記一次被DDoS敲詐的歷程

黑客3

聲明:本文來自于微信公眾號糖果的實驗室(ID:mycandylab),作者:糖果LUA,授權站長之家轉載發布。

0×01 背景

之前一個蜀國的朋友業務被DDOS攻擊,業務服務被機房斷網,客戶單流失有經濟損失,這篇具體說的就是這件事情。

背景是這樣,一個朋友網站業務被DDoS了,先是威脅要 800 元RMB,然后又轉成提供DDOS的服務,然后又變成了DDOS培訓, 又變成了賣DDOS軟件,最后又變成了DDOS高防測試提供者,最后到警察叔叔那里,報警立案成功的故事。

采用高仿系統對于防護ddos問題當然有效,但也要注意誤攔行為對用戶訂單的影響。每個公司的具體情況是不一樣的,解決問題也要有具體的針對性,比如當機房不是自己的,路由防火墻設備不是自己控制的,無法從類似設備上取得第一手流量信息時(如果能用SNMP),如何處理。當CDN是第三方提供,不能進行黑名單阻斷設置等各種情況下,又如何處理。

0×02 來自黑客的威脅

就在這幾天,一個朋友傳來了他被DDoS的消息,正在搬磚中看到他發的消息,說他們的客服收到到 0118 號客人的威脅信息,說要馬上干掉你們。

這位朋友可能見過大場面的人,這點威脅就能嚇倒他嗎, 太天真了。

大家可看看下面這個圖。 

看到上面這個流量激增你們也能看出來,之后服務器真的就掛了,真的掛了,掛了。

這位朋友默默的看了眼高仿的價格,這個價格再次擊穿了他的心里防線。 我買,我買, 我買不起。買不起是開玩笑,但這也太貴了。 

不過這個時候這位朋友想起來了,客服留言中的那個黑客微信聯系方式, 先加個微信會會這位朋友。

這么長的對話內容,大概的意思是說, 對方要 800 塊錢,并且還能幫助搞其它競爭對手。這位朋友的回答就比較藝術了,沒錢,要錢向老板要去。

0×03 常見流量攻擊的形式

到這了,我們插入一段技術內容,流量攻擊的幾種常見形式。

到 7 層的攻擊

1.大量肉雞產生的CC(ChallengeCollapsar)。

2.向WEB服務端口發送的大量的,巨型垃圾包(其實也不是很大,單條1MB以上)。

到 4 層的攻擊    

3.TCP sync攻擊,每次第一次tcp握手就跑,純撩閑式的方式。

除了sync方式攻擊,其它的兩種,都可以達到 7 層,形成WEB服務日志。

第 1 種和第 2 種,我們都可以看到nginx日志,大post的垃圾請求有一個問題是,發送的請求數據,可能都不符合HTTP規范。

比較粗爆的請求,可以通過下面簡單的方法, 加入到nginx.conf配置中,進行非http請求的協議數據的過濾。

1.限定請求方法:

if ($request_method !~ ^(GET|HEAD)$ ) { return444;}

 2.限定主機名:

if ($host !~* xxx\.com$) {return 444;}

0×04 WAF防護

我們的服務有很多都是用nginx、openresy、tengine搭建的,所以用nginx lua做WAF防護也是一件很正常的事, 看看下面的配置就能知道這位朋友用的是那個WAF了吧。 

用LUA寫CC的安全策略是一個相對很便捷的過程。

威脅請求產生了大量的 501 和444。

命中了策略后,產生了對應的命中日志。

就算我們明確知道攻擊源,要進行攔截也是有問題的,我們在服務器上部署了WAF,但前端服務還有CDN和LVS,可以在后端分析出威脅,但不能在這些設備上進行ip block阻斷。 

并且,這位朋友的日志分析還沒有應用到大數據層面,在手動分析日志階段, 這樣分析和響應速度很難和WAF協同工作。

但就算WAF可以攔截一部分威脅,當小規模的機房和服務器還是有帶寬上限的,一旦請深求擁堵帶寬大于這個上限,還是一樣無響應。

并且有機房根本沒有阻斷功能,只有報警功能,一般帶寬被占滿,業務就會被機房業斷網。

聲明:本文轉載自第三方媒體,如需轉載,請聯系版權方授權轉載。協助申請

相關文章

相關熱點

查看更多
?
传奇霸业广告