登录 | 地图 欢迎访问【UZ导航】
当前位置:网站首页 > 推荐 > 正文

记一次被DDoS敲诈的历程

admin 2019-06-30 226 浏览 0 评论

0×01 背景

之前一个蜀国的朋友业务被DDOS攻击,业务服务被机房断网,客户单流失有经济损失,这篇具体说的就是这件事情


背景是这样,一个朋友网站业务被DDoS了,先是威胁要800元RMB,然后又转成提供DDOS的服务,然后又变成了DDOS培训, 又变成了卖DDOS软件,最后又变成了DDOS高防测试提供者,最后到警察叔叔那里,报警立案成功的故事。


采用高仿系统对于防护ddos问题当然有效,但也要注意误拦行为对用户订单的影响。每个公司的具体情况是不一样的,解决问题也要有具体的针对性,比如当机房不是自己的,路由防火墙设备不是自己控制的,无法从类似设备上取得第一手流量信息时(如果能用SNMP),如何处理。当CDN是第三方提供,不能进行黑名单阻断设置等各种情况下,又如何处理。


0×02 来自黑客的威胁

就在这几天,一个朋友传来了他被DDoS的消息,正在搬砖中看到他发的消息,说他们的客服收到到0118号客人的威胁信息,说要马上干掉你们。

1.jpg

这位朋友可能见过大场面的人,这点威胁就能吓倒他吗, 太天真了。

大家可看看下面这个图。

2.jpg

看到上面这个流量激增你们也能看出来,之后服务器真的就挂了,真的挂了,挂了。

3.jpg

这位朋友默默的看了眼高仿的价格,这个价格再次击穿了他的心里防线。 我买,我买, 我买不起。买不起是开玩笑,但这也太贵了。


不过这个时候这位朋友想起来了,客服留言中的那个黑客微信联系方式, 先加个微信会会这位朋友。


内容太长,大概的意思是说, 对方要800块钱,并且还能帮助搞其它竞争对手。这位朋友的回答就比较艺术了,没钱,要钱向老板要去。


0×03 常见流量攻击的形式

到这了,我们插入一段技术内容,流量攻击的几种常见形式。


到7层的攻击


1.大量肉鸡产生的CC(ChallengeCollapsar)。


2.向WEB服务端口发送的大量的,巨型垃圾包(其实也不是很大,单条1MB以上)。


到4层的攻击


3.TCP sync攻击,每次第一次tcp握手就跑,纯撩闲式的方式。


除了sync方式攻击,其它的两种,都可以达到7层,形成WEB服务日志。


第1种和第2种,我们都可以看到nginx日志,大post的垃圾请求有一个问题是,发送的请求数据,可能都不符合HTTP规范。


比较粗爆的请求,可以通过下面简单的方法, 加入到nginx.conf配置中,进行非http请求的协议数据的过滤。


1.限定请求方法:


if ($request_method !~ ^(GET|HEAD)$ ) {


 return 444;


}


2.限定主机名:


if ($host !~* xxx\.com$) 


{ return 444;


}


0×04 WAF防护

我们的服务有很多都是用nginx、openresy、tengine搭建的,所以用nginx lua做WAF防护也是一件很正常的事, 看看下面的配置就能知道这位朋友用的是那个WAF了吧。

4.jpg

用LUA写CC的安全策略是一个相对很便捷的过程。

5.jpg

威胁请求产生了大量的501和444。

6.jpg

命中了策略后,产生了对应的命中日志。

7.jpg


就算我们明确知道攻击源,要进行拦截也是有问题的,我们在服务器上部署了WAF,但前端服务还有CDN和LVS,可以在后端分析出威胁,但不能在这些设备上进行ip block阻断。


并且,这位朋友的日志分析还没有应用到大数据层面,在手动分析日志阶段, 这样分析和响应速度很难和WAF协同工作。


但就算WAF可以拦截一部分威胁,当小规模的机房和服务器还是有带宽上限的,一旦请深求拥堵带宽大于这个上限,还是一样无响应。


并且有机房根本没有阻断功能,只有报警功能,一般带宽被占满,业务就会被机房业断网。


8.jpg

0×05 左右互博

攻击是消停了,可是这位朋友感觉还是不对, 要不就模拟一下自己DDoS自己机吧。

1.jpg

拿起心爱的GO开撸:

package main

import (

"fmt"

