僵尸 *** 攻击产生什么影响_如何消除僵尸 *** 攻击

hacker|
138

深信服防火墙僵尸 *** 攻击提示怎么处理

大部分牛逼的僵尸程序都是常规的杀软查不到扫不出的;这也是为什么那么多公司被潜藏着恶意软件在电脑,IT却一无所知;出了事之后才后知后觉...

防火墙提示的僵尸病毒是根据内网电脑去连接的服务器地址或者访问参数得知内网僵尸病毒情况的,并不是去扫描电脑上的程序;因此属于非探测式分析诊断;就像交警抓喝酒开车的,交警没有跟踪你喝了什么酒,而是检查你血液/呼吸中酒精含量,从而判断是否饮酒。在当前,这是一种有效且靠谱的检测方式。

CC攻击有哪些特点以及如何防御CC攻击?

CC攻击介绍

CC攻击其前身名为Fatboy攻击,是利用不断对网站发送连接请求致使形成拒绝服务的目的。由于在DDOS攻击发展前期,抗拒绝服务攻击系统所防护,于是在黑客们研究出一种新型的针对http的DDOS攻击后,即命名Challenge Collapsar,后来大家就延用CC这个名称至今。

CC攻击的原理

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是充分利用了这个特点,模拟多个用户不停的进行访问(访问那些需要大量数据操作,就是需要大量CPU时间的页面)造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就 *** 拥塞,正常的访问被中止。

CC攻击的种类

CC攻击的种类有四种,直接攻击、 *** 攻击、僵尸 *** 攻击、肉鸡攻击。

1、直接攻击主要针对有重要缺陷的 WEB 应用程序,一般说来是程序写的有问题的时候才会出现这种情况,比较少见。

2、 *** 攻击是黑客借助 *** 服务器生成指向受害主机的合法网页请求,实现DOS和伪装。

3、僵尸 *** 攻击有点类似于 DDOS 攻击了,从 WEB 应用程序层面上已经无法防御,所以 *** 攻击是CC 攻击者一般会操作一批 *** 服务器,比方说 100 个 *** ,然后每个 *** 同时发出 10 个请求,这样 WEB 服务器同时收到 1000 个并发请求的,并且在发出请求后,立刻断掉与 *** 的连接,避免 *** 返回的数据将本身的带宽堵死,而不能发动再次请求,这时 WEB 服务器会将响应这些请求的进程进行队列,数据库服务器也同样如此,这样一来,正常请求将会被排在很后被处理,这时就出现页面打开极其缓慢或者白屏。

4、肉鸡攻击一般指黑客使用CC攻击软件,控制大量肉鸡发动攻击,相比 *** 攻击更难防御,因为肉鸡可以模拟正常用户访问网站的请求,伪造成合法数据包。

CC攻击与DDOS的区别

CC攻击可以归为DDoS攻击的一种。其目的都是消耗服务器资源,造成服务器宕机崩溃。不同的是DDOS是针对IP地址发起的攻击,CC是针对服务器端口发攻击的攻击。

CC攻击的防御

目前CC攻击防御有+种:

1、软件防御 利用安装在服务器上的防火墙进行拦截,主要代表安全狗、云锁等软件,这类防御适用于CC攻击较小,而且CC特征明显的攻击。

2、网站程序防御 利用网站程序限制IP访问频率,并对程序进行优化进少,生成纯静态页,减少动态情况,可一定程度上减少CC攻击的压力。

3、云防火墙  如高防CDN、高防IP,高防CDN会对CC攻击访问进行拦截,对正常访客放行,同时利用边缘节点缓存网站资源,适用于网站被大量CC攻击防御,主要代表百度云加速、抗D宝。高防IP则是DDOS防火墙,利用高带宽、高硬防的特点,对CC攻击进行识别拦截,如正常用户就放行,也适用于被大量CC攻击防御,主要代码阿里云DDoS高防IP 、腾讯云DDoS高防IP,不过价格相对较贵。相关链接

僵尸 *** 的4个发展阶段 如何防御僵尸 *** (一)

因为,如今每一个僵尸 *** 都似乎在用更高级的技术并且使用高质量的软件流程,挑衅着当前入侵检测系统(IPS)的防御策略。 因此,我们在这篇文章中先重点介绍一下僵尸 *** 和隐蔽软件的技术状况及其产业发展情况。 一个僵尸 *** 是一个被恶意软件控制的分布式计算机或者系统的 *** 。因此,这些计算机也经常被称作僵尸电脑。僵尸电脑由一个僵尸牧人(bot-herder)通过一台或者多台指挥与控制服务器控制或者指挥。最常见的情况是僵尸牧人使用指挥与控制服务器控制僵尸电脑,通过IRC(互联网中继聊天)或者P2P等 *** 通讯实施控制。僵尸电脑软件一般是通过恶意软件、蠕虫、木马程序或者其它后门渠道安装的。 各个机构报告的僵尸电脑规模与增长的统计数据有很大差别。据安全公司赛门铁克的“Threat Horizon Report”(威胁视野报告)称,每天能够检测到5.5万个新的僵尸 *** 节点。而《今日美国》报纸2008年的一篇报告称,平均每天连接到互联网的8亿台电脑中有40%的电脑是用来发送垃圾邮件、病毒和窃取敏感个人数据的僵尸电脑。《今日美国》还报道称,2008年的僵尸 *** 威胁比2007年增加了10倍。许多消息来源预测称,最著名的僵尸 *** Storm、Kraken和Conficker已经感染了大量的计算机。这些数字包括Storm(风暴)感染了8.5万台计算机,Kraken感染了49.5万台计算机,Conficker感染了900万台计算机。 地下经济与僵尸 *** 的发展 同任何由金钱驱动的市场一样,僵尸 *** 开发者就像经营一个合法的生意那样工作:他们利用合作、贸易和开发流程以及质量等好处。最近,僵尸 *** 已经开始使用生命周期管理工具、同行审查、面向对象和模块化等通用的软件质量做法。僵尸 *** 开发者正在销售其软件和感染载体,提供说明书和技术支持,并且收集用户的反馈意见和要求。 在僵尸 *** 团体中,一致的经济目标是推动技术创新、合作和风险教育。在线易货贸易和市场网站已经开始为这种地下经济团体服务,向僵尸牧人提供更好的易货贸易和交易方式、在线技术支持以及租借和租赁等服务。这种合作已经催生了一个非常成熟的经济。这里可以销售和购买僵尸 *** 节点或者僵尸 *** 群。僵尸牧人在对一个实体展开攻击的时候会在这里寻求合作。僵尸 *** 可以被租借用于发送垃圾邮件。窃取的身份证和账户可以在这个地下市场的参与者之间交换和出售。 僵尸 *** 的生命周期 僵尸 *** 的生命周期一般包括四个阶段:传播、感染、指挥与控制和攻击,见图1。图1 僵尸 *** 的生命周期(来源:英特尔公司,2009年) 传播阶段。在许多僵尸 *** 的传播阶段,僵尸电脑程序到处传播和感染系统。僵尸电脑能够通过各种手段传播,如垃圾邮件、 *** 蠕虫、以及在用户不知情的情况下通过 *** 下载恶意软件。由于传播阶段的目标主要是感染系统,僵尸牧人或者采取引诱用户安装恶意软件负载,或者通过应用程序或浏览器利用用户的系统中的安全漏洞传播恶意软件负载。 感染阶段。一旦安装到系统,这个恶意软件负载就使用各种技术感染机器和隐藏自己。僵尸电脑感染能力的进步包括隐藏感染的技术和通过攻击杀毒工具和安全服务延长感染寿命的技术等。杀毒工具和安全服务一般能够发现和清除这种感染。僵尸 *** 使用当前病毒使用的许多标准的恶意软件技术。多形性和“rootkitting”是两种最常用的技术。 ·通过多形性,恶意软件每一次进行新的感染时都会改变代码,从而使杀毒软件产品很难检测到它。而且,僵尸 *** 的开发者目前还使用软件开发人员用来防止软件盗版和反向工程的增强代码的技术。这些技术包括代码迷惑、加密和进一步隐藏恶意代码真实性质的编码以及让杀毒软件厂商更难分析的编码。许多迹象表明,恶意软件和僵尸 *** 开发者正在开始研究高级的“rootkitting”技术,以便更深地隐藏恶意软件。 ·通过利用“rootkitting”技术,也就是隐蔽地安装恶意软件的技术,每一次系统启动的时候这个名为“rootkit”的恶意软件都会启动。rootkit是很难发现的,因为这种恶意软件在电脑的操作系完全启动之前就启动了。rootkit技术的进步包括超劫持和基于虚拟化的rootkit以及发现和利用新目标以便注入固件和BIOS等代码。 虚拟机监视器(VMM)或者在一个操作系统下面运行的管理程序是僵尸 *** 和恶意软开发者控制计算机系统的一个非常有用的手段。超劫持包括安装一个能够完全控制这个系统的恶意管理程序。