拒绝服务是黑客活动主义者喜欢作为一种抗议形式的攻击,也被犯罪黑客用来伪装黑客攻击和抢夺袭击。其目的是用“非法”请求淹没网站,以拒绝合法请求的访问。因此,基本的 DDoS 缓解旨在过滤掉坏包,只允许好包到达服务器。虽然可以通过防火墙规则在一定程度上做到这一点,但这对于大规模攻击(例如已经并且仍然针对美国银行的攻击)并不是很有效。
第三方 DDoS 缓解服务位于互联网和目标之间,旨在识别和阻止 DDoS 攻击,同时允许正常服务。CloudFlare就是这样一种服务。例如,在去年夏天的 DDoS 攻击之后,维基解密就使用了它。
现在, ESET发现了一种新的 DDoS 工具,其中包含专门设计用于规避 CloudFlare 防御的代码。“事实证明,”加拿大 ESET 恶意软件研究员 Alexis Dorais -Joncas 昨天在博客中写道,“被称为 Win32/DoS.OutFlare.A 的恶意软件实施了一种我们以前从未见过的技术:一种专门用于击败流行的 CloudFlare 反 DoS 服务。”
CloudFlare 用于确保请求来自合法浏览器(因此更有可能是合法请求)的方法之一是强制该浏览器执行简单的 JavaScript 计算。成功的响应会导致 CloudFlare 向浏览器添加一个 cookie,然后该 cookie 将允许该 IP 地址通过封锁而不受进一步阻碍。
“当然,对于典型的 Web 浏览器来说,这看起来是一项微不足道的工作,”ESET 指出,“但对于愚蠢的 DoS 脚本来说却不是。” 但是它称为 OutFlare 的恶意软件包含一个识别挑战并提供正确响应的例程;从而获得自由通过。这并不意味着 CloudFlare 坏了——它没有。ESET 向公司报告了它的担忧,并被告知“已经采取了防御措施来抵御这种类型的攻击,当然,他们正在不断增强用于阻止针对客户的 DDoS 攻击的技术。”
然而,这意味着“我们在 Win32/DoS.OutFlare.A 中看到的代码表明我们可能正处于反 DDoS 服务和商品 DoS 恶意软件之间的军备竞赛的开始。”
