網路安全專家劉俊雄先前曾經接受iThome的專訪,
分享他對於DDoS攻擊的觀察。
囿限於媒體篇幅和屬性,
劉俊雄趁著夜深人靜之際,
把他對於DDoS攻擊的觀察有更深入的分享!!
關注DDoS攻擊所有的資安與IT人員,
都不要錯過這一篇動人的分享!!
感謝奧天大大不藏私的經驗分享~~
[淺談 DDoS 攻擊]
幾個月前受訪談了些 DDoS 的話題,沒想到最近一連串爆發了這麼多事件,也讓個人淺見出現在幾篇 iThome 的報導
http://www.ithome.com.tw/news/109932
http://www.ithome.com.tw/news/110135
http://www.ithome.com.tw/news/110144
http://www.ithome.com.tw/news/110137
http://www.ithome.com.tw/news/111861
因訪談限制及媒體屬性,無法很完整的表達我的看法,趁著夜深人靜時整理一下 :
DDoS 大略可分為三個層級 - 網路層、系統層、應用層,
網路層為癱瘓目標頻寬,典型手法為 UDP/ICMP Flood、以及近年流行的各種 Reflection&Ampplification 洪水攻擊;
系統層為癱瘓目標的基礎建設或系統層,典型手法為 SYN Flood、Fragment Packet Flood、Connection Flood 等;
應用層為癱瘓目標的應用服務,典型手法為 SSL Flood、HTTP Flood、DNS Flood、Exploit、Slow Attack 等。
十多年前個人剛接觸 DDoS 的時候,盛行的是「細巧」的系統層/應用層攻擊,但近幾年因許多協定的 反射&放大 手法被開發、以及 IoT Botnet 的盛行,應該會有一段時間轉為 「爆量」 的網路層攻擊。
以開店作生意比喻 - 將店門口及前方道路視為網路出入口及上游,店裡設施和走道空間視為基礎建設,結帳櫃檯視為應用系統。則攻擊者可以堵住店門和馬路、可以塞爆店裡的走道和空間、又或者癱瘓結帳櫃檯。
而 DDoS 為何難防 ?
這與企業為何很難阻止駭客入侵的原因一樣,攻擊方與防守方處於不對等的立場,攻擊者有太多的方式可選擇,且可不斷的調整與嚐試,防守方卻礙於人力與預算限制,難以全天候對每一種手法都有良好的對應措施。
許多老闆總認為花錢買設備就可以了事,但偏偏這不是單一設備、單一解決方式可以完全處理的,應該沒有一家的服務或設備直接上架,完全不需調校就可以完美對應每一種攻擊手法,需要有經驗豐富的專業人士視實際攻擊狀況調校參數及規則。有如同一把大刀,在關公和小孩手上耍起來實有天壤之別啊!
以本次券商 DDoS 事件來說,由媒體報導看起來是屬於 [網路層] 的攻擊方式,但即使加大頻寬、或由ISP端阻擋住了,難保哪天不會出現針對系統層或應用層等更為精細、打得更為巧妙的手法,加上金融業幾乎全用 SSL 加密應用服務,會使中間的清洗商更難介入分析應用層攻擊(除非提交 SSL 金鑰)。
至於實務上應該要怎麼阻擋會比較理想?
我的看法是需 雲端清洗+本地防護,量大的攻擊由雲端或上游清洗處理,而細巧的攻擊可能穿過清洗中心,則由本地的防護機制處理,但絕對不會是由 "防火牆" 這萬年設備,至於用什麼設備可達到較好的阻擋效果請洽各大 SI。
另外若預算許可下,還可建立多個資料中心或介接多條 ISP 線路,配合 GSLB 機制快速切換 DNS ,讓攻擊者難以鎖定每一個出入口,可增加攻擊難度及應變時間。
另外真的遭遇 DDoS 攻擊時,個人的簡易 SOP 大概如下 -
1. 快速診斷,描述症狀由專業人士判斷(有側錄封包更佳)
2. 對症下藥
- 洪水攻擊 : 請求 ISP/清洗商 協助、Black Hole、更換 IP / Multi ISP / GSLB
- 系統層攻擊 : 更換撐不住的設備、關閉負載高的功能、調整系統參數延緩攻擊影響
- 應用層攻擊 : 增加服務能量、減少異常存取
3. 減少異常存取的方法:辨識特徵 + 過濾
- 網路層特徵 (IP/PORT/ID/TTL/SEQ/ACK/Window/...)
- 應用層特徵 (SSL/URL/Parameter/User-Agent/Referer/Cookie/Language/...)
