剑客
关注科技互联网

的”足球运动员”服务编号是天?

它可能很快成为容易互联网服务提供商预见和阻止某些类型的在线攻击发起的基于 Web 的攻击为租用服务称为”足球运动员”或者”应力”服务,今天发布的新研究表明。

结果来自德国的研究人员一直在学习出现当歹徒试图大众-扫描寻找系统用于发射这些数字的包围了整个互联网的模式 — — 称为”分布式的拒绝服务”或 DDoS 攻击。

的

要了解其研究的意义,它可能有助于简要检查 DDoS 攻击是如何演变。很久以前,如果一个人想要取下大型 Web 站点,一个没有建立和维护一个大型机器人网络或”僵尸网络,”被黑客窃取计算机的 — — 这是一个相当时间密集、 高风险和技术的努力。

这些天来,不过,即使最先进的互联网用户可以启动相对较大的 DDoS 攻击只是通过几个钱付费订阅数十个之一的足球运动员或应激物服务,其中一些甚至接受信用卡和 PayPal 付款。

这些基于 Web 的 DDoS-为-租车服务不是靠僵尸网络︰ 他们一般会使用少量的强大租从一些狡猾的”防弹衣”托管服务提供商的服务器。足球运动员服务接受付款和攻击指示通过前端隐藏在 Cloudflare (免费 DDoS 保护服务) 的 Web 站点。

但足球运动员服务的后端是真正有趣的东西发生的地方。几乎所有的足球运动员服务所使用的最强大和最有效的攻击类型依赖于一种叫做交通放大和反射,攻击者可以反映或”欺骗”他从一个或多个第三方机器朝着预定目标的通讯技术。

在这种类型的攻击,攻击者发送一条消息,第三方,同时欺骗受害者的互联网地址。当第三方回复了邮件,答复发送给受害者 — — 和答复是比原始邮件中,从而放大攻击的规模大得多。

找到易受攻击的系统,可以利用这种方式,阔绰雇用大型互联网扫描服务,不断寻求以刷新列表可以用于放大和反射系统的攻击。他们这样做,因为作为研究表明 (PDF),在任何地方从 40-50%的放大器消失或重新分配新的互联网地址后一周。

输入从萨尔州大学在德国,以及横滨国立大学和国家研究所的信息和通信技术的研究人员 — — 无论是在日本。在多年项目中第一次详细的在 2015 年,研究者扫描,似乎揭开序幕由游手好闲运行足球运动员服务。

做到这一点,该研究团队构建了一种分布式的”蜜罐”系统 — — — 他们称之为”AmpPot”— — 旨在模拟已知易受放大攻击,例如 DNS 和 NTP 洪水的服务。

“要使它们对攻击者的吸引力,我们的蜜罐发送回合法的对策,”研究者写道 ina 2015 paper(PDF)。”攻击者,反过来,会滥用这些蜜罐作为放大器,这使得我们能够观察持续的攻击,他们的受害者和 DDoS 技术。为了防止损坏引起我们蜜罐,我们限制的响应速度。这种方式,虽然攻击者仍可以找到这些速率蜜罐,蜜罐停止受到攻击时作出答复。

在 2015年论文,研究人员说他们部署 21 的全球分布 AmpPot 实例,观察到的超过 150 万攻击 2 月至 2015 年 5 月。他们更密切地分析攻击,发现超过 96%的攻击来自单个源,如足球运动员服务。

“当重点放大 DDoS 攻击,我们发现,几乎所有的人 (> 96%) 由单一来源 (例如阔绰),并不是僵尸网络,引起”小组得出结论。”然而,我们遗憾的是没有的数字来比较这 [转] DoS 攻击一般。”

许多大型互联网扫描一样,研究人员还测量发射由保安公司和其他研究人员,团队需要一种方法来区分发起的足球运动员服务的扫描和那些进行研究或其他良性的目的。

“以区分由研究人员进行的扫描和扫描执行恶意,我们依赖于一个简单的假设︰ 攻击不会基于由 (伦理) 的研究人员,执行扫描的结果,”说,约翰内斯 · 克虏伯,报告的主要作者之一。”事实上,由于我们的方法,我们没有作出这种区分前期,但我们可以看看结果而说: ‘我们发现链接到此扫描仪的攻击,因此这种扫描仪必须被恶意。如果真正良性缔约方进行扫描,我们不会找到链接到它的攻击。”

秘密的标识符

新本文今天被释放由学生在萨尔州大学中心 IT 安全、 隐私和问责制 (CISPA) 的是,研究者们能够将这些质量扫描链接到不久后的非常放大攻击的方法。

研究者研究出将一个秘密的标识符编码为 AmpPot 蜜罐,任何后续攻击会使用,而每个扫描源异的一整套方法。他们然后进行测试,看看是否扫描基础设施也用实际启动 (并不只是为了准备) 的攻击。

他们的计划是以类似流量来源应该要走类似的互联网远才能到达全球分布的 AmpPot 传感器的想法为基础的。为此,他们看着”啤酒花”或互联网的网络段,每个扫描和攻击不得不遍历的数目。

使用三边测量法 — — 确定点的绝对或相对位置的距离测量的过程 — — 研究团队是能够链接扫描仪来攻击起源基于跃点计数。

这些方法揭示某些 286 扫描仪所使用的足球运动员服务发起放大攻击的准备。此外,他们发现,大约 75%的那些扫描仪都位于美国。

研究人员说,他们就能够确认许多相同主机扫描仪的网络也会被用来发动攻击。更重要的是,他们就能够回到原籍属性大约三分之一的攻击。

“这是一个令人印象深刻的结果,考虑到放大的欺骗的来源通常攻击仍然是隐藏的”说 Christian Rosso 的萨尔州大学。

红牛二队说团队希望能进一步研究他们的方法更明确领带扫描和攻击特定的足球运动员服务活动的名称。该集团已经在提供主机供应商和 Isp 分享有关事件 (如攻击开始时间和结束时间) 的信息服务。提供程序然后可以使用攻击信息,可以告知他们的客户或筛选攻击流量。

“我们已与执法机构分享我们的研究结果 — — 特别是,欧洲刑警组织和联邦调查局 — — 和在业务的基础使用我们的见解的层 1 网络提供商封闭的圈”研究者写道。”我们输出可以被用作法医证据在法律投诉和如何添加反对欺骗来源的社会压力。

分析

即使这些新描述发现方法广泛部署了今天,它是不太可能,足球运动员服务会将会很快消失。但这项研究是肯定有望足球运动员服务所有者将能够隐藏他们行动的真实位置较少的成功前进。也许更多的人将被认定为他们的罪行负责。

其他研究人员所作的努力取得足球运动员和应激物服务接受 PayPal 付款,迫使更多的阔绰,更多地依靠比特币的难度。

还有,设法查明一小撮足球运动员服务的转售其他服务品牌和市场他们自己作为其基础设施的倡议的数目。案例中点,在 9 月 2016 年 I publishedan 在 vDOS 上公开,赢得了两年帮助发射超过 150,000 (保守) $600,000 的足球运动员服务 DDoS 攻击。

转出,vDOS 的基础设施用更多比半打其他足球运动员服务,和 vDOS 脱机后不久大多数这些服务变暗了,或被拆除以及。

能够帮助减少上诉的足球运动员服务的一个重大转变 — — 为营利足球运动员东主和他们的客户 — — 是法律的明确信号,这项活动其实是非法和受到真正的牢狱的执法官员。到目前为止,很多足球运动员服务业主一直运营下的妄想或合理化他们的服务仅供网站所有者来测试他们的网站能够承受数据洪水的能力。最近 arrestof 两个 allegedLizard 队员转售 vDOS 服务,通过他们自己的”PoodleStresser”服务是一个良好的开端。

很多足球运动员运营商显然相信 (或至少躲在后面) 一份冗长的”服务条款”协议,所有客户必须都承认某种程度上免除他们的任何形式的赔偿责任为他们的客户是如何使用这项服务 — — 无论多少手牵手和技术的支持他们为这些客户提供。

事实上,东主的 vDOS — — 他们被捕不久后我对他们的故事 — — 华尔街日报 》 通过他们的律师,”是否要买一支枪和拍摄一些东西,是发明枪有罪的人吗?”

VDOS 指称的东 — — 18 岁以色列人亚登 Bidani 和依泰塔华裕 — — 被释放从软禁大约十天后他们最初的逮捕。到目前为止,没有任何指控,这将对任何人,但我有理由相信,不可能长时间。

与此同时,变化可能为足球运动员服务广告 Hackforums [点] 净,可能的最大露天网上市场在哪里足球运动员服务广告、 比较和额定 (帽尖到 @MalwareTechblog) 在酝酿之中。本周早些时候,Hackforums 管理员杰西”通天晓”LaBrocca 开始限制”stressers”款的庞大的论坛,论坛成员除非从广告足球运动员服务其用户配置文件中的访问。

“我绝对可以看一天,当它被完全,”LaBrocca 说,在一篇文章,解释他的行为。”可能是很快太。

的

Hackforums 管理员杰西”通天晓”LaBrocca 解释决定限制对 Hackforums 市场的”stressers”部分的访问。

我担心的是,我们很快就可以看到很多足球运动员服务操作的方式摆转变。现在,由足球运动员服务发起的攻击的大小是有点依赖的数目和功率的后端服务器用于启动放大和反射的攻击。

不过,我可以看到在不太遥远的将来在哪个足球运动员服务营办商开始赚他们的钱由倒卖更为强大的攻击,发起的实际僵尸网络由砍死物联网 (物联网) 设备的大型网络中的一天 — — 差担保闭路电视摄影机和数字视频录像机 (Dvr) 等。

在某种程度上这已经发生了,当我详细介绍了在我 1 月 2015年故事中,黑客家用路由器上运行的蜥蜴的应激物。但与未来僵尸网络的源代码现在公开发布 — — 620 记录中使用的恶意软件一脉相承 Gbps DDoS 在我的网站上个月和在广泛的互联网中断上周引起对基础设施提供商 Dyn 的攻击 — — 远更强大而且可扩展的攻击现供转售。

CISPA 在今天提交的论文是可用在这里 (PDF)。

[剑客-翻译]

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址