服務器安全評估之DDOS的攻擊與防御(3)

　　登陸進去一些路由之后我們發現這些路由器里面存在一個功能是設置自己的dns，這意味著這下面的所有dns請求都可以被定向到我們自己設置的dns 服務器，這對于我們去了解內部網絡的細節會很有用，于是我們建立了一個自己的dns服務器，并且開啟了dns請求的日志功能以記錄所有請求的細節。我們大約控制了20臺路由器的dns指向，并且都成功重定向到我們自己的服務器。

　　剩下的就是簡單的數據分析，在這之前我們可以對僵尸網絡的控制域名做如下的猜測：

　　1 這個dns應該為了靈活的控制域名的緩存時間TTL一般不會特別長

　　2 這個dns應該是定期的被請求，所以會在dns請求里有較大的出現比例

　　3 這個dns應該是為了控制而存在的，所以域名不應該在搜索引擎以及其他地方獲得較高的訪問指數，這與2中的規則配合起來會比較好確定，是一個天生的矛盾。

　　4 這個dns應該在各個路由下面都會被請求

　　這些通過簡單的統計就很容易得出答案，我們發現了一些3322的通用惡意軟件域名但是發現它并不是我們需要的，因為只有少數機器去訪問到，經過一些時間之后最后我們發現一個域名訪問量與naver(韓國的一個門戶)的訪問量持平，workgroup001.snow****.net，看起來似乎對自己的僵尸網絡管理很好嘛，大概有18臺機器訪問過這個域名，這個域名的主機托管在新加坡，生存時間TTL在1800也就是半小時，這個域名在所有的搜索引擎中都不存在記錄，是一個韓國人在godady一年前才注冊的，同時我們訪問這個域名指向主機的3389，簡單的通過5下shift就判斷出它上面存在著一個典型的windows后門，似乎我們找到它了，不是么?經過后續的觀察，一段時間后這個域名指向到了127.0.0.1，我們確信了我們的答案,workgroup001.snow****.net，看起來似乎對自己的僵尸網絡管理很好嘛：)

　　這是一次典型的ddos攻擊，攻擊之后我們獲得了參與攻擊的主機列表和控制端的域名及ip，相信中國和韓國的cert對于清理這次的攻擊源很有興趣，我們是有一些損失，但是攻擊者也有損失了(大概包括一個僵尸網絡及一個控制端域名，甚至可能包括一次內部的法律調查)，我們不再是不平等的了，不是么?

　　五、總結

　　正如一個朋友所講的，所有的防御是不完美的正如攻擊是不完美的一樣，好的防御者在提升自己的防御能力趨于完美的同時也要善于尋找攻擊者的不完美，尋找一次攻擊中的漏洞，不要對攻擊心生恐懼，對于Ddos攻擊而言，發起一次攻擊一樣是存在漏洞的，如果我們都能夠擅長利用其中的漏洞并且抓住后面的攻擊者那么相信以后的ddos攻擊案例將會減少很多，在針對目標發起攻擊之前攻擊者也會做更多的權衡，損失，利益和法律。

原文轉自：http://www.anti-gravitydesign.com