"io"

"io/ioutil"

"net/http"

"os"

"time"

"strconv"

)

func main() {

start := time.Now()

ch := make(chan string)

var count int64 = 1

times,_ := strconv.ParseInt(os.Args[1],10,64)

url := os.Args[2]

for count = 0; count <= times; count++ {

go fetch(url, ch, count) // start a goroutine

}

for count = 0; count <= times; count++ {

fmt.Println(<-ch) // receive from channel ch

}

fmt.Printf("%.2fs elapsed\n", time.Since(start).Seconds())

}

func fetch(url string, ch chan<- string,count int64) {

start := time.Now()

resp, err := http.Get(url)

if err != nil {

ch <- fmt.Sprint(err) // send to channel ch

return

}

nbytes, err := io.Copy(ioutil.Discard, resp.Body)

resp.Body.Close() // don't leak resources

if err != nil {

ch <- fmt.Sprintf("while reading %s: %v", url, err)

return

}

secs := time.Since(start).Seconds()

ch <- fmt.Sprintf("%7d %.2fs %7d %s",count, secs, nbytes,url)

}

0×06 采用高防

朋友这段自创的GO就是模拟产生大量的GET请求。结果朋友发现自己针对自己的,服务也一样抗不住,有反正都是造成拥塞,干脆就用WRK得了,就模拟正常的HTTP请求就行。

wrk -c1000-t10 -d10 --latency http://127.0.0.1:8080 /find

结果一样扛不住,还得找那个哥哥聊聊。

2.jpg

结果这个发起DDoS的哥们,从攻击改成培训了, 传授相关技术培训费1200,上手快,时间段,经济效益高,但是犯法,这个不能干!

3.jpg

朋友先给200人家不要,不过有新情况, 不但可以培训,还可以卖软件,黑产现在都这么会做生意了吗,这么多才多艺。

4.jpg

0×07 取证报官

朋友一看,请救兵吧,高防还是得买,然后报官,这时候就得去找警察叔叔。


前行100米和警察叔叔友好交流,和警察叔叔聊了一下,发现了一个问题。


800元也够不到5000元啊,但是警察叔叔让回去收集证据了。


0×08 高防测试

这位朋友最后还是找到一家公司提供高防服务,希望在自动切换以外,可以手动切换到高仿。


因为有很多的域名接入,在测试阶段发现,接入高仿以后,貌似有很多的正常流量和CDN的流理被清洗掉了,这样一天下来掉了很多单的销量。因为还是在测试阶段,还需要进一步的测试确认和加白。


用户->CDN->高仿->服务。


上了高防护了好不好用啊,这朋友想问问DDoS的朋友,接收不接收测试的活。

5.jpg

到这个,就想问一句,抗DDOS的硬盘能不能也给来一块。


持续一段时间的攻击来了,但是服务貌似应该没挂。


0×09 立案成功

6.jpg

文章的最后就是,这位朋友成功的立案了,还是警察叔叔给力, 能不能抓到威胁要800元的朋友要看后续。


0×10 学习安全技术

这位朋友高仿也上了,也立案了,利用间歇时间赶紧抓紧间学习安全知识, 上Freebuf找公开课看,安全技术书到用时方恨少。有人问安全有什么用,像这位朋友如果服务被攻击,每天会丢失的订单,订单的成本应该远远不是800元这个金额。


0×11 高防外的可能方案

实际上,因为我们这位蜀国朋友的服务不在自建机房,实际上机房的具体报警策略,机房提供商不会给被服务者提供的,当机房中的某个IP流量过大,就可能触发流量报警,甚至后续的断网。


假设整个网络结点的抽象结构是下面这样:


