freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

绿盟科技威胁分析报告 ——DDoS兵器谱2014Q2版
2014-07-30 13:00:52

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

作者:曹志华

一. 摘要

网络攻防是发生在第五空间的对抗和战争。这是一个动态的过程,无论攻击者还是防御者都在实战中寻求进步。攻防双方的“兵器”就在这个战场中不断磨砺和进化。绿盟科技关注攻防的最新进展,为了帮助客户更好的对抗网络威胁,每个季度会推出最新的“DDoS兵器谱” ,介绍DDoS工具的最新发展和变化。本期兵器谱将带来以下三款DDoS工具: GoldenEye、DAVOSET以及Tor’s Hammer
为了让读者对每个工具有更直观的了解,我们从五个维度对DDoS工具进行了评分,得分从低到高用一星到三星表示。五个维度的含义如下:

1、破坏性:对服务造成伤害的能力;
2、协同性:分布式协同的能力;
3、隐蔽性:通过伪造地址使得攻击者难以被追踪的能力,以及攻击本身难以被检测和缓解的特性;
4、扩展性:是否便于可以自定义或扩展攻击负载;
5、多样性:是否具备发动多种攻击以及混合攻击的能力。

二.GoldenEye

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

GoldenEye(最新版本为2.1)是一个主打应用层(http flood)攻击的工具,从Hulk项目发展而来,同Hulk一样它也使用python编写,支持多平台运行,攻击方式上支持http get 、http post和random。

工具特色:

  - 支持KeepAlive 和 NoCache功能

  - 随机化的http header

  - 可定义的User-Agent列表(默认随机)

  - 支持Android(GoldenEye 4 Android)平台

工具运行截图:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

测试时捕获的数据包:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

构建随机化的http header:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

虽然实际测试(被攻击目标没有任何防护措施)下来看效果不错,但同其前辈Hulk一样,它也有其固有弱点: 首先,它不能隐藏攻击源;其次,频繁的、傻瓜式的直连请求很难突破目标主机交互性的防护措施(如:常用的http 302跳转等)。这种工具的适用场景更多的是有针对性的、可控的实验室性质的压力测试,这也是作者开发工具的初衷。

三.DAVOSET

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

DAVOSET(最新版本为1.2)是一个perl脚本,有perl执行环境即可。与前面介绍的直连式的GoldenEye不同,它又被称之为Proxy Attacks,是借助有漏洞的、合法的第三方身份实施攻击而做到自身的隐藏,可以看作是更广泛意义上的反射攻击。而且Proxy Attacks可利用的反射点众多, 也使得这种攻击更加难以封堵。

工具特色:

  - 利用代理发动攻击,一定程度上可以隐藏自身

  - 不定期更新可用的反射点

  - 反射点通常有较强的可交互性,容易绕过目标防护措施

实施这种攻击最重要的是有众多可利用的反射点,攻击者可自己网络搜索,也可利用工具附带的完整列表。

工具运行截图:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

作为测试, 这里选用绿盟主页(www.nsfocus.com)作为测试目标。反射点为: http://about42.nl/www/showheaders.php

捕获的数据包:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

其效果等同于直接访问反射点:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

从反馈(获取到的头部信息)看,反射点替我们完成了对www.nsfocus.com的访问请求。 更重要的是这种反射点很容易找到,且工具允许使用者按一定的规则自由添加。

四.Tor’s Hammer

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

Tor’s Hammer (最新版本为1.0)的原始版本于2011年由Packet Storm Security开发完成,是一个基于python的、可多平台运行的、主打post慢速攻击的压力测试工具,针对的是有漏洞的Apache 服务器。鉴于Tor’s Hammer工具已不再更新,An0nsec黑客组织于2012年开发出了增强版的Tor’s Hammer 666(暂无链接),并将其用于诸如OpUSA、 OpPetrol以及 OpIsrael的攻击活动中。

工具特色:

  - 主打slow post功能

  - 可使用匿名网络TOR(需安装TOR并监听于127.0.0.1:9050)发动攻击

工具的运行界面:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

捕获的数据包:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

慢攻攻击并不是对所有的攻击目标有效,这限制了工具的使用范围。所标称的TOR匿名网络在当前国内的网络环境下更多的是一个噱头。

五.参考

GoldenEye

DAVOSET

Tor’s Hammer

工具时间类型运行平台
Hping2004ICMP/UDP/SYNLinux、Windows、Mac OS
Slowloris2007HTTP GETPerl运行环境
LOIC2009年6月UDP/TCP/HTTP GETLinux、Windows、Mac OS
PenTBox2009年7月SYN/TCPLinux、Windows、Mac OS
R.U.D.Y2011年1月HTTP POSTpython运行环境
HOIC2011年3月HTTP GETLinux、Windows、Mac OS
THC SSL DOS2011年10月SSL renegotiationLinux、Windows、Mac OS
Zarp2012年2月SYNLinux
HULK2012年5月HTTP GETpython运行环境
GoldenEye2014年2月HTTP GET/POSTpython运行环境
DAVOSET2014年4月Proxy AttacksPerl运行环境
Tor’s Hammer2011年SLOW POSTpython运行环境

via 绿盟科技云安全中心

本文作者:, 转载请注明来自FreeBuf.COM

# nsfocus
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