近日,CNCERT通報(bào)了一種具備DDoS攻擊能力的新型木馬“魔鼬”,該木馬傳播迅速,我國(guó)已有6.4萬余個(gè)IP地址被感染。
中新網(wǎng)安安全研究院新型“魔鼬”威脅預(yù)警報(bào)告
一、魔鼬木馬的危害 惡意控制端可遠(yuǎn)程控制被感染服務(wù)器,通過控制大量的服務(wù)器肉雞向目標(biāo)網(wǎng)站發(fā)起DDoS攻擊。
二、檢測(cè)影響評(píng)估 據(jù)CNCERT統(tǒng)計(jì),我國(guó)已有 6.4 萬余個(gè) IP 地址受控于“魔鼬” 木馬。其中,受控 IP 地址數(shù)量最多的省份為廣東、江蘇、浙江,占比分別為 18.7%,9.3%和7.5%。 如此大規(guī)模的肉機(jī)一旦受控發(fā)起DDoS攻擊,規(guī)模可達(dá)數(shù)百G,足以導(dǎo)致目標(biāo)網(wǎng)站癱瘓。 三、魔鼬DDoS分析 目前發(fā)現(xiàn)多家國(guó)內(nèi)用戶已遭受由“魔鼬”發(fā)動(dòng)的DDoS 攻擊,攻擊類型主要為SYN Flood,并伴隨著UDP Flood和CC攻擊。CC攻擊的目標(biāo)主要是提供下載、登錄等服務(wù)的站點(diǎn)首頁,CC攻擊的QPS峰值達(dá)到數(shù)百萬次。 CNCERT通過樣本分析 ,該木馬的一個(gè)控制端地址為 www.linux288.com ,并第一時(shí)間處置了“魔鼬”木馬控制的域名。 四、防護(hù)方案建議 由于本次攻擊屬于混合型DDoS攻擊,既有應(yīng)用層CC攻擊,又有用戶側(cè)大規(guī)模流量型攻擊。中新網(wǎng)安專業(yè)抗DDoS防護(hù)方案針對(duì)“魔鼬”DDoS攻擊提出如下建議:
中新金盾抗DDoS“云+端”立體防御平臺(tái)-安道者區(qū)別于傳統(tǒng)的單一云清洗服務(wù)產(chǎn)品,采用“云+端”的立體防護(hù)技術(shù),初期具備2T的DDoS云清洗防護(hù)能力,并且持續(xù)不斷的提升,采用分布式智能清洗技術(shù),為用戶緩解超出本地帶寬的DDoS流量攻擊,而用戶側(cè)端設(shè)備可將超出帶寬的DDoS攻擊流量自動(dòng)牽引至中新網(wǎng)安云清洗中心進(jìn)行清洗,清洗完畢后將正常流量回送給用戶網(wǎng)絡(luò),防御規(guī)模不再受客戶出口帶寬限制,客戶將不再受鏈路擁堵的影響。
中新金盾抗DDoS“云+端”立體防御平臺(tái)-安道者的用戶側(cè)硬件防護(hù)設(shè)備為用戶提供7x24h不間斷的獨(dú)享定制化DDoS防護(hù)能力,用戶根據(jù)自身不同業(yè)務(wù)需求在端設(shè)備上部署高效、精細(xì)化防護(hù)策略及應(yīng)用層CC防護(hù)功能插件,同時(shí)提供7x24h的1對(duì)1金盾專家服務(wù),有效防護(hù)各種復(fù)雜應(yīng)用層攻擊,并大量避免傳統(tǒng)單一云防護(hù)所帶來的誤殺誤判風(fēng)險(xiǎn)。
|
