华龙棋牌红黑大站

欢迎来到太平洋安防网!
微信号
扫描上方二维码
加入网站订阅号
扫描上方二维码
加入商城公众号
手机站
扫描上方二维码
访问手机站
太平洋安防资讯
资讯
当前位置:安防首页 > 资讯 > 企业动态

金山云安珀实验室:主动出击方能更高效应对DDoS攻击

2018-12-14 15:07:52来源:太平洋安防网已被 196 人阅读

内容摘要:近年来,以万物互联为标志的数字世界不断建设完善,可联网设备数量空前高涨,但囿于安全防范意识薄弱、防范手段不足等原因,由此而引发的网络安全问题,可谓层出不穷。其中,以分布式拒绝服务攻击(DDoS)为代表的攻击手段,因为简单易操作、影响范围广、造成损失大,成为业界防范的焦点。
  近年来,以万物互联为标志的数字世界不断建设完善,可联网设备数量空前高涨,但囿于安全防范意识薄弱、防范手段不足等原因,由此而引发的网络安全问题,可谓层出不穷。其中,以分布式拒绝服务攻击(DDoS)为代表的攻击手段,因为简单易操作、影响范围广、造成损失大,成为业界防范的焦点。

在近日举办的FreeBuf互联网安全创新大会上,金山云安珀实验室资深研究员马西兴基于丰富的防DDoS攻击研究经验,从“如何在僵尸网络发动DDoS攻击时提前预警”的角度,对DDoS攻防进行了分享。马西兴认为:绝大多数DDoS攻击都是有迹可循的,通过前期周密的预警研究,让攻击在发起前即可侦测到,提前做好防范措施,是应对DDoS攻击最有效的手段之一。

51

金山云安珀实验室资深研究员马西兴在FIT大会上发表演讲

不战而屈人之兵,将DDoS攻击扼杀在萌芽状态

当前,随着各行各业全面互联网化,DDoS可攻击范围愈发广泛,攻击流量高峰频现,今年上半年发生的一起Memcached DDoS攻击,其峰值达到了1.7Tbps,创历史新高。而由各僵尸网络驱动的新型DDoS攻击出租服务平台不断涌现,让获取DDoS攻击能力日趋简单,成本持续走低,也让防范DDoS攻击的急迫性日益严峻。

现阶段全球范围内对于由僵尸网络所发起的DDoS攻击并没有十分有效的应对措施,只能够对其进行感知防护。在主机受到感染后发出DDoS攻击而导致网络流量出现问题时,才能够发现网络运行存在问题,若能在主机受到感染进而发出执行命令前检测感知到网络异常现象,提出针对性的预警措施,对于防范DDoS攻击及减少可能造成的损失,可以起到事半功倍的效果。

52

基于传统肉鸡养殖场的僵尸网络检测方法主要利用各类蜜罐、入侵检测系统、Netflow异常流量检测等安全分析系统。在谈到金山云DDoS预警与其他方式的不同之处时,马西兴表示:“我们实验室研究员通过对肉鸡样本进行深入逆向分析,按照其和C&C端的交互协议,对BOT端进行代码重构,能够做到在C&C端发出攻击指令的同时,对目标站点进行攻击预警,同时在系统资源占用、反沙箱、漏洞利用监测等方面达到了较好的效果,从而实现不战而屈人之兵,将DDoS攻击扼杀在萌芽状态。”

千里追踪求真相,主动出击告别被动防御

在今年初,金山云安珀实验室成功追踪到一起利用大规模僵尸网络进行大流量DDoS攻击的有组织活动,该组织掌握的肉鸡最多高达75万台,通过层层加密隐匿攻击源头,在幕后对企业、机构发动针对性的大规模DDoS攻击,进而谋取不正当利益。在监控到网络流量异常后,金山云第一时间进行分析排查,确定异常流量来自某几台被控制的云主机,正在对外发起大流量的DDoS攻击,深入调查后发现,这些云主机属于某僵尸网络控制的肉鸡,最后顺藤摸瓜,成功追踪到攻击源。

“这是安珀实验室在DDoS防御上的一个比较典型的案例,相比于被动的高防清洗,主动出击寻找攻击源头,显然是更高效的防御手段,”马西兴表示,“金山云通过逆向协议分析流程,获取C&C域名或IP地址、主机上线协议、心跳协议、攻击协议、控制协议等关键样本信息,来辅助预警工作。”具体而言,一方面让样本在沙盒中跑起来,观察它在运行过程中的流量交互信息;另一方面通过对其进行反汇编,遇到加密的指令时,对加密指令进行解密操作,从而获取更多有效信息。