机房网络设备-> 防火墙->CDN->WAF->WEB服务


1.什么做不到


1.1 不能在机房和CDN层面时行拦截


那机房网络设备、防火墙是没法干预的,拦截策略也是不知道的。


就算我们自己从WEB服务中分析出异常的访问, 也没有办法在机房设备上拦截。 如果CDN提供商也不支持IP封禁接口,也不能在cdn上进行拦截。


1.2 不能过滤80和443以外的流量


在这位朋友的网格结构中没有提到LVS等负载的情况, 这样的话,就不具备LVS过滤80和443端口以外数据的能力。


2.什么能做到


实际的WAF和业务服务器这位朋友是可以操作的,如果可以4层流量中取得HTTP日志,可在4层阶段让日志落地。但实际如果在WAF结果之前都不能做拦截动作, 就只能直接在7层通过Openresty解析出HTTP数据和日志再做分析,这样那个效率高,具体看情况。


2.1 做日志分析


Openresty落地的HTTP日志都是可以分析,如是不是通过大流量的网络聚合日志,一般的ELK对单个WEB日志的数据就可以分析,分析出威胁可疑的IP,发现其中的集团攻击行为,也可以与威胁情报库碰撞,发现异常被控肉机等。


2.2 停止域名解析


因为网站多域名解析的设计,可以在机房断网之前,停止被攻击的域名解析。一个域名停制解析不会大面积影响订单。这样就需要找到一个报警阀值,这个值与机房断网的阀值相关,当WAF分析出可能会造成机房断网的那个极限量时,就提前触发停止域名解析。


3.期望能做到什么


期望第三方CDN可以提供IP拦截接口,期望高仿支持接口手动切换高仿。


期待这位朋友,在沉迷于网络安全技术学习的同时,不在被攻击困扰。


相关推荐

警察偷拍同事获刑入狱6年!
警察偷拍同事获刑入狱6年!

警察偷拍同事获刑怎么回事?据俄罗斯卫星网18日报道,据《纽约邮报》报道,美国加州长滩警察局一名警察因偷拍同事使用洗手间等私密视频而被判入狱6年。据报道,这名警察...

5小时前 admin

乐视总部大楼被中止拍卖 曾经千亿市值今付不起612万
乐视总部大楼被中止拍卖 曾经千亿市值今付不起612万

原标题:贾跃亭的烦恼:曾经千亿市值的乐视被612万元难倒如今总部大楼还被中止拍卖  来源:每日经济新闻  每经记者陈梦妤   ...

6小时前 admin

金立新增被执行超1.8亿 新品能否自救?
金立新增被执行超1.8亿 新品能否自救?

新京报讯(记者陈维城)记者11月19日获悉,天眼查工商信息显示,11月18日,深圳市金立通信设备有限公司新增两条被执行人信息,累计执行标的超1.8亿元。  深...

7小时前 admin

全球最环保的搜索引擎:每搜索45次就种一棵树
全球最环保的搜索引擎:每搜索45次就种一棵树

  新浪科技讯北京时间11月19日晚间消息,据国外媒体报道,德国搜索引擎Ecosia被誉为是“全球最环保”的搜索引擎,因为用户的每一次浏览都相当于在种树。  ...

8小时前 admin

html常用代码
html常用代码

1.文件类型<HTML></HTML>(放在档案的开头与结尾)2.文件主题<TITLE></TITLE>...

11小时前 admin

不为人知的好东西
不为人知的好东西

收集和分享互联网上不为人知的好东西。今天呢小编又给大家带来了两款非常小众的软件,一起来看一下吧。第一款软件呢,叫做MYDM,是一个全能型的下载器了,有点类似于x...

11小时前 admin

王思聪创业:生于万达,死于腾讯
王思聪创业:生于万达,死于腾讯

 一年前,王思聪在微博上搞了个抽奖:为了庆祝iG夺冠,拿出113万现金,抽113个人平分。  这个抽奖有一个特殊的规则,就是腾讯和英雄联盟的员工不能参与。  当...

11小时前 admin

百度小程序白屏检测规则变更
百度小程序白屏检测规则变更

尊敬的开发者:您好!为更好提升小程序运行性能与稳定性,现将白屏检测规则修改如下: 从“小程序页面框架创建时开始计算时间,6秒后进行截图分析。当截图为空...

