金山云安珀实验室：主动出击方能更高效应对DDoS攻击

至顶网软件频道消息：近年来，以万物互联为标志的数字世界不断建设完善，可联网设备数量空前高涨，但囿于安全防范意识薄弱、防范手段不足等原因，由此而引发的网络安全问题，可谓层出不穷。其中，以分布式拒绝服务攻击(DDoS)为代表的攻击手段，因为简单易操作、影响范围广、造成损失大，成为业界防范的焦点。

在近日举办的FreeBuf互联网安全创新大会上，金山云安珀实验室资深研究员马西兴基于丰富的防DDoS攻击研究经验，从“如何在僵尸网络发动DDoS攻击时提前预警”的角度，对DDoS攻防进行了分享。马西兴认为：绝大多数DDoS攻击都是有迹可循的，通过前期周密的预警研究，让攻击在发起前即可侦测到，提前做好防范措施，是应对DDoS攻击最有效的手段之一。

金山云安珀实验室资深研究员马西兴在FIT大会上发表演讲

不战而屈人之兵，将DDoS攻击扼杀在萌芽状态

当前，随着各行各业全面互联网化，DDoS可攻击范围愈发广泛，攻击流量高峰频现，今年上半年发生的一起Memcached DDoS攻击，其峰值达到了1.7Tbps，创历史新高。而由各僵尸网络驱动的新型DDoS攻击出租服务平台不断涌现，让获取DDoS攻击能力日趋简单，成本持续走低，也让防范DDoS攻击的急迫性日益严峻。

现阶段全球范围内对于由僵尸网络所发起的DDoS攻击并没有十分有效的应对措施，只能够对其进行感知防护。在主机受到感染后发出DDoS攻击而导致网络流量出现问题时，才能够发现网络运行存在问题，若能在主机受到感染进而发出执行命令前检测感知到网络异常现象，提出针对性的预警措施，对于防范DDoS攻击及减少可能造成的损失，可以起到事半功倍的效果。

基于传统肉鸡养殖场的僵尸网络检测方法主要利用各类蜜罐、入侵检测系统、Netflow异常流量检测等安全分析系统。在谈到金山云DDoS预警与其他方式的不同之处时，马西兴表示：“我们实验室研究员通过对肉鸡样本进行深入逆向分析，按照其和C&C端的交互协议，对BOT端进行代码重构，能够做到在C&C端发出攻击指令的同时，对目标站点进行攻击预警，同时在系统资源占用、反沙箱、漏洞利用监测等方面达到了较好的效果，从而实现不战而屈人之兵，将DDoS攻击扼杀在萌芽状态。”

千里追踪求真相，主动出击告别被动防御

在今年初，金山云安珀实验室成功追踪到一起利用大规模僵尸网络进行大流量DDoS攻击的有组织活动，该组织掌握的肉鸡最多高达75万台，通过层层加密隐匿攻击源头，在幕后对企业、机构发动针对性的大规模DDoS攻击，进而谋取不正当利益。在监控到网络流量异常后，金山云第一时间进行分析排查，确定异常流量来自某几台被控制的云主机，正在对外发起大流量的DDoS攻击，深入调查后发现，这些云主机属于某僵尸网络控制的肉鸡，最后顺藤摸瓜，成功追踪到攻击源。

“这是安珀实验室在DDoS防御上的一个比较典型的案例，相比于被动的高防清洗，主动出击寻找攻击源头，显然是更高效的防御手段，”马西兴表示，“金山云通过逆向协议分析流程，获取C&C域名或IP地址、主机上线协议、心跳协议、攻击协议、控制协议等关键样本信息，来辅助预警工作。”具体而言，一方面让样本在沙盒中跑起来，观察它在运行过程中的流量交互信息;另一方面通过对其进行反汇编，遇到加密的指令时，对加密指令进行解密操作，从而获取更多有效信息。

C&C域名或IP地址作为连接的来源，追踪到就等于成功了一半，但黑客往往会采用隐匿攻击源，让肉鸡的每次访问都有可能返回不同的IP。安珀实验室通过NMAP扫描服务器对外开放的端口，将疑似端口都加入到金山云配置文件中，经过反复调查，从而来确认黑客下发攻击指令的地址。

“无间道”式防御策略，从攻击源头进行预警监控

“一旦连上黑客的服务器，就需要发送上线协议给黑客了，不同的家族往往有不同的上线协议，但目的都是一样，即告诉黑客肉鸡已经上线了，”马西兴讲到，“上线协议通常包含CPU型号、操作系统版本号、内存、硬盘、网络带宽、IP地址等信息，也有特定的家族使用固定的16进制字符串来表示。”

在响应策略上，通常是按需回复和记录。比如在收到ping指令时，简单回复一个pong给主机，通过尽量模仿真实肉鸡的行为，避免被黑客发现真实身份。经过一段时间的运行后，就可以得到黑客的全部历史攻击指令数据库。此外，金山云还输出了一个json格式的预警接口，用户调用后，就能立刻返回接收到的最后若干条攻击指令，也可在检测到攻击指定站点时，通过短信报警的方式对目标站点发出实时预警。

“拿到流量之后，我们需要提取流量中的C&C域名和IP地址，”马西兴讲到，“针对不同的家族，有不同的C&C提取方法，对于gafgyt家族，肉鸡上线后，控制端会发送一条扫描指令，可以直接提取源地址;而mirai家族在上线时，会向C&C发送固定格式的上线包，此时可以提取上线包的目的地址”。通过这些方式，就可以拿到C&C列表，用来做威胁情报的数据源。

在马西兴看来，一个完整的DDoS预警流程如下：通过对样本库中的每一个样本进行扫描、分析，得到样本的家族分类、域名、IP、端口等信息，将其存储到数据库中，之后调用预警系统进行处理，最终输出历史攻击记录数据库、预警接口等信息，从而实现对DDoS攻击的提前预警防范。

目前，DDoS攻击势头不容乐观，除了攻击流量高峰频发，攻击类型更加多样化，也让防御更加困难，金山云作为国内前三的云服务商，一直在积极进行新型网络安全防御的探索实践，今年更是专门成立了面向云安全前沿技术领域研究的安珀实验室，旨在打造更先进的安全攻防体系，并通过与业界通力合作，共同构建更加安全健康的网络环境。