暗網潛航——DDoS(三):魑魅魍魎 (二)

  上周我介紹了DDoS攻擊操作思維,也提及一種相對簡單的IP Null Attack,只要將封包標頭改成「0」值,就有機會讓系統無法處理,最終跌入死循環當掉!

  除了修改封包,最直接、最暴力而最普遍的DDoS攻擊手段,就是Ping Flood。攻擊者會使用大量網際網絡控制訊息協定(ICMP)請求的數據包,對目標進行碾壓式「射擊」。只要攻擊方編排適當及擁有足夠頻寬,對目標系統快速發出大量ICMP請求進行回應,那麼目標CPU時脈及線路帶寬就會被堆疊消耗。

  如果攻擊方再利用「封包製造機」,對ICMP請求進行不正常修改,並透過大量喪屍電腦對目標進行碾壓式射擊,目標系統耗用大量資源進行封包重組回應,產生緩衝區溢位狀態,引致系統崩潰。

  Ping Flood幾乎是每一次DDoS攻擊都會見到的慣常手法,雖然老舊但有用。十多年前我曾在內地見過有人使用數台經改裝的ADSL數據機發出這類攻擊,成功在短時間癱瘓一棟電訊機樓,時至今日,大量機器仍抵擋不了這種攻擊。於黑客術中,ICMP請求也是非常有效的工具。根據RFC792文檔,我們可以發出18種不同ICMP請求。如果靈活運用,甚至可以構成Firewall攻擊,穿透防火牆,並對後端網絡進行勘探辨認。

  另一種攻擊手段是使用用戶資料報協定(UDP)的UDP Flood。攻擊者修改UDP偽造來源,對目標防火牆、DNS服務器、串流服務器及Radius認證服務器等UDP端口快速發送大量請求。目標系統須處理這個偽造來源要求,最終把CPU時脈消耗殆盡而癱瘓。UPD Flood目前是一種主流攻擊方法,所以我們會把客戶系統進行固化,把所有不用端口及連接全都關掉,並不停轉換線路及網絡段。

TOZ聯合創辦人

龐博文


hd