DERP是第一個利用NTP服務器進行大規(guī)模反射放大攻擊的黑客組
責編:admin |2015-02-11 10:29:59在上周的回顧中,我們提到了悲催的“PhantomL0rd”和偏執(zhí)狂般發(fā)起攻擊的“DERP”。在去年12月底上演的針對包括EA、暴雪等大型游戲公司的DDoS攻擊事件一度使人們誤以為“PhantomL0rd”是被攻擊的目標和受害者。然而,隨著事件及其背后動因不斷地被挖掘和曝光,我們看到的則是另外一幅完全不同和令人震驚的畫面。這出一個愿打一個愿挨的大戲,其背后到底隱藏著哪些不可告人的秘密呢?
在闡述事件的前因后果之前,先簡單介紹一下兩位主角:“PhantomL0rd”和“DERP”。
“PhantomL0rd”名叫James Varga,某專業(yè)游戲小組的成員,同時是Twitch的知名和資深視頻博主。“DERP”也叫“DERP Trolling”,這是一個成立于2011年,比Anonymous還要隨性而松散的黑客組織。如果從Anonymous的攻擊行動還可以找到漏洞利用、網(wǎng)頁篡改和數(shù)據(jù)竊取等“高技術“含量的行為,那么DERP恐怕就只有DDoS這唯一一種相對”低技術“含量的攻擊手段了。
在上周的回顧中我們提到“PhantomL0rd”被“DERP“所追殺,包括魔獸、英雄年代、FIFA、戰(zhàn)地4等無數(shù)游戲中槍,但凡”PhantomL0rd”玩的游戲均不同程度地遭到DDoS攻擊。然而,這位頗有點“亡命天涯”味道的追殺目標——”PhantomL0rd”并非無辜;恰恰相反,他是整個事件的策劃者。
“PhantomL0rd”經(jīng)常參加一些網(wǎng)絡游戲的對戰(zhàn)。但凡對戰(zhàn),只要你不是上帝,就一定互有勝敗。問題是“PhantomL0rd”想做上帝。他主動找到“DERP”,提出了一個“不錯”的計劃:在網(wǎng)游對戰(zhàn)中,如果“PhantomL0rd”小組打不過別人,“PhantomL0rd”小組就下線,然后“DERP”登場,發(fā)起DDoS攻擊游戲服務器讓游戲無法繼續(xù)。這樣一來,比賽就沒有結(jié)果,“PhantomL0rd”就有再次翻盤的機會。這就是“PhantomL0rd”和“DERP”之間的秘密。
這尼瑪是不是有點過于無恥了?打過團戰(zhàn)的都應該深有體會,團戰(zhàn)打到high的時候,如果突然網(wǎng)絡中斷了,那連砸電腦的心都有!另一方面,這尼瑪用DDoS來左右比賽結(jié)果,是不是可以入選“2013年十大技術創(chuàng)新”名單了?
不過,從技術角度上來看,這群隨性的黑客并非想象中的那般菜鳥。從大量的外媒報道來看,DERP是第一個利用NTP服務器進行大規(guī)模反射放大攻擊的黑客組織。和DNS反射攻擊的模式非常類似,攻擊者將源地址偽造為游戲服務器,向互聯(lián)網(wǎng)上的開放NTP服務器發(fā)送monlist請求。NTP服務器上的monlist模塊會對這些monlist請求返回最近600個主機IP地址,而這些回應包將發(fā)往被攻擊目標主機,即游戲服務器。這就是反射。
攻擊的另一個關鍵技術環(huán)節(jié)是放大。monlist請求數(shù)據(jù)包大小為8字節(jié),而響應數(shù)據(jù)包為468字節(jié),這樣一來,響應包是請求包大小的58倍。雖然技術上不算高深,但是“四兩撥千斤”頗為有效,竟然真的干翻了EA、Battle.net等諸多大型游戲公司的服務器。
更令人震精的分析數(shù)據(jù)來自CloudFlare。CloudFlare在 1月9日的官方博客上對NTP反射放大攻擊也進行了分析。NTP反射放大攻擊和DNS反射放大攻擊有異曲同工之妙,都是基于不需要維護狀態(tài)的UDP協(xié)議。對抗D稍有研究的人都會知道,雖然UDP Flood很簡單,但是不是太好防——包括Cookie和CAPTCHA在內(nèi)的所有客戶端驗證手段均將失效。CloudFlare提到用MAC終端發(fā)出的MON_GETLIST 請求包為234字節(jié),返回包是4460字節(jié)(分拆成10個數(shù)據(jù)包),放大了19倍。
有朋友會說,19倍毛毛雨啦。事實上,CloudFlare測試的NTP服務器并非一臺業(yè)務繁忙的服務器,4460字節(jié)返回的僅是55臺主機的IP地址。在上文提到,一臺業(yè)務繁忙的服務器會返回600臺服務器IP。如果真的返回了600個IP,那么返回的數(shù)據(jù)包將是4460字節(jié)的10余倍。經(jīng)放大后,將超過200倍!
OMG,200倍!這個數(shù)字你應該非常滿意了。
整個事件中唯一讓人稍稍感到有點正能量的是“DERP“的誠信。據(jù)稱,“Derp“嚴格兌現(xiàn)自己的承諾:你打不過,我就打DDoS!真誠地“奉獻”了針對游戲服務器的若干次DDoS攻擊。為啥說“奉獻”?因為,“DERP”完全友情贊助,分文不取。
到這兒,我只想說一句:DERP,你丫真2。
下一篇:什么是APT攻擊
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