中企动力 > 头条 > 请求处理

网站性能检测评分

注:本网站页面html检测工具扫描网站中存在的基本问题,仅供参考。

请求处理

从单一到混合 DDoS攻击方式全面剖析 推广视频课程

img

甜心

关注
DDoS攻击素来以成本低廉(相比防御)、效果显著、影响深远为攻击者所青睐,经过长时间的发展,DDoS攻击方式有很多种,最基本的DoS攻击利用单个合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。DoS攻击通常采用一对一的方式,在目标系统带宽、内存、CPU等各项性能指标都不高时,具有明显的效果。随着网络技术的发展,计算机的处理能力迅速增长,内存大大增加,千兆级别的网络出现,目标系统的“消化能力”倍增,这时候,分布式的拒绝服务攻击手段——DDoS就出现了。

利用网络上已被攻陷的电脑作为“肉鸡”,通过一定方式组合形成数量庞大的“僵尸网络”,采用一对多的方式进行控制,向目标系统同时提出服务请求,杀伤力大幅度增加。DDoS攻、防对抗多年,从DoS到DDoS,从以流量取胜到以技巧取胜,从单一攻击到混合攻击,攻击手段正不断进化,本文将一一介绍最常见、最具代表性的攻击方式,企业运营者做到知己知彼,才能有备无患。

一、攻击带宽:以力取胜

如同城市堵车一样,当数据包超过带宽上限,就会出现网络拥堵、响应缓慢的情况。流量型DDoS攻击就是如此,发送海量数据包,顷刻占满目标系统的全部带宽,正常请求被堵在门外,拒绝服务的目的达成。

ICMPFlood

ICMP(Internet控制报文协议)用于在IP主机、路由器之间传递控制消息,控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息,虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。通过对目标系统发送海量数据包,就可以令目标主机瘫痪,如果大量发送就成了洪水攻击。

UDPFlood

UDP协议是一种无连接的服务,在UDPFlood中,攻击者通常发送大量伪造源IP地址的小UDP包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100kbps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫,造成整个网段的瘫痪。

上述传统的流量型攻击方式技术含量较低,伤人一千自损八百,攻击效果通常依赖受控主机本身的网络性能,而且容易被查到攻击源头,单独使用的情况已不常见。于是,具有四两拔千斤效果的反射型放大攻击就出现了。

NTPFlood

NTP是标准的基于UDP协议传输的网络时间同步协议,由于UDP协议的无连接性,方便伪造源地址。攻击者使用特殊的数据包,也就是IP地址指向作为反射器的服务器,源IP地址被伪造成攻击目标的IP,反射器接收到数据包时就被骗了,会将响应数据发送给被攻击目标,耗尽目标网络的带宽资源。一般的NTP服务器都有很大的带宽,攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器,就可给目标服务器带来几百上千Mbps的攻击流量。

因此,“问-答”方式的协议都可以被反射型攻击利用,将质询数据包的地址伪造为攻击目标地址,应答的数据包就会都被发送至目标,一旦协议具有递归效果,流量就被显著放大了,堪称一种“借刀杀人”的流量型攻击。

面对洪水般的流量,花高价进行抗D带宽扩容和多运营商链路冗余,虽一定程度可提升抗D能力,但面对大量攻击仍旧于事无补,而且浪费资源。知道创宇旗下抗DDoS云防御平台——抗D保,横跨全国的分布式数据中心,600G以上带宽抗DDoS,并可随时应急调用腾讯自有带宽1.5Tb,这使得抗D保拥有超过2个Tb的防御能力。 

二、攻击系统/应用:以巧取胜

这类型的DDoS攻击走的是巧劲,利用各种协议的行为特性、系统的缺陷、服务的脆弱性、软件的漏洞等等发起攻击,不断占用目标系统的资源以阻止它们处理正常事务和请求。

SYNFlood

这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。建立TCP连接,需要三次握手——客户端发送SYN报文,服务端收到请求并返回报文表示接受,客户端也返回确认,完成连接。

