DDoS攻击的预期演变仍在继续。攻击大小随着时间的推移而增加,工具变得更容易使用,更多威胁演员发动攻击,旧的攻击技术已经商品化,并且定期添加新的攻击技术。攻击既便宜又简单,而且非常普遍。地下罪犯继续提供服务并继续获得提供这些服务的资金,这为其他攻击者加入游戏提供了进一步的激励。

我们的“Shuriken攻击”系列的2015版本描述了一些攻击工具和战术,这些工具和战术在过去一年中没有得到太多或任何报道,或者已经出现或变得更受欢迎。

最近,基于UDP的反射/放大攻击虽然已经被描述了一段时间,但仍继续对仍然没有准备好进攻的系统和网络造成严重破坏。易于使用的廉价基于Web的stresser服务和引导服务为任何人提供对攻击基础设施的访问,并且随着新服务的频繁出现,它们不断扩散。

即使为了经济利益而在地下论坛中经常夸大攻击的全部影响,这些演员服务也经常打包。在这样的论坛上,真理是一种罕见的商品,但是如果没有准备好的话,仍有足够的有毒真理存在使许多网络瘫痪。不法分子正在积极寻找绕过站点防御的方法,甚至在“script kiddie”论坛上也讨论了特定的技术。尽管“脚本小子”技能极低,但它们仍然可能对站点中断和对共享基础架构的无关属性的附带影响造成重大损害。在某些情况下,即使是最不熟练的攻击者也会完成他们的DDoS任务,目标站点由网络和托管服务提供商进行空路由,以保护其他客户。

除了这里将讨论的材料,它描述了服务器压力测试(SST)地下市场中涉及的前端和后端资源,读者应该清楚地了解旧的基于Windows的DDoS商业僵尸网络仍然存在。高度活跃,经常发生攻击,并在地下销售服务。受到熟练操作员部署和使用的Arbor设备保护的站点将不受此处描述的所有攻击的影响。

VDos Stresser
图1:VDos Stresser登录页面
图1:VDos Stresser登录页面

图2:显示涉嫌216 Gbps攻击流量的图表
图2:显示涉嫌216 Gbps攻击流量的图表

VDos服务似乎或已经由“P1st。”(又名“P1st0”)和“Apple J4ck”操作,“Red Sox”和“jeremyfgt”显然在以后加入团队。作为管理该服务的管理员,截至2015年6月23日,P1st已经执行了1570个靴子。虽然有一个涉嫌提供VIP服务,声称以更高的价格提供更大量的交通洪水,但一般服务显然已经在线数年并声称目前仅提供第4层泛洪技术,尽管第7层技术已在各个点可用。各种图表和其他与该服务功能相关的内容都包含在热门地下论坛的长期主题中。显然,这个修整器的源代码至少有两次暴露在地下,这意味着代码很可能被公共和私人的各种其他服务使用。在其中一种情况下,根据对共享源的论坛帖子的响应,源代码被下载了大约460次。

虽然无法始终确认此信息,但截至2014年10月1日,图表显示的攻击频率高达216 Gbps。当时,这个数字被宣传为“总网络容量”。随着时间的推移,该服务报告的功能在20 Gbps到282.9 Gbps之间,平均每次攻击的流量大约为10-50 Gbps。大多数情况下,这个数字与SSDP攻击有关,尽管有一个图表被发布用于NTP放大攻击,显示峰值为236.7 Gbps / 66.7 Mpps(此数字尚未确认)。在任何给定时间,该服务似乎可以在5-10个攻击服务器上运行。

攻击类型来来往往,但是在2015年6月,有人发布了可用攻击选项的屏幕截图。

图3:2015年6月的屏幕截图显示了攻击类型
图3:2015年6月的屏幕截图显示了攻击类型

这个stresser使用SSDP宣传每次启动10-50 Gbps。可用于攻击的带宽将取决于发起并发攻击的用户数量,反射服务器的带宽以及攻击中涉及的反射服务器数量。这些服务往往为了赚钱而夸大其能力。

图4:保证10-50 Gbps的SSDP流量
图4:保证10-50 Gbps的SSDP流量

他们还宣传并利用使用欺骗性攻击源的挑战,这些攻击源使追溯和归因变得复杂。

图5:欺骗攻击是一个卖点
图5:欺骗攻击是一个卖点

地下论坛上可用攻击类型的广告显示如下:

