歡迎來到太平洋安防網!
微信號
掃描上方二維碼
加入網站訂閱號
掃描上方二維碼
加入商城公眾號
手機站
掃描上方二維碼
訪問手機站
太平洋安防資訊
資訊
當前位置:安防首頁 > 資訊 > 企業動態

金山云安珀實驗室:主動出擊方能更高效應對DDoS攻擊

2018-12-14 15:07:52來源:太平洋安防網已被 196 人閱讀

內容摘要:近年來,以萬物互聯為標志的數字世界不斷建設完善,可聯網設備數量空前高漲,但囿于安全防范意識薄弱、防范手段不足等原因,由此而引發的網絡安全問題,可謂層出不窮。其中,以分布式拒絕服務攻擊(DDoS)為代表的攻擊手段,因為簡單易操作、影響范圍廣、造成損失大,成為業界防范的焦點。
  近年來,以萬物互聯為標志的數字世界不斷建設完善,可聯網設備數量空前高漲,但囿于安全防范意識薄弱、防范手段不足等原因,由此而引發的網絡安全問題,可謂層出不窮。其中,以分布式拒絕服務攻擊(DDoS)為代表的攻擊手段,因為簡單易操作、影響范圍廣、造成損失大,成為業界防范的焦點。

在近日舉辦的FreeBuf互聯網安全創新大會上,金山云安珀實驗室資深研究員馬西興基于豐富的防DDoS攻擊研究經驗,從“如何在僵尸網絡發動DDoS攻擊時提前預警”的角度,對DDoS攻防進行了分享。馬西興認為:絕大多數DDoS攻擊都是有跡可循的,通過前期周密的預警研究,讓攻擊在發起前即可偵測到,提前做好防范措施,是應對DDoS攻擊最有效的手段之一。

51

金山云安珀實驗室資深研究員馬西興在FIT大會上發表演講

不戰而屈人之兵,將DDoS攻擊扼殺在萌芽狀態

當前,隨著各行各業全面互聯網化,DDoS可攻擊范圍愈發廣泛,攻擊流量高峰頻現,今年上半年發生的一起Memcached DDoS攻擊,其峰值達到了1.7Tbps,創歷史新高。而由各僵尸網絡驅動的新型DDoS攻擊出租服務平臺不斷涌現,讓獲取DDoS攻擊能力日趨簡單,成本持續走低,也讓防范DDoS攻擊的急迫性日益嚴峻。

現階段全球范圍內對于由僵尸網絡所發起的DDoS攻擊并沒有十分有效的應對措施,只能夠對其進行感知防護。在主機受到感染后發出DDoS攻擊而導致網絡流量出現問題時,才能夠發現網絡運行存在問題,若能在主機受到感染進而發出執行命令前檢測感知到網絡異常現象,提出針對性的預警措施,對于防范DDoS攻擊及減少可能造成的損失,可以起到事半功倍的效果。

52

基于傳統肉雞養殖場的僵尸網絡檢測方法主要利用各類蜜罐、入侵檢測系統、Netflow異常流量檢測等安全分析系統。在談到金山云DDoS預警與其他方式的不同之處時,馬西興表示:“我們實驗室研究員通過對肉雞樣本進行深入逆向分析,按照其和C&C端的交互協議,對BOT端進行代碼重構,能夠做到在C&C端發出攻擊指令的同時,對目標站點進行攻擊預警,同時在系統資源占用、反沙箱、漏洞利用監測等方面達到了較好的效果,從而實現不戰而屈人之兵,將DDoS攻擊扼殺在萌芽狀態。”

千里追蹤求真相,主動出擊告別被動防御

在今年初,金山云安珀實驗室成功追蹤到一起利用大規模僵尸網絡進行大流量DDoS攻擊的有組織活動,該組織掌握的肉雞最多高達75萬臺,通過層層加密隱匿攻擊源頭,在幕后對企業、機構發動針對性的大規模DDoS攻擊,進而謀取不正當利益。在監控到網絡流量異常后,金山云第一時間進行分析排查,確定異常流量來自某幾臺被控制的云主機,正在對外發起大流量的DDoS攻擊,深入調查后發現,這些云主機屬于某僵尸網絡控制的肉雞,最后順藤摸瓜,成功追蹤到攻擊源。

“這是安珀實驗室在DDoS防御上的一個比較典型的案例,相比于被動的高防清洗,主動出擊尋找攻擊源頭,顯然是更高效的防御手段,”馬西興表示,“金山云通過逆向協議分析流程,獲取C&C域名或IP地址、主機上線協議、心跳協議、攻擊協議、控制協議等關鍵樣本信息,來輔助預警工作。”具體而言,一方面讓樣本在沙盒中跑起來,觀察它在運行過程中的流量交互信息;另一方面通過對其進行反匯編,遇到加密的指令時,對加密指令進行解密操作,從而獲取更多有效信息。

