安全防御知识 相关内容

2019年网络攻击行为发展趋势

DDoS这种古老的攻击方式依然焕发着强大的生命力。简单、直接和有效是它攻击特性最好的注解。DDoS防护不再依赖设备和检测算法的堆积,更需要安全生态合作和防护协同。攻击者也在与时俱进,不断更新变换攻击手段和方法工具。

2019年相比2018年攻击次数增加了30.2%,攻击总流量下降了26.4%。 12.5% 的 DDoS 攻击事件使用了多种攻击手法,在 300Gbps 以上的超大规模攻击中逾 3成攻击都采用了混合攻击模式,对清洗设备性能和清洗线路的稳定,以及防护运营提出了更大的挑战。

UDP Flood、SYN Flood 和 ACK Flood 依然是 DDoS 的主要攻击手法,混合攻击在超大规模攻击中发挥重要作用。

物联网设备的 DDoS 攻击参与度逐年提升,同时攻击手段增多,在攻击链上的角色出现了分工态势。 物联网设备参与 DDoS 攻击的情况值得持续关注,参与 DDoS 攻击的物联网设备逐年增加,DDoS 团伙中单一团伙最高物联网设备占比达 31%。 IoT 平台家族攻击占比进一步扩大,Gafgyt 和 Mirai 贡献了大部分攻击行为,但整体上,在 DDoS 特征、攻击目标和 C&C 分布等方面没有明显变化。

国内,香港取代浙江成为受 DDoS 攻击最多的省份,其它依次是浙江、广东、北京、江苏。

攻击类型与趋势

1、超大流量攻击来临,2019年上半年已经出现持续2个月攻击接近Tb级,大流量攻击以TCP类攻击为主,单一网段攻击流量持续且流量大,目前已监控到单一C段流量近200G。

2、Memcached反射放大攻击在1月份攻击数量达到峰值,后续2-6月份反射放大攻击数量呈现持续下降趋势,得益于各机构对Memcached反射源的治理,目前整体呈下降趋势,趋于稳定。

3、 应用层攻击对抗,攻击者通过变化多种攻击特征加大攻击量,企图绕过防御规则,压垮防护设备性能。针对百万级连接耗尽型攻击,企业需要根据攻击量进行快速隔离防护,并根据攻击量防护动态快速扩容,不让单一节点性能成为防御瓶颈。

4、伪装成正常应用的恶意APP已让海量移动设备成为新一代肉鸡。攻击者可以轻易在不触发限速防御策略的情况下实现攻击,让限速和黑名单在PC肉鸡时代曾是“一键止血”的防御方式失效。对于个人用户而言,切勿从非正规渠道安装未经审核的APP,让自己手机沦为黑灰产的工具。

攻击行为介绍

长时间大流量持续攻击:如果要说DDoS对抗最为激烈的行业,游戏行业一定是其中之一。攻击量大,持续时间长,对抗激烈,这些攻击特征一直伴随着游戏行业的发展。 对于长期发展的平台,最怕服务连续的中断,这将对客户访问及长期发展产生致命的影响。

安全始终是为业务服务,建议企业能够结合自身业务特点、规模、客户访问情况提前设置DDoS防护策略,以保障在攻击到来时,快速抵抗住。游戏用户对于网络延迟、抖动敏感,在大流量攻击下,单线带宽存跨网拥塞问题容易导致游戏用户网络质量急剧下降,严重者将有可能丧失得来不易的活跃用户。

针对性攻击变化多端: 一个电商客户的多个域名同时遭受到CC攻击。攻击时间持续了20分钟左右,攻击者动用了国内外几十万以上的肉鸡资源,攻击峰值超过150万QPS,具体如下:

16:15,第一波,攻击者伪造Baidu爬虫

16:20,第二波,攻击者变化UA特征,企图绕过防护规则

16:27,第三波,攻击者采用多种攻击方式进行混合攻击

16:32,第四波,攻击者动用更多肉鸡,攻击峰值一度达到150万QPS,企图利用高QPS压垮防御系统处理性能

七层智能防护能力经受住考验,全程保障了客户的电商平台访问顺畅,相比平时并未有其它异常现象出现,攻击者未能达到攻陷网站的目的。此后一段时间,该电商客户陆陆续续遭受过几次试探性CC攻击,客户业务也一直保持平稳运行。

通过主流的WEB服务器来对外提供服务可以帮助企业在稳定性和处理性能上满足正常的业务需要。在服务上线时,企业还应该考虑处理性能冗余问题,要留有余量,以应对异常情况的发生,同时进行压力测试以了解对外服务能力。同时在选择DDoS防护产品时,除了关注带宽能力,还需关注应用层攻击防护能力。

攻击终端设备演变: 数起大规模存在一些共同特征的DDoS攻击,几经溯源发现,这些攻击事件源于大量用户在手机上安装了某些伪装成正常应用的恶意APP,该APP在动态接收到攻击指令后便对目标网站发起攻击。

