DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

美国高防_如何防御cc_超稳定

美国高防_如何防御cc_超稳定

由埃文·赖特和佩顿·布什合著的对手们正在不断地改变和改进他们攻击我们的方式。在这个由六部分组成的系列文章中,我们将探讨威胁参与者所使用的新的或先进的战术,以规避最前沿的威胁防御。什么是DGA吗?dga是以编程方式生成域名列表的代码。在大多数情况下,生成DGA域的恶意软件背后的算法在创建时只变化了两个元素域:长度这些算法产生命令和控制域,用于与受恶意软件感染的机器通信。通常这些域是无意义的,比如sndjfnin.com网站. 在其他情况下,像Oderoor和Bobax这样的DGA将在允许第三方域的站点上生成域。这通常包括提供动态DNS的站点,看起来更像sndjfnin.dyndns.org网站. 通过对dga生成的域的测量,可以了解针对几乎所有行业的恶意软件的大量横截面,包括诸如漏洞利用工具包、犯罪软件和勒索软件。为什么它们被使用了吗?DGA是恶意参与者保护其将数据从受损计算机返回到更容易访问的计算机的能力的一种强大方法。通过这两台计算机之间的网络连接,恶意行为体可以做一些事情例如:发送信用卡从受损机器到销售其他机器的卡信息,协调受感染的机器攻击另一台计算机或系统(僵尸网络)发送垃圾邮件,通过窃取电子邮件并发布它们,cc防御试用,垃圾邮件可以从黑客活动主义中获利种子毒气在许多方面对恶意行为者有利。首先,人类创建的域的硬编码列表可能包含一个模式,这使得恶意软件的检测和提取更加容易。一个算法可以生成数千个伪随机域,而这些域对于人类来说很难相互链接bird.com网站, 老虎网, 大象网, neniwehrj.com网站, asjksrhej.com公司后者显然看起来很可疑,但前者更容易识别出两者之间的联系域。自动生成域反而使恶意软件作者更加灵活。DGA域最终会使阻止列表失效-即使您确定并阻止了一个,仍然有未知数量的DGA域存在。许多DGA实现每天将生成数百或数千个,但只有少数几个是活动的。这给防御者带来了很大的负担,在阻止所有域的同时尽量减少恶意参与者的域注册工作。一些dga还可以在被用来帮助绕过新注册的阻塞之前几个月预先注册域。之后所有这些关于域的讨论,你们中的一些人可能会有理由怀疑为什么一个IP仍然不容易被识别为数千个域的来源。在大多数情况下,DGA域不托管在一个IP上。恶意软件作者认识到了这个问题,并开始将dga与另一种通过使用诸如Fast Flux之类的技术在IPs周围进行洗牌的技术进行配对。他们能多快地改变IP地址是IP阻止列表是一个老化工具的原因,也是DGA域如此难以检测的另一个原因。这种DGAs和IP移位的结合被证明是过去的关键防御。怎么做它先进吗?域生成算法创建了一个不断移动的目标,网络防御者很难用一个阻止列表成功地击中它。部分原因在于算法的设置方式以及更新的容易程度。所有的dga都是基于静态和动态种子,这确保了域是不断变化的。几乎所有的算法都使用不同的方法随机选择第二级域中的字母,第二级域是域中".com"之前的部分。这些种子可以是任何东西,服务器如何防御cc,从今天的日期到Twitter上第八大热门话题。更复杂的是,云服务器ddos防御,恶意的参与者可以选择用不同的格式来表示日期,比如8/31/17或083117。不管怎么编码,软件都知道该看什么为了。一些DGA域名甚至可以完全基于单词,这给那些试图识别它们的人带来了一个严重的问题。Sdkfjdi.com网站看起来很奇怪,但是birdog.com网站没有。随机字符dga比这些单词表更常见,因为在没有预先存在的域的情况下创建和注册域比较困难。据我们统计,生成完全基于单词的域的算法只占所有已知的支持DGA的恶意软件的5%家庭。恶意的参与者还可以更改这些域名的活动时间。在大多数情况下,它们只活跃一到三天,尽管DGA域的潜在寿命似乎在增加。五年前,大多数都有三天或更短的寿命,但现在DGA领域甚至持续40天是有点普遍。有些人甚至可以忍受超过这个标准。不管使用期限是什么,一个黑名单基本上是无效的,因为这些域名会过期,其他域名会立即拿走地点历史DGAs的进化是恶意软件作者和网络防御者之间的传统猫捉老鼠游戏。90年代末,恶意软件开始在互联网上泛滥。它的作者注意到,一旦他们的恶意软件被安装到计算机上,安全分析员会简单地封锁出站流量的IP地址。阻止IP地址很简单,因为它发生在路由器上,而路由器是internet连接所必需的。对此,恶意软件作者开始使用域名来识别他们的基础设施。他们没有调用域列表,打不死高防加速cdn,而是开发了一种生成不易识别的域的方法。硬编码域被证明是一种无效的度量。网络防御者开始过滤代理和DNS存根上的域名解析器。输入2008年,Conficker僵尸网络是第一个使用DGAs的恶意软件僵尸网络。一个每天生成250个域,以消除防御者发现和阻止与指挥控制系统通信的恶意软件的能力基础设施如何有人想反抗吗?在过去的几十年中,安全性一直是基于签名或基于指示符的阻塞。事实证明,对于DGAs这样的指标不断变化的行业来说,这种方法并不有效。DGA域的列表由一些组织作为补救措施发布,但与其他指标不同的是,它通常会在24-48天内到期几个小时。一个人们采取的方法是尝试对DGAs进行逆向工程。虽然它可以成功,但这种方法最终是低效的,因为每个族都有几乎完全不同的算法。你还需要知道你可以识别每个家庭,这是不可能的,因为新的家庭每天都在发展。从机械的角度来看,每天都有一个新的巨大的域名列表,这对于计算机来说太多了。这并没有考虑到每个恶意软件家族和随后的算法每天都会吐出那么多的域名。对这些算法进行逆向工程还需要大量的人力时间和精力投入。根本没有足够训练有素的专业人员来大规模运作。无论应用于任务的技术或专业知识如何,恶意软件总是可以被更改和更新,从而有效地取消任何逆向工程努力。在另一方面,我们的方法将重点放在模式匹配的检测上,在模式匹配中实时分析输入域,以找到DGA特征的统计模式。这种方法不存在上面列出的任何缺点,我们的产品Anomali Match可以在部署后立即执行此检测。DGA领域的比赛在Anomali比赛威胁参与者不断改变他们的战术,技术和程序。虽然我们永远无法准确预测这些变化可能是什么,但我们可以通过跨行业、跨专业领域的合作,更好地装备自己,交换机ddos攻击防御,迎接这些挑战。关于作者WrightEvan Wright是Anomali的主要数据科学家,他专注于机器学习在威胁情报方面的应用。在Anomali之前,他是CERT协调中心的网络安全分析师和北卡罗来纳州的网络管理员。埃文在IPv6安全、超大规模网络监控、恶意网络流量检测、智能融合等领域为客户提供了机器学习的网络安全应用。他曾为17个政府和私营企业的安全运营中心提供咨询服务。Evan拥有卡内基梅隆大学的硕士学位、东卡罗来纳大学的理学学士学位、CCNP和其他六项IT认证。推特:@evanwright

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/59963.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8021404访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X