标签: DDoS 攻击

在维基百科遭遇 DDoS 攻击后 维基媒体宣布获 250 万美元资金支持

据外媒报道,上周五,维基百科在遭遇恶意DDOS攻击后在数个国家下线。维基媒体基金会之后证实了这一事件并开始着手调查。很快,维基百科在这些国家恢复正常。不过几日后该非营利组织仍未就这起网络攻击事件是否已经得到彻底解决做出证实。 现在,维基媒体宣布克雷格·纽马克慈善基金会(Craig Newmark Philanthropies)获得了250万美元的资金支持,这在时间点上是一个相当有趣的举动。据悉,这笔来自Craigslist创始人基金会的捐款则是为了帮助维基媒体保护其项目和志愿者免受网络威胁。 维基媒体基金会安全主管John Bennett就这笔投资的必要性发表了以下言论:“维基百科拥有数亿用户的十大网站的持续成功使其成为了破坏、黑客攻击和其他网络安全威胁的目标,这些威胁损害到了自由知识运动和社区。这就是为什么我们在问题出现之前就积极地与之斗争。这笔投资将使我们能进一步扩大我们的安全计划进而识别当前和未来的威胁、制定有效的对策,并改善我们的整体安全控制。” 这项慈善投资将有助于提供对该组织服务包括维基百科的安全访问。另外,该非营利组织还指出,这笔捐款可以更好地缓解上周发生的袭击事件。   (稿源:cnBeta,封面源自网络。)

维基百科遭遇 DDoS 攻击,NCSC 提醒其他公司加强防范

在维基百科遭遇 DDoS 攻击并停运后,NCSC(英国国家网络安全中心)敦促其他组织对 DoS 攻击组织采取应对措施。 根据维基媒体德国公司(Wikimedia Deutschland),大规模 DDoS 攻击导致维基百科的大多数服务器瘫痪,美国,欧洲,英国和中东地区的用户在 9 月 6 日和 9 月 7 日期间无法进入维基百科网站。 根据非政府组织 NetBlocks,维基百科的网站大约停机了 9 个小时,其中 DDoS 攻击的目标是美国和欧洲的维基媒体基础设施。   恢复正常运行 “今天,维基百科遭遇恶意攻击,导致部分国家的用户在相当一段时间内无法访问我们的网站。”  维基百科的非营利性基金会发表推特称,“攻击仍在持续。为了使用户可以正常访问我们的网站,我们的团队正在努力阻止攻击。” “在遭遇此次攻击后,维基媒体社区和维基媒体基金会已经创建了专门的系统和员工来定期监控和解决风险。我们会从问题中吸取经验,并且提高防范能力。” 维基媒体基金会称。 NSCC强调,为了更好地应对 DoS 攻击,企业应将其运行模式设置为可扩展的,以便在大量流量涌入网站时,基础设施可以自动核算并分配更多资源来容纳这些流量。   消息来源:BleepingComputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全研究人员警告 WS-Discovery 协议被被用于大规模 DDoS 攻击