C&C域名或IP地址作為連接的來源,追蹤到就等于成功了一半,但黑客往往會采用隱匿攻擊源,讓肉雞的每次訪問都有可能返回不同的IP。安珀實驗室通過NMAP掃描服務器對外開放的端口,將疑似端口都加入到金山云配置文件中,經過反復調查,從而來確認黑客下發攻擊指令的地址。

“無間道”式防御策略,從攻擊源頭進行預警監控

“一旦連上黑客的服務器,就需要發送上線協議給黑客了,不同的家族往往有不同的上線協議,但目的都是一樣,即告訴黑客肉雞已經上線了,”馬西興講到,“上線協議通常包含CPU型號、操作系統版本號、內存、硬盤、網絡帶寬、IP地址等信息,也有特定的家族使用固定的16進制字符串來表示。”

在響應策略上,通常是按需回復和記錄。比如在收到ping指令時,簡單回復一個pong給主機,通過盡量模仿真實肉雞的行為,避免被黑客發現真實身份。經過一段時間的運行后,就可以得到黑客的全部歷史攻擊指令數據庫。此外,金山云還輸出了一個json格式的預警接口,用戶調用后,就能立刻返回接收到的最后若干條攻擊指令,也可在檢測到攻擊指定站點時,通過短信報警的方式對目標站點發出實時預警。

53

“拿到流量之后,我們需要提取流量中的C&C域名和IP地址,”馬西興講到,“針對不同的家族,有不同的C&C提取方法,對于gafgyt家族,肉雞上線后,控制端會發送一條掃描指令,可以直接提取源地址;而mirai家族在上線時,會向C&C發送固定格式的上線包,此時可以提取上線包的目的地址”。通過這些方式,就可以拿到C&C列表,用來做威脅情報的數據源。

在馬西興看來,一個完整的DDoS預警流程如下:通過對樣本庫中的每一個樣本進行掃描、分析,得到樣本的家族分類、域名、IP、端口等信息,將其存儲到數據庫中,之后調用預警系統進行處理,最終輸出歷史攻擊記錄數據庫、預警接口等信息,從而實現對DDoS攻擊的提前預警防范。

目前,DDoS攻擊勢頭不容樂觀,除了攻擊流量高峰頻發,攻擊類型更加多樣化,也讓防御更加困難,金山云作為國內前三的云服務商,一直在積極進行新型網絡安全防御的探索實踐,今年更是專門成立了面向云安全前沿技術領域研究的安珀實驗室,旨在打造更先進的安全攻防體系,并通過與業界通力合作,共同構建更加安全健康的網絡環境。

參加太平洋安防網微信公眾號活動即有機會獲贈全年雜志、太平洋安防官網免費廣告位。安防廣告隨你登,免費雜志任你領!
還等什么呢?微信掃描上方二維碼關注吧!
免責聲明:凡注明來源本網的所有作品,均為本網合法擁有版權或有權使用的作品,歡迎轉載,注明出處。非本網作品均來自互聯網,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責。
[責任編輯:wangmengbing]
0條 [查看全部]  相關評論

閱讀推薦

根據IDC預計,到2020年,全球物聯網的收入將達8.9萬億美元;按AT&T的測算,2020年全..

智能化乃中國制造破局突圍的關鍵一招

“2010年起,我國就是制造業第一大國,但我國制造業總體上大而不強,創新能力依然薄..

國慶長假出游打車 智能后視鏡助力安全

2018十一黃金周即將到來,小長假出行,網約車與出租車依然是不可替代的重要工具之一..

AI時代安全非小事

國家網絡安全宣傳周收營,同往年一樣,總有些話題格外引人議論和關注。今年,人們看..

加裝護欄、設立委屈獎 多地公交出招防“車鬧”

近期,重慶萬州公交車墜江事故引發社會對公交安全的持續關注。加裝防護欄、開展心理..

技術資料

【太平洋安防訊】  屏幕感應鎖是一款Android平臺非常不錯的感應解鎖應用。想要體..

?

客服專線:0755-83977321|市場招商熱線:0755-83976188、83977188

廣告
合作
:2250409004
網站
客服
:1351574492
新聞
投稿
:1197354471
技術
支持
:616303423

網站備案號:粵ICP備12031422號-1 經營許可證編號:粵B2-20090398 深圳互聯網科技創新企業

太平洋安防網版權所有 2006-2018 互聯網違法和不良信息舉報中心:0755-83977321 [email protected]

历史六合图库