DERP是第一個利用NTP服務(wù)器進(jìn)行大規(guī)模反射放大攻擊的黑客組
責(zé)編:admin |2015-02-11 10:29:59在上周的回顧中,我們提到了悲催的“PhantomL0rd”和偏執(zhí)狂般發(fā)起攻擊的“DERP”。在去年12月底上演的針對包括EA、暴雪等大型游戲公司的DDoS攻擊事件一度使人們誤以為“PhantomL0rd”是被攻擊的目標(biāo)和受害者。然而,隨著事件及其背后動因不斷地被挖掘和曝光,我們看到的則是另外一幅完全不同和令人震驚的畫面。這出一個愿打一個愿挨的大戲,其背后到底隱藏著哪些不可告人的秘密呢?
在闡述事件的前因后果之前,先簡單介紹一下兩位主角:“PhantomL0rd”和“DERP”。
“PhantomL0rd”名叫James Varga,某專業(yè)游戲小組的成員,同時是Twitch的知名和資深視頻博主。“DERP”也叫“DERP Trolling”,這是一個成立于2011年,比Anonymous還要隨性而松散的黑客組織。如果從Anonymous的攻擊行動還可以找到漏洞利用、網(wǎng)頁篡改和數(shù)據(jù)竊取等“高技術(shù)“含量的行為,那么DERP恐怕就只有DDoS這唯一一種相對”低技術(shù)“含量的攻擊手段了。
在上周的回顧中我們提到“PhantomL0rd”被“DERP“所追殺,包括魔獸、英雄年代、FIFA、戰(zhàn)地4等無數(shù)游戲中槍,但凡”PhantomL0rd”玩的游戲均不同程度地遭到DDoS攻擊。然而,這位頗有點“亡命天涯”味道的追殺目標(biāo)——”PhantomL0rd”并非無辜;恰恰相反,他是整個事件的策劃者。
“PhantomL0rd”經(jīng)常參加一些網(wǎng)絡(luò)游戲的對戰(zhàn)。但凡對戰(zhàn),只要你不是上帝,就一定互有勝敗。問題是“PhantomL0rd”想做上帝。他主動找到“DERP”,提出了一個“不錯”的計劃:在網(wǎng)游對戰(zhàn)中,如果“PhantomL0rd”小組打不過別人,“PhantomL0rd”小組就下線,然后“DERP”登場,發(fā)起DDoS攻擊游戲服務(wù)器讓游戲無法繼續(xù)。這樣一來,比賽就沒有結(jié)果,“PhantomL0rd”就有再次翻盤的機(jī)會。這就是“PhantomL0rd”和“DERP”之間的秘密。
這尼瑪是不是有點過于無恥了?打過團(tuán)戰(zhàn)的都應(yīng)該深有體會,團(tuán)戰(zhàn)打到high的時候,如果突然網(wǎng)絡(luò)中斷了,那連砸電腦的心都有!另一方面,這尼瑪用DDoS來左右比賽結(jié)果,是不是可以入選“2013年十大技術(shù)創(chuàng)新”名單了?
不過,從技術(shù)角度上來看,這群隨性的黑客并非想象中的那般菜鳥。從大量的外媒報道來看,DERP是第一個利用NTP服務(wù)器進(jìn)行大規(guī)模反射放大攻擊的黑客組織。和DNS反射攻擊的模式非常類似,攻擊者將源地址偽造為游戲服務(wù)器,向互聯(lián)網(wǎng)上的開放NTP服務(wù)器發(fā)送monlist請求。NTP服務(wù)器上的monlist模塊會對這些monlist請求返回最近600個主機(jī)IP地址,而這些回應(yīng)包將發(fā)往被攻擊目標(biāo)主機(jī),即游戲服務(wù)器。這就是反射。
攻擊的另一個關(guān)鍵技術(shù)環(huán)節(jié)是放大。monlist請求數(shù)據(jù)包大小為8字節(jié),而響應(yīng)數(shù)據(jù)包為468字節(jié),這樣一來,響應(yīng)包是請求包大小的58倍。雖然技術(shù)上不算高深,但是“四兩撥千斤”頗為有效,竟然真的干翻了EA、Battle.net等諸多大型游戲公司的服務(wù)器。
更令人震精的分析數(shù)據(jù)來自CloudFlare。CloudFlare在 1月9日的官方博客上對NTP反射放大攻擊也進(jìn)行了分析。NTP反射放大攻擊和DNS反射放大攻擊有異曲同工之妙,都是基于不需要維護(hù)狀態(tài)的UDP協(xié)議。對抗D稍有研究的人都會知道,雖然UDP Flood很簡單,但是不是太好防——包括Cookie和CAPTCHA在內(nèi)的所有客戶端驗證手段均將失效。CloudFlare提到用MAC終端發(fā)出的MON_GETLIST 請求包為234字節(jié),返回包是4460字節(jié)(分拆成10個數(shù)據(jù)包),放大了19倍。
有朋友會說,19倍毛毛雨啦。事實上,CloudFlare測試的NTP服務(wù)器并非一臺業(yè)務(wù)繁忙的服務(wù)器,4460字節(jié)返回的僅是55臺主機(jī)的IP地址。在上文提到,一臺業(yè)務(wù)繁忙的服務(wù)器會返回600臺服務(wù)器IP。如果真的返回了600個IP,那么返回的數(shù)據(jù)包將是4460字節(jié)的10余倍。經(jīng)放大后,將超過200倍!
OMG,200倍!這個數(shù)字你應(yīng)該非常滿意了。
整個事件中唯一讓人稍稍感到有點正能量的是“DERP“的誠信。據(jù)稱,“Derp“嚴(yán)格兌現(xiàn)自己的承諾:你打不過,我就打DDoS!真誠地“奉獻(xiàn)”了針對游戲服務(wù)器的若干次DDoS攻擊。為啥說“奉獻(xiàn)”?因為,“DERP”完全友情贊助,分文不取。
到這兒,我只想說一句:DERP,你丫真2。
下一篇:什么是APT攻擊
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!