就我在国外某电信业者实习当免洗工读生时看到的的情形,这年头最暴力的攻击
手段一般都是属于Amplification attack(放大式攻击)与Reflection attack
(反射式攻击),像几年前袭击美国金融业以及去年号称超暴力(400 Gbps+ )
的欧洲攻击(spamhaus案等等)皆属此类。不过这也不是什么机密,网络上有很
多卖防火墙的公司都有相关的技术报告可以看。
不必查我IP了。因为我只是站在网络服务提供者(ISP )的角度,去侧面了解这
些DDoS攻击的特性,并试着想出对策而已。我完全不懂怎么发动DDoS攻击,也跟
匿名者社群没有任何联系。
因为“正攻”,也就是直接叫僵尸(被开后门参与攻击的电脑)发封包到攻击对
象的这种直接攻击法,你必须要有办法动员数量庞大的电脑,而且这些电脑的上
传频宽加起来也要大到足以塞爆攻击对象才行,这种玩法太费时费力也很容易泄
漏行迹。
而“放大式攻击”是运用一些通讯协定上的弱点。例如说,有那种通讯协定是,
僵尸只要发一个很小的封包,就能迫使攻击对象必须回传很大量的资料,进而塞
死对象的上传频宽,这是一种形式。这逻辑有点像是打游击战,我方只动用很轻
便的资源,就能迫使对方耗费大量资源来应对。
还有一种是所谓“反射式攻击”,用三十六计做比喻就是“借刀杀人”。也就是
直接催残攻击对象的是合法的第三方。这是怎么做到的呢?它也是利用放大式攻
击的原理,只是是间接而不是直接。最典型的一种就是DNS 反射式攻击,僵尸发
出封包很小的DNS request ,但这个DNS request 是变造过的,发信源被假造成
攻击对象的IP地址。而DNS 服务器收到这个请求以后,不明究里,还以为是受害
者方发来的,所以就发DNS response回去。而且一般来讲DNS response的资料量
都比request 大得多,而且DNS server的上传频宽通常也很大。
所以白话讲,就是我动员一些三寸丁的小僵尸,以DNS protocol本身的缺陷为杠
杆,误导那些拥有大量频宽的大咖(DNS server)去狂攻我设定的对象。正所谓
“借刀杀人”是也。但这些DNS server都是公认的合法的来源,DNS 通讯协定也
是网络使用者最常用的基本协定之一,平常不可能设一个防火墙来挡DNS (不然
你根本无法使用网址来浏览网页不是?),这也就让这招借刀杀人计格外有效。
而且反射式攻击很隐蔽,因为受害者看到的只有那些DNS server,而这些server
都是完全合法的,所以背后的僵尸,还有在背后操纵僵尸的那台发号施令的机器
,受害者都看不到,所以就更难追查了。
当然只要是网络中常用基本,而且具有“放大效应”的通讯协定,都可以借做反
射式攻击的杠杆。例如网络时间通讯协定(用来帮你的电脑对时用的)就是近年
来很夯的一种攻击手段。
但匿名者一般会使用比较低阶的正攻法。这是因为你要玩放大反射攻击,除了必
须掌握一些电脑不常使用的底层网络功能(例如篡改发出去的封包的source IP
),还有一些跳板相关的资讯像DNS server之类的。这都需要一些比较复杂的事
前计划,而匿名者要的就是想打就打,所以使用比较粗糙的攻击方式是必然的。
※ 引述《chisarah (莎拉小姐)》之铭言:
: 其实前两天有回过这边, 不过好像很少人有注意到, 所以重新写一次好了
: 台湾好像很多人都不知道Anonymous Asia是何许人,跟外国很强大的 anonymous 是不是有
: 关,所以想提供一些些资讯.....
: http://goo.gl/JQUyD6
: Anonymous Asia是占领行动秘书处义工陈玉峰胞弟陈白山的香港人所成立
: 跟真正的 anonymous 无关
: 四年前 他在香港反高铁的行动时声称自己是 Anonymous 香港区负责人
: 之后不断呼吁其他人帮忙当骇客,又说希望其他人可以租一个地方让他放服务器
: 去年香港在占领的时候,有人在香港高登讨论区故意放一些连接出来
: 说是可以攻击香港政府的网站
: 那时候很多人不知道也不认识是什么事就按下去,后来被香港警方拘捕....
: 可是放link的人却似乎成功全身而退
: http://goo.gl/eEECT2
: 今年年初在香港反中国走私客中,有人因计划在上水烧货仓被捕
: 而Anonymous asia 曾揭露有行动者计划于上水进行烧仓行动,所提及的行动时间地点亦
: 与是次拘捕相符
: http://goo.gl/2fPlIs
: Anonymous Asia在今年四月公开表示要攻击其中一个香港反共的网媒热血时报
: http://goo.gl/E9MbXS
: 热血时报公布 Anonymous Asia 所使用的 ddos 方法
: 查有关的攻击工具,是利用了用户端浏览器以 Javascript 作重复直接 HTTP request 的
: 简单程式,当中并无任何“伪装”或迂回的攻击路径。使用此小工具作攻击用途,等同直
: 接向对方展现其 IP 地址。本报向业内人士查询,称此举与自动化“F5”重复存取网页,
: 即当作攻击对方网站无异,需要数以万计的电脑同时进行才有可能凑效,是比较古旧的
: DDOS 方式。
: