绿盟科技威胁分析报告 ——DDoS兵器谱2014Q2版

  • A+
所属分类:神兵利刃

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

作者:曹志华

一. 摘要

网络攻防是发生在第五空间的对抗和战争。这是一个动态的过程,无论攻击者还是防御者都在实战中寻求进步。攻防双方的“兵器”就在这个战场中不断磨砺和进化。绿盟科技关注攻防的最新进展,为了帮助客户更好的对抗网络威胁,每个季度会推出最新的“DDoS兵器谱” ,介绍DDoS工具的最新发展和变化。本期兵器谱将带来以下三款DDoS工具: GoldenEye、DAVOSET以及Tor’s Hammer
为了让读者对每个工具有更直观的了解,我们从五个维度对DDoS工具进行了评分,得分从低到高用一星到三星表示。五个维度的含义如下:

1、破坏性:对服务造成伤害的能力;
2、协同性:分布式协同的能力;
3、隐蔽性:通过伪造地址使得攻击者难以被追踪的能力,以及攻击本身难以被检测和缓解的特性;
4、扩展性:是否便于可以自定义或扩展攻击负载;
5、多样性:是否具备发动多种攻击以及混合攻击的能力。

二.GoldenEye

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

GoldenEye(最新版本为2.1)是一个主打应用层(http flood)攻击的工具,从Hulk项目发展而来,同Hulk一样它也使用python编写,支持多平台运行,攻击方式上支持http get 、http post和random。

工具特色:

  – 支持KeepAlive 和 NoCache功能

  - 随机化的http header

  - 可定义的User-Agent列表(默认随机)

  - 支持Android(GoldenEye 4 Android)平台

工具运行截图:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

测试时捕获的数据包:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

构建随机化的http header:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

虽然实际测试(被攻击目标没有任何防护措施)下来看效果不错,但同其前辈Hulk一样,它也有其固有弱点: 首先,它不能隐藏攻击源;其次,频繁的、傻瓜式的直连请求很难突破目标主机交互性的防护措施(如:常用的http 302跳转等)。这种工具的适用场景更多的是有针对性的、可控的实验室性质的压力测试,这也是作者开发工具的初衷。

三.DAVOSET

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

DAVOSET(最新版本为1.2)是一个perl脚本,有perl执行环境即可。与前面介绍的直连式的GoldenEye不同,它又被称之为Proxy Attacks,是借助有漏洞的、合法的第三方身份实施攻击而做到自身的隐藏,可以看作是更广泛意义上的反射攻击。而且Proxy Attacks可利用的反射点众多, 也使得这种攻击更加难以封堵。

工具特色:

  - 利用代理发动攻击,一定程度上可以隐藏自身

  - 不定期更新可用的反射点

  - 反射点通常有较强的可交互性,容易绕过目标防护措施

实施这种攻击最重要的是有众多可利用的反射点,攻击者可自己网络搜索,也可利用工具附带的完整列表。

工具运行截图:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

作为测试, 这里选用绿盟主页(www.nsfocus.com)作为测试目标。反射点为: http://about42.nl/www/showheaders.php

捕获的数据包:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

其效果等同于直接访问反射点:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

从反馈(获取到的头部信息)看,反射点替我们完成了对www.nsfocus.com的访问请求。 更重要的是这种反射点很容易找到,且工具允许使用者按一定的规则自由添加。

四.Tor’s Hammer

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

Tor’s Hammer (最新版本为1.0)的原始版本于2011年由Packet Storm Security开发完成,是一个基于python的、可多平台运行的、主打post慢速攻击的压力测试工具,针对的是有漏洞的Apache 服务器。鉴于Tor’s Hammer工具已不再更新,An0nsec黑客组织于2012年开发出了增强版的Tor’s Hammer 666(暂无链接),并将其用于诸如OpUSA、 OpPetrol以及 OpIsrael的攻击活动中。

工具特色:

  - 主打slow post功能

  - 可使用匿名网络TOR(需安装TOR并监听于127.0.0.1:9050)发动攻击

工具的运行界面:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

捕获的数据包:

绿盟科技威胁分析报告——DDoS兵器谱2014Q2版

慢攻攻击并不是对所有的攻击目标有效,这限制了工具的使用范围。所标称的TOR匿名网络在当前国内的网络环境下更多的是一个噱头。

五.参考

GoldenEye

DAVOSET

Tor’s Hammer

工具 时间 类型 运行平台
Hping 2004 ICMP/UDP/SYN Linux、Windows、Mac OS
Slowloris 2007 HTTP GET Perl运行环境
LOIC 2009年6月 UDP/TCP/HTTP GET Linux、Windows、Mac OS
PenTBox 2009年7月 SYN/TCP Linux、Windows、Mac OS
R.U.D.Y 2011年1月 HTTP POST python运行环境
HOIC 2011年3月 HTTP GET Linux、Windows、Mac OS
THC SSL DOS 2011年10月 SSL renegotiation Linux、Windows、Mac OS
Zarp 2012年2月 SYN Linux
HULK 2012年5月 HTTP GET python运行环境
GoldenEye 2014年2月 HTTP GET/POST python运行环境
DAVOSET 2014年4月 Proxy Attacks Perl运行环境
Tor’s Hammer 2011年 SLOW POST python运行环境

via 绿盟科技云安全中心

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: