Chang Max的部落格

近日因為美國的「禁止網路盜版法案」(Stop Online Piracy Act，簡稱SOPA)通過之後，已依法強制關

閉Megaupload與Megavideo兩大全球知名的檔案分享網站，隨即遭到Anonymous駭客團體的逆襲，

發動DDoS攻擊並攻陷美國唱片協會(RIAA)、美國電影業協會(MPAA)、環球唱片，以及美國司法部旗下的

justice.org網站。

美國電腦緊急應變組織(US-CERT)觀察到Anonymous所發動的DDoS攻擊的類型主要分為「HTTP GET  

Request」與「Simple UDP Flood」兩種方式，且都透過分散式阻斷服務攻擊程式Low Orbit Ion Cannon

(LOIC)來發動攻擊，此程式是利用JavaScript進行編撰，可被瀏覽器執行。此攻擊程式功能越來越強大與

齊全，除了可選定攻擊目標之外，亦可經由IRC或RSS指令頻道加入殭屍網路(Botnet)。

若網站遭受此類程式攻擊，網站伺服器日誌檔會出現類似以下紀錄：

"GET /?id=1327014400570&msg=We%20Are%20Legion! HTTP/1.1" 200 99406
"hxxp://pastehtml.com/view/blafp1ly1.html" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1)
Gecko/20100101 Firefox/9.0.1"

US-CERT目前也發現有幾個網站已被Anonyumous埋入LOIC攻擊程式，若使用者不經意瀏覽此類網站，將

會無意中成為DDoS攻擊來源的一員：

hxxp://3g.bamatea.com/loic.html
hxxp://anonymouse.org/cgi-bin/anon-www.cgi/
hxxp://chatimpacto.org/Loic/
hxxp://cybercrime.hostzi.com/Ym90bmV0/loic/
hxxp://event.seeho.co.kr/loic.html
hxxp://pastehtml.com/view/bl3weewxq.html
hxxp://pastehtml.com/view/bl7qhhp5c.html
hxxp://pastehtml.com/view/blafp1ly1.html
hxxp://pastehtml.com/view/blakyjwbi.html
hxxp://pastehtml.com/view/blal5t64j.html
hxxp://pastehtml.com/view/blaoyp0qs.html
hxxp://www.lcnongjipeijian.com/loic.html
hxxp://www.rotterproxy.info/browse.php/704521df/ccc21Oi8/vY3liZXJ/jcmltZS5/ob3N0emk/uY29tL1l
/tOTBibVY/wL2xvaWM/v/b5/fnorefer
hxxp://www.tandycollection.co.kr/loic.html
hxxp://www.zgon.cn/loic.html
hxxp://zgon.cn/loic.html
hxxp://www.turbytoy.com.ar/admin/archivos/hive.html

另外於DNS日誌檔紀錄中也發現到幾個有問題的網站，例如：

3g[.]bamatea[.]com A 218[.]5[.]113[.]218
cybercrime[.]hostzi[.]com A 31[.]170[.]161[.]36
event[.]seeho[.]co[.]kr A 210[.]207[.]87[.]195
chatimpacto[.]org A 66[.]96[.]160[.]151
anonymouse[.]org A 193[.]200[.]150[.]125
pastehtml[.]com A 88[.]90[.]29[.]58
lcnongjipeijian[.]com A 49[.]247[.]252[.]105
www[.]rotterproxy[.]info A 208[.]94[.]245[.]131
www[.]tandycollection[.]co[.]kr A 121[.]254[.]168[.]87
www[.]zgon[.]cn A 59[.]54[.]54[.]204
www[.]turbytoy[.]com[.]ar A 190[.]228[.]29[.]84

在網站日誌檔紀錄中不難發現每個HTTP的請求都包含著「id」與「msg」兩個參數，其中id參數可能為系
統時間，例如：

GET /?id=1327014189930&msg=%C2%A1%C2%A1NO%20NOS%20GUSTA%20LA%20

而msg參數為攻擊者自行定義，內容為可變動性，例如：

msg=%C2%A1%C2%A1NO%20NOS%20GUSTA%20LA%20
msg=:)
msg=:D
msg=Somos%20Legion!!!
msg=Somos%20legi%C3%B3n!
msg=Stop%20S.O.P.A%20:)%20%E2%99%AB%E2%99%AB HTTP/1.1" 200 99406
"http://pastehtml.com/view/bl7qhhp5c.html"
msg=We%20Are%20Legion!
msg=gh
msg=open%20megaupload
msg=que%20sepan%20los%20nacidos%20y%20los%20que%20van%20a%20nacer%20que%20nacimos%20para%
20vencer%20y%20no%20para%20ser%20vencidos
msg=stop%20SOPA!!
msg=We%20are%20Anonymous.%20We%20are%20Legion.%20We%20do%20not%20forgive.%20We%20do%20not%
20forget.%20Expect%20us!

除此之外，US-CERT也觀察到LOIC攻擊程式所發出的封包，集中在UDP Port 25與80，封包特徵如下：

66:6c:6f:6f:64:00:00:00:00:00:00:00:00:00 | flood.........

US-CERT建議要減緩DDoS攻擊，有幾個方案可採用：

(1)事前發展DDoS攻擊的應變程序或查核清單，事先規劃發生DDoS攻擊時應哪些連絡ISP業者或主機代管

商，應執行相關應變程序，提供相關資訊等

(2)事前與ISP業者或主機代管商簽約時，應注意服務層級協議(Service Level Agreement；SLA)是否有

提供DDoS攻擊減緩服務

(3)隨時保持防火牆、入侵偵測與防護和網路的正常運作，並確保這些防護措施是最佳狀態

(4)確定關鍵性服務的優先權順序，確保關鍵性系統或服務能有足夠的能力阻擋DDoS攻擊

(5)人員應有組織最新的網路拓樸圖、IT基礎設施詳細清單和資產清單，有助於在DDoS攻擊期間採取應變

行為

(6)人員應了解系統的環境設定和日常的網路流量、封包類型以及效能的基準值，以利於DDoS攻擊期間辨識

攻擊來源或攻擊類型

(7)盡可能強化組織的網路環境、系統操作和禁用服務的設定，減少系統及其應用程式的負擔

(8)在網路邊界(Network Boundary)設定Bogon Block List，Bogon List為不可能出現在全球Routing

Table的IP位址，或尚未由互聯網號碼分配局(Internet Assigned Numbers Authority，簡稱IANA)核發

的IP位址，Bogon Block List可預防網路的惡意使用、避免垃圾郵件以及防止DDoS攻擊等

(9)盡可能採用高效能的資安防護設備，以減緩如防火牆或邊界路由器的負載使用率，藉此提高防護效能

(10)關鍵性服務或系統應事前單獨劃分，例如：獨立的公共和私人服務，獨立的内網、外網和網際網路服

務，分別建置如HTTP、FTP、DNS服務等專用伺服器

(11)參考US-CERT所撰寫的「Understanding Denial-of-Service Attacks」一文

其他更詳細的報告內容，有興趣的網友們可參考這篇。