什麼是 DDoS Booter/IP Stresser? | DDoS 攻擊工具

藉助 IP 壓力源,只需少量費用即可獲取包裝為 SaaS 服務的 DDoS 攻擊。

學習目標

閱讀本文後,您將能夠:

  • 瞭解 Booter 與 IP Stresser
  • 瞭解 DDoS 攻擊工具
  • 瞭解犯罪即商業模式

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 IP Stresser?

IP Stresser 是一種旨在測試網路或伺服器穩健性的工具。管理員可以執行壓力測試以確定現有資源(頻寬、CPU 等)是否足以處理附加負載。

測試某人自己的網路或伺服器是 Stresser 的合法使用。在大多數國家或地區內,針對其他人的網路或伺服器而執行它,並導致其合法使用者阻斷服務,則為違法行為。

什麼是引導程式服務?

Booter 亦稱為引導程式服務,是有膽量的罪犯提供的按需 DDoS(分散式阻斷服務)攻擊服務,以期擊垮網站和網路。換言之,Booter 是 IP Stresser 的非法使用。

非法 IP Stresser 通常會使用 Proxy 伺服器來遮掩攻擊伺服器的身分。Proxy 會變更攻擊者連線的路線,同時掩蓋攻擊者的 IP 位址。

Booter 被巧妙地包裝為 SaaS(軟體即服務),通常帶有電子郵件支援和 YouTube 教程。套件可能會提供一次性服務、在規定時間段內的多次攻擊,或甚至「終身」存取權。一個基礎的單月封包成本只需 19.99 美元。付款方式可能包括信用卡、Skrill、PayPal 或比特幣(雖然如果可以證明惡意意圖,PayPal 將取消帳戶)。

IP 引導程式與殭屍網路有何不同?

殭屍網路是個電腦網路,其所有者不知道他們的電腦已經被惡意程式碼感染且被網際網路攻擊使用。引導程式為 DDos-for-hire 服務。

引導程式傳統上使用殭屍網路來發起攻擊,但隨著他們變得越來越複雜,他們鼓吹擁有更強大的伺服器,正如一些引導程式服務所說的,能「幫助您發起您的攻擊」。

阻斷服務攻擊背後的動機是什麼?

阻斷服務攻擊背後的動機有很多:充實其駭客技能的指令碼小子*、商業競爭、意識形態衝突、政府資助的恐怖主義或勒索。PayPal 和信用卡是勒索攻擊的首選付款方式。比特幣也在使用中,因為它能夠掩飾身分。從攻擊者的角度來說,比特幣的一種劣勢是,與其他付款方式相比,使用比特幣的人更少。

* 指令碼小子(或 skiddie)是用來形容技術相對較低的網際網路故意破壞者的貶義詞,他們使用其他人編寫的指令碼或程式來發起對網路或網站的攻擊。他們以比較出名且易於利用的安全性漏洞為目標,通常不會考慮後果。

放大和反射攻擊是什麼?

反射和放大攻擊利用合法流量來淹沒目標網路或伺服器。

當攻擊者偽造受害者的 IP 位址並偽裝成受害者向第三方傳送訊息時,它就被稱為 IP 位址詐騙。第三方無法將受害者的 IP 位址與攻擊者的 IP 位址區別開來。它會直接向受害者回覆。攻擊者的 IP 位址會同時向受害者和第三方伺服器隱瞞。該程序被稱為反射。

這就好像攻擊者偽裝成受害者,向受害者的住所訂購披薩。現在受害者最終因為他們沒有訂購的披薩而欠了披薩店的錢。

當攻擊者強制要求第三方伺服器向受害者送回帶有盡可能多資料的回應時,流量放大就發生了。回應和請求大小之間的比率被稱為放大係數。放大越大,對受害者造成破壞的可能性就越大。第三方伺服器也會因其需要處理的欺騙請求量而被破壞。NTP 放大是此類攻擊的一種範例。

最有效的引導程式攻擊會同時使用放大和反射。首先,攻擊者偽造目標的位址並向第三方傳送訊息。當第三方回覆時,訊息會轉到偽造的目標地址。回覆要比原始訊息大得多,從而放大攻擊的規模。

單一傀儡程式在此類攻擊中的角色類似於惡意青少年給餐廳打電話並點下整份菜單上的菜品,然後請求回電確認功能表上的每一項。只是回電的號碼是受害者的號碼。這樣目標受害者就會收到餐廳的回電,其中包含大量他們沒有請求的資訊。

阻斷服務攻擊的類別有哪些?

