弃。只有合法的访问流量才会被转发到Spamhaus所在的数据中心。

Anycast同时也有效阻止了攻击者对Spamhaus系统的其他类型攻击。当时,攻击者还对Spamhaus的反垃圾邮件系统进行的ACK 反射攻击。“ACK反射攻击,是攻击者伪装Spamhaus系统的IP向一些服务器发出大量的SYN包,”Prince说,“这些服务器会向Spamhaus系统返回ACK数据包。和DNS反射攻击类似,通过伪装为请求的发起一方,使得回应包指向被攻击的目标。”

相对于DNS反射攻击来说,ACK攻击相对容易防护,因为不存在放大的效应。CloudFlare有效丢弃了所有的非法ACK数据包。

具有讽刺意味的是,当CloudFlare阻止这些攻击的时候,网络运营商抗议他们的系统遭到了严重DNS/SYN Flood滥用。

有网友指出,把所有的分流到23个数据中心的带宽,这明显就是高富帅行为,对所谓的“白帽大胜入侵者”表示笑而不语。

此次事件的防护的确存在争议。不过,远程牵引进行流量清洗的确是未来的趋势。提供抗DDoS清洗的MSSP一般都会在各个大洲建立清洗中心,通过就源清洗来解决洲际牵引的问题。

(责任编辑:)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

由蜜罐引发的物联网安全小谈

由蜜罐引发的物联网安全小谈

最近几年,物联网正以迅雷不及掩耳之势四处圈地,凡联网之物都能被黑的恶名也如影随形...[详细]

女子傻眼:银行卡刚存30万,瞬间只剩400

女子傻眼:银行卡刚存30万,瞬间只剩400

个人信息被泄露,在这个年代,好像已经屡见不鲜。但昨天,记者从海曙检察院听闻了一个...[详细]

黑客针对香港的网络攻击中利用了新型的IE浏

黑客针对香港的网络攻击中利用了新型的IE浏览器0day

微软公司在昨日修复了漏洞(CNNVD-201508-429),但攻击者已经在进行水坑攻击的过程中利...[详细]

骗子植入手机木马的10大招术:看完你将会“

骗子植入手机木马的10大招术:看完你将会“百毒不侵”

一、冒充移动客服10086 此类案件中,犯罪分子通过技术手段伪装成移动客服10086向不特...[详细]

滴滴打车有漏洞 淘宝买个软件免费打车

滴滴打车有漏洞 淘宝买个软件免费打车

近日,重庆晚报记者接到读者反映,不法商人用黑客软件刷券在淘宝网销售,声称只要几元...[详细]

返回首页 返回顶部