18小时前 admin

企业微信:互联网最后的流量洼地
企业微信:互联网最后的流量洼地

微信是不是在走下坡路了?我听说用户时长下降、用户黏性下降,被短视频分流的很厉害!”他们好像是在陈述一个事实,而不是观点;尽管他们拿不出“微信在走下坡路”的任何真...

19小时前 admin

“黑色星期五”首进日本,亚马逊推促销活动
“黑色星期五”首进日本,亚马逊推促销活动

11月和12月都是美国和中国的购物旺季。不同的是,中国是集中在双十一,美国则是因为“黑色星期五”。所谓黑色星期五,便是在感恩节的第二天。感恩节为11月第四个星期...

1天前 admin

5G终端上新 中国移动发布2020年终端产品规划
5G终端上新 中国移动发布2020年终端产品规划

11月15日,在中国移动召开的5G泛智能终端渠道生态合作峰会上,中国移动发布2020年终端产品规划及5G产品白皮书。此外,中国移动“5G终端先行者产业联盟”发布...

1天前 admin

字节跳动或推出音乐流媒体服务
字节跳动或推出音乐流媒体服务

字节跳动的抖音捧红众多神曲后,或将正式进入音乐流媒体行业。11月18日,据英国金融时报报道,今日头条、抖音、TikTok母公司字节跳动计划推出与Spotify和...

1天前 admin

快手与央视达成2020春晚独家互动合作
快手与央视达成2020春晚独家互动合作

《晚点LatePost》获悉,快手已经竞标拿下2020年央视春晚独家互动合作伙伴,竞标方有阿里、拼多多、字节跳动。这意味着,快手不仅将独家参与从春晚预热、晚会当...

1天前 admin

春节还有2个月,为什么今年提早返乡?
春节还有2个月,为什么今年提早返乡?

最近几年返乡潮确实一直是人们经常提起的话题,返乡潮的定义是指一些劳务输出大省出现农民工成批返乡的现象,同时在返乡潮的基础上,最近部分地区还出现了“提前返乡”的现...

1天前 admin

马云:每晚有1700万人逛淘宝但什么都不买
马云:每晚有1700万人逛淘宝但什么都不买

 11月16日消息,日前,马云一天跑三个非洲国家,接连出现在非洲的尼日利亚、多哥和加纳,成为了三个国家“年轻人鼓励师”。  马云说:“我想来非洲,当我来到非洲的...

2天前 admin

因业务调整,三星音乐暂停购买付费VIP
因业务调整,三星音乐暂停购买付费VIP

11月17日消息据网友反馈,三星音乐因服务模式即将调整,暂停VIP会员购买业务。  这一幕似曾相识。早在今年8月份,三星视频就发出通知,称因业务调整,三星视频...

2天前 admin

马云一天跑三个非洲国家
  • 马云一天跑三个非洲国家
  • 马云一天跑三个非洲国家
  • 马云一天跑三个非洲国家
  • 马云一天跑三个非洲国家
驾照记满12分怎么办?原来可以这样清零!
驾照记满12分怎么办?原来可以这样清零!

驾照记满12分了,怎么办?超过24分,几本驾照都不能清完又怎么办?群众A:先扣一个12分,从考一个在扣?群众A:那扣了60分,不是要考5次。小编:这2个清零方法...

2天前 admin

双11过后,域名tm.com以125万美元成交
双11过后,域名tm.com以125万美元成交

阿里又搞大事情?双11过后,域名tm.com以125万美元价格成交,难道买家是天猫?据前方最新消息,极品两字母域名tm.com已于北京时间11月15日上午完成交...

3天前 admin

查询百度、360搜索、搜狗三大搜索引擎的网站数据指标
查询百度、360搜索、搜狗三大搜索引擎的网站数据指标

导语:不会用工具的SEOer都不是好SEOer,要做好SEO我们就要会使用工具。现在就跟大家聊聊我们经常会用到的几款工具,可能大部分的站长都在用,所以想说说小编...

3天前 admin

欢迎 发表评论: