亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

幾個月前，阿里巴巴云安全團隊觀察到DDoS攻擊的新趨勢，常見的日常移動應用程序成為DDoS攻擊工具。事實證明，傳統的緩解策略對這些移動僵尸網絡發起的攻擊并不有效。

本文進一步分析了阿里云防御DDoS服務智能保護引擎減輕DDoS攻擊的特征。

跟蹤分析顯示，這些DDoS攻擊是由于大量用戶安裝了偽裝成手機上的普通應用程序的惡意應用程序而引起的。這些惡意應用程序動態地向目標網站發起攻擊 在過去幾個月中，使用這些DDoS攻擊工具看到了超過500,000個移動設備，使得單次攻擊的嚴重程度與PC僵尸網絡DDoS攻擊相同。這種模式表明，黑客正在升級他們的技術，以便在攻擊期間提供更高級別的傷害。

這種移動僵尸網絡DDoS攻擊的特點是什么？

1.均勻分布的移動設備操作系統受到影響：大約40％的設備在IOS上運行，60％在Android上運行。

2.對大量移動設備的巨大攻擊：在單次攻擊中，每秒請求的峰值數（QPS）可以達到數百萬，這是通過超過500,000個移動設備啟動的，每個請求的源IP地址重復很少攻擊實例。

3.地理位置分散的攻擊源IP地址：攻擊源IP地址來自全球160多個國家的近40個不同的ISP。

分發攻擊源IP地址

4.提供最多攻擊源IP地址的蜂窩基站：近一半的攻擊源IP地址來自大型蜂窩基站網關IP地址，這意味著相同的源IP地址同時攜帶攻擊流量和大量正常用戶流量。

5.不規則的攻擊調度

由于移動電話不斷改變與網絡的連接以及應用程序啟動和停止的方式，我們觀察到異常多的攻擊源IP地址。超過一半的攻擊源IP地址沒有被攻擊的啟動; 每個源IP地址的攻擊持續時間不同，單個攻擊源IP地址的請求頻率也不高。

攻擊持續時間和IP地址和請求數

傳統的減災政策不再有效

在PC僵尸網絡時代，速率限制和黑名單的結合是一種有效的緩解策略。但是，移動設備比PC普遍存在，導致惡意應用程序偽裝成普通應用程序而發起的大量攻擊。即使單個設備的請求頻率較低，來自所有設備的聚合請求數也可能超過目標站點，這使得黑客很容易攻擊目標站點而不會觸發任何速率限制策略。

大多數攻擊源是大型蜂窩基站網關IP地址，呈現傳統的防御策略，例如黑名單無用，因為將蜂窩基站列入黑名單將導致大量普通用戶無法訪問蜂窩服務。僵尸網絡的新移動設備在攻擊過程中不斷添加，因此黑名單機制可能不足以有效阻止攻擊。在新的攻擊面前，曾經有效的緩解政策現在無效。

黑客如何利用惡意應用程序啟動攻擊

1.黑客將WebView嵌入到應用程序中，該應用程序將在啟動后請求中央控制鏈接。鏈接指向的頁面嵌入并加載了三個JS文件，這些文件以異步JAVAScript和XML（AJAX）模式動態獲取JSON指令。

2.當不涉及攻擊時，收到的JSON指令的內容如下：{“message”：“no data”，“code”：404}。在這種情況下，JS文件在加載后會進入連續循環并定期重新讀取JSON指令。

連續循環

3.在黑客發出攻擊類型JSON指令后，JS文件退出循環，并在解析JSON指令后將消息傳遞回WebView。JSON指令指定攻擊所需的數據包內容，例如目標URL，請求方法和標頭，并指定調度參數，例如攻擊頻率，啟動攻擊的條件和攻擊結束時間，使攻擊更多復雜而靈活。

4. WebView通過UserAgent檢索設備信息，以確定設備是使用iOS還是Android系統。它為不同的設備系統調用不同的函數來觸發惡意應用程序中的Java代碼加載，并使設備基于JSON指令啟動攻擊。

通過上面使用的方法和技術，我們可以考慮在黑市中安裝這種欺詐應用程序的用戶作為木偶成功地向目標企業發起DDoS攻擊。

這也揭示了黑市行業。惡意應用程序的所有者吸引用戶通過各種渠道安裝和使用這些應用程序以及欺騙性廣告。所有者通過使用欺詐性應用程序獲利，并通過使用受影響的用戶設備作為僵尸網絡提供DDOS攻擊服務來尋求進一步的利潤。

根據攻擊流程圖，黑客可以發出JSON指令，使移動設備以特定方式攻擊特定目標，以用于任何特定目的。

除了惡意控制移動設備發起攻擊外，欺詐性應用還可以植入惡意代碼私下發送付費短信，使用ISP的短信支付渠道竊取用戶費用，訪問用戶地址簿，地理位置，身份證，銀行賬戶和其他敏感信息。他們可以通過廣告和電信欺詐來騷擾用戶，甚至造成更大的損失，例如身份盜用。

用戶如何應對此類DDoS攻擊

在PC僵尸網絡時代，企業Anti-DDoS策略相對無效

1. 檢測：請求頻率
2. 行動：限速和黑名單
3. 防御邏輯：當請求頻率過高時，啟動源速率限制或黑名單IP地址

如果緩解無效，則需要手動干預以進行數據包捕獲和分析。然后根據特定的攻擊條件配置保護規則。但是，這種方法響應速度慢，對業務造成嚴重損害。

當大量移動設備成為新的攻擊源時，攻擊很容易繞過前面的防御邏輯。企業不能再依賴速率限制和黑名單，而必須采用更智能的保護手段：

1. 擴展攻擊流量識別維度，并將每個請求實時解析為多維檢測。
2. 將保護策略與多維識別匹配，實現精細，靈活，豐富的訪問控制單元，并有機地組合各種維度，逐層過濾掉攻擊流量。
3. 將人工故障排除替換為機器智能，以提高響應速度并減少業務中斷時間。

雖然黑客只升級了他們的攻擊源，但企業面臨著沉重的安全防御工作量，必須盡早采取行動做好充分準備。或者，企業可以購買阿里云安全防御DDoS產品，有效防御容量DDoS攻擊和應用DDoS攻擊，實現專業和智能保護。

如果您是個人用戶，為了確保設備安全和數據隱私，阿里云安全團隊建議您從授權渠道安裝經過批準的應用程序，以避免將您的手機變成DDoS攻擊工具。安裝應用程序時，請始終仔細檢查其請求的權限。如果您發現該應用請求與其功能不匹配的高風險權限，例如訪問您的地址簿和發送短信，請謹慎操作，因為它可能會使您面臨風險。