图6:广告的攻击类型
图6:广告的攻击类型

2014年9月发布的一张截图显示,dstat图表声称,17个机器人能够发动35 Gbps流量泛滥,平均每个攻击服务器仅略高于2 Gbps,假设机器人数量准确(发布攻击服务器列表)从未表现出这么多;最高计数是十个不同的攻击服务器)。报告升级到SSDP服务器列表后不久,发布了另一个显示40 Gbps攻击流量的dstat图,然后另一个帖子显示了90.87 Gbps的攻击流量。与往常一样,这些数字旨在销售服务,可能是准确的,但也可以在理想条件下设置,夸大或伪造。

图7:90 Gbps攻击声明
图7:90 Gbps攻击声明

然而,在这种情况下,Arbor的ATLAS DDoS遥测显示出一种很可能与此特定图形相关的攻击 - 它是针对宽带提供商网络中目标站点上的UDP / 80的91.69 Gbps / 25.17 Mpps NTP放大/反射攻击。考虑到dstat图中峰值非常接近匹配的时间戳,引导/ stresser服务攻击宽带游戏玩家的趋势,以及非常接近的攻击量,生成此图的人可能不具有欺骗性; 指标表明这种攻击是真实的,并为任何毫无准备的网络带来了巨大的打击。

攻击者大胆或愚蠢地在地下论坛上发布正在进行的实际攻击的屏幕截图。以下是此类攻击的示例,在论坛上由“P1st。”发布,并在服务上使用登录名称“hax”,以及用于访问帐户办公室@vdos-s [。]的邮件的打开浏览器选项卡com。ATLAS遥测确认了几个SSDP攻击命中目标服务器与此屏幕截图相关联。IP地址托管了各种知名的主要名称网站。

图8:正在进行的SSDP攻击
图8:正在进行的SSDP攻击

另一个例子,发布于2014年12月,显示了所有攻击同时发生,以及目标的广泛地理属性。海报模糊了请求攻击的用户名。

图9:2014年12月的并发攻击
图9:2014年12月的并发攻击

Stresser服务通常有很多用户,特别是如果他们是公共的。在这种情况下,有一个名为“Msnight1”的用户,我们在此屏幕截图中看到网站管理员责骂该用户通过VPN服务进行明显的帐户共享以访问用于压力的帐户。有用的屏幕截图显示了与此用户关联的特定时间段内的所有登录IP地址和攻击。SSDP攻击构成了此处显示的大部分内容,其中HOME是唯一使用两次的其他攻击类型。VPN服务长期以来被用来隐藏恶意活动; 地下论坛上充斥着VPN服务的广告,这些广告宣称不会在不易与执法部门合作的国家进行记录和操作。

图10:用户“Msnight1”的登录和攻击配置文件
图10:用户“Msnight1”的登录和攻击配置文件

图11:用户“Msnight1”的登录和攻击配置文件
图11:用户“Msnight1”的登录和攻击配置文件

地下论坛上的另一位用户发布了一条消息,指的是受保护的推文[https://twitter.com/akaInfection/status/547869152795303937?s=09]声称“Apple J4ck”帮助Lizard Squad恶意组织执行DDoS攻击XBL,可能是指Xbox Live。此信息未得到确认。

图12:Lizard Squad小组据称使用stresser来攻击Xbox Live
图12:Lizard Squad小组据称使用stresser来攻击Xbox Live

2015年5月下旬,观察到一个被称为引导者/ stresser社区的用户的有趣评论。

图13:Arbor不销售防火墙,但无论如何,谢谢
图13:Arbor不销售防火墙,但无论如何,谢谢

除了Arbor没有制作防火墙这一事实外,很明显此论坛上的杰出演员都认识到Arbor设备的保护能力。

随着团队成员在2015年6月初发布了一个他们寻求聘请成员担任支持角色的线程,这个stresser服务正在增长。新的管理员将获得一个终身免费帐户,并可能获得其他好处。值得注意的是,该职位的首选特征之一是能够理解粤语和普通话等中文。这表明了迎合大量使用中文的人的意图。

这种服务器服务只是众多服务中的一个例子。虽然大多数用户都有一些计量攻击功能,但有些管理员没有,而私人启动者可能没有这样的限制。

Alpha应力工具
图14:Alpha Stress Tool中可用的攻击类型的屏幕截图
图14:Alpha Stress Tool中可用的攻击类型的屏幕截图

这是一个在着名的地下论坛上做广告的服务员服务。他们声称提供150 Gbps的总攻击能力。通常,这个数字被夸大了,因为服务想要赚钱,他们可能会让许多用户同时进行攻击,这会降低产量并最终导致不满意的客户在各种地下论坛上对该服务负面评价,从而导致商业。找到适当的平衡似乎是为地下客户提供针对未准备目标的有效攻击的能力的关键,并允许足够的付费客户为运营商提供有价值的服务。在这种情况下,该服务似乎至少有两个运营商。

stresser服务的运营商似乎喜欢重新打包攻击脚本并给他们一个华而不实的新名称。在某些情况下,这些是现有攻击的调整,或某种类型的有意义的修改。在其他情况下,它只是一个简单的重命名技巧,旨在鼓励更多的业务。

运行此服务的人声称在此服务的广告阶段已多次更新放大服务器列表,并声称已添加服务器攻击服务器和功能以扫描可用于攻击的新SSDP服务器。

这个stresser提供了多种选择:

NTP反射/放大
SSYN(通常定义为“Spoofed SYN”,但通常只是TCP连接耗尽攻击)
SSDP反射/放大
消息来源
源引擎是最初于2004年发布的3D游戏引擎,它与各种UDP端口相关联(最值得注意的是UDP / 27015,还有27020,27005,51840以及其他可能的其他端口)。过去的漏洞已被写入基于崩溃源引擎的游戏,并且使用游戏引擎UDP端口作为放大/反射源的DDoS攻击也是常见的。许多游戏服务器都很脆弱; 在这种情况下,一位研究人员在2013年发现了至少55,460个源协议服务器,这些服务器可以通过简单的扫描在DDoS攻击中利用[http://www.slideshare.net/z0mbiehunt3r/ddos-amplification-attacks-with-game-servers ]
团队发言3
这种攻击类型显然是为了通过UDP反射/放大攻击取消TeamSpeak 3游戏服务器。这很可能只是利用针对TeamSpeak 3服务器和端口的其他反射/放大攻击。
用Ventrilo
这可能是对Ventrilo服务器的攻击,很可能以与上述TeamSpeak 3攻击类似的方式实施。
HTTP GET,POST,HEAD
通常使用GET,POST和HEAD谓词的基于HTTP的攻击阵列。
XMLRPC
最有可能是指基于WordPress的XMLRPC“pingback”攻击,其中WordPress服务器用作反射器。
ICMP
典型的ICMP洪水。
SDROP
目前有关此攻击类型的信息不足。

主机可能旨在放弃家庭连接。通常,这些只是UDP洪水。
CHARGEN
未在屏幕截图中列出,但在2015年5月中旬提供(根据广告)
JOOMLA
未列出,但通常是使用Joomla服务器反映和放大向目标的HTTP流量的方法。这些通常是针对特定应用的攻击,最好在第7层进行缓解,但如果体积洪水足够高,则可以在上游进行缓解。
ESSYN
通常代表Enhanced Spoofed SYN。这可能涉及各种攻击策略,包括TCP连接耗尽,实际欺骗SYN活动以及带有随机序列号的欺骗SYN活动,这些序列号旨在增加目标处理负载。
支配
DOMINATE是一种较新的(自2015年1月起)第四层泛洪技术,已被宣传为通过将流量发送到这些受保护服务器的实际IP地址来攻击受保护服务的方法。对地下这种攻击方法的分析表明它是一个欺骗性SYN泛洪脚本(ESSYN)的修改版本,增加了使用不同TCP标志的能力。有迹象表明此脚本不像宣传的那样起作用,并且其他研究表明,由于有人修改了现有的源代码以更改TCP标头标志中的细微元素,因此出现了各种SYN泛洪脚本。然后大肆宣传攻击代码,并在某些情况下出售,直到人们意识到修改很小并且可能无效(针对任何准备的目标)。
DNS
DNS反射/放大攻击策略(在屏幕截图中不可见,但在广告中列出)
SUDP
DNS放大攻击
Twbooter2
这个工具系列有相当长的历史,早期的twbooter服务的指标在2010年可用。我们知道Twbooter3和其他版本也可用,但是这个分析侧重于twbooter2。几年前这段代码泄漏到了地下,并且仍然引起了人们的极大兴趣,论坛对过去几周内出现的漏洞以及截至2015年6月的有效下载情况进行了评论。众多的booter / stresser代码实例广泛可用在地下,一些源代码是私有的,其他源代码已被公开或泄露给公众。指标表明,由于这些情况,存在大量代码共享和重叠,导致不同服务提供的许多相同类型的攻击。

