就我在國外某電信業者實習當免洗工讀生時看到的的情形,這年頭最暴力的攻擊
手段一般都是屬於Amplification attack(放大式攻擊)與Reflection attack
(反射式攻擊),像幾年前襲擊美國金融業以及去年號稱超暴力(400 Gbps+ )
的歐洲攻擊(spamhaus案等等)皆屬此類。不過這也不是什麼機密,網路上有很
多賣防火牆的公司都有相關的技術報告可以看。
不必查我IP了。因為我只是站在網路服務提供者(ISP )的角度,去側面瞭解這
些DDoS攻擊的特性,並試著想出對策而已。我完全不懂怎麼發動DDoS攻擊,也跟
匿名者社群沒有任何聯繫。
因為「正攻」,也就是直接叫僵屍(被開後門參與攻擊的電腦)發封包到攻擊對
象的這種直接攻擊法,你必須要有辦法動員數量龐大的電腦,而且這些電腦的上
傳頻寬加起來也要大到足以塞爆攻擊對象才行,這種玩法太費時費力也很容易洩
漏行跡。
而「放大式攻擊」是運用一些通訊協定上的弱點。例如說,有那種通訊協定是,
僵屍只要發一個很小的封包,就能迫使攻擊對象必須回傳很大量的資料,進而塞
死對象的上傳頻寬,這是一種形式。這邏輯有點像是打游擊戰,我方只動用很輕
便的資源,就能迫使對方耗費大量資源來應對。
還有一種是所謂「反射式攻擊」,用三十六計做比喻就是「借刀殺人」。也就是
直接催殘攻擊對象的是合法的第三方。這是怎麼做到的呢?它也是利用放大式攻
擊的原理,只是是間接而不是直接。最典型的一種就是DNS 反射式攻擊,僵屍發
出封包很小的DNS request ,但這個DNS request 是變造過的,發信源被假造成
攻擊對象的IP地址。而DNS 伺服器收到這個請求以後,不明究裡,還以為是受害
者方發來的,所以就發DNS response回去。而且一般來講DNS response的資料量
都比request 大得多,而且DNS server的上傳頻寬通常也很大。
所以白話講,就是我動員一些三寸丁的小僵屍,以DNS protocol本身的缺陷為槓
桿,誤導那些擁有大量頻寬的大咖(DNS server)去狂攻我設定的對象。正所謂
「借刀殺人」是也。但這些DNS server都是公認的合法的來源,DNS 通訊協定也
是網路使用者最常用的基本協定之一,平常不可能設一個防火牆來擋DNS (不然
你根本無法使用網址來瀏覽網頁不是?),這也就讓這招借刀殺人計格外有效。
而且反射式攻擊很隱蔽,因為受害者看到的只有那些DNS server,而這些server
都是完全合法的,所以背後的僵屍,還有在背後操縱僵屍的那台發號施令的機器
,受害者都看不到,所以就更難追查了。
當然只要是網路中常用基本,而且具有「放大效應」的通訊協定,都可以借做反
射式攻擊的槓桿。例如網路時間通訊協定(用來幫你的電腦對時用的)就是近年
來很夯的一種攻擊手段。
但匿名者一般會使用比較低階的正攻法。這是因為你要玩放大反射攻擊,除了必
須掌握一些電腦不常使用的底層網路功能(例如篡改發出去的封包的source IP
),還有一些跳板相關的資訊像DNS server之類的。這都需要一些比較複雜的事
前計劃,而匿名者要的就是想打就打,所以使用比較粗糙的攻擊方式是必然的。
※ 引述《chisarah (莎拉小姐)》之銘言:
: 其實前兩天有回過這邊, 不過好像很少人有注意到, 所以重新寫一次好了
: 台灣好像很多人都不知道Anonymous Asia是何許人,跟外國很強大的 anonymous 是不是有
: 關,所以想提供一些些資訊.....
: http://goo.gl/JQUyD6
: Anonymous Asia是佔領行動秘書處義工陳玉峰胞弟陳白山的香港人所成立
: 跟真正的 anonymous 無關
: 四年前 他在香港反高鐵的行動時聲稱自己是 Anonymous 香港區負責人
: 之後不斷呼籲其他人幫忙當駭客,又說希望其他人可以租一個地方讓他放伺服器
: 去年香港在佔領的時候,有人在香港高登討論區故意放一些連接出來
: 說是可以攻擊香港政府的網站
: 那時候很多人不知道也不認識是甚麼事就按下去,後來被香港警方拘捕....
: 可是放link的人卻似乎成功全身而退
: http://goo.gl/eEECT2
: 今年年初在香港反中國走私客中,有人因計劃在上水燒貨倉被捕
: 而Anonymous asia 曾揭露有行動者計劃於上水進行燒倉行動,所提及的行動時間地點亦
: 與是次拘捕相符
: http://goo.gl/2fPlIs
: Anonymous Asia在今年四月公開表示要攻擊其中一個香港反共的網媒熱血時報
: http://goo.gl/E9MbXS
: 熱血時報公佈 Anonymous Asia 所使用的 ddos 方法
: 查有關的攻擊工具,是利用了用戶端瀏覽器以 Javascript 作重覆直接 HTTP request 的
: 簡單程式,當中並無任何「偽裝」或迂迴的攻擊路徑。使用此小工具作攻擊用途,等同直
: 接向對方展現其 IP 地址。本報向業內人士查詢,稱此舉與自動化「F5」重覆存取網頁,
: 即當作攻擊對方網站無異,需要數以萬計的電腦同時進行才有可能湊效,是比較古舊的
: DDOS 方式。
: