其它黑客們現在是什麼樣的心情,反正李子鋒是不知道的了,現在李子鋒關心的是,國際原子能機構官網的這個防火牆。
現在才攻破了第一層,不知道後面還有多少層的防火牆呢,李子鋒很是無奈,要是一開始,就決定讓小倩使用她的方法的話,那也就是一句話的時間,甚至都要不了一句話的時間就可以將這個網站給搞定了。
不過,那樣的話,也太驚世駭俗了,所以,李子鋒才採取這個時代的黑客們常用的手段,或者一些高明的手段,反正就沒有超過這個時代的手段來對付這個網站。
這樣以來,就顯而易見了,這麼多的肉雞同時發起攻擊,但是得到的效果都沒有想像中的那麼好。
所以,李子鋒就知道了,這個網站背後的服務器的強大了。
當然,這也並不是對方光只是服務器的強大,當然還有他們背後的管理人員同樣的是強大的。
想要真正的快速的攻擊對方的網絡,這第一關就是發送給對方的大量數據,對方不能有效的分辨出來,或者至少不能拒絕。
李子鋒使用的syn flood攻擊,但是對方也有着很好的防禦方法。
當然,最常見的防禦方法也就是大家承認的最有效果的。
李子鋒使用肉雞網絡之中的一個用戶向服務器發送了syn報文後突然死機或掉線,那麼國際原子能機構服務器在發出syn+ack應答報文後是無法收到客戶端的ack報文的,這種情況下服務器端一般會重試(再次發送syn+ack給客戶端)並等待一段時間後丟棄這個未完成的連接,這段時間的長度我們稱爲syn timeout。
一般來說這個時間是分鐘的數量級(大約爲30秒-2分鐘);李子鋒的一個肉雞用戶出現異常導致服務器的一個線程等待1分鐘並不是什麼很大的問題,但如果李子鋒使用肉雞大量模擬這種情況,服務器端將爲了維護一個非常大的半連接列表而消耗非常多的資源,一臺肉雞模擬數以萬計的半連接,即使是簡單的保存並遍歷也會消耗非常多的cpu時間和內存,何況還要不斷對這個列表中的ip進行syn+ack的重試。
實際上如果服務器的tcp/ip棧不夠強大,最後的結果往往是堆棧溢出崩潰,即使國際原子能機構的官方服務器端的系統足夠強大,服務器端也將忙於處理攻擊者僞造的tcp連接請求而無暇理睬客戶的正常請求,畢竟客戶端的正常請求比率非常之小,現在的攻擊數據請求,對方都來不急處理,哪裡還有時間處理其它的那些數據呢?
此時從正常客戶的角度看來,服務器失去響應,這種情況我們稱作:服務器端受到了syn flood攻擊,也就是syn洪水攻擊。
當然,這種的攻擊,也是有防範措施的。
第一種就是縮短syn timeout時間。
第二種方法就是設置syn cookie,就是給每一個請求連接的ip地址分配一個cookie,如果短時間內連續受到某個ip的重複syn報文,就認定是受到了攻擊,以後從這個ip地址來的包會被一概丟棄,直接就將認爲是垃圾攻擊。
還有反彈攻擊時,李子鋒讓小倩使用肉雞設置一些反彈服務器,巧妙的利用了反彈服務器羣來將洪水數據包反彈給國際原子能機構的服務器。
所有的 web 服務器、dns 服務器及路由器都是反彈服務器,他們會對 syn 報文或其他 tcp 報文迴應 synacks 或 rst 報文,以及對一些 ip 報文迴應 icmp 數據報超時或目的地不可達消息的數據 報。
當然,任何用於普通目的 tcp 連 接許可的網絡服務器都可以用做數據包反射服務器。
防火牆幾乎是最常用的安全產品,但是防火牆設計原理中並沒有考慮針對ddos攻擊的防護,在某些情況下,防火牆甚至成爲ddos攻擊的目標而導致整個網絡的拒絕服務,現在李子鋒就是這樣的打算,直接使用大量的數據攻擊。
首先是防火牆缺乏ddos攻擊檢測的能力。
通常,防火牆作爲三層包轉發設備部署在網絡中,一方面在保護內部網絡的同時,它也爲內部需要提供外部internet服務的設備提供了通路,如果ddos攻擊採用了這些服務器允許的合法協議對內部系統進行攻擊,防火牆對此就無能爲力,無法精確的從背景流量中區分出攻擊流量。
