什么是 XOR.DDOS 恶意软件?
早在 2015 年 9 月,使用 Linux 恶意软件就发生了超过 150 Gbps 的大规模 XOR.DDoS 攻击。XOR.DDoS 是恶意软件的名称,而不是攻击名称,用于影响 Linux 系统。它于 2014 年 9 月被发现,各种网络安全服务公司和博客(包括安全情报响应团队 (SIRT))发布了对这种 Linux 木马恶意软件的分析。,,很久以前的分布式拒绝服务攻击今天仍然有用吗?在许多方面,在本指南中,我们将提供对 XOR.DDoS 的分析以及如何应对它。, 什么是 XOR.DDOS 恶意软件?,传统的攻击是利用Linux机器的现有漏洞来恶意利用操作系统。然而,XOR.DDoS 使 Windows PC 成为僵尸 PC,并通过命令与控制 (C&C) 服务器发起攻击。,XOR.DDoS 攻击用于通过生成大量数据(包括 SYN 和 DNS 中的无意义字符串)来击败网络。,这对网络来说是一个非常严重的威胁,因为数据量超过了大多数一般公司的网络处理能力和带宽。,除了这些主要目标之外,UDP 还被用于阻止上层的大量流量。但是XOR.DDoS攻击使用的是小网线无法拦截的TCP, 什么是蛮力攻击?,蛮力攻击会尝试许多随机密码,直到获得正确的密码。暴力攻击有多种类型,包括通过尝试单词组合来确定解密密钥或密码的 字典攻击 、输入所有密钥的随机攻击以及使用预定义哈希表的彩虹攻击。, XOR.DDOS 攻击的起源,77.1%的XOR.DDoS攻击发生在中国和美国,主要发生在使用云服务的Linux服务器上。许多大型云服务提供商也是 XOR.DDoS 恶意软件的受害者,教育机构和游戏行业也是如此。此外,由于在大多数情况下都使用 SSH 服务(22/TCP),因此假设没有适当管理和 云安全的云系统 已被黑客入侵。, 针对 XOR.DDoS 攻击的对策,XOR.DDoS 攻击以 SYN 泛洪 + 包括数据的形式进行。SYN 只是一个执行 3 次握手的过程,不需要在 SYN 数据包中包含数据。,如果检测到带有数据的 SYN 数据包,则可以通过阻止所有 SYN 数据包来击败 XOR.DDoS 攻击。此外,使用 SYN cookie 来抵御 SYN 泛洪 + SYN 欺骗攻击是很好的,这两种攻击都发生在 2015 年,因为 SYN cookie 对欺骗有效且有用。,SYN cookie 通过在序列号中包含 cookie 值并将 cookie 值与末尾的 SEQ – 1 = cookie 值进行比较,有效地阻止了 SYN 欺骗。,SYN cookie 不需要一定的时间来等待响应;如果这两个值不相同,则丢弃该数据包。因此,SYN cookie 是一种非常有效的阻止欺骗攻击的方法。,或者,First SYN DROP 可以是第二个对策。该技术通过将第一个 SYN 数据包信息保存在内存中并丢弃数据包来工作。如果会话请求正常,同一个IP地址会再次发送SYN请求。如果请求是为了攻击,将收到来自另一个 IP 的另一个 SYN 请求。, 结论 – 获得 DDoS 缓解服务,大规模的网络线路是抵御XOR.DDoS等大规模TCP攻击的必要条件。内容分发网络行业可以提供服务来 抵御 DDoS 攻击。由于服务是基于云的,可用的流量处理能力非常大,成本大大低于每个公司实施服务的成本。借助这些服务,大多数公司将从可承受的成本和时间中受益匪浅,而不会出现任何伴随问题。, ,早在 2015...