DERP是第一个利用NTP服务器进行大规模反射放大攻击的黑客组

  在上周的回顾中,我们提到了悲催的“PhantomL0rd”和偏执狂般发起攻击的“DERP”。在去年12月底上演的针对包括EA、暴雪等大型游戏公司的DDoS攻击事件一度使人们误以为“PhantomL0rd”是被攻击的目标和受害者。然而,随着事件及其背后动因不断地被挖掘和曝光,我们看到的则是另外一幅完全不同和令人震惊的画面。这出一个愿打一个愿挨的大戏,其背后到底隐藏着哪些不可告人的秘密呢?

  在阐述事件的前因后果之前,先简单介绍一下两位主角:“PhantomL0rd”和“DERP”。

  “PhantomL0rd”名叫James Varga,某专业游戏小组的成员,同时是Twitch的知名和资深视频博主。“DERP”也叫“DERP Trolling”,这是一个成立于2011年,比Anonymous还要随性而松散的黑客组织。如果从Anonymous的攻击行动还可以找到漏洞利用、网页篡改和数据窃取等“高技术“含量的行为,那么DERP恐怕就只有DDoS这唯一一种相对”低技术“含量的攻击手段了。

  在上周的回顾中我们提到“PhantomL0rd”被“DERP“所追杀,包括魔兽、英雄年代、FIFA、战地4等无数游戏中枪,但凡”PhantomL0rd”玩的游戏均不同程度地遭到DDoS攻击。然而,这位颇有点“亡命天涯”味道的追杀目标——”PhantomL0rd”并非无辜;恰恰相反,他是整个事件的策划者。

  “PhantomL0rd”经常参加一些网络游戏的对战。但凡对战,只要你不是上帝,就一定互有胜败。问题是“PhantomL0rd”想做上帝。他主动找到“DERP”,提出了一个“不错”的计划:在网游对战中,如果“PhantomL0rd”小组打不过别人,“PhantomL0rd”小组就下线,然后“DERP”登场,发起DDoS攻击游戏服务器让游戏无法继续。这样一来,比赛就没有结果,“PhantomL0rd”就有再次翻盘的机会。这就是“PhantomL0rd”和“DERP”之间的秘密。

  这尼玛是不是有点过于无耻了?打过团战的都应该深有体会,团战打到high的时候,如果突然网络中断了,那连砸电脑的心都有!另一方面,这尼玛用DDoS来左右比赛结果,是不是可以入选“2013年十大技术创新”名单了?

  不过,从技术角度上来看,这群随性的黑客并非想象中的那般菜鸟。从大量的外媒报道来看,DERP是第一个利用NTP服务器进行大规模反射放大攻击的黑客组织。和DNS反射攻击的模式非常类似,攻击者将源地址伪造为游戏服务器,向互联网上的开放NTP服务器发送monlist请求。NTP服务器上的monlist模块会对这些monlist请求返回最近600个主机IP地址,而这些回应包将发往被攻击目标主机,即游戏服务器。这就是反射。

  攻击的另一个关键技术环节是放大。monlist请求数据包大小为8字节,而响应数据包为468字节,这样一来,响应包是请求包大小的58倍。虽然技术上不算高深,但是“四两拨千斤”颇为有效,竟然真的干翻了EA、Battle.net等诸多大型游戏公司的服务器。

  更令人震精的分析数据来自CloudFlare。CloudFlare在 1月9日的官方博客上对NTP反射放大攻击也进行了分析。NTP反射放大攻击和DNS反射放大攻击有异曲同工之妙,都是基于不需要维护状态的UDP协议。对抗D稍有研究的人都会知道,虽然UDP Flood很简单,但是不是太好防——包括Cookie和CAPTCHA在内的所有客户端验证手段均将失效。CloudFlare提到用MAC终端发出的MON_GETLIST 请求包为234字节,返回包是4460字节(分拆成10个数据包),放大了19倍。

  有朋友会说,19倍毛毛雨啦。事实上,CloudFlare测试的NTP服务器并非一台业务繁忙的服务器,4460字节返回的仅是55台主机的IP地址。在上文提到,一台业务繁忙的服务器会返回600台服务器IP。如果真的返回了600个IP,那么返回的数据包将是4460字节的10余倍。经放大后,将超过200倍!

  OMG,200倍!这个数字你应该非常满意了。

  整个事件中唯一让人稍稍感到有点正能量的是“DERP“的诚信。据称,“Derp“严格兑现自己的承诺:你打不过,我就打DDoS!真诚地“奉献”了针对游戏服务器的若干次DDoS攻击。为啥说“奉献”?因为,“DERP”完全友情赞助,分文不取。

  到这儿,我只想说一句:DERP,你丫真2。

 

发表评论

邮箱地址不会被公开。 必填项已用*标注