應用程式層攻擊以 web 應用程式為目標,通常使用的也是最複雜的。這些攻擊首先會與目標建立連線,然後利用獨佔處理序和事務來耗盡伺服器資源,從而利用第 7 層通訊協定堆疊中的弱點。這些都很難識別和緩解。常見的範例為 HTTP 洪水攻擊

基於通訊協定的攻擊專注於利用通訊協定堆疊第 3 或第 4 層中的弱點。此類攻擊會消耗受害者的所有處理能力或其他關鍵資源(例如防火牆),導致服務中斷。SYN 洪水攻擊死亡之 Ping 是其中一些範例。

巨流量攻擊會發送大量的流量,以使受害者的頻寬飽和。利用簡單的放大技術很容易就能道理巨流量攻擊,因此這些是最常見的攻擊方式。UDP 洪水攻擊、TCP 洪水攻擊、NTP 放大和 DNS 放大是其中一些範例。

常見的阻斷服務攻擊有哪些?

DoS 或 DDoS 攻擊的目標是消耗足夠的伺服器或網路資源,以使系統無法回應合法請求:

  • Syn 洪水攻擊:一系列的 SYN 請求指向了目標的系統,力圖淹沒目標。此攻擊利用 TCP 連線序列中的弱點,也被稱為三次握手。
  • HTTP 洪水攻擊一種使用 HTTP GET 或 POST 請求來攻擊網頁伺服器的攻擊。
  • UDP 洪水攻擊:一種用包含 UDP 資料報的 IP 封包來淹沒目標上隨機連接埠的攻擊。
  • 死亡之 Ping:涉及故意發送 IP 通訊協定所允許的最大 IP 封包的攻擊。TCP/IP 分片將大型封包分解成較小的 IP 封包,從而對其進行處理。如果封包組合起來超過所允許的 65,536 位元組,舊的伺服器通常會崩溃。這在較新的系統中已經基本上被修復。Ping 洪水攻擊是這種攻擊如今的化身。
  • ICMP 通訊協定攻擊:ICMP 通訊協定的攻擊利用了這麼一個事實:在送回回應之前,每個請求都需要經過伺服器處理。Smurf 攻擊、ICMP 洪水攻擊和 Ping 洪水攻擊會用無需等待回應的 ICMP 請求來淹沒伺服器,從而利用這一點。
  • Slowloris這種攻擊的發明者為 Robert 'RSnake' Hansen,它會嘗試使目標網頁伺服器的多個連線在盡可能長的時間內保持開啟狀態。最終,客戶的其他連線嘗試將被拒絕。
  • DNS 洪水攻擊攻擊者會淹沒特定網域名稱的 DNS 伺服器,試圖干擾該網域的 DNS 解析
  • Teardrop 攻擊:涉及向目標裝置發送零碎封包的攻擊。TCP/IP 通訊協定中的故障,會阻止伺服器重新組裝此類封包,造成封包重疊。目標裝置崩溃。
  • DNS 放大:這種基於反射的攻擊會將 DNS(網域名稱系統)伺服器的合法請求變成更大的請求,並在此過程中消耗伺服器資源。
  • NTP 放大: 一種基於反射的容量耗盡 DDoS 攻擊,其中攻擊者會利用網路時間通訊協定 (NTP) 伺服器功能,以便借助放大的 UDP 流量淹沒目標網路或伺服器。
  • SNMP 反射: 攻擊者會偽造受害者的 IP 位址並向裝置發送多個簡單網路管理通訊協定 (SNMP) 請求。回覆量可能會淹沒受害者。回覆量可能會淹沒受害者。
  • SSDP:SSDP(簡單服務發現通訊協定)攻擊是一種利用通用隨插即用 (UPnP) 聯網通訊協定的基於反射的 DDoS 攻擊,其目標為向目標受害者發送放大的流量。
  • SMURF 攻擊: 此攻擊使用名為 smurf 的惡意程式碼程式。使用 IP 廣播位址將大量帶有受害者被冒用 IP 位址的網際網路控制訊息通訊協定 (ICMP) 廣播到電腦網路中。
  • Fraggle 攻擊: 一種類似於 smurf 的攻擊,只是它使用的是 UDP,而不是 ICMP。

如果發生 DDoS 勒索攻擊,該怎麼辦?

  • 應立即通知資料中心和 ISP。
  • 絕不應該選擇支付贖金–付款通常會導致贖金要求逐漸提高。
  • 應通知執法機構。
  • 應對網路流量進行監控。
  • 參與 DDoS 保護計畫,例如:Cloudflare 的免費計畫

如何緩解殭屍網路攻擊?

  • 應在伺服器上安裝防火牆
  • 安全性修補程式必須是最新的。
  • 必須按時執行防毒軟體
  • 應定期監測系統日誌
  • 不應允許未知電子郵件伺服器分佈 SMTP 流量

為什麼引導程式服務很難追蹤?

購買這些犯罪服務的人使用的是前端付款網站,以及與攻擊相關的指示。通常沒有發起實際攻擊的後端的可識別連線。因此,很難證明犯罪意圖。跟蹤付款痕跡是追蹤犯罪實體的一種方式。