C&C域名或IP地址作为连接的来源,追踪到就等于成功了一半,但黑客往往会采用隐匿攻击源,让肉鸡的每次访问都有可能返回不同的IP。安珀实验室通过NMAP扫描服务器对外开放的端口,将疑似端口都加入到金山云配置文件中,经过反复调查,从而来确认黑客下发攻击指令的地址。

“无间道”式防御策略,从攻击源头进行预警监控

“一旦连上黑客的服务器,就需要发送上线协议给黑客了,不同的家族往往有不同的上线协议,但目的都是一样,即告诉黑客肉鸡已经上线了,”马西兴讲到,“上线协议通常包含CPU型号、操作系统版本号、内存、硬盘、网络带宽、IP地址等信息,也有特定的家族使用固定的16进制字符串来表示。”

在响应策略上,通常是按需回复和记录。比如在收到ping指令时,简单回复一个pong给主机,通过尽量模仿真实肉鸡的行为,避免被黑客发现真实身份。经过一段时间的运行后,就可以得到黑客的全部历史攻击指令数据库。此外,金山云还输出了一个json格式的预警接口,用户调用后,就能立刻返回接收到的最后若干条攻击指令,也可在检测到攻击指定站点时,通过短信报警的方式对目标站点发出实时预警。

53

“拿到流量之后,我们需要提取流量中的C&C域名和IP地址,”马西兴讲到,“针对不同的家族,有不同的C&C提取方法,对于gafgyt家族,肉鸡上线后,控制端会发送一条扫描指令,可以直接提取源地址;而mirai家族在上线时,会向C&C发送固定格式的上线包,此时可以提取上线包的目的地址”。通过这些方式,就可以拿到C&C列表,用来做威胁情报的数据源。

在马西兴看来,一个完整的DDoS预警流程如下:通过对样本库中的每一个样本进行扫描、分析,得到样本的家族分类、域名、IP、端口等信息,将其存储到数据库中,之后调用预警系统进行处理,最终输出历史攻击记录数据库、预警接口等信息,从而实现对DDoS攻击的提前预警防范。

目前,DDoS攻击势头不容乐观,除了攻击流量高峰频发,攻击类型更加多样化,也让防御更加困难,金山云作为国内前三的云服务商,一直在积极进行新型网络安全防御的探索实践,今年更是专门成立了面向云安全前沿技术领域研究的安珀实验室,旨在打造更先进的安全攻防体系,并通过与业界通力合作,共同构建更加安全健康的网络环境。

参加太平洋安防网微信公众号活动即有机会获赠全年杂志、太平洋安防官网免费广告位。安防广告随你登,免费杂志任你领!
还等什么呢?微信扫描上方二维码关注吧!
免责声明:凡注明来源本网的所有作品,均为本网合法拥有版权或有权使用的作品,欢迎转载,注明出处。非本网作品均来自互联网,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
[责任编辑:wangmengbing]
0条 [查看全部]  相关评论

阅读推荐

根据IDC预计,到2020年,全球物联网的收入将达8.9万亿美元;按AT&T的测算,2020年全..

智能化乃中国制造破局突围的关键一招

“2010年起,我国就是制造业第一大国,但我国制造业总体上大而不强,创新能力依然薄..

国庆长假出游打车 智能后视镜助力安全

2018十一黄金周即将到来,小长假出行,网约车与出租车依然是不可替代的重要工具之一..

AI时代安全非小事

国家网络安全宣传周收营,同往年一样,总有些话题格外引人议论和关注。今年,人们看..

加装护栏、设立委屈奖 多地公交出招防“车闹”

近期,重庆万州公交车坠江事故引发社会对公交安全的持续关注。加装防护栏、开展心理..

技术资料

【太平洋安防讯】  屏幕感应锁是一款Android平台非常不错的感应解锁应用。想要体..

?

客服专线:0755-83977321|市场招商热线:0755-83976188、83977188

广告
合作
:2250409004
网站
客服
:1351574492
新闻
投稿
:1197354471
技术
支持
:616303423

网站备案号:粤ICP备12031422号-1 经营许可证编号:粤B2-20090398 深圳互联网科技创新企业

太平洋安防网版权所有 2006-2018 互联网违法和不良信息举报中心:0755-83977321 1351574492@QQ.com

星星棋牌斗地主

sutui678华龙棋牌红黑大站—吉林市华龙棋牌红黑大站有限公司—大连娱网棋牌游戏平台,365棋牌电子游戏怎么找客服,吉祥棋牌在线充值,掌尚棋牌官网下载,手机千炮捕鱼,太平洋安防网-安防视频监控,智能家居,物联网,智能交通,门禁考勤-中国安防行业第一门户。华龙棋牌红黑大站—吉林市华龙棋牌红黑大站有限公司(www.dona-rosa.com) http://dona-rosa.com