什么是 DDoS 引导程序/IP Stresser?| DDoS 攻击工具

因为有了 IP Stresser,DDoS 攻击被封装为 SaaS 服务,并以较低的资费对外供应。

学习目标

阅读本文后,您将能够:

  • 了解引导程序和 IP Stresser
  • 了解 DDoS 攻击工具
  • 了解犯罪商业模式

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是 IP Stresser?

IP Stresser 是一款用于测试网络或服务器稳健性的工具。管理员可以运行压力测试,从而确定现有资源(带宽、CPU 等)是否足以处理附加负载。

测试个人网络或服务器是 Stresser 的合法用途。在很多国家/地区,针对他人网络或服务器运行压力测试并借此对合法用户开展拒绝服务攻击属于违法行为。

什么是引导程序服务?

引导程序也称为引导程序服务,这是由一群野心勃勃的犯罪分子发起的按需 DDoS(分布式拒绝服务)攻击服务,目的在于引发网站和网络瘫痪。换言之,引导程序是一种 IP Stresser 不法使用形式。

非法 IP Stresser 通常使用代理服务器遮掩攻击服务器的真实身份。代理不仅会重新路由攻击者的连接,同时还能屏蔽攻击者的 IP 地址。

引导程序将被巧妙封装为 SaaS(软件即服务),往往还会提供电子邮件支持和 YouTube 教程。市面上提供了各种套餐,如一次性服务、在规定时间内发动多次攻击,甚至是“终身”访问权限。一个月的基本套餐的售价低至 19.99 美元。付款选项可能包括信用卡、Skrill、PayPal 或比特币(尽管 PayPal 会在可以证明存在恶意时取消帐户)。

IP 引导程序与僵尸网络有什么区别?

僵尸网络是一种计算机网络,计算机所有者并未意识到他们的计算机感染了恶意软件并被用于发起互联网攻击。引导程序属于 DDoS-for-hire 服务。

传统上而言,引导程序使用僵尸网络发起攻击,但随着复杂度不断攀升,开始吹嘘通过更强大的服务器“帮助您发起攻击”,不止一种引导程序服务宣扬过此类言论。

拒绝服务攻击的动机是什么?

拒拒绝服务攻击的动机有很多:脚本小子*(为了充实黑客技能)、商业竞争、意识形态冲突、政府赞助型恐怖主义或敲诈勒索。PayPal 和信用卡是勒索攻击的首选付款方式。另外,由于比特币能够掩饰身份,因而同样广为采用。从攻击者的角度而言,比特币存在一个显著的缺点:与其他付款方式相比,比特币用户人数较少。

*脚本小子(Script kiddie 或 skiddie)是一个贬义词,它是指技能相对较低的 Internet 破坏者。脚本小子使用他人编写的脚本或程序对网络或网站发起攻击。他们会寻找相对普遍且容易利用的安全漏洞,往往不计后果。

什么是放大和反射攻击?

反射和放大攻击利用合法流量来压垮目标网络或服务器。

如果攻击者伪造受害者的 IP 地址并假冒受害者向第三方发送消息,则视为 IP 地址欺骗。第三方无法区分受害者的 IP 地址与攻击者的 IP 地址,因而直接回复受害者。受害者和第三方服务器无法查看攻击者的 IP 地址。以上过程叫做反射。

比如,攻击者假扮受害者订购比萨并要求送到受害者家中。如此一来,尽管受害者未订购披萨,却拖欠披萨店的订餐费。

如果攻击者强迫第三方服务器使用尽可能多的数据向受害者发回响应,则视为流量放大攻击。响应与请求规模的比率称为放大因子。放大比率越大,对受害者造成的潜在破坏越大。第三方服务器也会因为必须处理的欺骗请求数量过于庞大而中断。NTP 放大是此类攻击的一种形式。

最有效的几种引导程序攻击均同时利用放大和反射效应。首先,攻击者伪造目标地址并向第三方发送消息。如果第三方做出回复,消息将转到伪造的目标地址。回复内容比原始消息大得多,从而放大攻击规模。

在此类攻击中,单个机器人的作用类似于一位恶意少年拨打餐馆电话点下菜单上的所有菜品,然后请求回电确认菜单上的每一道菜。但是,回电号码是受害者的号码。这样一来,目标受害者将接到餐馆的电话,其中包括大量非受害者本人请求的信息。

拒绝服务攻击分为哪几类?