SYNFlood就是用户向服务器发送报文后突然死机或掉线,那么服务器在发出应答报文后就无法收到客户端的确认报文(第三次握手无法完成),这时服务器端一般会重试并等待一段时间后再丢弃这个未完成的连接。一个用户出现异常导致服务器的一个线程等待一会儿并不是大问题,但恶意攻击者大量模拟这种情况,服务器端为了维护数以万计的半连接而消耗非常多的资源,结果往往是无暇理睬客户的正常请求,甚至崩溃。从正常客户的角度看来,网站失去了响应,无法访问。

CC 攻击

CC攻击是目前应用层攻击的主要手段之一,借助代理服务器生成指向目标系统的合法请求,实现伪装和DDoS。我们都有这样的体验,访问一个静态页面,即使人多也不需要太长时间,但如果在高峰期访问论坛、贴吧等,那就很慢了,因为服务器系统需要到数据库中判断访问者否有读帖、发言等权限。访问的人越多,论坛的页面越多,数据库压力就越大,被访问的频率也越高,占用的系统资源也就相当可观。

CC攻击就充分利用了这个特点,模拟多个正常用户不停地访问如论坛这些需要大量数据操作的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的请求,网络拥塞,正常访问被中止。这种攻击技术性含量高,见不到真实源IP,见不到特别大的异常流量,但服务器就是无法进行正常连接。

之所以选择代理服务器是因为代理可以有效地隐藏自己的身份,也可以绕开防火墙,因为基本上所有的防火墙都会检测并发的TCP/IP连接数目,超过一定数目一定频率就会被认为是Connection-Flood。当然也可以使用肉鸡来发动CC攻击,攻击者使用CC攻击软件控制大量肉鸡发动攻击,肉鸡可以模拟正常用户访问网站的请求伪造成合法数据包,相比前者来说更难防御。

CC攻击是针对Web服务在第七层协议发起的攻击,在越上层协议上发动DDoS攻击越难以防御,上层协议与业务关联愈加紧密,防御系统面临的情况也会更复杂。比如CC攻击中最重要的方式之一HTTPFlood,不仅会直接导致被攻击的Web前端响应缓慢,对承载的业务造成致命的影响,还可能会引起连锁反应,间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务。

由于CC攻击成本低、威力大,知道创宇安全专家组发现80%的DDoS攻击都是CC攻击。带宽资源严重被消耗,网站瘫痪;CPU、内存利用率飙升,主机瘫痪;瞬间快速打击,无法快速响应。知道创宇顶级安全研究团队为抗D保自主研发的Anti-CC防护引擎可以根据访问者的URL、频率、行为等访问特征,智能识别CC攻击,迅速识别CC攻击并进行拦截,在大规模CC攻击时可以避免源站资源耗尽,保证企业网站的正常访问。

抗D保-抗CC攻击数据(监控)

DNSQueryFlood

DNS作为互联网的核心服务之一,自然也是DDoS攻击的一大主要目标。DNSQueryFlood采用的方法是操纵大量傀儡机器,向目标服务器发送大量的域名解析请求。服务器在接收到域名解析请求时,首先会在服务器上查找是否有对应的缓存,若查找不到且该域名无法直接解析时,便向其上层DNS服务器递归查询域名信息。

通常,攻击者请求解析的域名是随机生成或者是网络上根本不存在的域名,由于在本地无法查到对应的结果,服务器必须使用递归查询向上层域名服务器提交解析请求,引起连锁反应。解析过程给服务器带来很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

根据微软的统计数据,一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求,足以使一台硬件配置极高的DNS服务器瘫痪,由此可见DNS服务器的脆弱性。

抗D保在全国多个城市采用分布式集群方式部署了上千台高效DNS服务器,从而保证各个地区的查询响应速度。抗D保的高防DNS服务,可有效解决突发的上亿级别的随机HOSTA记录查询攻击、递归DNS穿透攻击、DNS流量攻击等多种针对域名解析的攻击请求。

抗D保防御DNS攻击效果示意

三、混合攻击:流量与技巧并用

在实际情况中,攻击者只求达到打垮对方的目的,发展到现在,高级攻击者已经不倾向使用单一的攻击手段作战了,而是根据目标系统的具体环境灵动组合,发动多种攻击手段,既具备了海量的流量,又利用了协议、系统的缺陷,尽其所能地展开攻势。

对于被攻击目标来说,需要面对不同协议、不同资源的分布式的攻击,分析、响应和处理的成本就会大大增加。

抗D保拥有国内最大的抗D集群,使用腾讯宙斯盾流量清洗设备并结合由知道创宇研发的Anti-DDoS引擎,5秒发现恶意攻击,10秒快速阻断,2T带宽储备,通过多种防御手段,防御各种类型、形态的DDoS攻击,包括基于网络层的攻击,如TCPFlood、UDPFlood、ICMPFlood,以及应用层攻击,类似HTTPFlood这种试图耗尽服务器资源的攻击,同时可以有效防御各种反射攻击和僵尸网络攻击。

面对一次次攻击,即使是去年10月让美国半个互联网瘫痪的DDoS攻击事件,也只是让很多人小心脏稍微颤抖了几下,在大家的印象中,DDoS只是一阵海啸,很快就能恢复了往日的平静。但是,DDoS在互联网发展进程中已经留下了太多不可磨灭的破坏,许多企业就此一蹶不振。而且随着互联网+的不断推进,商业竞争的愈演愈烈,它的危害越来越大,任何企业组织都应该考虑自己的DDoS防护方案,而不是成为攻击的炮灰,也尽量避免遭受攻击后再亡羊补牢。

相关新闻

2016-12-20

2017-03-06

2017-07-28

2017-08-17

2017-09-04

腾讯安全反病毒实验室:CIA大规模数据泄露揭秘 营销视频课程

img

蝈蝈鱼

关注
事件概述

美国时间3月7日,维基解密(WikiLeaks)网站公布了大量据称是美国中央情报局(CIA)的内部文件,其中包括了CIA内部的组织资料,对电脑、手机等设备进行攻击的方法技术,以及进行网络攻击时使用的代码和真实样本。利用这些技术,不仅可以在电脑、手机平台上的Windows、iOS、Android等各类操作系统下发起入侵攻击,还可以操作智能电视等终端设备,甚至可以遥控智能汽车发起暗杀行动。

维基解密将这些数据命名为“7号军火库”(Vault7),一共有8761份文件,包括7818份网页以及943个附件。在公布时,维基解密对文件内容进行了一些删节处理,包括个人真实信息(姓名、邮件地址等),数以万计的IP地址,以及真实的二进制文件。维基解密表示在对文件进行进一步的分析之后,会逐步公开这些被删节的信息。同时,维基解密称此次公布的数据只是一系列CIA机密材料的第一部分,被称为“元年”(YearZero),后续还会有更多资料陆续公布。

泄漏内容

此次公布的数据都是从CIA的内网保存下来的,时间跨度为2013到2016年。这批文档的组织方式类似于知识库,使用Atlassian公司的团队工作共享系统Confluence创建。数据之间有明显的组织索引关系,可以使用模板对多个资料进行管理。很多资料有历史改动的存档,7818份资料中除去存档共有1136个最新数据。943个附件基本上都可以在资料中找到对应的链接,属于其内容的一部分。具体而言,这些资料可以分为如下几类:

