情趣用品 外匯、二元經紀商與DDoS攻擊 –

情趣用品 外匯、二元經紀商與DDoS攻擊 –

數匯微信公眾號:figurefinance

剛剛過去的2015年,值得外匯觀察者關注的除了“瑞郎事件”“美聯儲加息”等,情趣用品,還有一個可能會被不小心遺漏的“黑色十月”黑客攻擊外匯經紀商事件。

10月1日,福匯被黑客攻擊,部分客戶資金在未授權且完全不知情的情況下,發生自動劃撥的情況,同一天OANDA的客戶無法登陸賬戶,同時無法進行任何操作,10月18日外匯解決方案提供商oneZero Financial Systems的部分托管客戶的網絡出現中斷,其中就包括IC Markets,黑客向服務器和網絡輸入大量信息,企圖減慢其運行速度,試圖造成服務器和網絡癱瘓,10月26日英國MT4經紀商ActivTrades向客戶發出郵件,稱公司受到網絡黑客的攻擊,部分客戶信息——包括姓名、郵箱、交易賬號等——被盜取,10月27日澳大利亞外匯經紀商AxiTrader遭遇網絡服務中斷,客戶無法登陸賬戶,就連AxiTrader的終端也出現故障,客戶無法通過網絡聯係到公司,10月28日-29日三家澳洲經紀商外匯經紀商DMM FX、AxiTrader、Pepperstone接連發生“意外事故”,客戶無法登陸MT4交易平台以及客戶端。這些被黑客攻擊的經紀商都無一例外的導向一個攻擊方式:DDoS。

所謂DDoS(Distributed Denial of Service)即分佈式拒絕服務攻擊,指借助於客戶/服務器技術,將多個計算機聯合起來作為攻擊平台,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上,在一個設定的時間主控程序將與大量代理程序通訊,代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術,主控程序能在幾秒鍾內激活成百上千次代理程序的運行。

打個比方,一群惡霸試圖讓對面那家有著競爭關係的商舖無法正常營業,他們會採取什麼手段呢?(只為舉例,切勿模仿)惡霸們扮作普通客戶一直擁擠在對手的商舖,賴著不走,真正的購物者卻無法進入;或者總是和營業員有一搭沒一搭的東扯西扯,讓工作人員不能正常服務客戶;也可以為商舖的經營者提供虛假信息,商舖的上上下下忙成一團之後卻發現都是一場空,最終跑了真正的大客戶,損失慘重。此外惡霸們完成這些壞事有時憑單乾難以完成,需要叫上很多人一起。嗯,網絡安全領域中DoS和DDoS攻擊就遵循著這些思路。

| DDoS攻擊原理

拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問。這些資源包括磁盤空間、內存、進程甚至網絡帶寬,從而阻止正常用戶的訪問,情趣用品。其實對網絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬於拒絕服務攻擊。拒絕服務攻擊問題也一直得不到合理的解決,究其原因是因為這是由於網絡協議本身的安全缺埳造成的,從而拒絕服務攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊,實際上讓服務器實現兩種效果:一是迫使服務器的緩沖區滿,不接收新的請求;二是使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。

|DdoS的攻擊方式

最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源,從而使合法用戶無法得到服務的響應。單一的DoS攻擊一般是採用一對一方式的,當攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項指標不高的性能,它的效果是明顯的。隨著計算機與網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網絡,這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少。這時候分佈式的拒絕服務攻擊手段(DDoS)就應運而生了。DDoS就是利用更多的傀儡機(肉雞)來發起進攻,以比從前更大的規模來進攻受害者。DDOS攻擊分為基於ARP的攻擊、基於ICMP的攻擊、基於IP的攻擊、基於UDP的攻擊、基於TCP的攻擊和基於應用層的攻擊。

|DDoS攻擊流程

第一階段:搜集情報

被攻擊目標主機數目、地址情況 目標主機的配置、性能 目標的寬帶。

對於DDoS攻擊者來說,攻擊互聯網上的某個站點,有一個重點就是確定到底有多少台主機在支持這個站點,一個大的網站可能有很多台主機利用負載均衡技術提供同一個網站的www服務。

如果要進行DDoS攻擊的話,應該攻擊哪一個地址呢,情趣用品?使這台機器癱瘓,但其他的主機還是能向外提供www服務,情趣用品,所以想讓別人訪問不到網站的話,要所有這些IP地址的機器都癱掉才行。在實際的應用中,一個IP地址往往還代表著數台機器:網站維護者使用了四層或七層交換機來做負載均衡,把對一個IP地址的訪問以特定的算法分配到下屬的每個主機上去。這時對於DDoS攻擊者來說情況就更復雜了,他面對的任務可能是讓幾十台主機的服務都不正常。

所以說事先搜集情報對DDoS攻擊者來說是非常重要的,這關係到使用多少台傀儡機才能達到效果的問題。簡單地考慮一下,在相同的條件下,攻擊同一站點的2台主機需要2台傀儡機的話,攻擊5台主機可能就需要5台以上的傀儡機。有人說做攻擊的傀儡機越多越好,不管你有多少台主機我都用儘量多的傀儡機來攻就是了,反正傀儡機超過了時候效果更好。

但在實際過程中,情趣用品,有很多黑客並不進行情報的搜集而直接進行DDoS的攻擊,這時候攻擊的盲目性就很大了,效果如何也要靠運氣。其實做黑客也象網管員一樣,是不能偷嬾的。一件事做得好與壞,態度最重要,水平還在其次。

第二階段:佔領

黑客最感興趣的是有下列情況的主機:網絡狀態好的主機 性能好的主機 安全管理水平差的主機

這一部分實際上是使用了另一大類的攻擊手段:利用形攻擊,情趣用品。這是和DDoS並列的攻擊方式。簡單地說,就是佔領和控制被攻擊的主機。取得最高的管理權限,或者至少得到一個有權限完成DDoS攻擊任務的帳號。對於一個DDoS攻擊者來說,準備好一定數量的傀儡機是一個必要的條件,下面說一下他是如何攻擊並佔領它們。

首先,黑客做的工作一般是掃描,隨機地或者是有針對性地利用掃描器去發現互聯網上那些有漏洞的機器,像程序的溢出漏洞、cgi、Unicode、ftp、數據庫漏洞…(簡直舉不勝舉啊),都是黑客希望看到的掃描結果。隨後就是嘗試入侵了,具體的手段就不在這裏多說了,感興趣的話網上有很多關於這些內容的文章。

總之黑客佔領了一台傀儡機了!然後他做什麼呢?除了上面說過留後門擦腳印這些基本工作之外,他會把DDoS攻擊用的程序上載過去,一般是利用ftp,酒店經紀。在攻擊機上,會有一個DDoS的發包程序,黑客就是利用它來向受害目標發送惡意攻擊包的。

第三階段:實際攻擊

經過前2個階段的精心準備之後,黑客就開始瞄準目標準備發射了。前面的準備做得好的話,實際攻擊過程反而是比較簡單的。就象圖示裏的那樣,黑客登錄到做為控制台的傀儡機,向所有的攻擊機發出命令:"預備~ ,瞄準~,高雄酒店經紀,開火!"。這時候埋伏在攻擊機中的DDoS攻擊程序就會響應控制台的命令,一起向受害主機以高速度發送大量的數據包,導緻它死機或是無法響應正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊,他們不會"憐香惜玉"。

老道的攻擊者一邊攻擊,還會用各種手段來監視攻擊的效果,在需要的時候進行一些調整。簡單些就是開個窗口不斷地ping目標主機,在能接到回應的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。

| 外匯二元經紀商如何防止被DDOS攻擊?

1.採用高性能的網絡設備引

首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火牆等設備的時候要儘量選用知名度高、 口碑好的產品。 再就是假如和網絡提供商有特殊關係或協議的話就更好了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS 攻擊是非常有效的。

2.儘量避免 NAT 的使用

無論是路由器還是硬件防護牆設備要儘量避免採用網絡地址轉換 NAT 的使用, 因為採用此技術會較大降低網絡通信能力,其實原因很簡單,因為 NA T 需要對地址來回轉換,轉換過程中需要對網絡包的校驗和進行計算,因此浪費了很多 CPU 的時間,但有些時候必須使用 NAT,那就沒有好辦法了。

3.充足的網絡帶寬保證

網絡帶寬直接決定了能抗受攻擊的能力, 假若僅僅有 10M 帶寬的話, 無論採取什麼措施都很難對抗當今的 SYNFlood 攻擊, 至少要選擇 100M 的共享帶寬,最好的當然是掛在1000M 的主乾上了。但需要注意的是,主機上的網卡是 1000M 的並不意味著它的網絡帶寬就是千兆的, 若把它接在 100M 的交換機上, 它的實際帶寬不會超過 100M, 再就是接在 100M的帶寬上也不等於就有了百兆的帶寬, 因為網絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。

4.升級主機服務器硬件

在有網絡帶寬保證的前提下,請儘量提升硬件配置,要有效對抗每秒 10 萬個 SYN 攻擊包,服務器的配置至少應該為:P4 2.4G/DDR512M/SCSI-HD,情趣用品,起關鍵作用的主要是 CPU 和內存, 若有志強雙 CPU 的話就用它吧, 內存一定要選擇 DDR 的高速內存, 硬盤要儘量選擇SCSI 的,別只貪 IDE 價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用 3COM 或 Intel 等名牌的,若是 Realtek 的還是用在自己的 PC 上吧。

5.把網站做成靜態頁面

大量事實證明,把網站儘可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到為止關於 HTML 的溢出還沒出現,新浪、搜狐、等門戶網站主要都是靜態頁面, 若你非需要動態腳本調用, 那就把它弄到另外一台單獨主機去,免的遭受攻擊時連累主服務器, 當然, 適當放一些不做數據庫調用腳本還是可以的, 此外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問, 因為經驗表明使用代理訪問你網站的80%屬於惡意行為,台中情趣用品

數匯金融 | 用數字解讀金融 | 領先的金融B2B資訊、社交平台

敬請關注2016年5月5-6號將在新竹虹橋元一希爾頓酒店舉辦的第三屆金融B2B博覽會

FINANCEXPO | 儘顯金融 科技之美 | 金融B2B領域最大的資源對接和知識分享平台

Comments are closed.