记一次被DDoS敲诈的历程
之前一个蜀国的朋友业务被ddos攻击,业务服务被机房断网,客户单流失有经济损失,这篇具体说的就是这件事情。
背景是这样,一个朋友网站业务被ddos了,先是威胁要800元rmb,然后又转成提供ddos的服务,然后又变成了ddos培训, 又变成了卖ddos软件,最后又变成了ddos高防测试提供者,最后到警察叔叔那里,报警立案成功的故事。
采用高仿系统对于防护ddos问题当然有效,但也要注意误拦行为对用户订单的影响。每个公司的具体情况是不一样的,解决问题也要有具体的针对性,比如当机房不是自己的,路由防火墙设备不是自己控制的,无法从类似设备上取得第一手流量信息时(如果能用snmp),如何处理。当cdn是第三方提供,不能进行黑名单阻断设置等各种情况下,又如何处理。
0×02 来自黑客的威胁就在这几天,一个朋友传来了他被ddos的消息,正在搬砖中看到他发的消息,说他们的客服收到到0118号客人的威胁信息,说要马上干掉你们。
这位朋友可能见过大场面的人,这点威胁就能吓倒他吗, 太天真了。
大家可看看下面这个图。
看到上面这个流量激增你们也能看出来,之后服务器真的就挂了,真的挂了,挂了。
这位朋友默默的看了眼高仿的价格,这个价格再次击穿了他的心里防线。 我买,我买, 我买不起。买不起是开玩笑,但这也太贵了。
不过这个时候这位朋友想起来了,客服留言中的那个黑客微信联系方式, 先加个微信会会这位朋友。
内容太长,大概的意思是说, 对方要800块钱,并且还能帮助搞其它竞争对手。这位朋友的回答就比较艺术了,没钱,要钱向老板要去。
0×03 常见流量攻击的形式到这了,我们插入一段技术内容,流量攻击的几种常见形式。
到7层的攻击
1.大量肉鸡产生的cc(challengecollapsar)。
2.向web服务端口发送的大量的,巨型垃圾包(其实也不是很大,单条1mb以上)。
到4层的攻击
3.tcp sync攻击,每次第一次tcp握手就跑,纯撩闲式的方式。
除了sync方式攻击,其它的两种,都可以达到7层,形成web服务日志。
第1种和第2种,我们都可以看到nginx日志,大post的垃圾请求有一个问题是,发送的请求数据,可能都不符合http规范。
比较粗爆的请求,可以通过下面简单的方法, 加入到nginx.conf配置中,进行非http请求的协议数据的过滤。
1.限定请求方法:
if ($request_method !~ ^(get|head)$ ) {
return 444;
}
2.限定主机名:
if ($host !~* xxx\.com$)
{ return 444;
}
0×04 waf防护我们的服务有很多都是用nginx、openresy、tengine搭建的,所以用nginx lua做waf防护也是一件很正常的事, 看看下面的配置就能知道这位朋友用的是那个waf了吧。
用lua写cc的安全策略是一个相对很便捷的过程。
威胁请求产生了大量的501和444。
命中了策略后,产生了对应的命中日志。
就算我们明确知道攻击源,要进行拦截也是有问题的,我们在服务器上部署了waf,但前端服务还有cdn和lvs,可以在后端分析出威胁,但不能在这些设备上进行ip block阻断。
并且,这位朋友的日志分析还没有应用到大数据层面,在手动分析日志阶段, 这样分析和响应速度很难和waf协同工作。
但就算waf可以拦截一部分威胁,当小规模的机房和服务器还是有带宽上限的,一旦请深求拥堵带宽大于这个上限,还是一样无响应。
并且有机房根本没有阻断功能,只有报警功能,一般带宽被占满,业务就会被机房业断网。
0×05 左右互博攻击是消停了,可是这位朋友感觉还是不对, 要不就模拟一下自己ddos自己机吧。
拿起心爱的go开撸:
package main
import (
"fmt"
"io"
"io/ioutil"
"net/http"
"os"
"time"
"strconv"
)
func main() {
start := time.now()
ch := make(chan string)
var count int64 = 1
times,_ := strconv.parseint(os.args[1],10,64)
url := os.args[2]
for count = 0; count <= times; count++ {
go fetch(url, ch, count) // start a goroutine
}
for count = 0; count <= times; count++ {
fmt.println(<-ch) // receive from channel ch
}
fmt.printf("%.2fs elapsed\n", time.since(start).seconds())
}
func fetch(url string, ch chan<- string,count int64) {
start := time.now()
resp, err := http.get(url)
if err != nil {
ch <- fmt.sprint(err) // send to channel ch
return
}
nbytes, err := io.copy(ioutil.discard, resp.body)
resp.body.close() // don't leak resources
if err != nil {
ch <- fmt.sprintf("while reading %s: %v", url, err)
return
}
secs := time.since(start).seconds()
ch <- fmt.sprintf("%7d %.2fs %7d %s",count, secs, nbytes,url)
}
0×06 采用高防朋友这段自创的go就是模拟产生大量的get请求。结果朋友发现自己针对自己的,服务也一样抗不住,有反正都是造成拥塞,干脆就用wrk得了,就模拟正常的http请求就行。
wrk -c1000-t10 -d10 --latency http://127.0.0.1:8080 /find
结果一样扛不住,还得找那个哥哥聊聊。
结果这个发起ddos的哥们,从攻击改成培训了, 传授相关技术培训费1200,上手快,时间段,经济效益高,但是犯法,这个不能干!
