至顶网软件频道消息:近年来,以万物互联为标志的数字世界不断建设完善,可联网设备数量空前高涨,但囿于安全防范意识薄弱、防范手段不足等原因,由此而引发的网络安全问题,可谓层出不穷。其中,以分布式拒绝服务攻击(DDoS)为代表的攻击手段,因为简单易操作、影响范围广、造成损失大,成为业界防范的焦点。
在近日举办的FreeBuf互联网安全创新大会上,金山云安珀实验室资深研究员马西兴基于丰富的防DDoS攻击研究经验,从“如何在僵尸网络发动DDoS攻击时提前预警”的角度,对DDoS攻防进行了分享。马西兴认为:绝大多数DDoS攻击都是有迹可循的,通过前期周密的预警研究,让攻击在发起前即可侦测到,提前做好防范措施,是应对DDoS攻击最有效的手段之一。
金山云安珀实验室资深研究员马西兴在FIT大会上发表演讲
不战而屈人之兵,将DDoS攻击扼杀在萌芽状态
当前,随着各行各业全面互联网化,DDoS可攻击范围愈发广泛,攻击流量高峰频现,今年上半年发生的一起Memcached DDoS攻击,其峰值达到了1.7Tbps,创历史新高。而由各僵尸网络驱动的新型DDoS攻击出租服务平台不断涌现,让获取DDoS攻击能力日趋简单,成本持续走低,也让防范DDoS攻击的急迫性日益严峻。
现阶段全球范围内对于由僵尸网络所发起的DDoS攻击并没有十分有效的应对措施,只能够对其进行感知防护。在主机受到感染后发出DDoS攻击而导致网络流量出现问题时,才能够发现网络运行存在问题,若能在主机受到感染进而发出执行命令前检测感知到网络异常现象,提出针对性的预警措施,对于防范DDoS攻击及减少可能造成的损失,可以起到事半功倍的效果。
基于传统肉鸡养殖场的僵尸网络检测方法主要利用各类蜜罐、入侵检测系统、Netflow异常流量检测等安全分析系统。在谈到金山云DDoS预警与其他方式的不同之处时,马西兴表示:“我们实验室研究员通过对肉鸡样本进行深入逆向分析,按照其和C&C端的交互协议,对BOT端进行代码重构,能够做到在C&C端发出攻击指令的同时,对目标站点进行攻击预警,同时在系统资源占用、反沙箱、漏洞利用监测等方面达到了较好的效果,从而实现不战而屈人之兵,将DDoS攻击扼杀在萌芽状态。”
千里追踪求真相,主动出击告别被动防御
在今年初,金山云安珀实验室成功追踪到一起利用大规模僵尸网络进行大流量DDoS攻击的有组织活动,该组织掌握的肉鸡最多高达75万台,通过层层加密隐匿攻击源头,在幕后对企业、机构发动针对性的大规模DDoS攻击,进而谋取不正当利益。在监控到网络流量异常后,金山云第一时间进行分析排查,确定异常流量来自某几台被控制的云主机,正在对外发起大流量的DDoS攻击,深入调查后发现,这些云主机属于某僵尸网络控制的肉鸡,最后顺藤摸瓜,成功追踪到攻击源。
“这是安珀实验室在DDoS防御上的一个比较典型的案例,相比于被动的高防清洗,主动出击寻找攻击源头,显然是更高效的防御手段,”马西兴表示,“金山云通过逆向协议分析流程,获取C&C域名或IP地址、主机上线协议、心跳协议、攻击协议、控制协议等关键样本信息,来辅助预警工作。”具体而言,一方面让样本在沙盒中跑起来,观察它在运行过程中的流量交互信息;另一方面通过对其进行反汇编,遇到加密的指令时,对加密指令进行解密操作,从而获取更多有效信息。
C&C域名或IP地址作为连接的来源,追踪到就等于成功了一半,但黑客往往会采用隐匿攻击源,让肉鸡的每次访问都有可能返回不同的IP。安珀实验室通过NMAP扫描服务器对外开放的端口,将疑似端口都加入到金山云配置文件中,经过反复调查,从而来确认黑客下发攻击指令的地址。
“无间道”式防御策略,从攻击源头进行预警监控
“一旦连上黑客的服务器,就需要发送上线协议给黑客了,不同的家族往往有不同的上线协议,但目的都是一样,即告诉黑客肉鸡已经上线了,”马西兴讲到,“上线协议通常包含CPU型号、操作系统版本号、内存、硬盘、网络带宽、IP地址等信息,也有特定的家族使用固定的16进制字符串来表示。”
在响应策略上,通常是按需回复和记录。比如在收到ping指令时,简单回复一个pong给主机,通过尽量模仿真实肉鸡的行为,避免被黑客发现真实身份。经过一段时间的运行后,就可以得到黑客的全部历史攻击指令数据库。此外,金山云还输出了一个json格式的预警接口,用户调用后,就能立刻返回接收到的最后若干条攻击指令,也可在检测到攻击指定站点时,通过短信报警的方式对目标站点发出实时预警。
“拿到流量之后,我们需要提取流量中的C&C域名和IP地址,”马西兴讲到,“针对不同的家族,有不同的C&C提取方法,对于gafgyt家族,肉鸡上线后,控制端会发送一条扫描指令,可以直接提取源地址;而mirai家族在上线时,会向C&C发送固定格式的上线包,此时可以提取上线包的目的地址”。通过这些方式,就可以拿到C&C列表,用来做威胁情报的数据源。
在马西兴看来,一个完整的DDoS预警流程如下:通过对样本库中的每一个样本进行扫描、分析,得到样本的家族分类、域名、IP、端口等信息,将其存储到数据库中,之后调用预警系统进行处理,最终输出历史攻击记录数据库、预警接口等信息,从而实现对DDoS攻击的提前预警防范。
目前,DDoS攻击势头不容乐观,除了攻击流量高峰频发,攻击类型更加多样化,也让防御更加困难,金山云作为国内前三的云服务商,一直在积极进行新型网络安全防御的探索实践,今年更是专门成立了面向云安全前沿技术领域研究的安珀实验室,旨在打造更先进的安全攻防体系,并通过与业界通力合作,共同构建更加安全健康的网络环境。
好文章,需要你的鼓励
Docker公司通过增强的compose框架和新基础设施工具,将自己定位为AI智能体开发的核心编排平台。该平台在compose规范中新增"models"元素,允许开发者在同一YAML文件中定义AI智能体、大语言模型和工具。支持LangGraph、CrewAI等多个AI框架,提供Docker Offload服务访问NVIDIA L4 GPU,并与谷歌云、微软Azure建立合作。通过MCP网关提供企业级安全隔离,解决了企业AI项目从概念验证到生产部署的断层问题。
中科院联合字节跳动开发全新AI评测基准TreeBench,揭示当前最先进模型在复杂视觉推理上的重大缺陷。即使OpenAI o3也仅获得54.87%分数。研究团队同时提出TreeVGR训练方法,通过要求AI同时给出答案和精确定位,实现真正可追溯的视觉推理,为构建更透明可信的AI系统开辟新路径。
马斯克的AI女友"Ani"引爆全球,腾讯RLVER框架突破情感理解边界:AI下半场竞争核心已转向对人性的精准把握。当技术学会共情,虚拟陪伴不再停留于脚本应答,而是通过"心与心的循环"真正理解人类孤独——这背后是强化学习算法与思考模式的化学反应,让AI从解决问题转向拥抱情感。
PyVision是上海AI实验室开发的革命性视觉推理框架,让AI系统能够根据具体问题动态创造Python工具,而非依赖预设工具集。通过多轮交互机制,PyVision在多项基准测试中实现显著性能提升,其中在符号视觉任务上提升达31.1%。该框架展现了从"工具使用者"到"工具创造者"的AI能力跃迁,为通用人工智能的发展开辟了新路径。