雖然有些防火牆內置了某些模塊能夠對攻擊進行檢測,但是這些檢測機制一般都是基於特徵規則,李子鋒或者小倩的肉雞網絡,只要對攻擊數據包稍加變化,防火牆就無法應對,對ddos攻擊的檢測必須依賴於行爲模式的算法。
第二個原因就是傳統防火牆計算能力的限制,傳統的防火牆是以高強度的檢查爲代價,檢查的強度越高,計算的代價越大,現在李子鋒的肉雞有至少都是幾十萬臺,每一臺發送的數據都有無數,少的也有上千條數據包,多的,甚至都有幾萬幾十萬條,這樣一臺就有這麼多的,當所有的肉雞加起來的時候。
這個數據洪流的數量就不是能夠計算的出來的了。
即便是對方使用的是超級服務器,但是當這個數量一但達到了一定的程度,那就有點嚇人了。
而ddos攻擊中的海量流量會造成防火牆性能急劇下降,不能有效地完成包轉發的任務,服務器也就不能有效的處理了。
最好防火牆的部署位置也影響了其防護ddos攻擊的能力,而李子鋒發現,雖然對方的服務器很好,防火牆的位置佈置的也很好,至少是李子鋒想不出來更好的了但是,這樣的東西在小倩的眼中根本就是垃圾,還是不可回收的垃圾。
傳統防火牆一般都是部署在網絡入口位置,雖然某種意義上保護了網絡內部的所有資源,但是其往往也成爲ddos攻擊的目標,李子鋒這邊一旦發起ddos攻擊,往往造成網絡性能的整體下降,導致用戶正常請求被拒絕。
現在,李子鋒這邊攻擊的時候,官網那邊的網絡就出現了噸卡的現象。
當李子鋒暴力的弄掉對方的第一層防火牆的時候,這個時候,整個服務器的資源都被吸引到這裡來了,要是這個時候還有普通的用戶去登陸這個網站的話,一定直接是登陸不上去了。
外面的其它黑客們,看的目瞪口呆,這太暴力了,太粗魯了,一點都不像一個正常的黑客。
不過,這樣也就更加的證明了神秘大爺的強大。
道格拉斯興奮的看着眼前的一臺一臺的肉雞網絡,他現在已經破除了十幾臺的肉雞了。
剛剛開始的時候,道格拉斯追蹤肉雞的速度還是很慢的,可以說,已經是十分十分的慢了,但是,後來,慢慢的爆破了幾臺之後,漸漸的,道格拉斯不愧爲世界頂尖的黑客,很快的就找到了一絲的規則,最後,發現了肉雞網絡之中的規則之後,道格拉斯破除李子鋒的肉雞的速度那叫一個快啊。
現在雖然也才破除了十幾臺,但是,現在他的速度已經是越來越快了,慢慢的,到後面,已經是幾秒就破除一個。
但是,越是到後面,道格拉斯越是氣餒,雖然看似速度很好,當然,這也的確是速度很快的了,要是在與普通黑客戰鬥的時候,這樣的破除速度,早就將敵人給搞死了。
但是,神秘大爺是誰啊,簡直就不是人,肉雞網絡中的殭屍簡直就是太多了,這已經出現了上百萬臺殭屍肉雞了,就算是幾秒鐘破除一臺,那這上百萬的肉雞,到最後,需要多長的時間才能夠全部的破除,找到神秘大爺真正的網絡ip啊。
而且,關鍵還是,就算是將這些所有的肉雞給破除之後,還不一定能夠找到神秘大爺的真正地址的,按照神秘大爺的技術,人家隨便的一個動作,都直接可以將他給再次的隱藏了起來,天吶,這什麼時候纔是一個頭啊。
當道格拉斯順利的破除了三百二十四臺肉雞的時候,終於是相信神秘大爺是不可戰勝的了。
“神秘大爺,按照天朝的說法,你就是我親大爺了,既然我沒有希望憑自己的實力找到你的位置,那麼,大爺,我的親大爺,我就不得不使用一些小小的手段了。”
“希望,我這樣的小手段,可以騙的過你,不過,我這也不算是騙,因爲,我將會告訴你的,全是我們這裡真實的情況,當然,有的地方,我會有可能誇張那麼一點點的。”
“那個,神秘大爺,你就不要怪我欺騙你的感情了,呵呵,爲了我的自由,爲了我能夠增加一點點的活動空間,那麼,就只能委屈一下你了,我的親親大爺。”
道格拉斯呆呆的坐在自己的椅子上,呆呆的自語道。
突然,道格拉斯端端正正的坐好。
迅速的將先前自己編寫的那個秘密文本給調了出來。