近日因為美國的「禁止網路盜版法案」(Stop Online Piracy Act,簡稱SOPA)通過之後,已依法強制關

閉Megaupload與Megavideo兩大全球知名的檔案分享網站,隨即遭到Anonymous駭客團體的逆襲,

發動DDoS攻擊並攻陷美國唱片協會(RIAA)、美國電影業協會(MPAA)、環球唱片,以及美國司法部旗下的

justice.org網站。

美國電腦緊急應變組織(US-CERT)觀察到Anonymous所發動的DDoS攻擊的類型主要分為「HTTP GET  

Request」「Simple UDP Flood」兩種方式,且都透過分散式阻斷服務攻擊程式Low Orbit Ion Cannon

(LOIC)來發動攻擊,此程式是利用JavaScript進行編撰,可被瀏覽器執行。此攻擊程式功能越來越強大與

齊全,除了可選定攻擊目標之外,亦可經由IRC或RSS指令頻道加入殭屍網路(Botnet)。

若網站遭受此類程式攻擊,網站伺服器日誌檔會出現類似以下紀錄:

"GET /?id=1327014400570&msg=We%20Are%20Legion! HTTP/1.1" 200 99406
"hxxp://pastehtml.com/view/blafp1ly1.html" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1)
Gecko/20100101 Firefox/9.0.1"

US-CERT目前也發現有幾個網站已被Anonyumous埋入LOIC攻擊程式,若使用者不經意瀏覽此類網站,將

會無意中成為DDoS攻擊來源的一員:

hxxp://3g.bamatea.com/loic.html
hxxp://anonymouse.org/cgi-bin/anon-www.cgi/
hxxp://chatimpacto.org/Loic/
hxxp://cybercrime.hostzi.com/Ym90bmV0/loic/
hxxp://event.seeho.co.kr/loic.html
hxxp://pastehtml.com/view/bl3weewxq.html
hxxp://pastehtml.com/view/bl7qhhp5c.html
hxxp://pastehtml.com/view/blafp1ly1.html
hxxp://pastehtml.com/view/blakyjwbi.html
hxxp://pastehtml.com/view/blal5t64j.html
hxxp://pastehtml.com/view/blaoyp0qs.html
hxxp://www.lcnongjipeijian.com/loic.html
hxxp://www.rotterproxy.info/browse.php/704521df/ccc21Oi8/vY3liZXJ/jcmltZS5/ob3N0emk/uY29tL1l
/tOTBibVY/wL2xvaWM/v/b5/fnorefer
hxxp://www.tandycollection.co.kr/loic.html
hxxp://www.zgon.cn/loic.html
hxxp://zgon.cn/loic.html
hxxp://www.turbytoy.com.ar/admin/archivos/hive.html

另外於DNS日誌檔紀錄中也發現到幾個有問題的網站,例如:

3g[.]bamatea[.]com A 218[.]5[.]113[.]218
cybercrime[.]hostzi[.]com A 31[.]170[.]161[.]36
event[.]seeho[.]co[.]kr A 210[.]207[.]87[.]195
chatimpacto[.]org A 66[.]96[.]160[.]151
anonymouse[.]org A 193[.]200[.]150[.]125
pastehtml[.]com A 88[.]90[.]29[.]58
lcnongjipeijian[.]com A 49[.]247[.]252[.]105
www[.]rotterproxy[.]info A 208[.]94[.]245[.]131
www[.]tandycollection[.]co[.]kr A 121[.]254[.]168[.]87
www[.]zgon[.]cn A 59[.]54[.]54[.]204
www[.]turbytoy[.]com[.]ar A 190[.]228[.]29[.]84

在網站日誌檔紀錄中不難發現每個HTTP的請求都包含著「id」「msg」兩個參數,其中id參數可能為系
統時間,例如:

GET /?id=1327014189930&msg=%C2%A1%C2%A1NO%20NOS%20GUSTA%20LA%20

而msg參數為攻擊者自行定義,內容為可變動性,例如:

msg=%C2%A1%C2%A1NO%20NOS%20GUSTA%20LA%20
msg=:)
msg=:D
msg=Somos%20Legion!!!
msg=Somos%20legi%C3%B3n!
msg=Stop%20S.O.P.A%20:)%20%E2%99%AB%E2%99%AB HTTP/1.1" 200 99406
"http://pastehtml.com/view/bl7qhhp5c.html"
msg=We%20Are%20Legion!
msg=gh
msg=open%20megaupload
msg=que%20sepan%20los%20nacidos%20y%20los%20que%20van%20a%20nacer%20que%20nacimos%20para%
20vencer%20y%20no%20para%20ser%20vencidos
msg=stop%20SOPA!!
msg=We%20are%20Anonymous.%20We%20are%20Legion.%20We%20do%20not%20forgive.%20We%20do%20not%
20forget.%20Expect%20us!

除此之外,US-CERT也觀察到LOIC攻擊程式所發出的封包,集中在UDP Port 25與80,封包特徵如下:

66:6c:6f:6f:64:00:00:00:00:00:00:00:00:00 | flood.........

US-CERT建議要減緩DDoS攻擊,有幾個方案可採用:

(1)事前發展DDoS攻擊的應變程序或查核清單,事先規劃發生DDoS攻擊時應哪些連絡ISP業者或主機代管

商,應執行相關應變程序,提供相關資訊等

(2)事前與ISP業者或主機代管商簽約時,應注意服務層級協議(Service Level Agreement;SLA)是否有

提供DDoS攻擊減緩服務

(3)隨時保持防火牆、入侵偵測與防護和網路的正常運作,並確保這些防護措施是最佳狀態

(4)確定關鍵性服務的優先權順序,確保關鍵性系統或服務能有足夠的能力阻擋DDoS攻擊

(5)人員應有組織最新的網路拓樸圖、IT基礎設施詳細清單和資產清單,有助於在DDoS攻擊期間採取應變

行為

(6)人員應了解系統的環境設定和日常的網路流量、封包類型以及效能的基準值,以利於DDoS攻擊期間辨識

攻擊來源或攻擊類型

(7)盡可能強化組織的網路環境、系統操作和禁用服務的設定,減少系統及其應用程式的負擔

(8)在網路邊界(Network Boundary)設定Bogon Block List,Bogon List為不可能出現在全球Routing

Table的IP位址,或尚未由互聯網號碼分配局(Internet Assigned Numbers Authority,簡稱IANA)核發

的IP位址,Bogon Block List可預防網路的惡意使用、避免垃圾郵件以及防止DDoS攻擊等

(9)盡可能採用高效能的資安防護設備,以減緩如防火牆或邊界路由器的負載使用率,藉此提高防護效能

(10)關鍵性服務或系統應事前單獨劃分,例如:獨立的公共和私人服務,獨立的内網、外網和網際網路服

務,分別建置如HTTP、FTP、DNS服務等專用伺服器

(11)參考US-CERT所撰寫的「Understanding Denial-of-Service Attacks」一文

其他更詳細的報告內容,有興趣的網友們可參考這篇

Chang Max 發表在 痞客邦 PIXNET 留言(0) 人氣()