记一次被DDoS敲诈的历程

0×05 左右互博

攻击是消停了,可是这位朋友感觉还是不对, 要不就模拟一下自己DDoS自己机吧。

拿起心爱的GO开撸:

QQ图片20190628114013.png

你的代码写的真棒,也许有的朋友需要这代码,老规矩放到github上:go-attacker

0×06 采用高防

朋友这段自创的GO就是模拟产生大量的GET请求。结果朋友发现自己针对自己的,服务也一样抗不住,有反正都是造成拥塞,干脆就用WRK得了,就模拟正常的HTTP请求就行。

wrk -c1000-t10 -d10 --latency http://127.0.0.1:8080 /find

结果一样扛不住,还得找那个哥哥聊聊。

结果这个发起DDoS的哥们,从攻击改成培训了, 传授相关技术培训费1200,上手快,时间段,经济效益高,但是犯法,这个不能干!

朋友先给 200 人家不要,不过有新情况, 不但可以培训,还可以卖软件,黑产现在都这么会做生意了吗,这么多才多艺。

0×07 取证报官

朋友一看,请救兵吧,高防还是得买,然后报官,这时候就得去找警察叔叔。

前行 100 米和警察叔叔友好交流,和警察叔叔聊了一下,发现了一个问题。

800 元也够不到 5000 元啊,但是警察叔叔让回去收集证据了。

0×08 高防测试

这位朋友最后还是找到一家公司提供高防服务,希望在自动切换以外,可以手动切换到高仿。

因为有很多的域名接入,在测试阶段发现,接入高仿以后,貌似有很多的正常流量和CDN的流理被清洗掉了,这样一天下来掉了很多单的销量。因为还是在测试阶段,还需要进一步的测试确认和加白。 

用户->CDN->高仿->服务。

上了高防护了好不好用啊,这朋友想问问DDoS的朋友,接收不接收测试的活。

到这个,就想问一句,抗DDOS的硬盘能不能也给来一块。

持续一段时间的攻击来了,但是服务貌似应该没挂。

0×09 立案成功

文章的最后就是,这位朋友成功的立案了,还是警察叔叔给力, 能不能抓到威胁要 800 元的朋友要看后续。 

0×10 学习安全技术

这位朋友高仿也上了,也立案了,利用间歇时间赶紧抓紧间学习安全知识, 上Freebuf找公开课看,安全技术书到用时方恨少。有人问安全有什么用,像这位朋友如果服务被攻击,每天会丢失的订单,订单的成本应该远远不是 800 元这个金额。

0×11  高防外的可能方案

实际上,因为我们这位蜀国朋友的服务不在自建机房,实际上机房的具体报警策略,机房提供商不会给被服务者提供的,当机房中的某个IP流量过大,就可能触发流量报警,甚至后续的断网。

假设整个网络结点的抽象结构是下面这样:

机房网络设备-> 防火墙->CDN->WAF->WEB服务

1.什么做不到

1.1  不能在机房和CDN层面时行拦截

那机房网络设备、防火墙是没法干预的,拦截策略也是不知道的。

就算我们自己从WEB服务中分析出异常的访问, 也没有办法在机房设备上拦截。 如果CDN提供商也不支持IP封禁接口,也不能在cdn上进行拦截。

1.2 不能过滤 80 和 443 以外的流量

在这位朋友的网格结构中没有提到LVS等负载的情况, 这样的话,就不具备LVS过滤 80 和 443 端口以外数据的能力。

2.什么能做到

实际的WAF和业务服务器这位朋友是可以操作的,如果可以 4 层流量中取得HTTP日志,可在 4 层阶段让日志落地。但实际如果在WAF结果之前都不能做拦截动作, 就只能直接在 7 层通过Openresty解析出HTTP数据和日志再做分析,这样那个效率高,具体看情况。

2.1  做日志分析

Openresty落地的HTTP日志都是可以分析,如是不是通过大流量的网络聚合日志,一般的ELK对单个WEB日志的数据就可以分析,分析出威胁可疑的IP,发现其中的集团攻击行为,也可以与威胁情报库碰撞,发现异常被控肉机等。

2.2 停止域名解析

因为网站多域名解析的设计,可以在机房断网之前,停止被攻击的域名解析。一个域名停制解析不会大面积影响订单。这样就需要找到一个报警阀值,这个值与机房断网的阀值相关,当WAF分析出可能会造成机房断网的那个极限量时,就提前触发停止域名解析。

3.期望能做到什么

期望第三方CDN可以提供IP拦截接口,期望高仿支持接口手动切换高仿。   

期待这位朋友,在沉迷于网络安全技术学习的同时,不在被攻击困扰。

声明:本文转载自第三方媒体,如需转载,请联系版权方授权转载。协助申请

相关文章

相关热点

查看更多