1.CIA部门资料,包括部门的介绍,部门相关的黑客项目,以及部门内部的信息分享。

2.黑客项目资料,包括一些不属于特定部门的黑客工具、辅助项目等,其中有项目的介绍,使用说明以及一些技术细节。

3.操作系统资料,包括iOS、MacOS、Android、Linux、虚拟机等系统的信息和知识。

4.工具和开发资料,包括CIA内部用到的Git等开发工具。

5.员工资料,包括员工的个人信息,以及员工自己创建的一些内容。

6.知识库,这里面分门别类地存放了大量技术知识以及攻击手段。其中比较重要的是关于Windows操作系统的技术细节和各种漏洞,以及对于常见的个人安全产品(PersonalSecurityProducts)的绕过手段,包括诺顿、卡巴斯基、赛门铁克、微软杀毒以及瑞星等安全产品。

总的来看,这些数据虽然有组织关系,但是作为工作平台而言,并没有形成严格的规范,很多文件都是随意放置的,甚至还包括asdf这样的测试文件,更像是一个内部的知识共享平台。

典型兵器

在这次公布的数据中,一些比较值得注意的兵器项目如下:

WeepingAngel

WeepingAngel(哭泣的天使)是一款由CIAEmbeddedDevicesBranch(嵌入式设备组)和英国MI5共同开发的针对三星智能电视的窃听软件。三星智能电视使用的是Android操作系统,该窃听软件感染智能电视后,会劫持电视的关机操作,保持程序的后台运行,让用户误以为已经关机了。它会启动麦克风,开启录音功能,然后将录音内容回传到CIA的后台服务器中。考虑到三星智能电视使用的是Android操作系统,推测该恶意软件具备感染Android手机的能力。韩国和美国是三星智能电视的最主要消费国家。

HIVE

HIVE(蜂巢)是CIA开发的远程控制后台项目,该项目负责多个平台的后台控制工作。从泄漏的文件来看,HIVE系统在2010年10月26日发布了第一版,直到2014年1月13日一共更新到2.6.2版本。作为间谍软件最重要的部分,Command&ControlServer就由该项目负责。整体上,植入目标机器中的间谍软件,通过HTTPS协议同后台C&C服务器进行交互,整个通信过程使用了,数据加密,身份鉴权等诸多信息安全高级技术。同时在异常处理和服务器隐藏等关键模块的设计上,也体现出国家队的技术水平。

从架构设计上分析,HIVE分为两层,第一层直接与间谍软件连接,部署在商用的VPS(VritualPrivateServer)上。第一层将所有流量通过VPN加密转发到第二层。转发策略是如果流量经过身份鉴权,确认是目标机器,就会向代号为”Honeycomb”的服务器集群转发,这里会对收集到的信息进行存贮和分析,如果鉴权失败,就会向一个无害的网站转发,达到重要服务器不被暴露的目的。

UMBRAGE

UMBRAGE(朦胧的外表)取自英语古语,有朦胧虚无的意思。该项目主要目的是隐藏攻击手段,对抗调查取证。现实世界中,每一个案件,背后无论多么扑溯迷离,在现场一定会留下线索,如果是惯犯,凶手会有一定的作案模式。在网络世界中也是一样的,每一次发动的网络攻击,都会和之前的攻击有着千丝万缕的联系,都能提取出一定的攻击模式。

CIA的RemoteDevicesBranch(远程设备组),收集维护了一个网络攻击模式库,该模式库总结了之前使用过的攻击方式和技术,例如包含HackingTeam泄漏出的代码和俄罗斯使用的技术。拥有了庞大数量的模式库之后,对于新发起的网络攻击,可以采取模仿,混淆等多种战术,达到迷惑敌人,隐藏自己的目的。UMBRAGE项目包含了恶意软件大部分功能模块,例如:键盘记录器,密码收集器,摄像头控制,数据销毁,提权,反杀毒软件等等。

FineDining和Improvise(JQJIMPROVISE)