应用程序层攻击与 Web 应用程序相伴而生,而且往往采用最复杂的方法。此类攻击首先与目标建立连接,然后通过独占进程和事务耗尽服务器资源,从而利用第 7 层协议堆栈的弱点。此类攻击很难识别和缓解。HTTP 洪水攻击是一种常见的应用程序层攻击形式。

基于协议的攻击集中利用第 3 层或第 4 层协议堆栈的弱点。此类攻击会耗尽受害者的处理能力或其他关键资源(例如,防火墙),进而导致服务中断。Syn 洪水死亡之 Ping 属于此类攻击。

容量耗尽攻击发送大量流量,迫使受害者带宽达到饱和。只需运用简单的放大技术即可发起容量耗尽攻击,因而也是最常见的攻击形式。UDP 洪水、TCP 洪水、NTP 放大和 DNS 放大均属于容量耗尽攻击。

常见的拒绝服务攻击有哪些?

DoS 或 DDoS 攻击的目标是占用足量服务器或网络资源,迫使系统无法对合法请求做出响应:

  • SYN 洪水:连续不断地将 SYN 请求定向至目标系统,企图淹没目标系统。此类攻击利用 TCP 连接序列的弱点,称为三次握手。
  • HTTP 洪水:利用 HTTP GET 或 POST 请求攻击 Web 服务器的一种攻击形式。
  • UDP 洪水:通过包含 UDP 数据报的 IP 数据包淹没目标服务器随机端口的一种攻击形式。
  • 死亡之 Ping:此类攻击刻意发送超出 IP 协议规定的包长度的 IP 数据包。TCP/IP 碎片将大数据包分解为小 IP 数据包以处理大数据包。如果数据包大小总和超过规定的 65,536 字节,旧式服务器通常会发生崩溃。新式系统基本解决了这个问题。Ping 洪水是此类攻击的最新化身。
  • ICMP 协议攻击:对 ICMP 协议的攻击利用了一个事实:服务器需要先处理每一项请求,然后再发回响应。Smurf 攻击、ICMP 洪水和 Ping 洪水攻击正是利用这一点,通过 ICMP 请求淹没服务器,却不等待做出响应。
  • Slowloris此类攻击由 Robert 'RSnake' Hansen 发明,旨在尽可能长时间保持多个目标 Web 服务器连接处于打开状态。最终目的在于拒绝客户端发出的其他连接尝试。
  • DNS 洪水攻击者淹没特定域的 DNS 服务器,企图破坏该的 DNS 解析。
  • Teardrop 攻击:此类攻击将碎片数据包发送到目标设备。TCP/IP 协议错误阻止服务器重组此类数据包,继而导致数据包重叠。目标设备崩溃。
  • DNS 放大:这种基于反射的攻击将合法请求发送至 DNS(域名系统)服务器,转化为更大的请求,在此过程中趁机占用服务器资源。
  • NTP 放大:一种基于反射的容量耗尽 DDoS 攻击,攻击者利用网络时间协议(NTP)服务器功能,通过放大的 UDP 流量淹没目标网络或服务器。
  • SNMP 反射:攻击者伪造受害者的 IP 地址,向设备发出多个简单网络管理协议(SNMP)请求。回复量可能会使受害者不堪重负。
  • SSDP:SSDP(简单服务发现协议)攻击是一种基于反射的 DDoS 攻击,利用通用即插即用(UPnP)网络协议向目标受害者发送放大流量。
  • Smurf 攻击:此类攻击使用恶意软件程序 Smurf。使用 IP 广播地址将大量包含受害者伪造的 IP 地址的 Internet 控制消息协议(ICMP)数据包广播到计算机网络。
  • Fraggle 攻击:类似于 Smurf 攻击,但使用 UDP,而非 ICMP。

如果发生 DDoS 勒索攻击,该怎么办?

  • 应立即通知数据中心和 ISP
  • 绝不可选择支付赎金 - 支付赎金通常会导致更猖狂地索要赎金
  • 应通知执法机构
  • 应监控网络流量
  • 加入 DDoS 防护计划,如 Cloudflare 免费计划

如何缓解僵尸网络攻击?

  • 应在服务器上安装防火墙
  • 安全修补程序必须为最新版本
  • 必须按计划运行防病毒软件
  • 应定期监控系统日志
  • 不得允许未知电子邮件服务器分发 SMTP 流量

为什么引导程序服务很难追踪?

此类犯罪服务的买家使用前端支付网站及大量攻击相关指令。通常,后端不存在发起实际攻击的可识别连接。因此,很难证实犯罪意图。跟踪付款线索是追踪犯罪实体的一种途径。