获取流量
DDOS攻击最需要的就是流量,而流量又分为上行流量(Outlet)和下行流量(Inlet)。上行流量关系到向外发送数据包的速度和大小,而下行流量则是和接收数据包的速度和大小有关,在DDOS攻击里面主要用到的是上行流量。那么黑客们是怎么获取到DDOS攻击的流量呢?我总结了一下,黑客获取流量的方式主要基于以下六点。
1.肉鸡集群最常见的DDOS攻击流量主要是采用肉鸡所获得。黑客利用后门程序配合各种各样的安全漏洞获得个人计算机和web服务器的控制权限,随后由C&C服务器所控制。而黑客主要是连接C&C服务器对肉鸡集群下达命令。这种流量产生的攻击也叫做肉鸡集群DDOS攻击(Bot Net DDOS Attack)。肉鸡集群虽然有资源丰富和流量大这么两个优点,但是个人需要承担相关法律责任,并且技术要求很高。
常见肉鸡控制图
2.租用VPSVPS的好处是价格便宜,流量稳定,也不用担心法律问题,但是使用VPS的流量有个缺陷,就是大部分服务器厂商都禁止客户采用VPS服务器用作于DDOS攻击。因为一旦一个VPS长时间占用过多的流量,那么可能会影响到其它VPS的网络速度。如果客户违反其相关规定,VPS可能会被禁止使用,并且无法退款。
VPS价格和流量大小
3.租用专属服务器(Dedicated Server)大部分服务器厂商都不会去管你采用专属服务器做什么。专属服务器有自己的宽带和独立IP,所以不管你怎么操作都不会影响到机房其它服务器的网络。虽然专属服务器流量大也稳定,但是它有个缺点就是价格十分昂贵。
Godaddy上专属服务器的价格
4.黑市购买流量有些黑客因为不懂DDOS脚本的代码,也不知道怎么搭建,于是会去网上购买别人搭建好的API或者购买压力测试厂商的服务。在全球比较大的暗网平台一般都会出售DDOS服务,DDOS API接口,僵尸网络等。但是暗网上买鱼龙混杂,除了小心骗子以外,这些流量都十分的昂贵,并且有很多的不确定因素,比如流量太小,支持的攻击方式太少等。
暗网上出售的僵尸网络
暗网上的DDOS API搭建服务
5.通过论坛等社交平台上购买也有些黑客会在一些英文黑客论坛上出售DDOS资源或者在YouTube上打广告。YouTube上的广告直接用搜索引擎搜索就行,但是论坛里的DDOS API购买还是得去hackforums或者leakforums之类的黑客论坛上发帖询问。这种方式购买到的流量有些是他们自己用VPS或者专属服务器搭建的,有些是用自己的肉鸡集群搭建的。虽然方便快捷,但是依然存在着这么两个问题,一个是价格高,第二个是骗子十分的多。
YouTube上的广告
6.向在线DDOS平台上购买API还有第三种是向在线小型DDOS平台购买。有些小型的DDOS平台也会出租他们自己的DDOS API资源。除了VPS和专属服务器外,但是不管你采用哪种方法购买,都需要注意一点,就是这些商家只接受比特币交易,同时注意别被骗了。在国外有很多的在线DDOS攻击平台,几个大型的在线DDOS平台都宣传自己采用专属主机作为DDOS流量,而且合理合法。不过这些DDOS攻击平台普遍都十分欢迎用户采用比特币付款,甚至有些在线压力平台会给予比特币付款用户一些折扣。一般情况下,普通货币兑换成比特币是需要交一些手续费的,比如Circle,火币网之类的,而且从黑客手中购买肉鸡集群也只能采取比特币付款的方式进行支付。所以不排除考虑,国外这些在线压力测试平台可能也会去购买一些灰色流量。下面给大家推荐国外几个大型的在线压力测试平台。
某在线DDOS平台上的价格
7.流量获取总结基于以上六个获取流量的方式,我做了一个表格可以更加方便的让大家进行对比每种方式的优点和缺点。
| 流量获取方式 | 在线DDOS平台购买API | VPS | 专属服务器 | 黑市购买 | 社交平台购买 | 肉鸡集群 |
|---|---|---|---|---|---|---|
| 价格 | 高 | 低 | 高 | 中等 | 中等 | 无 |
| 法律风险 | 中等 | 低 | 低 | 中等 | 中等 | 高 |
| 交易风险 | 低 | 高 | 低 | 中等 | 高 | 无 |
| 流量稳定性 | 不确定 | 稳定 | 稳定 | 不确定 | 不确定 | 低 |
| IP资源数量 | 不确定 | 低 | 低 | 不确定 | 不确定 | 高 |
| 技术要求 | 低 | 中 | 中 | 低 | 低 | 高 |
| 交易货币要求 | 比特币 | 普通货币 | 普通货币 | 比特币 | 比特币,普通货币等 | 无 |
DDOS攻击分层
目前的DDOS攻击主要分为两个大类,分别为Layer 4和Layer 7,也叫做第四层攻击和第七层攻击。这个所谓的层是由OSI(Open System Interconnection)模型进行分类的,也叫做开放式系统互联模型。这七个层分别是
应用层(application layer)
表示层(presentation layer)
会话层(session layer)
传输层(transport layer)
网络层(network layer)
数据链路层(data link layer)
物理层(physical layer)
OSI模型
每个攻击方式所需要用到的层数代表它的攻击分类。比如SNMP DDOS攻击只会用到第4个层,这种攻击就属于layer 4 DDOS攻击。而JSBYPASS DDOS攻击会用到第7个层,那么这类攻击属于layer 7 DDOS攻击。每一层攻击都有它特有的攻击对象,那么我们先看看这layer7 和layer 4 DDOS攻击的不同。
Layer 4 DDOS攻击主要是发生在传输层,而传输层的功能主要是一些网络协议,所以像TCP/ACK攻击,DNS反射型攻击之类的都是在Layer 4这一层。因为它是属于协议类型攻击,那么就会需要大量的资源(IP和流量),所以这一层攻击也常在僵尸网络DDOS攻击里面出现,而这类攻击的攻击对象主要是个人电脑,web服务器等网络设备。
Layer 7 DDOS攻击主要是发生在应用层,比如某一个错误的指令导致系统死机或者下线。像JOOMLA攻击,GET攻击之类的就属于Layer 7攻击。这里有个误区,大部分人认为Layer 7攻击只可以发生在web服务器上,其实不然,它也可以用作在个人手机,电脑上等。
Telegram DDOS漏洞
