攻防博弈第十幕:洪水攻击——黑客K的“杀手锏”

网络安全

张桂月 · 2008年7月7日 第26期

来自黑客的报复往往是可怕的,在他们疯狂攻击的同时,也把自己置于危险之地。黑客K选择用洪水方式攻击XX公司的网站进行报复,却不知道自己已经被警方盯上了……

上期黑客K终于找到了自己屡次中木马的原因,并将隐藏在自己电脑中的网页木马查了出来,但是他始终没有查到攻击自己的源头,也就在这时,参与竞标的公司最终揭晓——TT公司落选。

在TT公司的总经理办公室中,杜金在训斥着对面站立的一个年轻人,那个年轻人低着头,紧紧握着拳头,默默的忍受着。他就是黑客K。TT公司的杜金非常恼火,XX公司在竞标前就知道了TT公司和UU公司的底线。

黑客K从杜金那里知道了一直在暗中监视自己的就是XX公司雇佣的黑客埃德,也是XX公司的新网管,在得到杜金的报复暗示后,他决定用DDoS拒绝服务攻击向XX公司发动进攻。黑客K调集了自己所有的肉鸡(所谓的肉鸡就是被黑客远程控制了的电脑,长时间保留肉鸡的方法请看电脑报第25期F14版),准备进行DDoS攻击。

小知识:DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,俗称洪水攻击。DDoS的攻击方式有很多种,最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。

用DDoS复仇

黑客K选择《完美DDoS》作为自己发动DDoS攻击的“武器”,他将这款能够让肉鸡群发动大面积DDoS攻击的“武器”调取出来,然后首先点击《完美DDoS》左上角的“生成服务端”按键(图1),在填写自己的IP地址之后,生成了控制肉鸡攻击群的DDoS服务端。

26-f14-1.jpg
图1

然后他通过自己远程控制木马“PCShare”将攻击服务端发送到自己控制的肉鸡中并一一远程执行。执行完成后,黑客K在《完美DDoS》的界面中看到一个个肉鸡开始登录上线。

随着肉鸡逐渐增多,黑客K此时的肉鸡攻击群已经达到了近千台,这是足够致使一个大型网站瘫痪的数量。庞大的肉鸡群此刻只等黑客K发动攻击的指令,就可以将XX公司的网站彻底摧毁。

黑客K看着逐渐增多的肉鸡,知道发动复仇的时刻来临了,此时他内心十分平静。他在《完美DDoS》“攻击选项”中的“攻击目标”中填入了XX公司网站的IP地址,在“端口”一项中填写了常用的80端口(图2)。

26-f14-2.jpg
图2

小提示:寻找DDoS的攻击端口,通常可以使用端口扫描器对目标服务器进行端口扫描。CC攻击方式因为是模拟浏览网页发动的攻击,则最好选用80端口,在实战中有些网站会变化端口,这只需要根据浏览器URL中的链接就可以判断出修改的端口。

在攻击方式中,黑客K选择了“CC变异攻击”手段,这是他最喜欢的攻击手段,也是成功率最高的网站拒绝服务攻击方式。由于CC攻击过程中与Web服务器之间建立的是合法的TCP连接,因此可以轻松地穿透大多数硬件防火墙,使得硬件防火墙形同虚设。而最终在大量的连接请求下,服务器会因为资源枯竭而停止响应正常访问者的连接请求,导致网站最终瘫痪。

小知识:CC攻击是DDoS攻击中的一种类型,这种攻击方式通过模仿正常的网站访问者来达到攻击目的,大量消耗被攻击服务器本身的系统资源,具有较强的伪装性,因此防范难度较高。而常规的SYN洪水、ICMP洪水、UDP洪水等均依靠伪造窜改网络数据包发动攻击。

黑客K只知道XX公司的网站服务器是Windows系统,但是他并不知道系统的版本。不过这并不是问题,他勾选了“CC变异攻击”下方的“全选主机”选项,这样无论对方是什么版本的Windows操作系统,都会无一例外地受到无差别的疯狂攻击。

攻击方式设置完成后,黑客K开始为肉鸡的攻击群编组。他在界面“组攻击”项目中将“组一目标”的肉鸡“数量”设置为200台,“时间”设置为5分钟。“组二目标”也采用了同样的设置(图3)。

26-f14-3.jpg
图3

黑客K之所以这样做,一则是为了减轻肉鸡群反馈给自己消息时,自己电脑所承受的网络压力,另外,当受到攻击的XX公司对攻击IP地址进行屏蔽的时候,黑客K这样可以从容不迫地更换自己的肉鸡群,一组一组地更换,让XX公司永远无法封锁住所有的攻击。

一切就绪,黑客K轻点“组一目标”后的“开始”按键,开始了疯狂的洪水攻击。6个小时后,他开始收拾自己的行装,准备离开工作了近两个月的办公室。而此时,警车的警报声在TT公司的楼下响起……

如何应对洪水攻击

XX公司的服务器机房内,网管们正在部署应对突如其来的DDoS攻击。但由于公司没有配备专业的解决DDoS攻击的防火墙,导致现在公司在应对攻击时显得有些束手无策。他们只能够从网站的Web页面中寻找解决问题的途径。

他们现在有3种可以临时应对的办法:限制代理服务器访问;限制网页刷新频率与次数;限制IP地址,并通过程序记录下攻击的IP地址。其中第二种应对办法较简单,使用方便,效果也不错。

限制网页的刷新频率和次数,需要限制的是Cookie和Session。在访问者访问网站的时候,记录Cookie或Session的当前时间,这样当肉鸡群再一次刷新访问网站时,进行时间对比后,就可以屏蔽或者跳转那些时间不符合要求的网页访问请求。

此外,最好可以使用硬件防火墙,因为专业的硬件防火墙能够检测TCP/IP的连接数目,超过规定访问频率就会被认定为恶意攻击,就会被屏蔽。

编后

在互联网时代,越来越多的企业开始使用互联网增加企业的竞争力,依靠互联网取得企业需要的信息,甚至很多企业的生意往来就是通过网络来进行交易的,此时网络安全也就成为了每一个企业必须面对的考验。以前的黑客事件大多数是想显示自己的能力,攻击规模也较小,但现在经济利益越来越多地掺杂进来,当有经济利益摆在那时,发动攻击的动力也就越来越大,直至发展为一个完整的商业链条。

利益的驱动,使黑客一词的含义正在悄悄地酝酿着嬗变,除了电脑编程高手外,营销、物流、心理方面的专业人才不断涌向黑客产业链。这种复杂的人员结构给整个社会带来的威胁,恐怕远比单一的技术人员统领黑客天下的时代要大得多,因此在这样一个黑客泛滥的年代,企业最好的防范措施就是时刻关注网络安全动向,把网络安全列入企业的常规防范行为中,如同防堵安全事故一样防堵网络安全危机!