最近,阿里服务器安全团队观察了数个规模性网络层资源耗光的DDoS进攻(网络层Cc进攻)。阿里服务器DDoS高防智能保护自动式检测和清除,对局端业务没有影响,这种进攻有一些关联性,阿里服务器安全团队干了后续分析。 经过多次跟踪,这些进攻来源于大量用户手中手机上下载装扮成普通手机应用程序的故意手机应用程序。
APP动态接到进攻指令后,在目标网站上进行进攻。根据阿里服务器安全团队检测的数据,过去两月中,现有超出50万辆移动终端被作为黑客入侵工具,以达到Pc肉食鸡单一化进攻源的规模。由此可见,装扮成正常手机应用程序的故意手机应用程序使大量移动终端成为全新肉食鸡,黑灰生产在进攻技术方面有进一步升级的发展趋势。
规模性移动肉食鸡下DDoS进攻的新功能有哪些? 根据监控器数据,发现该类进攻具有以下特点: 移动终端系统联合分布: 苹果ios系统约占40%,Android系统约占60%; 进攻规模和肉食鸡数量很大,源iP不固定: 一次进攻具有100万QPS(每秒钟恳求数)的谷值,其源于超出500,0500个肉食鸡来源于iP,并且多个进攻恶性事件之间的源iP重合极低; 进攻源iP遍布非常分散化: 进攻源iP遍布在全球165多个国家,拥有近40家营运商。
仅在我国,就有300多个城市有进攻源,其中绝大多数遍布在东西部和沿海地区省区,网络比较发达; 进攻源分布 进攻源iP主要是通信基站iP: 近一半的进攻源iP是移动网络的大型通信基站出入口,这代表相同的源iP承重进攻总流量和大量正常用户总流量。 进攻生产调度不规律性: 因为中国移动电话联接的网络变化以及APP的起动和撤消,我们观察到不断加上新的进攻源iP。超出一大半的进攻源在进攻开始时不会启动进攻,每一次进攻源iP进攻的延迟时间都很长。单独进攻源的ip地址不高。
iP数量和特殊进攻延迟时间的恳求数量 速度限制和信用黑名单以前是Pc肉食鸡时代的“一鍵止血方法”防御力。但是,故意APP进行的进攻装作是正常的手机应用程序,因为移动终端在Pc设备中活跃性得多,即便是小量的APP,数量也相当大。
即便单独肉食鸡设备的恳求频率极低,聚合物的总恳求量也得以抑制目标网站,因此网络攻击可以不在开启速度限制防御力对策的情况下轻松起动进攻。 更恐怖的是,因为进攻源主要是一个大的出入口iP,传统的防御力方法只是粗鲁地进攻iP,这些iP身后的大量用户也将无法打开。此外,新的肉食鸡将在围攻期间继续加入,信用黑名单方法在这种情况下无法有效地阻拦进攻。以前是一个强大的护城河,它在新的进攻情况下变为了一只鸡。 网络黑客如何利用故意应用进攻? Black Grey转化成置入在APP中的WebView。起动后,它将恳求中央控制连接。连接偏向的页面置入并载入了三个Js文件。 Js以ajax异步恳求的方式动态获得JSON命令。 在非进攻期间,获得的JSON命令的内容是“{'信息':'无数据','编码': 403}”。因为不包括进攻指令,因此载入后Js会被载入并持续循环,并且会定期再次载入JSON命令。
JSON命令确定循环或实行进攻 如果网络攻击传出进攻JSON指令,Js就会撤出循环并在处理完分析后将消息传递回WebView。 JSON指令特定目标网页地址上传的数据文件内容,恳求模式和标头,并特定生产调度主要参数,如进攻频率,当前设备起动进攻的条件和进攻结束时间增加进攻的多元性和协调能力。 WebView通过UserAgent获得设备信息,并确定这是苹果ios还是Android系统。不同的设备启用不同的涵数来开启故意APP中的javas编码载入,让设备根据命令进行进攻。