4. 如果打到沒有特徵可過濾,則需靠應用層的機制來辨識真實使用者
- Redirection
- Challenge
- Authentication
5. 若無上述功能則儘快商調適合的設備。
以上是個人的看法,但我已經很多年沒直接處理 DDoS 的事件,也非任職於 ISP 方或 DDoS 防護服務廠商,只是單純的以技術角度分享,如有錯漏之處也請業界真正的高手不吝指教。
題外話,最近 DDoS 正夯,服務商們可仿效已有許多資安業者提供的 IR Retainer 服務,推出 DDoS Retainer,也許是不錯的商機 XD
[以上轉載請註明出處]
「window金鑰」的推薦目錄:
- 關於window金鑰 在 iThome Security Facebook 的精選貼文
- 關於window金鑰 在 [心得] Win10 重灌誤key舊版金鑰無法認證- 看板Windows 的評價
- 關於window金鑰 在 【電腦】不用軟體,查詢Windows 產品金鑰 - YouTube 的評價
- 關於window金鑰 在 關於windows產品金鑰啟用次數 - Mobile01 的評價
- 關於window金鑰 在 [問題] win10更換主機板及序號無法變更金鑰 - PTT 熱門文章Hito 的評價
- 關於window金鑰 在 [問題] 變更產品金鑰時,某些字元無法輸入- windows - PTT數位 ... 的評價
window金鑰 在 關於windows產品金鑰啟用次數 - Mobile01 的推薦與評價
今天電腦掛了,重新安裝作業系統後...居然和我說...我已超過了產品金鑰啟用次數??請問前輩們...這是真的嗎?? 我是用正版的windows去安裝的唷...怎會這樣?? ... <看更多>
window金鑰 在 [心得] Win10 重灌誤key舊版金鑰無法認證- 看板Windows 的推薦與評價
先講結論
1.從win7或win8.1升級安裝win10後
如果想重灌 記得過程要略過金鑰
2.如果重灌時誤key舊版金鑰 會導致主機板記憶你的舊板金鑰
之後不管你在重灌多少次 他都會預設你的win10是用你的舊版金鑰
導致你啟用win10會不斷發生錯誤
"顯示的錯誤碼: 0xC004C003 啟用伺服器判定所指定的產品金鑰已被封鎖"
3.目前個人測試出來的解法 請先用舊版金鑰安裝舊版系統
然後用升級方式安裝win10 取得win10已啟用的金鑰
然後用取得的win10金鑰 在重新安裝win10的過程中輸入
就可以破解鬼打牆的狀態
PS
取得金鑰的方法 https://goo.gl/U9cvCd
就是在命令提示字元(系統管理員)執行下列指令
wmic path SoftwareLicensingService get OA3xOriginalProductKey
據說就可以看到金鑰 我個人試是看不到 但這是官方教的
我後來是用第三方軟體看的
個人鬼打牆的過程(不重要可End)
當初從win8升級升級到win8.1
再從win8.1升級到win10
使用體驗還算滿意
但因為C碟是小小128G的SSD
想說就重灌win10釋放多一點的空間
重灌時單憑印像win10不需要認證就直接重灌
結果安裝過程看到要輸入金鑰
一時心慌沒看到可略過(也沒想到要google)
就直接拿出win8的金鑰輸入
結果發現一直錯誤
結果google後才發現要直接略過 安裝後會自動啟用
於是略過金鑰完成安裝
想不到安裝後啟用一直出現錯誤
後來致電微軟客服
得到以下建議
" 先重灌win8 ->完成win8全部更新 ->升級win8.1 ->升級win10確認已啟用
->再重新安裝win10 ->安裝時略過金鑰 ->安裝後自動啟用 ->解決問題 "
於是 我便照著做 於是進入鬼打牆的循環 又再次啟用錯誤
後來 又再次致電微軟客服 跟客服說明前一次聯繫得到的建議失敗狀況
這次客服請我提供買電腦的購買電腦的收據
我說我不是套裝電腦 是請人組裝 而且我是windows有問題
看我買硬體的收據幹麻
客服說他了解 但他請我灌回win8 win8.1並在命令提示字元輸入看金鑰的指令
把畫面截圖寄給他 她要幫我確認金鑰狀態 才能後續處理
當下不懂他的意思 於是又灌回win8 確認了序號 截圖
然後跑完win8的全部更新 升級win8.1 確認序號 截圖(幹 8和8.1序號一樣啊)
後來把截圖寄給客服 但告訴他 教我的命令提示字元指令沒用
所以我用第三方軟體看的
這時客服又告訴我不行 因為他們無法確定第三方軟體的效力
不能做後續處理 這時我才靈光一閃 你是要確定我是不是正版吧
你就早說 我寄當初購買win序號微軟的官方信件給你就好
你幹麻叫我重灌在看序號
然後我問後續會怎麼幫我處理 客服只說要等確認金鑰的狀態
我問要多久 客服回說大約要兩三天
你就教我怎麼處理就好 還要我等你兩三天
我跟他說會再轉寄當初購買的mail給他
後來我反正都灌了8.1 反正都找了第三方軟體看金鑰
就測試一下升級win10後看金鑰的方法
結果一試成功
文長抱歉 一方面描述過程 一方面抱怨一下台灣微軟
明明這麼簡單就可以處理
要我重灌軟體這麼多次 還要拖我這麼長的時間
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.218.224.130
※ 文章網址: https://www.ptt.cc/bbs/Windows/M.1447482103.A.E33.html
※ 編輯: schopan (61.218.224.130), 11/14/2015 14:48:54
... <看更多>