在PC肉鸡时代,企业抵御肉鸡DDoS攻击的做法相对简单粗暴:

·检测单元:请求频率

·执行动作:限速和黑名单

·防御逻辑:请求频率过高后开始进行源限速或拉黑源IP

在无法有效防御的情况下,还需要人工介入抓包分析,根据攻击具体情况配置防护规则,但这种响应方式相对较慢,业务普遍已经严重受损。当海量移动设备成为新的攻击源,黑灰产无需让单个源IP高频攻击,同时由于攻击源多为大型出口IP,传统的防御方法简单粗暴的将攻击IP拉黑,这些IP背后的大量正常用户也将无法访问。因此,黑灰产可以轻松绕过上述防御逻辑。

企业不应该再对“限速+黑名单就能一招制敌”抱有幻想,而应该采用更为纵深、智能的防护手段:

1.丰富攻击流量识别的维度,将每个请求实时的解析出多维度的检测单元;

2.防护策略的执行需要与多维度的识别相匹配,需要有精细、灵活、丰富的访问控制单元,让各个维度有机组合,层层过滤攻击流量;

3.机器智能替代人工排查,提升响应速度,降低业务中断时间。

绕过谷歌reCAPTCHA验证的安全测试

reCAPTCHA计划是由卡内基梅隆大学所发展的系统,主要目的是利用CAPTCHA技术来帮助典籍数字化的进行,这个计划将由书本扫描下来无法准确的被光学文字辨识技术识别的文字显示在CAPTCHA问题中,让人类在回答CAPTCHA问题时用人脑加以识别。reCAPTCHA正数字化《纽约时报》的扫描存盘,目前已经完成20年份的数据,并希望在2010年完成110年份的数据。2009年9月17日,Google宣布收购reCAPTCHA。

在很多使用代理情况下,或是我们使用脚本程序去访问获取某些网站数据时,网站的安全策略会把我们拦截,并给出谷歌验证码( reCAPTCHA ),主要就是做人机验证。这样目标站是比较安全的,不会被恶意流量攻击,但给我们“正常”需求也带来很多麻烦,一旦出现验证码reCAPTCHA或机器人验证,就必须人工去输入或点击才可以继续后续操作。今天在体验盒子看到了一种可以绕开谷歌搜索出现验证码的方案。

绕开谷歌搜索验证码reCAPTCHA

Facebook 有一个调试工具。有趣的是,Google不会限制此调试程序发出的请求(列入白名单?),因此可以用来绕开Google搜索结果而不会被验证码阻止。由于涉及facebook,每个请求都必须向库提供一个 facebook 会话 Cookie。

方案已经有了,下面只要实现它就行了,这里分享一个现成的谷歌搜索结果提取脚本,并且就是基于该方法绕开验证码的。

谷歌搜索脚本,基于Python,

  • 安装goop

pip install goop

或 git clone https://github.com/s0md3v/goop.git

  • 使用示例
from goop import goop
 
page_1 = goop.search('red shoes', '<your facebook cookie>')
page_2 = goop.search('red_shoes', '<your facebook cookie>', page='1')
include_omitted_results = goop.search('red_shoes', '<your facebook cookie>', page='8', full=True)

返回的数据结构

{
    "0": {
        "url": "https://example.com",
        "text": "Example webpage",
        "summary": "This is an example webpage whose aim is to demonstrate the usage of ..."
    },
    "1": {
...

cli.py通过使用以下命令从终端执行谷歌搜索来演示使用情况

python cli.py <query> <number_of_pages>

至此,已经完整走过一遍绕开谷歌搜索结果验证码的流程,你可以将该方法融入到任何项目中。

但也要注意,故意绕开谷歌搜索验证码及使用facebook调试方法进行目的的操作都是不可取及不长久的。仅限用于概念验证而非非法使用。

详细介绍DDoS攻击及防御办法

搞个业务不容易,一波DDoS却要了命。

面对DDoS攻击时,只能花钱续命, DDoS防御成本太高,如果您对DDoS攻击的不了解,往往会花了大钱却防御不了攻击。 本文就给您介绍下DDoS攻击类型及相关攻击防御办法。

阅读更多

什么是HTTP Flood DDoS攻击(CC攻击 ),如何防御

HTTP flood是一种分布式拒绝服务(DDoS)攻击,攻击者利用看似合法的HTTP GET或POST请求来攻击Web服务器或应用程序。

CC攻击(Challenge Collapsar)CC攻击的本名就叫做HTTP-FLOOD,是一种专门针对于Web的应用层FLOOD攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。

阅读更多

使用高防CDN服务防御攻击

常见的DDoS攻击类

DNS洪水攻击UDP放大攻击(第3层和第4层 HTTP Flood(第7层)

阅读更多