朋友先给200人家不要,不过有新情况, 不但可以培训,还可以卖软件,黑产现在都这么会做生意了吗,这么多才多艺。
0×07 取证报官朋友一看,请救兵吧,高防还是得买,然后报官,这时候就得去找警察叔叔。
前行100米和警察叔叔友好交流,和警察叔叔聊了一下,发现了一个问题。
800元也够不到5000元啊,但是警察叔叔让回去收集证据了。
0×08 高防测试这位朋友最后还是找到一家公司提供高防服务,希望在自动切换以外,可以手动切换到高仿。
因为有很多的域名接入,在测试阶段发现,接入高仿以后,貌似有很多的正常流量和cdn的流理被清洗掉了,这样一天下来掉了很多单的销量。因为还是在测试阶段,还需要进一步的测试确认和加白。
用户->cdn->高仿->服务。
上了高防护了好不好用啊,这朋友想问问ddos的朋友,接收不接收测试的活。
到这个,就想问一句,抗ddos的硬盘能不能也给来一块。
持续一段时间的攻击来了,但是服务貌似应该没挂。
0×09 立案成功文章的最后就是,这位朋友成功的立案了,还是警察叔叔给力, 能不能抓到威胁要800元的朋友要看后续。
0×10 学习安全技术这位朋友高仿也上了,也立案了,利用间歇时间赶紧抓紧间学习安全知识, 上freebuf找公开课看,安全技术书到用时方恨少。有人问安全有什么用,像这位朋友如果服务被攻击,每天会丢失的订单,订单的成本应该远远不是800元这个金额。
0×11 高防外的可能方案实际上,因为我们这位蜀国朋友的服务不在自建机房,实际上机房的具体报警策略,机房提供商不会给被服务者提供的,当机房中的某个ip流量过大,就可能触发流量报警,甚至后续的断网。
假设整个网络结点的抽象结构是下面这样:
机房网络设备-> 防火墙->cdn->waf->web服务
1.什么做不到
1.1 不能在机房和cdn层面时行拦截
那机房网络设备、防火墙是没法干预的,拦截策略也是不知道的。
就算我们自己从web服务中分析出异常的访问, 也没有办法在机房设备上拦截。 如果cdn提供商也不支持ip封禁接口,也不能在cdn上进行拦截。
1.2 不能过滤80和443以外的流量
在这位朋友的网格结构中没有提到lvs等负载的情况, 这样的话,就不具备lvs过滤80和443端口以外数据的能力。
2.什么能做到
实际的waf和业务服务器这位朋友是可以操作的,如果可以4层流量中取得http日志,可在4层阶段让日志落地。但实际如果在waf结果之前都不能做拦截动作, 就只能直接在7层通过openresty解析出http数据和日志再做分析,这样那个效率高,具体看情况。
2.1 做日志分析
openresty落地的http日志都是可以分析,如是不是通过大流量的网络聚合日志,一般的elk对单个web日志的数据就可以分析,分析出威胁可疑的ip,发现其中的集团攻击行为,也可以与威胁情报库碰撞,发现异常被控肉机等。
2.2 停止域名解析
因为网站多域名解析的设计,可以在机房断网之前,停止被攻击的域名解析。一个域名停制解析不会大面积影响订单。这样就需要找到一个报警阀值,这个值与机房断网的阀值相关,当waf分析出可能会造成机房断网的那个极限量时,就提前触发停止域名解析。
3.期望能做到什么
期望第三方cdn可以提供ip拦截接口,期望高仿支持接口手动切换高仿。
期待这位朋友,在沉迷于网络安全技术学习的同时,不在被攻击困扰。
作者: 糖果lua 公众号:糖果的实验室