"FineDining"(美食大餐)提供了标准化的调查问卷,CIA的OSB(OperationalSupportBranch)部门会使用该调查问卷,用于将办案人员的请求转换为针对特定操作的黑客攻击的技术要求。问卷可以帮助OSB在现有的攻击工具集中选择合适的攻击工具,并将选好的攻击工具清单传递给CIA的负责配置攻击工具的运营人员。OSB在这里充当了CIA运营运营人员和相关技术支持人员的接口人的角色。

调查问卷会让填写者填写诸如目标计算机使用的操作系统、网络连接情况、安装的杀毒软件等信息,随后会由"Improvise"(即兴演出)处理。"Improvise"是一个用于配置、后处理、payload设置和executionvector选择的工具集,可支持所有主流操作系统。"Improvise"的配置工具如Margarita允许NOC(NetworkOperationCenter)根据"FineDining"问卷的要求来定制工具。

"FineDnining"用于收集攻击需求,而"Improvise"用于将攻击需求转化为攻击工具,这两个工具相互配合使用,可以准备、快速的对任何特定目标实施攻击。可见,CIA已经实现了对指定目标的攻击实现了高度的定制和高效的配置。

后续

此次公开的数据庞大,并且还有部分数据未公布。腾讯电脑管家反病毒实验室会持续关注该事件,跟进最新进展;同时继续深入分析现有内容,挖掘其中涉及的安全漏洞、入侵手法和攻击工具,第一时间披露更加具体的细节信息。

同时也在这里提醒广大用户,此次公布的数据中包含大量漏洞信息和攻击工具,可能被不怀好意的人利用,成为他们手中新的武器。希望广大用户最近提高警惕,留心关注最新的安全新闻,注意及时更新电脑、手机上的安全防范措施,避免遭受此次事件的负面影响。

相关新闻

2017-03-15

2017-05-16

2017-05-31

2017-06-06

2017-08-10

腾讯贡献大规模 Node.js 微服务框架 Tars.js 行业视频课程

img

卫小萱

关注
随着互联网的发展,越来越多的业务不仅仅由单一节点(或是单一语言)就可承载,而是趋向多语言分布式协同开发(如接入层由Node.js完成,逻辑(数据)层由C++/GO/Python实现)并由此组成大型异构系统。

我们(现SuperTeam)基于 Tars 体系研发出 Tars.js 以便用户在不改变异构系统整体架构的情况下快速搭建(迁移)Node.js服务,并可非常方便的将原来的单一服务拆分为多个(逻辑)子服务。

Tars.js在腾讯内部经过5年多的沉淀与迭代(Node.js@0.10版本即提供支持),广泛运用于腾讯QQ浏览器、腾讯桌面浏览器、腾讯地图、应用宝、腾讯手机管家、互联网+、腾讯医疗、腾讯觅影、保险、彩票等几十个重要业务中,日承担了上百亿流量。

Tars.js包含下述特性:

l 100%由JavaScript编写,不包含任何C/C++代码。

l 多进程负载均衡与管理。

l 代码异常监控与重启。

l 服务日志搜集与处理。

l HTTP(s)服务监控与用量自动上报,并支持用户自定义维度上报(PP监控)。

l 符合 Tars(IDL)规范的编解码模块。

l 支持 TarsRPC调用与染色(模调自动上报)。

l 支持在线发送管理命令、拉取服务配置。

l 独创 LongStackTrace™异常跟踪机制。

l …… 更多特性可访问 @tars/node-agent 了解

设计理念:

»A.高自由度:

l 兼容所有(≥0.10)官方Node.js版本。

l 对 Node.js源码无侵入无修改。

l 底层对上层完全透明,支持各种上层框架,无需变更。

也就是说:

您可以使用任何您熟悉的框架(如 Express.js/Koa.js等,包括但不仅限于Web框架),也无需对框架进行任何修改(无需引入任何中间件)。即可通过Tars.js运行,享受平台提供的各种监控与管理特性。

与此同时,Tars.js所提供的模块,也可以根据您的需求引入(如未使用到则可不引入)。

»B.高性能:

Tars.js为高性能与大并发量而设计,使用了大量的前端(V8)优化技巧(如FlattenString/FastProperties等)尽量降低所提供的能力对于业务性能的影响。

经过我们测试(WebServer),默认的旁路上报与监控对服务性能的影响≤5%,常用模块(RPC、日志等)性能位于业界前列。

»C.差异化:

Tars.js根据不同的业务类型提供差异化运营方案:

l 高流量业务:尽力降低框架对业务性能的影响。

l 低流量业务:充分利用硬件资源提升开发体验。

HelloWorld

我们来看Node.js官网的 例子 (如下),无需任何变更,直接通过Tars.js进行部署,它会拥有哪些特性?

✓ 进程管理

默认基于 cluster 模块进行负载均衡,进程数可以配置为1~max(CPU核心数)、还可配置为auto(物理核心数相同)以减小内存压力提升“性价比”。

与此同时,进程僵死检测也会同时启动,实时监控业务进程。

»案例说明

某服务在论坛UBB代码转HTML时,使用未优化的正则表达式进行XSS攻击过滤,但由于用户发帖时图片采用BASE64编码,导致正则表达式计算时间过长,CPU使用率飙涨到100%:

开启僵死检测后,Tars.js监控到业务进程僵死时,自动重启业务进程,从而缩短了业务无响应时间:

Tars.js虽然无法解决业务代码的问题(BUG),但会尽最大努力保证业务的可用性。

✓ 服务监控

以服务名、接口名(URL-PATH节)为纬度,统计总流量、平均耗时、超时率、异常率:

其中返回码大于400(可配置)作为异常进行上报。

»监控说明

Web服务一般由静态与动态资源(接口)组成,由于静态资源(本地文件)的请求耗时远低于动态资源(业务逻辑),请求量往往又很高,拉低了服务整体耗时。

基于此,Tars.js将请求URL中的PATH节作为接口,每个接口均可查看其总流量、平均耗时、异常率,便于用户全面了解服务性能。

✓ 特性监控

无论您服务的类型是什么,总是会上报下述特性,便于回溯问题与评估性能:

l memUsage:内存用量,将会上报rss、heapUsed、heapTotal这三个用量(单位为字节)

l cpuUsage:CPU用量,将会上报CPU使用率,数据汇总为逻辑单核(单位为百分比)

l eventloopLag:(任务)队列延迟,每隔2秒采样(单位为毫秒)

l libuv:I/O用量,将会上报activeHandles、activeRequests这两个用量

各策略以平均值(Avg)、最大值(Max)、最小值(Min)分节点进行统计:

✓ 日志输出

所有通过Console模块(如console.log)输出的日志,都会输出到服务本地文件内。并附加相关信息(如下),方便定位问题。

日志格式:日期时间|进程PID|日志级别|输出文件名与行号|日志内容

2018-07-0112:00:00|332|DEBUG|app.js:13|Serverrunningathttp://127.0.0.1:3000/

✓ LongStackTrace™

由于Node.js采用异步机制,在发生异常时堆栈不完整,导致定位问题复杂。

鉴于此,我们提供了长链路跟踪技术在产生异常时自动附加前序调用堆栈,同时还支持在异常堆栈中过滤出用户代码部分。

由于开启此特性时会造成性能损耗,故默认关闭,管理平台等性能不敏感业务可直接通过配置开启。

»案例说明

执行上述代码会抛出下述异常:

ReferenceError:ThisMayThrowErrorisnotdefined

atTimeout.setTimeoutas_onTimeout

at_disibledevent="http://superzheng.com/">@SuperZheng 创立于2017年。团队成员均为全栈架构师(Super寓意Superman——无所不能),熟知Web(3D)、终端、后端与大数据计算,并由传统前端向互联网从业者方向发展。欢迎前端牛人加入,共创前端美好未来。

img

在线咨询

建站在线咨询

img

微信咨询

扫一扫添加
动力姐姐微信

img
img

TOP