早在今年五月,外媒就已经报道过 WS-Discovery 协议被滥用于发起 DDoS 攻击。为了防止被更多别有用心者利用,研究人员只能相对克制地不披露更多细节。然而最近一个月,滥用 WS-Discovery 协议发起的大规模 DDoS 攻击已经愈演愈烈,频度几乎达到了一周一次。作为一种多播协议,该协议原本用于在本地网络上“发现”通过特定协议或接口进行通信的附近其它设备。 (题图 via ZDNet) 鉴于该协议通过 SOAP 消息传递格式来支持设备间的发现和通信,并且使用了 UDP 数据包,因此有时也被称作 SOAP-over-UDP 。 尽管普通人不太熟悉,但 WS-Discovery 已被 ONVIF 所采用。作为一个行业组织,ONVIF 致力于促进网络产品互操作性的标准化接口。 其成员包括 Axis、Sony、Bosch 等业内巨头,为 ONVIF 的标准化奠定了基础。作为即插即用互操作性的一部分,该组织从 2010 年中期开始,在标准中推荐用于设备发现的 WS-Discovery 协议。 作为标准持续化工作的一部分,WS-Discovery 协议已被用到一系列产品上,涵盖 IP 摄像头、打印机、家用电器、DVR 等各种类别。 根据互联网搜索引擎 BinaryEdge 检索结果,目前有近 63 万台基于 ONVIF WS-Discovery 发现协议的设备在线,这让它们处于极大的风险之中。 问题在于这是一个基于 UDP 的协议,意味着数据包目的地可被欺骗。攻击者能够伪造返回 IP 地址,将 UDP 数据包发送到设备的 WS-Discovery 服务端。 当设备传递回复时,就会将数据包发送到被篡改的 IP 地址,使得攻击者能够在 WS-Discovery 设备上反弹流量,将之瞄向所需的 DDoS 攻击目标。 其次,WS-Discovery 的响应,会比初始输入大许多倍。基于这项原理的 DDoS 攻击,会对受害者造成极大的伤害。研究人员称之为 DDoS 放大因子。 2019 年 5 月数据(图自:Tucker Preston) ZDNet 指出,该协议已在世界各地的 DDoS 攻击中被观察到,放大倍数高达 300~500 。相比之下,其它基于 UDP 协议的攻击,平均也只有 10 倍。 网络安全公司 ZeroBS GmbH 一直在追踪本月发生的一起事件,庆幸的是,其发现超大倍数的 WS-Discovery DDoS 攻击并非常态。 即便如此,2018 年末在 GitHub 上发布的用于启动 WS-Discovery DDoS 攻击的概念验证脚本,还是声称可实现 70~150 的放大倍数。 (图自:ZeroBS GmbH) 今年 5 月的时候,安全研究人员 Tucker Preston 首次公布了基于滥用 WS-Discovery 协议的大规模攻击事件。通过对 130 起事件的观察,可知其中一些攻击的规模超过了 350 Gbps 。 接下来几个月的攻击有所减少,但在 8 月份又再次升级。与第一波攻击不同的是,这次的攻击要小得多,很可能是不怎么了解该协议的普通攻击者所发起的。 放大系数不超过 10,最高只冲到 40 Gbps,且只有 5000 台设备(主要是 IP 摄像头和打印机)被纳入发起 WS-Discovery DDoS 攻击的僵尸网络中。   (稿源:cnBeta,封面源自网络。)

黑客因对 Daybreak Game 服务器发起 DDoS 攻击而被判入狱两年

据外媒MSPoweruser报道,曾于2013年年底和2014年年初对游戏开发商Daybreak Game Company(前索尼在线娱乐公司)发起DDoS攻击的Austin Thompson被判入狱两年,此外他需要向该公司支付至少95000美元的赔偿金。 23岁 Thompson于2018年11月对攻击事件认罪。他承认自己是黑客组织DerpTrolling的一员,并被指控造成“受保护计算机受损,触犯了美国联邦法律18USC§1030(a)(5)(A)”。 官方新闻发布称Thompson“通常使用Twitter帐户@DerpTrolling宣布即将发起攻击,然后发布”scalps“(截图或其他照片显示受害者的服务器已经被攻击)”。 虽然汤普森目前保释在外,但他已被命令于8月23日向当局投降,以便开始服刑。该最新最高可判处十年监禁和25万美元的罚款。 Polygon报告称,美国和芬兰的检察官也成功地确认了Lizard Squad的两名成员的定罪,Lizard Squad也在2014年对Daybreak Game Company进行了DDoS攻击。   (稿源:cnBeta,封面源自网络。)

