遭遇Anonymous:如何防止拒绝服务
至顶网 发表于:12年10月18日 07:00 [转载] DOIT.com.cn
近来黑客行动主义能够获得更大可视性的一个理由就是,现在能够很容易的获取并使用攻击工具,特别表现在拒绝服务(DoS)攻击上。黑客活动分子的目的通常是抗议或是促成一个特别的政治问题,但是这些天任何人都变成了攻击的目标,即使他们宣称“这仅仅为了Lulz(一个黑客团体)”。最近我有机会目睹了一次黑客的DDos攻击(提前被告知),在这里我愿意分享他们所使用的黑客工具和一些技巧,并防止这类攻击事件的发生。
黑客攻击工具
拒绝服务攻击基本上是试图让用户停止提供服务或资源访问(通常是一个网络服务器)。分布式拒绝攻击可以方便地协调从多台计算机上启动进程。这样可以使用引导很多Dos攻击,现在让我们看看最常见的几种拒绝服务攻击:
• LOIC (Low Orbit Ion Cannon)也许是最知名的攻击工具,它被黑客组织Anonymous和其它黑客广泛用于DDos攻击。LOIC曾经作为合法的用途用于压力测试工具,但是现在被广泛作为一种Dos工具进行使用。它的普及使得创造了JavaScript版本,能够从网页浏览器进行攻击并且可以很容易的让他们的追随者(或)粗心的游客加入他们的攻击。
• HPing是一个命令行下使用的TCP/IP数据包组装/分析工具,其命令模式很像ping命令,但是有很多更先进的功能。它能够被用于建立大量的TCP数据包,也许对于攻击者来说最重要的特点是能够通过欺骗手段掩饰攻击源。
• 另一种攻击工具Slowloris通过少量数据发送部分HTTP请求,建立IP sockets连接打开服务器,最终消耗所有能使用的网络端口。Slowloris是一个Perl程序,需要Perl解释器才能运行并且在Linux系统下能够能够更好的发挥,因此它可能不是一个普通用户的工具。
对于他们而言,每种工具都是一个攻击网络服务器有效的方法。但是如果使用这些工具进行组合攻击,将使它们具有更加强大和难以阻挡的潜力。
正如许多想成为黑客的攻击者所了解到的,LOIC不能保护攻击源的身份。因此黑客组织 Anonymous广泛推广使用VPN服务作为一种掩盖真实攻击源的方法。这可能不再是最好的掩盖攻击的方法;黑客团体LulzSec成员的被逮捕表明了 VPN服务提供商(他们使用了HideMyAss.com的服务)可能根据法庭命令递交了Lulzsec黑客的使用日志。
对策
很多公司都要准备面对可能的Dos攻击。下面是一些可以用来抵御攻击的基本策略。
• 配置你的路由器和防火墙,以阻止无效的IP地址,并过滤掉不需要的协议。一些防火墙和路由器的功能可以防止TCP / UDP数据包。此外,请确保在所有设备中启用日志记录,能够可靠地进行检查,从而确定攻击来源,如果需要的话,可将它们上交执法机关进行处理。
• 入侵检测/防御系统(IDS/IPS)能够监测滥用的有效协议作为攻击介质。根据产品和网络配置,该系统可以自动阻止攻击流量。
• 从供应商获得帮助。通过这种方式,攻击流量在阻塞公司带宽之前,可以被阻止接近其资源。
• 应制定事故应急预案并随时准备激活它。如果受到攻击时,每个人都应该知道如何应对以及谁在公司内部和外部进行联系(例如行政执法)。
• 确保你有和你用户或客户交流畅通。对于发生的事情尽可能的坦诚以对。
你必须注意一些问题,它们可能破坏你的防御策略:
• 确保花费一定的时间将你的IDS/IPS调整到最佳状态,它们可以监测最新的数字签名。如果你不能保证其监测(因为你会得到许多误报和漏报),你将不能依靠它帮助你阻止网络攻击。
• 你需要明确供应商的服务项目和支持级别。如果攻击出现在营业时间以外,你所得到的支持可能只是一个24小时等待的语音信箱或票务系统。理想的情况是,你应该有具有专业知识的紧急救助人员,授权他们可以对你进行帮助。
• 及时以及开放的交流态度是非常重要的。例如,在大公司中,位于不同的部门会授权给不同的设备,例如,路由器和防火墙。最后,公司需要及时处理黑客攻击,因为内网的原因,有时做出反应会受到延迟影响。
• 不能低估公司内部不同部门之间的交流(人力资源部门,法律部门等等)的作用。公司与媒体的联系是非常重要的。公司的CEO可能会无意识或隐藏事实,这样会潜在的有损公司的形象,超过事件本身的影响。
后果
我发现此次的”抗议”事件被媒体大量报道,因此,黑客活动分子组织Anonymous这次的攻击明显是为了引起公众的注意。几小时后,他们显然成功地攻克了一个目标网站并且成功的进入到两三个其它网站。
只有时间会告诉我们此次攻击会给带来何种严重的后果。