近 3 年来,国内都有哪些比较严重的黑客入侵事件?
0、github 遭受来自我国加农大炮发出的DDOS攻击(百度担当了本次黑锅侠)
2015年3月份,攻击者劫持百度广告联盟的JS脚本并将其替换成恶意代码,最后利用访问中国网站的海外用户对GitHub发动大规模分布式拒绝服务攻击。
1、大陆境内所有通用顶级域遭DNS劫持(被Big Brother恶意Hack)
2014年1月21日,大陆境内所有通用顶级域(.com/.net/.org等)遭DNS劫持,所有域名均被指向一个位于美国的IP地址(65.49.2.178)。根据网络上资料显示,该IP地址属于美国Sophidea公司所有,而Sophidea公司的大客户之一就是著名的加密代理软件XX门的母公司。
2、Lizard Squad劫持联想域名,并泄露部分公司邮件
2014年2月25日,联想域名遭劫持,业内人士预测可能与联想近期收到的大量公开指责有关,该公司的电脑被捆绑了称为快鱼(Superfish)的加密广告程序,引起大量用户不满。在公众的压力下,联想最终决定删除软件,向受影响的用户道歉。
3、携程信息“安全门”事件敲响网络消费安全警钟
2014年3月22日,携程网被指出安全支付日志存在漏洞,导致大量用户银行卡信息泄露,电商如何对用户信息进行保护引发人们思考。
携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)
4、温州地区有线电视大面积被黑,播放敏感反动内容
2014年8月1日,浙江省公安厅官方微博通报,温州有线电视网络系统市区部分用户的机顶盒遭黑客攻击,出现一些反动宣传内容,影响了群众正常收看电视,造成了不良影响。
5、江苏公安厅:海康威视监控设备有隐患 部分设备已经被境外IP地址控制
2015年2月28日,江苏省公安厅下达《关于立即对全省海康威视视频监控设备进行全面清查和安全加固通知》
6、Apache Struts2连续爆多个高危漏洞,影响国内数百万信息系统安全
2013 年 7 月的 Struts2 漏洞实际带来多大影响? - Java
7、[心脏流血]OpenSSL “Heartbleed”漏洞
OpenSSL 的 Heartbleed 漏洞的影响到底有多大? - 信息安全
8、[破壳]Shellshock漏洞
Shellshock的破坏性有多大?有哪些潜在的攻击方式? - 互联网
9、[贵宾犬]Google发现SSL 3.0漏洞,让黑客有可乘之机
2014年10月17日,一个存在于 SSL 3.0 协议中的新漏洞于今日被披露。该漏洞被命名为“贵宾犬”(降级传统加密填充提示),通过此漏洞,第三方可以拦截通过采用 SSL 3.0 的服务器传输的重要信息。
10、阿里巴巴宣称遭受互联网有史以来最大的DDOS攻击
阿里云的安全产品是如何抵御互联网史上最大一次 DDoS 攻击的? - 网络安全
11、网易全线线上服务遭受大规模DDOS攻击
2015 年 5 月 11 日,网易骨干网宕机是怎么回事? - 计算机
13、chinanews被黑涂改首页
怎么看中新网网页被黑一事? - 新闻
你不太清楚的用户数据泄露事件
仅公安部一年查获被盗取各类公民个人信息就有近50亿条,而这可能只是泄露信息一小部分,2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,小米828万,Adobe:1.5亿,Cupid Media:4200万,QQ数据库:大于6亿,福布斯:100万,索尼:1.016亿,机锋网:2000多万,接近10亿多条。
1、快递公司官网遭入侵 泄露1400万用户快递数据
2014年8月12日,警方破获了一起信息泄露案件,犯罪嫌疑人通过快递公司官网漏洞,登录网站后台,然后再通过上传(后门)工具就能获取该网站数据库的访问权限,获取了1400万条用户信息,除了有快递编码外,还详细记录着收货和发货双方的姓名、电话号码、住址等个人隐私信息。
2、机锋网2700万用户数据泄露
2015年1月5日上午,知名微博账号“互联网的那点事”发布消息称,机锋论坛2300万用户数据泄露,包含用户名、邮箱、加密密码在内的用户信息在网上疯传,提醒用户抓紧修改密码。
3、小米800万用户数据泄露
小米论坛被脱裤(数据与官方符合)可能影响小米移动云等敏感信息
4、130万考研用户信息被泄露
国内考研疑似130W报名信息泄漏事件(疑似泄漏到今年11月份,正在被黑产利用)
5、智联招聘86万条求职简历数据遭泄露
看我如何拿下智联招聘八十六万用户简历(包含姓名,地址,身份证,户口等等各种信息)
6、12306网站超13万用户数据遭泄露
大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等(泄漏途径目前未知)
7、汉庭2000万开房记录遭泄露
由于安全漏洞问题,导致2000万条在2010年下半年至2013年上半年入住酒店的2000多万客户信息泄露。
2015 ddos有哪些重大的攻击事件
重大事件这块,网络上公布数据并不多,公布的就是BBC,和阿里多一些
那些年,DDoS的那些反击渗透的事情。
DDoS攻击与对策
DDo(Distributed Denial of Service),即分布式拒绝服务攻击,是指黑客通过控制由多个肉鸡或服务器组成的僵尸网络,向目标发送大量看似合法的请求,从而占用大量网络资源使网络瘫痪,阻止用户对网络资源的正常访问。
从各安全厂商的DDoS分析报告不难看出,DDoS攻击的规模及趋势正在成倍增长。由于攻击的成本不断降低,技术门槛要求越来越低,攻击工具的肆意传播,互联网上随处可见成群的肉鸡,使发动一起DDoS攻击变得轻而易举。
DDoS攻击技术包括:常见的流量直接攻击(如SYN/ACK/ICMP/UDP FLOOD),利用特定应用或协议进行反射型的流量攻击(如,NTP/DNS/SSDP反射攻击,2018年2月28日GitHub所遭受的Memcached反射攻击),基于应用的CC、慢速HTTP等。关于这些攻击技术的原理及利用工具网上有大量的资源,不再赘述。
1.1 DDoS防御常规套路
防御DDoS的常规套路包括:本地设备清洗,运营商清洗,云清洗。
1.本地设备清洗
抗DDoS设备(业内习惯称ADS设备)一般以盒子的形式部署在网络出口处,可串联也可旁路部署。旁路部署需要在发生攻击时进行流量牵引,其基本部署方案如图18-1所示。
图18-1 ADS 设备部署方式
图18-1中的检测设备对镜像过来的流量进行分析,检测到DDoS攻击后通知清洗设备,清洗设备通过BGP或OSPF协议将发往被攻击目标主机的流量牵引到清洗设备,然后将清洗后的干净流量通过策略路由或者MPLS LSP等方式回注到网络中;当检测设备检测到DDoS攻击停止后,会通知清洗设备停止流量牵引。
将ADS设备部署在本地,企业用户可依靠设备内置的一些防御算法和模型有效抵挡一些小规模的常见流量攻击,同时结合盒子提供的可定制化策略和服务,方便有一定经验的企业用户对攻击报文进行分析,定制针对性的防御策略。目前国内市场上,主要以绿盟的黑洞为代表,具体可以访问其官网进一步了解。
本地清洗最大的问题是当DDoS攻击流量超出企业出口带宽时,即使ADS设备处理性能够,也无法解决这个问题。一般金融证券等企业用户的出口带宽可能在几百兆到几G,如果遇到十G以上甚至上百G的流量,就真的麻烦了,更别谈T级别的DDoS攻击了。
2.运营商清洗
当本地设备清洗解决不了流量超过出口带宽的问题时,往往需要借助运营商的能力了,紧急扩容或者开启清洗服务是一般做法,前提是要采购相应的清洗服务,而且一般需要通过电话或邮件确认,有的可能还要求传真。
运营商的清洗服务基本是根据netflow抽样检测网络是否存在DDoS攻击,而且策略的颗粒度较粗,因此针对低流量特征的DDoS攻击类型检测效果往往不够理想。再加上一些流程上的操作如电话、邮件、传真等,真正攻击到来时处理可能会更慢,需要重点关注。
值得一提的是中国电信的云堤服务,提供了“流量压制”和“近源清洗”服务,而且还提供了自助平台供用户操作,查看流量、开启清洗也非常方便。
3.云清洗
内容分发网络(Content Delivery Network,CDN)是指,通过在网络各处放置节点服务器,让用户能够在离自己最近的地方访问服务,以此来提高访问速度和服务质量。CDN主要利用了四大关键技术:内容路由,内容分发,内存存储,内容管理。更详细的技术原理可以参考中国电信研究院出版的《CDN技术详解》。
CDN技术的初衷是为了提高互联网用户对静态网站的访问速度,但是由于分布式、就近访问的特点,能对攻击流量进行稀释,因此,一些传统CDN厂商除了提供云加速功能外,也开始推出云清洗的服务,当然还有一些安全公司基于其自身优势进入云清洗市场。基本原理都一样,需要先在云端配置好相应的记录,当企业遭受大规模攻击时,通过修改其DNS记录将要保护的域名CNAME到云端事先配好的记录上,等待DNS生效即可。
使用云清洗需要注意以下几个问题:
1. -·云清洗厂商需要提前配置好相应记录。 ·DNS修改记录后,需要等待TTL超时才生效。
2. ·直接针对源IP的攻击,无法使用云清洗防护,还要依靠本地和运营商清冼。
3. ·针对HTTPS网站的防御,还涉及HTTPS证书,由此带来的数据安全风险需要考虑,市面上也有相应的Keyless方案{n1}。
由于国内环境不支持Anycast技术,所以不再赘述,如果有海外分支机构的网站需要防护,可以关注。
{nt1|其细节可以参考cloudflare公司博客上的文章,链接:[]()。
一些经验
结合笔者的一些经验,对DDoS防护落地做一些补充,仅供参考。
1.自动化平台
金融企业由于高可用要求,往往会有多个数据中心,一个数据中心还会接入多家运营商线路,通过广域网负载均衡系统对用户的访问进行调度,使之访问到最近最优的资源。当任何一条接入线路存在DDoS攻击时,能通过广域网负载均衡系统将该线路上的访问需求转移至其他互联网线路。在针对IP地址开展的DDoS攻击中,此方案能够有效保障正常客户的访问不受影响,为了实现快速切换,需要通过自动化运维平台来实现,如图18-2所示。
图18-2
线路调整一键应急配合必要的应知应会学习和应急演练,使团队成员都能快速掌握方法,在事件发生第一时间进行切换,将影响降到最小。接下来才是通知运营商进行清洗处理,等待流量恢复正常后再进行回切。
当某一个业务的IP受到攻击时,可以针对性地处置,比如一键停用,让正常用户访问其他IP;也可以一键开启清洗服务。
2.设备抗D能力
除了ADS设备外,还有一些设备也需要关注抗DDoS能力,包括防火墙、负载均衡设备等。
出于安全可控需求,金融企业往往会采用异构模式部署防火墙,比如最外层用产品A,里面可能会用产品B。假如产品A的抗DDoS能力差,在发生攻击时,可能还没等到ADS设备清洗,产品A已经出问题了,比如发生了HA切换或者无法再处理新的连接等。
在产品选型测试时,需要关注这方面的能力,结合笔者所在团队经验,有以下几点供参考:
1. ·某些产品在开启日志记录模块后会存在极严重的性能消耗,在可能存在攻击的环境内建议关闭。
2. ·尽管理论和实际会有偏差,但根据实际测试情况,还是建议当存在大量TCP、UDP新建连接时,防火墙的最大连接数越大越好
3. 多测试多对比,从对比中可以发现更优的方案,通过适当的调整优化引入更优方案。
4. ·监控防火墙CPU和连接数,当超过一定值时开始着手优化规则,将访问量多的规则前移、减少规则数目等都是手段。
负载均衡设备也需要关注以上问题,此外,负载均衡由于承接了应用访问请求分发调度,可以一定程度上针对性地防护基于IP速率、基于URL速率的DDoS攻击以及慢速攻击等。图18-3所示为F5的ASM的DDoS防护策略。
图18-3
负载均衡设备ASM防DDoS功能
请求经过防火墙和负载均衡,最后到了目标机器上处理的时候,也需要关注。系统的性能调优设置、Nginx的性能参数调整以及限制连接模块配置等,都是在实际工作中会涉及的。
3.应急演练
部署好产品,开发好自动化运维平台,还要配合必要的应知应会、应急演练才行。因为金融行业的特殊性,DDoS攻击发生的次数相比互联网行业还是少很多的,有的企业可能几年也碰不到一次。时间久了技能就生疏了,真正需要用到时,可能连登录设备的账号口令都忘了,又或者需要现场接线的连设备都找不到,那就太糟糕了。
此外,采购的外围的监控服务、运营商和云清洗产品的服务能力也需要通过演练来检验有效性。签订合同时承诺的秒级发现、分钟级响应是否经得起考验,要先在心里打上一个问号。建议在不事先通知的情况下进行演练,观察这中间的问题并做好记录,待演练完成后一并提交给服务商要求整改。这样的演练每年要不定期组织几次。
黑客借助DDoS攻击窃取20亿卢布
11月初,俄罗斯十大银行中有五家遭到DDoS攻击。俄储蓄银行行长戈尔曼·格列夫表示,此次攻击的力度远远超出以往的攻击。12月2日,俄罗斯央行官员称,该行代理账户遭黑客袭击,被盗取了20亿俄罗斯卢布资金。随后,俄罗斯央行官员Artyom Sychyov证实了这一消息,并表示,“黑客曾尝试盗取50亿俄罗斯卢布左右的账户资金”。
那么,DDoS攻击到底是什么,黑客又是怎样借助DDoS攻击从戒备森严的俄罗斯银行盗取20亿卢布的呢?
分布式拒绝服务(DDoS)攻击是网络攻击手段中的一种, 是利用大量合法的请求占用大量网络资源,以达到瘫痪网络的做法——黑客通过大量被控制的计算机同时攻击目标,耗尽服务器的CPU、网络带宽、内存和数据库服务等,以实现影响用户正常使用的目的。DDoS攻击不仅可以域名系统服务器等具体目标,还能利用巨大的流量攻击目标所在的互联网的基础设施使其过载,影响网络的性能和所承载的服务。
由于Windows和Linux 本身就存在一些安全漏洞,黑客可以通过入侵高访问量的网站,并在网页中注入木马病毒,利用系统漏洞感染浏览网站的计算机。一旦有计算机访问并感染木马,就会被木马传播者控制,成为DDoS攻击者的僵尸主机,随后会在僵尸主机上面安装拒绝服务攻击软件。为了隐蔽自己,攻击者会遥控安装了控制软件的僵尸机发动拒绝服务攻击,使被攻击目标由于忙于处理大量的攻击数据包而无法提供正常服务。这种攻击既可以阻断某一用户访问服务器,或阻断某服务与特定系统或个人的通讯,也可以通过向服务器提交大量请求,使服务器超负荷,并利用网络过载来干扰甚至阻断正常的网络通讯,无法响应正常的服务请求,严重的可能导致整个网络瘫痪。
由于经济利益的驱动和操作系统存在大量漏洞使攻击者可以控制大量僵尸主机,构筑庞大的僵尸网络,以及大量攻击工具的诞生降低了DDoS攻击的技术门槛,同时僵尸主机的计算性能和接入带宽随着微电子技术和信息技术的进步突飞猛涨,使DDoS攻击已经初步形成产业链,网络上就有人专门从事收集“僵尸主机”的非法活动,然后以低廉的价格出售给攻击发起者,或者直接遥控这些“僵尸主机”进行攻击。(DDoS攻击体系)
根据DDoS攻击的方式来看,Land 攻击、SYNflood 攻击、Teardrop 攻击等主要针对操作系统、TCP/IP网络协议、应用程序等的缺陷,构造某种特殊的数据包,使系统停止对正常用户的访问请求或使操作系统、应用程序崩溃。而Smurf攻击、UDP 淹没攻击采用比被攻击网络更大的带宽,生成大量发向被攻击网络的数据包,从而耗尽被攻击网络的有效带宽,使被攻击网络发生拥塞。下面具体介绍几种常见的DDoS攻击方式:
由于TCP协议要经过三次握手才能建立连接,于是就有攻击者针对握手过程的SYN flood攻击——在攻击者发出包含SYN(TCP/IP建立连接时使用的握手信号)标志的数据包后,服务器会发送SYN-ACK表示接受到了消息,攻击者不回应确认字符(ACK),在此情形下,服务器会重复发送SYN-ACK,进而占用服务器资源。
在实现方式上,攻击者可以利用本地IP发送大量的普通SYN进行攻击,在收到被攻击主机的SYN-ACK后不予回应,这样被攻击主机就在缓存中建立了大量连接队列,造成了系统资源的消耗而无法向正常请求提供服务。也可以在在SYN 中通过欺骗来源IP 地址,这让服务器送SYN-ACK到假造的IP 地址,因此,真实的IP 地址永远不可能收到ACK。此外,攻击者还可以先伪造一个SYN发送到服务器,然后再伪造一个ACK发到服务器,传送最后的ACK 信息,大量的伪造SYN+ACK也会造成服务器瘫痪。
Land攻击与SYN floods攻击有些类似,区别在于Land攻击包中的源地址。在Land攻击中,攻击者向被攻击主机发送一个经过特殊构造的TCP 数据报,该数据报带有SYN 标志,同时具有相同的源IP 地址和目的IP 地址及相同的源端口号和目的端口号。换言之,IP 地址和端口号都为被攻击主机的,这样当被攻击主机收到这样的TCP 数据报后,就会在本地不断的收发SYN和ACK,从而致被攻击的机器死循环,最终耗尽资源而死机。
Teardrop 攻击是利用数据包分解实现的。由于每个数据要传送前都会经过分组切割,每个被切割的数据小组都会记录位移的信息以便重组,Teardrop攻击通过捏造位移信息,比如向被攻击目标发送两个连续的IP 数据包,由于这两个数据包是相互重叠的,导致在目的系统发生大量的数据复制,从而耗尽被攻击主机的CPU 和内存资源。
由于用户数据报协议(UDP协议)是一个面向无连接的传输层协议,所以数据传送过程中,不需要建立连接和进行认证。UDPFlood攻击就利用UDP协议不需要建立连接和进行认证的特性,向被攻击主机发送大量的UDP 数据包,这样一方面会使被攻击主机所在的网络资源被耗尽,还会使被攻击主机忙于处理UDP数据包,而使系统崩溃。
至于黑客如何利用DDoS攻击从俄罗斯银行盗走20亿卢布,业内人士认为,黑客并非直接利用DDoS攻击从银行盗走资金,而是利用DDoS攻击瘫痪银行的网络,对银行的安全防卫造成混乱,在银行恢复系统的过程中,特别是一些不太正当的恢复操纵很容易被黑客抓住机会,通过其他的方式从银行盗走20亿卢布。也就是说,DDoS攻击并不能直接盗走银行账户里的资金,但却给黑客制造了在混乱中窃取金钱的机会,至于黑客具体抓住银行哪些安全漏洞盗走资金的,只有当事人才清楚,我们这些看客也只能猜测了。
出品:科普中国
制作:龙魂
监制:中国科学院计算机网络信息中心
“科普中国”是中国科协携同社会各方利用信息化手段开展科学传播的科学权威品牌。
本文由科普中国融合创作出品,转载请注明出处。
什么是DDOS攻击?如何防御攻击?
DDoS攻击就是分布式拒绝服务攻击,指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,可使目标服务器进入瘫痪状态。
简单点说,就是你家摆摊卖咸鸭蛋呢,我找一堆二流子围着你家的咸鸭蛋摊问东问西,就是不买东西,或者买了东西,又说咸鸭蛋不好得退货。让真正想买咸鸭蛋的人买不到,让你家正常的业务没法进行。
防御:
1、尽可能对系统加载最新补丁,并采取有效的合规性配置,降低漏洞利用风险;
2、采取合适的安全域划分,配置防火墙、入侵检测和防范系统,减缓攻击。
3、采用分布式组网、负载均衡、提升系统容量等可靠性措施,增强总体服务能力。通俗的说就是,我找保安帮我维持鸭蛋摊的秩序,长得就不像是好人,举止怪异的根本不让靠近,并且在鸭蛋摊前面画条线排队,每个人只能有半分钟的买鸭蛋的时间,并且多开几个窗口卖鸭蛋。
2002年的中美大战,八万中国黑客同时用DDOS攻击会不会把自己的宽带也堵死?
社会工程学,就是国家服务器的维护和使用,以及安全问题。就是牵扯到整个社会的逻辑工程。你所说的8万黑客攻击美国,不会使个人电脑的宽带受阻,原因是:中国电信,中国网通都有自己的局域网和网关,就好比好多人在一间大厅里交流,黑客从大厅的外面攻击敌人,你说会伤害到大厅里面的东东么?
觉得合适就给点分
0条大神的评论