虽然后端的屏幕截图并不像其他DDoS机器人那样具有视觉上的吸引力,但不要误会 - 这段代码在过去几年中已经落后于许多攻击并且攻击代码已经以各种形式重复使用。这些包括直接复制源代码,以及修改源代码以改变攻击行为的某些方面。

ASERT研究人员在一段时间内在一个孤立的实验室环境中构建了一个twbooter2实例,以便分析使用此代码产生的攻击活动。由于代码泄露,它已被广泛使用。我们可以在这些屏幕截图中看到自动化的简易性; 在实验室中触发了各种攻击类型。

图15:Twbooter2 UDP反射/放大攻击
图15:Twbooter2 UDP反射/放大攻击

放大器代码实现电荷反射/放大攻击。它使用包含运行chargen的服务器列表的反射文件,并允许指定线程数,限制每秒数据包数以及设置攻击计时器。

“用法:%s <目标IP> <反射文件> <threads> <pps限制器,-1表示无限制> <时间>

免费提供各种类似的脚本来实现这样的攻击。

来自此工具的反射器/放大器支路流量的攻击源从UDP / 0向UDP / 19(chargen)生成43字节的UDP数据包。chargen有效载荷是由0x01组成的一个字节。2.0.21.6是最终受害者,2.0.21.3是反射器IP地址。

图16:twbooter2 chargen攻击的反射器支路部分的攻击源的数据包捕获
图16:twbooter2 chargen攻击的反射器支路部分的攻击源的数据包捕获

然后,攻击的第一站的目的地将反射/放大攻击“回”到欺骗目标。

Chargen攻击不是新的或华而不实的,但如果网络没有准备就可能会造成极大的破坏。自2015年5月1日起,Arbor的ATLAS已经记录了1559次基于chargen的攻击。在此期间观察到的最大体积电荷攻击是来自加拿大一个单一目的地的许多不同来源的9.72 Gbps / 1.06 Mpps。

地下服务器服务充电是典型的攻击。用于修整器服务的一个典型广告示出了在演示照片中选择的充电方法。

图17:来自未命名的stresser服务的Chargen攻击屏幕截图
图17:来自未命名的stresser服务的Chargen攻击屏幕截图

图18:Twbooter2 ESSYN攻击(SYN泛洪或连接耗尽攻击)
图18:Twbooter2 ESSYN攻击(SYN泛洪或连接耗尽攻击)

正如其他地方所讨论的,可以使用各种ESSYN攻击实现。有些是简单的TCP连接耗尽,有些是发送欺骗性TCP流量,有些随机化了攻击的不同元素,以便更快地填满防火墙状态表并产生更快速的目标停机时间。在这种特殊情况下,代码会对攻击者指定的IP地址和端口发起攻击,并实例化一些线程,这些线程也在命令行中提供。在这种情况下,攻击流量的源IP地址和端口是随机的。数据包捕获屏幕截图提供了ESSYN流量的示例,其中IP地址为2.0.21.6作为最终目标,2.0.21.3作为反射器IP地址。除了朝向目标的洪水,

图19:ESSYN攻击的数据包捕获
图19:ESSYN攻击的数据包捕获

图20:Twbooter2 ghp攻击(通过代理进行HTTP GET攻击)
图20:Twbooter2 ghp攻击(通过代理进行HTTP GET攻击)

GHP使用HTTP GET,HEAD或POST请求(在命令行中指定)提供泛洪,其具有与稍后的慢速和RUDY攻击代码相同的代理功能。本文包括SOCKS4 GET攻击的分组捕获以供参考。

图21:GHP SOCKS4 GET攻击的数据包捕获
图21:GHP SOCKS4 GET攻击的数据包捕获

GHP攻击类型在31.64 Kbps / 219.77 pps和196 Kbps / 319 pps攻击流量之间产生,具体取决于使用的选项。

图22:Twbooter2滞后攻击(另一种放大攻击方式)
图22:Twbooter2滞后攻击(另一种放大攻击方式)

滞后攻击与放大器代码生成的UDP泛洪相同,只是它以较低的速率生成流量。通过每1000个发送请求休眠5秒来实现较低的速率。由于延迟,攻击量将略小于放大器代码生成的攻击量。