津巴布韦切断互联网访问后 “匿名者”对其政府网站发起 DDoS 攻击

据外媒 TheNextWeb 报道,从 2019 年 1 月 14 日(周一)开始的几天里,津巴布韦人一直无法上网。当地政府为了阻止示威者继续举行有关油价飙升和上涨生活成本的抗议活动,命令该国所有 4 个通信运营商完全切断互联网。 随后“匿名者”宣布对津巴布韦政府网站发起 DDoS 攻击。一位匿名成员在一个论坛上发布消息称: “问候津巴布韦,我们是匿名者。我们以前见过无辜的人在津巴布韦遇害。我们看到了压迫和暴政。我们看到人们为争取自由而受到压迫。我们不能容忍这一点。正如我们对苏丹政府所做的那样,我们成功地使津巴布韦政府网站宕机超过 72 个小时。 这只是一个开始。您的银行系统也将很快下线。津巴布韦政府,你们已成为匿名者的敌人!你的系统处于危险之中!面对压迫,反抗成为我们的责任。我们将为在津巴布韦和苏丹争取自由的兄弟们带来勇气。“ 黑客主义作为一种抗议形式 宣布#OpZimbabwe的消息中包含已被各种匿名者成员发起 DDoS 攻击的网站列表。首先遭到攻击的是津巴布韦储备银行的网站。 已经遭遇 DDoS 攻击的津巴布韦政府网站包括: www.agritex.gov.zw www.archives.gov.zw www.auditgen.gov.zw www.auditorgeneral.gov.zw www.dcip.gov.zw www.dlvs.gov.zw www.drss.gov.zw www.energy.gov.zw www.gisp.gov.zw www.gov.zw www.gta.gov.zw www.housingministry.gov.zw www.ictministry.gov.zw www.justice.gov.zw www.lands.gov.zw www.mepip.gov.zw www.met.gov.zw www.mhet.gov.zw www.mhtestd.gov.zw www.mic.gov.zw www.miit.gov.zw www.mines.gov.zw www.mlass.gov.zw www.mlgurd.gov.zw www.mlgvturd.gov.zw www.moa.gov.zw www.mocpa.gov.zw www.testdomain7.gov.zw www.theopc.gov.zw www.tourism.gov.zw www.transcom.gov.zw www.vpmujuruOffice.gov.zw www.water.gov.zw www.women.gov.zw www.zec.gov.zw www.zim.gov.zw www.zimbabwe.gov.zw www.zimembassyvienna.gov.zw www.zimfa.gov.zw www.zimgaborone.gov.zw www.zimgeneva.gov.zw www.zimimmigration.gov.zw www.zimlondon.gov.zw www.zimtreasury.gov.zw www.zrp.gov.zw zimtreasury.gov.zw “人们不应该害怕他们的政府。政府应该害怕他们的人民。~~我们是匿名者。我们是军团。我们不会原谅专制政府。我们不会忘记你的行为。你应该期待我们!“匿名者”在他们的声明中表示。     稿源:cnBeta,封面源自网络;

nginx 安全问题致使 1400 多万台服务器易遭受 DoS 攻击

据外媒报道,近日 nginx 被爆出存在安全问题,有可能会致使 1400 多万台服务器易遭受 DoS 攻击。而导致安全问题的漏洞存在于 HTTP/2 和 MP4 模块中。nginx Web 服务器于11月6日发布了新版本,用于修复影响 1.15.6, 1.14.1 之前版本的多个安全问题,被发现的安全问题有一种这样的情况 —— 允许潜在的攻击者触发拒绝服务(DoS)状态并访问敏感的信息。 “在 nginx HTTP/2 实现中发现了两个安全问题,这可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)”,详见 nginx 的安全建议。 此外,“如果在配置文件中使用”listen”指令的”http2″选项,则问题会影响使用 ngx_http_v2_module 编译的 nginx(默认情况下不编译)。” 为了利用上述两个问题,攻击者可以发送特制的 HTTP/2 请求,这将导致过多的CPU使用和内存使用,最终触发 DoS 状态。 所有运行未打上补丁的 nginx 服务器都容易受到 DoS 攻击。 第三个安全问题(CVE-2018-16845)会影响 MP4 模块,使得攻击者在恶意制作的 MP4 文件的帮助下,在 worker 进程中导致出现无限循环、崩溃或内存泄露状态。 最后一个安全问题仅影响运行使用 ngx_http_mp4_module 构建的 nginx 版本并在配置文件中启用 mp4 选项的服务器。 总的来说,HTTP/2 漏洞影响 1.9.5 和 1.15.5 之间的所有 nginx 版本,MP4 模块安全问题影响运行 nginx 1.0.7, 1.1.3 及更高版本的服务器。 为缓解这两个安全问题,服务器管理员必须将其 nginx 升级到 1.14.1 stable 或1.15.6 主线版本。 目前,Shodan 搜索显示超过 1400 万台服务器运行未包含修复补丁的 nginx 版本(更确切地说是 14,036,690 台),仅有 6992 台服务器打上了安全补丁。   稿源:开源中国,封面源自网络;

即便承认知晓真相后 FCC 主席仍对去年为虚假 DDoS 攻击撒谎一事辩解

据外媒报道,经过一年的调查之后,自 2017 年为许多新闻媒体和网络中立倡导者大声疾呼的一个事实终于得到证实。在关于废除奥巴马时期推行的网络中立的公开评论期间,FCC 评论系统并没有如 FCC 宣称的那样因遭遇 DDoS 攻击而关闭。 上周,美国监察长公布了这份关于网络攻击和 FCC 行动的调查报告。报告指出,前 FCC 首席信息官(CIO)是第一个提出评论系统遭遇网络攻击的人,但当时缺乏明确的证据。FCC 主席 Ajit Pai 现在也试图将责任推到这位 CIO 身上,称这位官员向他、他的办公室、国会以及美国人民提供了不准确的信息,对此他深感失望。 在今日国会听证会之前,Pai 也并未解释清楚 FCC 在事件发生后的几个月内尽管证据不足仍一直在强调 DDoS 攻击以及 CIO 拒绝 FBI 以及其他政府部门的帮助的原因。 听证会上,议员 Brian Schatz 质问 Pai 为何不曾怀疑过 ICO 说的事情。对此,Pai 坚持自己的立场,即监察长在调查过程中曾要求保密,这使他无法向其他人透露甚至无法直接以保密的方式向国会提交记录。 Pai 认为这个问题出在前 CIO 身上,然而实际上整个 FCC 曾经为网络攻击遭遇做过非常激烈的辩护甚至还就证据一事对媒体撒了谎。去年7月,FCC 一位发言人表示:“媒体报道称 FCC 对 5 月 7-8 日发生在我们电子评论文件系统的非传统 DDoS 攻击的分析缺乏书面文件,这绝对是错误的。此外,FCC 从未表示缺少任何关于 DDoS 攻击的(证据)文件。媒体对委员会所说的报道毫无根据、完全不负责任。事实上,我们拥有大量关于这次攻击的文件,这些文件则由我们的商业云合作伙伴以日志的形式收集起来了。”     稿源:cnBeta.COM,封面源自网络;

Linux 内核曝 TCP 漏洞,极小流量就可以 DoS 瘫痪设备

卡内基梅隆大学的 CERT/CC 发出警告,称 Linux 内核 4.9 及更高版本中有一个 TCP 漏洞,该漏洞可使攻击者通过极小流量对系统发动 DoS (Denial-of-Service,拒绝服务)攻击。 该漏洞是由诺基亚贝尔实验室支持的芬兰阿尔托大学网络部门的 Juha-Matti Tilli 发现的,目前已经被编号为 CVE-2018-5390,并且被 Red Hat 称为“SegmentSmack”。 CERT/CC 指出,由于漏洞,新版本 Linux 内核可能被迫对每个传入的数据包进行非常消耗资源的 tcp_collapse_ofo_queue()和 tcp_prune_ofo_queue()调用,这会导致受影响的系统上 CPU 变得饱和,从而产生 DoS 条件。 远程攻击者可以以相对较小的传入网络流量带宽通过在正在进行的 TCP 会话中发送特别修改的数据包来导致 DoS。“在最糟糕的情况下,攻击者可以仅使用小于 2kpps (每秒 2000 个数据包)的攻击流量让被害主机瘫痪”,Red Hat 解释到:“四个流的攻击结果可能看起来像是四核 CPU 完全饱和,并且网络数据包处理被延迟。” CERT/CC 列出了许多可能受到影响的网络设备供应商、PC 和服务器制造商、移动供应商和操作系统制造商(具体列表),鉴于 Linux 的广泛使用,该漏洞的影响范围很大,包括从亚马逊和 Apple 到 Ubuntu 和 ZyXEL 的每个供应商。目前已确认受影响的 Red Hat 系统包括 RHEL 6 和 7、RHEL 7 for Real Time、RHEL 7 for ARM64、RHEL 7 for IBM POWER 和 RHEL Atomic Host。 Red Hat 表示,对于管理员来说,除了等待内核修复,目前还没有有效的解决方法或缓解措施。   稿源:开源中国,封面源自网络;

俄罗斯 Group-IB 联合多家安全公司协助乌克兰警方取缔 DDoS 犯罪团伙

外媒 3 月 8 日消息,网络安全公司 Group-IB 联合其他企业共同协助乌克兰警方取缔一个在全球发起众多勒索事件的 DDoS 犯罪团伙。据悉,该团伙参与 DDoS 攻击和勒索的时间长达两年之久。 Group-IB 的调查行动从 2015 年 9 月开始,其安全人员在调查中发现该犯罪团伙曾对国际在线交友服务网站 AnastasiaDate 发起了 DDoS 攻击,造成 AnastasiaDate 的网站被迫关闭了几个小时,随后犯罪人员以停止攻击为条件威胁该网站支付 1 万美元的赎金 。除此此外,该团伙还针对一些在线商店、支付系统以及提供博彩、彩票和博彩服务的网站发起 DDoS 攻击。例如乌克兰欺诈案的受害者(包括美国公司租赁数据中心和托管设施 Stafford Associated、以及 PayOnline 在线支付服务)。 目前 Group-IB 的网络安全专家已经确定了该犯罪团伙并将其与两名乌克兰人 Gayk Grishkyan 和 Inna Yatsenko 联系起来。据悉,两名 DDoS 犯罪团伙成员对其罪行供认不讳,将会被判处有期徒刑 5 年。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Memcached DDoS 反射攻击创下 1.7Tbps 流量峰值纪录

外媒 3 月 6 日消息,继 Github 在上周遭受了流量速度为 1.3Tbps 的分布式拒绝服务(DDoS)攻击后,网络安全监控公司 Arbor Networks 证实美国一家服务提供商也面临着流量峰值高达 1.7Tbps 的反射/放大攻击。 虽然此次 1.7Tbps 事件与上周 GitHub 发生的 DDoS 攻击类似,但其带宽因使用了英特网上数千台暴露以及错误配置的 Memcached 服务器而被放大了 51,000 多倍。 据悉,在 GitHub 事件发生之后,其客户收到了敲诈邮件,威胁他们购买 50 枚价值超过 15,000 美元的 XMR( Monero )。目前 thehackernews 的文章中并未写明此次事件是否会有勒索赎金的情况出现。 Arbor Networks 表示,虽然反射/放大攻击并不新鲜,然而,最新的攻击媒介已经演变成了数千个错误配置的 Memcached 服务器,其中许多服务器目前仍然暴露在互联网上,可能会被利用来针对其他目标发起大规模的攻击。 Arbor Networks 预计未来几天会出现更多此类攻击事件。因此,为了防止 Memcached 服务器被滥用为反射器,Arbor Networks 敦促用户安装防火墙,并限制只能从本地网络访问 memcached 服务器。此外,管理员还应该考虑避免外部流量通过 memcached 使用的端口(例如默认使用的 11211 端口), 并及时阻止或限制 UDP ,如果非必要的话,最好能够完全禁用 UDP 支持。 消息来源:thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。