白帽大胜入侵者——一场经典的DDoS攻防战
攻击者发出的DNS请求数据包为36 bytes,而DNS服务器的响应数据包长为3000 bytes。攻击者伪装来自Spamhaus向DNS系统发起请求,之后依靠返回的响应包对Spamhaus发起攻击,使得合法用户不能访问到Spamhaus的网站系统。
(上)周二,Spamhaus遭受到严重的DDoS攻击,攻击流量达到75Gbps,导致所有用户均无法访问公司网站。ISP采取了实时黑名单的方式也无法阻止攻击。Spamhaus很快转向寻求专业提供网站防护和抗DDoS服务的CloudFlare公司的支持。
经典的一幕发生了。一方面是攻击者聚集了超大流量对单一网站进行攻击,另一方面是CloudFlare采用路由技术——Anycast进行攻击化解。
攻击者的攻击流量为75Gbps,这个流量超过了大多数僵尸网络所能够发起的攻击带宽。为了放大攻击流量,攻击者借助了DNS系统——一种可以将流量方法100倍的手段。DNS放大攻击是借助诸如AT&T、GoDaddy、SoftLayer和巴基斯坦电信这样提供开放式DNS服务器的系统。攻击者借助这些开放的DNS系统发起致命攻击的历史要追溯到若干年前。
CloudFlare公司CEO Matthew Prince称,攻击者发出的DNS请求数据包为36 bytes,然而,DNS服务器的响应数据包长为3000 bytes。攻击者伪装来自Spamhaus向DNS系统发起请求,之后依靠返回的响应包对Spamhaus发起攻击,使得合法用户不能访问到Spamhaus的网站系统。
拯救Spamhaus网站的“英雄”是——Anycast,依托一个路由协议将对某个IP的访问流量分发到全球23个数据中心去。互联网流量总会选择最短的路径。Anycast依据地理位置将海量的流量分散到几十个彼此独立的数据中心去,之后,每个数据包都将被检查。当发现符合异常行为的特征——例如来自开放DNS系统的3000bytes的响应包,数据包就将被丢弃。只有合法的访问流量才会被转发到Spamhaus所在的数据中心。
Anycast同时也有效阻止了攻击者对Spamhaus系统的其他类型攻击。当时,攻击者还对Spamhaus的反垃圾邮件系统进行的ACK 反射攻击。“ACK反射攻击,是攻击者伪装Spamhaus系统的IP向一些服务器发出大量的SYN包,”Prince说,“这些服务器会向Spamhaus系统返回ACK数据包。和DNS反射攻击类似,通过伪装为请求的发起一方,使得回应包指向被攻击的目标。”
相对于DNS反射攻击来说,ACK攻击相对容易防护,因为不存在放大的效应。CloudFlare有效丢弃了所有的非法ACK数据包。
具有讽刺意味的是,当CloudFlare阻止这些攻击的时候,网络运营商抗议他们的系统遭到了严重DNS/SYN Flood滥用。
这些评论亮了
-
xx国内的话,直接拔网线
特别推荐
活动预告
-
11月 上海
CIS 2019首席信息安全官闭门高峰论坛已结束 -
11月
CIS 2019议题抢先看已结束 -
10月
公开课双十一活动已结束 -
9月 上海
CIS 2019官网上线,早鸟票同步开售已结束
已有 25 条评论
依托一个路由协议将对某个IP的访问流量分发到全球23个数据中心去
BGP协议
谁能告诉我 攻击成本与防御成本 和最后使用的带宽?
反射式DNS 照成的翻倍 合法数据非常少
但是你把所有的分流到23个数据中心的带宽 这明显就是高富帅行为
“白帽大胜入侵者”笑而不语 话说现在集群硬防很便宜了吗
@anlfi 呵呵,国内遭遇到75GB的流量,不知还有几个互联网站点能抗住。
@anlfi 具体CloudFlare怎么进行的防护还没有详细的资料。从CloudFlare的图上来看,的确是基于就源清洗的思路,这也是未来大流量DDoS攻击防护的基本理念。如果不把攻击流量分散到多点来清洗,任何一套系统都不可能在单点解决几十G,甚至上百G的攻击流量的。
国内的话,直接拔网线
搞不懂,这样的转载过来有什么意思
@x0sec 你来翻译一个看看?
@x0sec 你来一篇看看?
@x0sec 多谢指正。此次事件的防护的确存在争议。不过,远程牵引进行流量清洗的确是未来的趋势。提供抗DDoS清洗的MSSP一般都会在各个大洲建立清洗中心,通过就源清洗来解决洲际牵引的问题。
没说攻击的目的啊……
@0x7c 实在抱歉,这则资讯里的确没有对攻击事件进行详细的描述。其实,这次攻击在海外已经有很多报道了。请参考我3月20日的新浪微博@blackscreen,题目为【Anonymous被栽赃,实为俄罗斯组织所为】,里面有该事件的描述。谢谢~
对于DDoS的终极防御,其实还得靠各个ISP,IDC在源端进行清洗,各个ISP,IDC建立DDoS事件应急响应中心,很多年前最早讨论下水道路由的那个什么“北美XXOO”的论坛上就提出了这一的思路,在中国也和一些ISP交流过,但基本上不可能,靠商家来是不太靠谱了,还是的靠行政力量推动。
转发微博
转发微博
转发微博
转发微博
转发微博
转发微博
转发微博
转发微博
转发微博
转发微博
75G通过路由协议分发。这个你确定可行么?每个数据包都将被检查。当发现符合异常行为的特征——例如来自开放DNS系统的3000bytes的响应包,数据包就将被丢弃。只有合法的访问流量才会被转发到Spamhaus所在的数据中心。这个分布集群硬防没区别的,只要有钱买的起,貌似不需要什么分布吧?
@FB客服
http://www.freebuf.com/news/8046.html
攻击者的攻击流量为75Gbps,这个流量超过了大多数僵尸网络所能够发起的攻击带宽。为了放大攻击流量,攻击者借助了DNS系统——一种可以将流量方法100倍的手段。DNS放大攻击是借助诸如AT&T、GoDaddy、SoftLayer和巴基斯坦电信这样提供开放式DNS服务器的系统。攻击者借助这些开放的DNS系统发起致命攻击的历史要追溯到若干年前。
一种可以将流量方法100倍的手段 这句话写错了吧。 方法 还是 放大?
CDN厂商或可能最合适做DDoS防御服务。
//勇猛