图23:Twbooter2 RUDY(RU Dead Yet)攻击
图23:Twbooter2 RUDY(RU Dead Yet)攻击

RUDY是针对Minecraft服务器(TCP / 25565)或HTTP服务器(TCP / 80)的慢速HTTP POST攻击。攻击数据包通过代理IP列表发送到目标服务器。支持许多代理方法(SOCKS4,SOCKS5,TUNNEL,CONNECT)。如果指定的代理方法是SOCKS4或SOCKS5,则定位一个minecraft服务器端口。否则,将定位HTTP端口。其次,如果指定了SOCKS4或SOCKS5,则在攻击中直接使用POST请求方法。如果指定了TUNNEL或CONNECT代理方法,则使用HTTP CONNECT请求方法在攻击者和受害者之间创建隧道,然后发出POST请求。

还有一个命令行选项,用于指定从目标HTTP服务器执行302重定向。

POST请求中的大多数标头都是硬编码的。从值列表中随机选择用户代理值(再次硬编码)。

RUDY攻击是一种缓慢的应用层攻击,因此PPS / BPS测量没有意义,因此不包括在内。

下面显示了使用SOCKS4选项并启用了刮刀功能从RUDY攻击中捕获的数据包。刮刀功能描述了攻击代码在发现HTTP表单之前爬网的功能。在屏幕截图中,2.0.21.2是攻击者,2.0.21.15是代理,2.0.21.6是受害者IP地址。

图24:带有刮刀选项攻击数据包捕获的RUDY SOCKS4
图24:带有刮刀选项攻击数据包捕获的RUDY SOCKS4

图25:Twbooter2 scloud攻击
图25:Twbooter2 scloud攻击

Scloud使用类似于其他基于UDP的攻击的代码来定位Skype用户。

Scloud在命令行上使用Skype用户名(受害者),并将此用户名发送到GET请求中名为speedresolve [。] com的服务器。 speedresolve [。] com将Skype用户名解析为IP地址,并通过HTTP将IP发送回攻击者。收到的IP地址用作源IP,向Chargen服务器发送1字节UDP请求。Chargen服务器的响应被发送到运行Skype的用户/ IP。截至2015年6月18日,speedresolve.com已经使用了5,446,109次,表明这是一项受欢迎的服务。

此攻击代码的一个实例生成35 Mbps / 150 Kpps的流量。

图26:scloud攻击的一部分的数据包捕获
图26:scloud攻击的一部分的数据包捕获

图27:Twbooter2慢速攻击
图27:Twbooter2慢速攻击

在这种情况下,缓慢是典型的Slowloris攻击。与RUDY攻击类似,数据包通过代理IP列表发送。此处还支持RUDY攻击支持的四种代理方法。根据代理方法,在攻击期间选择HTTP请求类型。如果指定了SOCKS4或SOCKS5,则使用HTTP GET请求方法。如果指定了TUNNEL或CONNECT,则使用HTTP CONNECT请求方法在攻击者和服务器之间创建隧道,然后是“慢”GET请求。

这里显示了使用SOCKS4的慢速攻击所产生的网络流量的示例。

图28:使用SOCKS4选项进行慢速攻击
图28:使用SOCKS4选项进行慢速攻击

请注意,虽然twbooter2较旧,但攻击者仍然对此感兴趣,并且还有许多其他stresser源代码包可用于实现类似类型的攻击。这些屏幕截图代表了其他地方存在的功能类型,并展示了自动化Web前端背后的攻击功能是多么容易。请注意该设计包含使用各种类型的代理和反射/放大服务器。虽然通过TCP协议发现自己滥用的服务和代理可能能够将攻击追溯回原始攻击服务器,但是这种基础结构进一步模糊了引导程序/解除程序服务本身的原始源地址。

重要的是要记住,这个泄露的源代码仍然存在地下利益,并且运行此代码的多个booter / stresser服务可能仍在运行。原始booter.tw和twbooter.com网站不再解析,但其中一个域与原始twbooter相关联 - absoboot.com [http://krebsonsecurity.com/2012/08/booter-shells-turn-web-sites -into-weapons /]确实解决了,并将用户重定向到名为Prevail.PW的站点,这是另一个stresser服务。Prevail.pw似乎没有被大量使用,并且可能是机会主义者获得与Brian Krebs描述的原始攻击者无关的absoboot.com域的结果。除了指向网站本身的链接外,未找到该网站的Google搜索结果。Pravail.pw网站上的服务条款自4月7日起生效,2015年,表明相对较近的活动。域名本身已于2015年4月10日注册。服务条款页面仅显示406个攻击,232个用户和6个攻击服务器。