2009年7月韩美DDoS攻击分析报告.PDFVIP

2009 年年7 月月韩韩美美DDoS 攻攻击击分析分析报报告告 年年 月月韩韩美美 攻攻击击分析分析报报告告 Arbor 网络ASERT 小组 2009 年7 月10 日 相关背景相关背景 相关背景相关背景 2009 年7 月4 日以来，韩美部分重要政府和商业网站遭受到一系列未知木马病毒DDoS （分 布式拒绝服务）的攻击。此次攻击预先设定了一系列目标并对目标进行不断更新。 本分析报告可以让用户对此次木马病毒及恶意软件攻击事件有所了解，并可以结合其它机构 （US-CERT, KrCERT 等）的分析报告对攻击事件有整体了解。本分析报告用于为三方数据 共享做攻击推演。 病毒流量样本病毒流量样本 病毒流量样本病毒流量样本 被感染系统将发送一个HTTP 请求字符串： HTTP/1.1 GET /china/dns? 下面的HTTP 用户代理字符串将被用于HTTP DDoS 攻击代码中: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR3.5.30729) Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:0) GeckoFirefox/0 (.NET CLR 3.5.30729) Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0;GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR3.5.30729) 其中两种浏览器请求是合法操作,但其余两个包含伪装木马病毒，来控制HTTP 标头。此恶 意软件发送的两个HTTP 请求如下: Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/xms- application, application/x-ms-xbap, application/vnd.msxpsdocument, application/xaml+xml, */* Accept-Language: ko UA-CPU: x86 Accept-Encoding: gzip, deflate Content-Length: 0 Connection: Keep-Alive Any or all of these headers may be present in an HTTP request. Simple HTTP requestrate monitoring via TMS can be used to detect the bots ’ activities. Note that some of these headers alone do not indicate a bot ’s presence. 所有这些标头 （header ）可能存储在一个HTTP 请求中，通过简单的HTTP 流量流向分析设 备可检测类似的僵尸(bot)活动。但是这些请求Header 并不一定意味着僵尸的存在。 DDoS 的攻击特点和减灾战略的攻击特点和减灾战略 的攻击特点和减灾战略的攻击特点和减灾战略 在互联网上我们已经检测到以下的DDoS 攻击流量： UDP80 端口溢出端口溢出 端口溢出端口溢出 对于受攻击的网站来说，这是一个普通的攻击。简单的拒绝此网站所有UDP