近來黑客行動(dòng)主義能夠獲得更大可視性的一個(gè)理由就是�����,現(xiàn)在能夠很容易的獲取并使用攻擊工具,特別表現(xiàn)在拒絕服務(wù)(DoS)攻擊上����。黑客活動(dòng)分子的目的通常是抗議或是促成一個(gè)特別的政治問題,但是這些天任何人都變成了攻擊的目標(biāo)���,即使他們宣稱“這僅僅為了Lulz(一個(gè)黑客團(tuán)體)”�����。最近我有機(jī)會(huì)目睹了一次黑客的DDos攻擊(提前被告知)����,在這里我愿意分享他們所使用的黑客工具和一些技巧�����,并防止這類攻擊事件的發(fā)生��。
黑客攻擊工具
拒絕服務(wù)攻擊基本上是試圖讓用戶停止提供服務(wù)或資源訪問(通常是一個(gè)網(wǎng)絡(luò)服務(wù)器)�。分布式拒絕攻擊可以方便地協(xié)調(diào)從多臺(tái)計(jì)算機(jī)上啟動(dòng)進(jìn)程。這樣可以使用引導(dǎo)很多Dos攻擊,現(xiàn)在讓我們看看最常見的幾種拒絕服務(wù)攻擊:
• LOIC (Low Orbit Ion Cannon)也許是最知名的攻擊工具�����,它被黑客組織Anonymous和其它黑客廣泛用于DDos攻擊��。LOIC曾經(jīng)作為合法的用途用于壓力測(cè)試工具�,但是現(xiàn)在被廣泛作為一種Dos工具進(jìn)行使用。它的普及使得創(chuàng)造了JavaScript版本����,能夠從網(wǎng)頁瀏覽器進(jìn)行攻擊并且可以很容易的讓他們的追隨者(或)粗心的游客加入他們的攻擊。
• HPing是一個(gè)命令行下使用的TCP/IP數(shù)據(jù)包組裝/分析工具�����,其命令模式很像ping命令�����,但是有很多更先進(jìn)的功能��。它能夠被用于建立大量的TCP數(shù)據(jù)包���,也許對(duì)于攻擊者來說最重要的特點(diǎn)是能夠通過欺騙手段掩飾攻擊源。
• 另一種攻擊工具Slowloris通過少量數(shù)據(jù)發(fā)送部分HTTP請(qǐng)求,建立IP sockets連接打開服務(wù)器�,最終消耗所有能使用的網(wǎng)絡(luò)端口。Slowloris是一個(gè)Perl程序�,需要Perl解釋器才能運(yùn)行并且在Linux系統(tǒng)下能夠能夠更好的發(fā)揮,因此它可能不是一個(gè)普通用戶的工具�。
對(duì)于他們而言,每種工具都是一個(gè)攻擊網(wǎng)絡(luò)服務(wù)器有效的方法����。但是如果使用這些工具進(jìn)行組合攻擊,將使它們具有更加強(qiáng)大和難以阻擋的潛力��。
正如許多想成為黑客的攻擊者所了解到的�����,LOIC不能保護(hù)攻擊源的身份�。因此黑客組織 Anonymous廣泛推廣使用VPN服務(wù)作為一種掩蓋真實(shí)攻擊源的方法。這可能不再是最好的掩蓋攻擊的方法;黑客團(tuán)體LulzSec成員的被逮捕表明了 VPN服務(wù)提供商(他們使用了HideMyAss.com的服務(wù))可能根據(jù)法庭命令遞交了Lulzsec黑客的使用日志��。
對(duì)策
很多公司都要準(zhǔn)備面對(duì)可能的Dos攻擊��。下面是一些可以用來抵御攻擊的基本策略�。
• 配置你的路由器和防火墻,以阻止無效的IP地址�����,并過濾掉不需要的協(xié)議。一些防火墻和路由器的功能可以防止TCP / UDP數(shù)據(jù)包��。此外�,請(qǐng)確保在所有設(shè)備中啟用日志記錄,能夠可靠地進(jìn)行檢查�,從而確定攻擊來源,如果需要的話�����,可將它們上交執(zhí)法機(jī)關(guān)進(jìn)行處理����。
• 入侵檢測(cè)/防御系統(tǒng)(IDS/IPS)能夠監(jiān)測(cè)濫用的有效協(xié)議作為攻擊介質(zhì)。根據(jù)產(chǎn)品和網(wǎng)絡(luò)配置�����,該系統(tǒng)可以自動(dòng)阻止攻擊流量�����。
• 從供應(yīng)商獲得幫助���。通過這種方式�,攻擊流量在阻塞公司帶寬之前����,可以被阻止接近其資源。
• 應(yīng)制定事故應(yīng)急預(yù)案并隨時(shí)準(zhǔn)備激活它����。如果受到攻擊時(shí),每個(gè)人都應(yīng)該知道如何應(yīng)對(duì)以及誰在公司內(nèi)部和外部進(jìn)行聯(lián)系(例如行政執(zhí)法)�。
• 確保你有和你用戶或客戶交流暢通。對(duì)于發(fā)生的事情盡可能的坦誠以對(duì)�。
你必須注意一些問題,它們可能破壞你的防御策略:
• 確���;ㄙM(fèi)一定的時(shí)間將你的IDS/IPS調(diào)整到最佳狀態(tài)��,它們可以監(jiān)測(cè)最新的數(shù)字簽名�。如果你不能保證其監(jiān)測(cè)(因?yàn)槟銜?huì)得到許多誤報(bào)和漏報(bào))��,你將不能依靠它幫助你阻止網(wǎng)絡(luò)攻擊���。
• 你需要明確供應(yīng)商的服務(wù)項(xiàng)目和支持級(jí)別�����。如果攻擊出現(xiàn)在營業(yè)時(shí)間以外�����,你所得到的支持可能只是一個(gè)24小時(shí)等待的語音信箱或票務(wù)系統(tǒng)�����。理想的情況是�����,你應(yīng)該有具有專業(yè)知識(shí)的緊急救助人員��,授權(quán)他們可以對(duì)你進(jìn)行幫助�。
• 及時(shí)以及開放的交流態(tài)度是非常重要的。例如��,在大公司中���,位于不同的部門會(huì)授權(quán)給不同的設(shè)備���,例如,路由器和防火墻�。最后,公司需要及時(shí)處理黑客攻擊��,因?yàn)閮?nèi)網(wǎng)的原因���,有時(shí)做出反應(yīng)會(huì)受到延遲影響����。
• 不能低估公司內(nèi)部不同部門之間的交流(人力資源部門����,法律部門等等)的作用。公司與媒體的聯(lián)系是非常重要的��。公司的CEO可能會(huì)無意識(shí)或隱藏事實(shí)�����,這樣會(huì)潛在的有損公司的形象����,超過事件本身的影響。
后果
我發(fā)現(xiàn)此次的”抗議”事件被媒體大量報(bào)道����,因此���,黑客活動(dòng)分子組織Anonymous這次的攻擊明顯是為了引起公眾的注意。幾小時(shí)后��,他們顯然成功地攻克了一個(gè)目標(biāo)網(wǎng)站并且成功的進(jìn)入到兩三個(gè)其它網(wǎng)站�����。
只有時(shí)間會(huì)告訴我們此次攻擊會(huì)給帶來何種嚴(yán)重的后果����。