普通的安全措施很难对付这种管理程序,因为操作系统不知道这个机器已经被攻破了,杀毒软件和本地防火墙也不能发现它们。 僵尸 *** 开发者目前使用的另一个技术是主动攻击杀毒软件、本地防火墙以及入侵防御与检测软件(IPS/ IDS)和服务。僵尸 *** 攻击杀毒软件和防火墙软件使用的技术包括杀死安全软件流程或者阻止其更新能力等手段。下面是我们了解的僵尸 *** 安全软件更新的两个例子: ·一个僵尸 *** 改变了被感染的系统的本地DNS设置以阻止杀毒软件访问其更新网站。 ·僵尸 *** 主动检查安全软件连接其更新网站的企图并且封锁这个连接。 这些封锁安全软件更新的技术阻止安全软件获得其厂商提供的更新的恶意软件特征,或者阻止安全软件向中心厂商服务器报告异常情况和获得更新,从而阻止安全软件发布对抗僵尸 *** 的新版本程序。 僵尸 *** 开发者使用的另一种感染技术是把感染的时间定在安全软件实施恶意软件检测服务扫描的间隔时间里。僵尸电脑程序缓慢地感染一个系统不会引起入侵检测软件服务发出报警。 其它高级的僵尸电脑程序能够欺骗IDS/IPS系统和杀毒软件执行的本地和远程扫描。在这种情况下,这个僵尸 *** 的恶意软件会向进行扫描的杀毒软件展示虚假的内存镜像或者虚假的硬件镜像,或者这个软件通过丢弃数据包中断安全漏洞扫描,欺骗 *** 的响应或者重新定向来自安全漏洞扫描器的通讯。 指挥与控制。僵尸 *** 指挥与控制服务器使用若干协议中的一个协议进行通讯,目前最常用的一个协议是IRC。然而,最近开始出现一种使用增强的或者保护的协议的趋势。例如,Storm(风暴)僵尸 *** 使用加密的P2P协议(eDonkey/Overnet)。指挥与控制技术的进步对于僵尸牧人防止其僵尸 *** 被发现和关闭是非常重要的。要达到这个目的,僵尸 *** 已经开始利用在 *** 上常用的HTTP和P2P等协议,从而使僵尸 *** 更难发现。HTTP协议对于僵尸 *** 是特别有利的,因为目前来自系统的HTTP通讯量非常大并且具有多种类型的通讯。此外,僵尸 *** 软件还能够利用本地浏览器软件的许多功能和通讯栈,利用HTTP协议穿过防火墙的能力。其它即将出现的技术还包括使用VoiP、Web服务和HTTP通讯栈中的脚本等技术。另一个高级的技术是使用直接发送的方式,就是利用用户能够匿名发布信息的互联网论坛或者新闻组等网站传播僵尸 *** 软件。僵尸 *** 节点能够在这种网站上发布信息。僵尸牧人能够匿名地查看自己的节点发送的信息并且发布指令。然后,这个僵尸 *** 节点能够查询这个网站了解新的指令和进行其它基于消息的指挥与控制通讯。 现代僵尸 *** 发展的一个关键功能是在感染一个系统之后能够重新编程或者更新这个僵尸 *** 节点。这个指挥与控制指令可以让这个节点直接下载更新软件或者去一个被感染的具体网址下载这个更新软件。具有可重新编程能力的僵尸 *** 在这种地下经济中有很高的价值,因为这些僵尸 *** 能够随着发展而扩大以执行新的和高级的攻击和隐蔽的任务。 如上所述,隐蔽是僵尸 *** 技术的一个关键的功能。Kracken和Conficker僵尸 *** 都攻击和关闭安装在系统中的杀毒软件。其它僵尸 *** 故意通过客户化制定感染的时机和通讯的频繁程度以避开门限检测软件,防止本地的和 *** 的安全产品发现其踪迹。算法技术是下一种方式。僵尸 *** 开发者计划利用这种技术避开检测。这种技术包括使用隐蔽的通讯频道和基于速记式加密的信息,如模仿和嵌入内容(也就是嵌入在图像、流媒体、VoiP等内容中的消息)。 攻击阶段。僵尸 *** 生命周期的最后阶段是攻击阶段。在许多情况下,这种攻击只是简单地发送携带感染病毒的垃圾邮件。当攻击成功的时候,这个僵尸 *** 本身的规模将扩大。僵尸 *** 还经常用于发送垃圾邮件,作为实物交易和租借交易的一部分。这样,钓鱼攻击者、黑客、垃圾邮件制造者和病毒作者就能够利用僵尸 *** 销售信息和服务。僵尸 *** 还用来实施大规模拒绝服务攻击,攻击的目标包括 *** 和企业系统,甚至还攻击其它僵尸 *** 。一些新的僵尸 *** 能够升级到使用各种黑客工具和故障注入器等技术进一步攻击它们已经渗透进去的 *** 。例如,Asprox僵尸 *** 包含一种SQL注入攻击工具,另一种僵尸 *** 包括一个蛮力SSH攻击引擎。除了实施远程攻击之外,僵尸 *** 还能够实施持续的本地攻击,窃取被感染的系统及其用户的身份证和账户。

0条大神的评论

发表评论