近來黑客行動主義能夠獲得更大可視性的一個理由就是,現(xiàn)在能夠很容易的獲取并使用攻擊工具,特別表現(xiàn)在拒絕服務(wù)(DoS)攻擊上。黑客活動分子的目的通常是抗議或是促成一個特別的政治問題,但是這些天任何人都變成了攻擊的目標(biāo),即使他們宣稱“這僅僅為了Lulz(一個黑客團(tuán)體)”。最近作者有機(jī)會目睹了一次黑客的DDos攻擊(提前被告知),在這里愿意分享他們所使用的黑客工具和一些技巧,并防止這類攻擊事件的發(fā)生。
黑客攻擊工具
拒絕服務(wù)攻擊基本上是試圖讓用戶停止提供服務(wù)或資源訪問(通常是一個網(wǎng)絡(luò)服務(wù)器)。分布式拒絕攻擊可以方便地協(xié)調(diào)從多臺計算機(jī)上啟動進(jìn)程。這樣可以使用引導(dǎo)很多Dos攻擊,現(xiàn)在讓我們看看最常見的幾種拒絕服務(wù)攻擊:
· LOIC (Low Orbit Ion Cannon)也許是最知名的攻擊工具,它被黑客組織Anonymous和其它黑客廣泛用于DDos攻擊。LOIC曾經(jīng)作為合法的用途用于壓力測試工具,但是現(xiàn)在被廣泛作為一種Dos工具進(jìn)行使用。它的普及使得創(chuàng)造了JavaScript版本,能夠從網(wǎng)頁瀏覽器進(jìn)行攻擊并且可以很容易的讓他們的追隨者(或)粗心的游客加入他們的攻擊。
· HPing是一個命令行下使用的TCP/IP數(shù)據(jù)包組裝/分析工具,其命令模式很像ping命令,但是有很多更先進(jìn)的功能。它能夠被用于建立大量的TCP數(shù)據(jù)包,也許對于攻擊者來說最重要的特點(diǎn)是能夠通過欺騙手段掩飾攻擊源。
· 另一種攻擊工具Slowloris通過少量數(shù)據(jù)發(fā)送部分HTTP請求,建立IP sockets連接打開服務(wù)器,最終消耗所有能使用的網(wǎng)絡(luò)端口。Slowloris是一個Perl程序,需要Perl解釋器才能運(yùn)行并且在Linux系統(tǒng)下能夠能夠更好的發(fā)揮,因此它可能不是一個普通用戶的工具。
對于他們而言,每種工具都是一個攻擊網(wǎng)絡(luò)服務(wù)器有效的方法。但是如果使用這些工具進(jìn)行組合攻擊,將使它們具有更加強(qiáng)大和難以阻擋的潛力。
正如許多想成為黑客的攻擊者所了解到的,LOIC不能保護(hù)攻擊源的身份。因此黑客組織Anonymous廣泛推廣使用VPN服務(wù)作為一種掩蓋真實(shí)攻擊源的方法。這可能不再是最好的掩蓋攻擊的方法;黑客團(tuán)體LulzSec成員的被逮捕表明了VPN服務(wù)提供商(他們使用了HideMyAss.com的服務(wù))可能根據(jù)法庭命令遞交了Lulzsec 黑客的使用日志。
對策
很多公司都要準(zhǔn)備面對可能的Dos攻擊。下面是一些可以用來抵御攻擊的基本策略。
· 配置你的路由器和防火墻,以阻止無效的IP地址,并過濾掉不需要的協(xié)議。一些防火墻和路由器的功能可以防止TCP / UDP數(shù)據(jù)包。此外,請確保在所有設(shè)備中啟用日志記錄,能夠可靠地進(jìn)行檢查,從而確定攻擊來源,如果需要的話,可將它們上交執(zhí)法機(jī)關(guān)進(jìn)行處理。
· 入侵檢測/防御系統(tǒng)(IDS/IPS)能夠監(jiān)測濫用的有效協(xié)議作為攻擊介質(zhì)。根據(jù)產(chǎn)品和網(wǎng)絡(luò)配置,該系統(tǒng)可以自動阻止攻擊流量。
· 從供應(yīng)商獲得幫助。通過這種方式,攻擊流量在阻塞公司帶寬之前,可以被阻止接近其資源。
· 應(yīng)制定事故應(yīng)急預(yù)案并隨時準(zhǔn)備激活它。如果受到攻擊時,每個人都應(yīng)該知道如何應(yīng)對以及誰在公司內(nèi)部和外部進(jìn)行聯(lián)系(例如行政執(zhí)法)。
· 確保你有和你用戶或客戶交流暢通。對于發(fā)生的事情盡可能的坦誠以對。
你必須注意一些問題,它們可能破壞你的防御策略:
· 確保花費(fèi)一定的時間將你的IDS/IPS調(diào)整到最佳狀態(tài),它們可以監(jiān)測最新的數(shù)字簽名。如果你不能保證其監(jiān)測(因?yàn)槟銜玫皆S多誤報和漏報),你將不能依靠它幫助你阻止網(wǎng)絡(luò)攻擊。
· 你需要明確供應(yīng)商的服務(wù)項目和支持級別。如果攻擊出現(xiàn)在營業(yè)時間以外,你所得到的支持可能只是一個24小時等待的語音信箱或票務(wù)系統(tǒng)。理想的情況是,你應(yīng)該有具有專業(yè)知識的緊急救助人員,授權(quán)他們可以對你進(jìn)行幫助。
· 及時以及開放的交流態(tài)度是非常重要的。例如,在大公司中,位于不同的部門會授權(quán)給不同的設(shè)備,例如,路由器和防火墻。最后,公司需要及時處理黑客攻擊,因?yàn)閮?nèi)網(wǎng)的原因,有時做出反應(yīng)會受到延遲影響。
· 不能低估公司內(nèi)部不同部門之間的交流(人力資源部門,法律部門等等)的作用。公司與媒體的聯(lián)系是非常重要的。公司的CEO可能會無意識或隱藏事實(shí),這樣會潛在的有損公司的形象,超過事件本身的影響。
后果
我發(fā)現(xiàn)此次的”抗議”事件被媒體大量報道,因此,黑客活動分子組織Anonymous這次的攻擊明顯是為了引起公眾的注意。幾小時后,他們顯然成功地攻克了一個目標(biāo)網(wǎng)站并且成功的進(jìn)入到兩三個其它網(wǎng)站。
只有時間會告訴我們此次攻擊會給帶來何種嚴(yán)重的后果。
京公網(wǎng)安備 11010502049343號