早在 2015 年 9 月，使用 Linux 惡意軟件就發(fā)生了超過 150 Gbps 的大規(guī)模 XOR.DDoS 攻擊。XOR.DDoS 是惡意軟件的名稱，而不是攻擊名稱，用于影響 Linux 系統(tǒng)。它于 2014 年 9 月被發(fā)現(xiàn)，各種網(wǎng)絡(luò)安全服務(wù)公司和博客（包括安全情報響應(yīng)團隊 (SIRT)）發(fā)布了對這種 Linux 木馬惡意軟件的分析。

很久以前的分布式拒絕服務(wù)攻擊今天仍然有用嗎？在許多方面，在本指南中，我們將提供對 XOR.DDoS 的分析以及如何應(yīng)對它。

什么是 XOR.DDOS 惡意軟件？

傳統(tǒng)的攻擊是利用Linux機器的現(xiàn)有漏洞來惡意利用操作系統(tǒng)。然而，XOR.DDoS 使 Windows PC 成為僵尸 PC，并通過命令與控制 (C&C) 服務(wù)器發(fā)起攻擊。

XOR.DDoS 攻擊用于通過生成大量數(shù)據(jù)（包括 SYN 和 DNS 中的無意義字符串）來擊敗網(wǎng)絡(luò)。

這對網(wǎng)絡(luò)來說是一個非常嚴重的威脅，因為數(shù)據(jù)量超過了大多數(shù)一般公司的網(wǎng)絡(luò)處理能力和帶寬。

除了這些主要目標之外，UDP 還被用于阻止上層的大量流量。但是XOR.DDoS攻擊使用的是小網(wǎng)線無法攔截的TCP

什么是蠻力攻擊？

蠻力攻擊會嘗試許多隨機密碼，直到獲得正確的密碼。暴力攻擊有多種類型，包括通過嘗試單詞組合來確定解密密鑰或密碼的 字典攻擊 、輸入所有密鑰的隨機攻擊以及使用預(yù)定義哈希表的彩虹攻擊。

XOR.DDOS 攻擊的起源

77.1%的XOR.DDoS攻擊發(fā)生在中國和美國，主要發(fā)生在使用云服務(wù)的Linux服務(wù)器上。許多大型云服務(wù)提供商也是 XOR.DDoS 惡意軟件的受害者，教育機構(gòu)和游戲行業(yè)也是如此。此外，由于在大多數(shù)情況下都使用 SSH 服務(wù)（22/TCP），因此假設(shè)沒有適當管理和 云安全的云系統(tǒng) 已被黑客入侵。

針對 XOR.DDoS 攻擊的對策

XOR.DDoS 攻擊以 SYN 泛洪 + 包括數(shù)據(jù)的形式進行。SYN 只是一個執(zhí)行 3 次握手的過程，不需要在 SYN 數(shù)據(jù)包中包含數(shù)據(jù)。

如果檢測到帶有數(shù)據(jù)的 SYN 數(shù)據(jù)包，則可以通過阻止所有 SYN 數(shù)據(jù)包來擊敗 XOR.DDoS 攻擊。此外，使用 SYN cookie 來抵御 SYN 泛洪 + SYN 欺騙攻擊是很好的，這兩種攻擊都發(fā)生在 2015 年，因為 SYN cookie 對欺騙有效且有用。

SYN cookie 通過在序列號中包含 cookie 值并將 cookie 值與末尾的 SEQ – 1 = cookie 值進行比較，有效地阻止了 SYN 欺騙。

SYN cookie 不需要一定的時間來等待響應(yīng)；如果這兩個值不相同，則丟棄該數(shù)據(jù)包。因此，SYN cookie 是一種非常有效的阻止欺騙攻擊的方法。

或者，F(xiàn)irst SYN DROP 可以是第二個對策。該技術(shù)通過將第一個 SYN 數(shù)據(jù)包信息保存在內(nèi)存中并丟棄數(shù)據(jù)包來工作。如果會話請求正常，同一個IP地址會再次發(fā)送SYN請求。如果請求是為了攻擊，將收到來自另一個 IP 的另一個 SYN 請求。

結(jié)論 – 獲得 DDoS 緩解服務(wù)

大規(guī)模的網(wǎng)絡(luò)線路是抵御XOR.DDoS等大規(guī)模TCP攻擊的必要條件。內(nèi)容分發(fā)網(wǎng)絡(luò)行業(yè)可以提供服務(wù)來 抵御 DDoS 攻擊。由于服務(wù)是基于云的，可用的流量處理能力非常大，成本大大低于每個公司實施服務(wù)的成本。借助這些服務(wù)，大多數(shù)公司將從可承受的成本和時間中受益匪淺，而不會出現(xiàn)任何伴隨問題。