现代资讯现代实验室装备网
全国服务热线
400-100-9187、0731-84444840

金山云安珀实验室:主动出击方能更高效应对DDoS攻击

   2018-12-14 中国日报网975
核心提示:在近日举办的FreeBuf互联网安全创新大会上,金山云安珀实验室资深研究员马西兴基于丰富的防DDoS攻击研究经验,从“如何在僵尸网络发动DDoS攻击时提前预警”的角度,对DDoS攻防进行了分享。
 近年来,以万物互联为标志的数字世界不断建设完善,可联网设备数量空前高涨,但囿于安全防范意识薄弱、防范手段不足等原因,由此而引发的网络安全问题,可谓层出不穷。其中,以分布式拒绝服务攻击(DDoS)为代表的攻击手段,因为简单易操作、影响范围广、造成损失大,成为业界防范的焦点。

在近日举办的FreeBuf互联网安全创新大会上,金山云安珀实验室资深研究员马西兴基于丰富的防DDoS攻击研究经验,从“如何在僵尸网络发动DDoS攻击时提前预警”的角度,对DDoS攻防进行了分享。马西兴认为:绝大多数DDoS攻击都是有迹可循的,通过前期周密的预警研究,让攻击在发起前即可侦测到,提前做好防范措施,是应对DDoS攻击最有效的手段之一。

金山云安珀实验室资深研究员马西兴在FIT大会上发表演讲

不战而屈人之兵,将DDoS攻击扼杀在萌芽状态

当前,随着各行各业全面互联网化,DDoS可攻击范围愈发广泛,攻击流量高峰频现,今年上半年发生的一起Memcached DDoS攻击,其峰值达到了1.7Tbps,创历史新高。而由各僵尸网络驱动的新型DDoS攻击出租服务平台不断涌现,让获取DDoS攻击能力日趋简单,成本持续走低,也让防范DDoS攻击的急迫性日益严峻。

现阶段全球范围内对于由僵尸网络所发起的DDoS攻击并没有十分有效的应对措施,只能够对其进行感知防护。在主机受到感染后发出DDoS攻击而导致网络流量出现问题时,才能够发现网络运行存在问题,若能在主机受到感染进而发出执行命令前检测感知到网络异常现象,提出针对性的预警措施,对于防范DDoS攻击及减少可能造成的损失,可以起到事半功倍的效果。

基于传统肉鸡养殖场的僵尸网络检测方法主要利用各类蜜罐、入侵检测系统、Netflow异常流量检测等安全分析系统。在谈到金山云DDoS预警与其他方式的不同之处时,马西兴表示:“我们实验室研究员通过对肉鸡样本进行深入逆向分析,按照其和C&C端的交互协议,对BOT端进行代码重构,能够做到在C&C端发出攻击指令的同时,对目标站点进行攻击预警,同时在系统资源占用、反沙箱、漏洞利用监测等方面达到了较好的效果,从而实现不战而屈人之兵,将DDoS攻击扼杀在萌芽状态。”

千里追踪求真相,主动出击告别被动防御

在今年初,金山云安珀实验室成功追踪到一起利用大规模僵尸网络进行大流量DDoS攻击的有组织活动,该组织掌握的肉鸡最多高达75万台,通过层层加密隐匿攻击源头,在幕后对企业、机构发动针对性的大规模DDoS攻击,进而谋取不正当利益。在监控到网络流量异常后,金山云第一时间进行分析排查,确定异常流量来自某几台被控制的云主机,正在对外发起大流量的DDoS攻击,深入调查后发现,这些云主机属于某僵尸网络控制的肉鸡,最后顺藤摸瓜,成功追踪到攻击源。

“这是安珀实验室在DDoS防御上的一个比较典型的案例,相比于被动的高防清洗,主动出击寻找攻击源头,显然是更高效的防御手段,”马西兴表示,“金山云通过逆向协议分析流程,获取C&C域名或IP地址、主机上线协议、心跳协议、攻击协议、控制协议等关键样本信息,来辅助预警工作。”具体而言,一方面让样本在沙盒中跑起来,观察它在运行过程中的流量交互信息;另一方面通过对其进行反汇编,遇到加密的指令时,对加密指令进行解密操作,从而获取更多有效信息。

C&C域名或IP地址作为连接的来源,追踪到就等于成功了一半,但黑客往往会采用隐匿攻击源,让肉鸡的每次访问都有可能返回不同的IP。安珀实验室通过NMAP扫描服务器对外开放的端口,将疑似端口都加入到金山云配置文件中,经过反复调查,从而来确认黑客下发攻击指令的地址。

“无间道”式防御策略,从攻击源头进行预警监控

“一旦连上黑客的服务器,就需要发送上线协议给黑客了,不同的家族往往有不同的上线协议,但目的都是一样,即告诉黑客肉鸡已经上线了,”马西兴讲到,“上线协议通常包含CPU型号、操作系统版本号、内存、硬盘、网络带宽、IP地址等信息,也有特定的家族使用固定的16进制字符串来表示。”

在响应策略上,通常是按需回复和记录。比如在收到ping指令时,简单回复一个pong给主机,通过尽量模仿真实肉鸡的行为,避免被黑客发现真实身份。经过一段时间的运行后,就可以得到黑客的全部历史攻击指令数据库。此外,金山云还输出了一个json格式的预警接口,用户调用后,就能立刻返回接收到的最后若干条攻击指令,也可在检测到攻击指定站点时,通过短信报警的方式对目标站点发出实时预警。

“拿到流量之后,我们需要提取流量中的C&C域名和IP地址,”马西兴讲到,“针对不同的家族,有不同的C&C提取方法,对于gafgyt家族,肉鸡上线后,控制端会发送一条扫描指令,可以直接提取源地址;而mirai家族在上线时,会向C&C发送固定格式的上线包,此时可以提取上线包的目的地址”。通过这些方式,就可以拿到C&C列表,用来做威胁情报的数据源。

在马西兴看来,一个完整的DDoS预警流程如下:通过对样本库中的每一个样本进行扫描、分析,得到样本的家族分类、域名、IP、端口等信息,将其存储到数据库中,之后调用预警系统进行处理,最终输出历史攻击记录数据库、预警接口等信息,从而实现对DDoS攻击的提前预警防范。

目前,DDoS攻击势头不容乐观,除了攻击流量高峰频发,攻击类型更加多样化,也让防御更加困难,金山云作为国内前三的云服务商,一直在积极进行新型网络安全防御的探索实践,今年更是专门成立了面向云安全前沿技术领域研究的安珀实验室,旨在打造更先进的安全攻防体系,并通过与业界通力合作,共同构建更加安全健康的网络环境。

 
反对 0举报 0 收藏 0 打赏 0
 
更多>同类资讯
推荐图文
推荐资讯
点击排行

Baidu
map