早在 2015 年 9 月,就发生了一次利用 Linux 恶意软件进行的超过 150 GB/秒 (Gbps) 的大规模 XOR.DDoS 攻击。 XOR.DDoS 是恶意软件的名称,而不是攻击名称,用于影响 Linux 系统。
它于 2014 年 9 月被发现,各种网络安全服务公司和博客(包括安全情报响应小组 (SIRT))发布了对该 Linux 木马恶意软件的分析。
很久以前的分布式拒绝服务攻击在今天是否仍然适用?在许多方面都是如此,在本指南中,我们将提供对 XOR.DDoS 的分析以及如何抵消它。
什么是 XOR.DDOS 恶意软件?
传统的攻击是利用Linux机器存在的漏洞来恶意利用操作系统。然而,XOR.DDoS 使 Windows PC 成为僵尸 PC,并通过命令与控制 (C&C) 服务器发起攻击。
XOR.DDoS 攻击用于通过生成大量数据(包括 SYN 和 DNS 中无意义的字符串)来破坏网络。
这对网络是一个非常严重的威胁,因为数据量超过了大多数一般公司的网络处理能力和带宽。
除了这些主要目标之外,UDP 还被用于阻止上层的大量流量。但是XOR.DDoS攻击使用的是TCP,小网线无法阻断
什么是暴力破解攻击?
暴力攻击会尝试许多随机密码,直到获得正确的密码。有多种类型的暴力攻击,包括 字典攻击 通过尝试单词组合来确定解密密钥或密码,输入所有密钥的随机攻击,以及使用预定义哈希表的彩虹攻击。
XOR.DDOS 攻击的起源
77.1 % of XOR.DDoS攻击发生在中国和美国,主要发生在使用云服务的Linux服务器上。许多大型云服务提供商也是 XOR.DDoS 恶意软件的受害者,教育机构和游戏行业也是如此。此外,由于在大多数情况下使用 SSH 服务 (22/TCP),因此假设云系统没有适当的管理和 云安全 已被黑客入侵。
针对 XOR.DDoS 攻击的对策
XOR.DDoS 攻击以 SYN 泛洪 + 包含数据的形式进行。 SYN 只是执行 3 次握手的过程,不需要在 SYN 数据包中包含数据。
如果检测到带有数据的 SYN 数据包,则可以通过阻止所有 SYN 数据包来击败 XOR.DDoS 攻击。此外,最好使用 SYN cookie 来对抗 SYN flooding + SYN spoofing 攻击,这两种攻击都发生在 2015 年,因为 SYN cookie 在对抗欺骗方面是有效且有用的。
SYN cookie 通过在序列号中包含 cookie 值并将 cookie 值与末尾的 SEQ – 1 = cookie 值进行比较,有效地阻止了 SYN 欺骗。
SYN cookie不需要一定的时间来等待响应;如果这两个值不相同,则该数据包将被丢弃。因此,SYN cookie 是一种非常有效的阻止欺骗攻击的方法。
或者,第一个 SYN DROP 可以是第二个对策。该技术的工作原理是将第一个 SYN 数据包信息保存在内存中并丢弃该数据包。如果会话请求正常,同一个IP地址会再次发送SYN请求。如果请求是为了攻击,则会收到来自另一个 IP 的另一个 SYN 请求。
结论——获得 DDoS 缓解服务
需要大规模的网络线路来对抗XOR.DDoS等大规模的TCP攻击。
内容分发网络行业可以提供服务 抵御 DDoS 攻击.由于服务是基于云的,因此可用的流量处理能力非常大,成本大大低于每个公司实施服务的成本。
有了这些服务,大多数公司将从负担得起的成本和时间中受益匪浅,而不会出现任何伴随问题。