[驚!!!]巴哈首頁連接不上的真正原因，請大家多多轉載(新增隨風之說明)

本文引用自此

以下是巴哈姆特的聲明：

大家好：

我是站長 sega。

在此跟各位報告巴哈姆特此時正遭受的威脅：
27日(日)晚上10:00，機房人員來電通知巴哈首頁伺服器當機，原本以為只是一般的當機，沒想到伺服器重開之後，短短幾秒之內，又再度當機，再次重開之後，情況依舊。
後來經過關閉對外連線後查詢系統 log，發現遭受到來自世界各地的 ip，以極大量的速度對伺服器發出網頁要求試圖癱瘓巴哈首頁，伺服器不堪負荷，因此當機。

直到星期一清晨五點左右，攻勢才逐漸趨緩。

28日(一)下午一點，我們接到了一封信件：
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
寄件者： wuwebshell <wuwebshell@vip.qq.com>
傳送日期： 2008-4-28 下午 01:00
主旨： 广告联系

昨天发动对贵公司的攻击，在此深表歉意，也说明贵公司的网络安全的当务之急,本人做私人服务器的，能否到贵站发布广告，请速回mail。谢谢
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
我們終於知道被攻擊的原因。

到了下午2:00~3:00左右，我們發現伺服器又開始遭到強烈的攻擊，同時，在這個時候，我們接到了一通來自大陸的電話，對方表示他們就是攻擊的發動 者，他們的目的很簡單，就是希望可以在巴哈下廣告宣傳他們的《魔獸世界》私服，希望透過巴哈創造雙方的最大利益。我們表明立場不會接這樣的廣告，對方說給 我們一些時間討論，暫時不會再攻擊我們，電話掛掉不久後，攻擊就停止了。

到了傍晚左右，我們發現攻擊又開始變強，經過了許多努力，還是抵擋不住來自世界各位高達數千台電腦，以每秒數百次的次數攻擊，伺服器再次癱瘓。

這段期間，我們不斷調整系統，同時也尋求各方的協助，包括與友站遊戲基地的人討論，希望能抵擋住這樣的癱瘓攻擊，但是我們失敗了，只能在今天(二)清晨5:00左右攻擊再度變緩時，才勉強讓伺服器運作。

今天上午，我們發現攻擊又開始變強，伺服器再度癱瘓，於是決定告訴大家目前的狀況，讓大家知道現在巴哈姆特的狀況。

對於該大陸不法商人的囂張行徑我們感到非常不可思議。
同時也要跟所有巴哈的支持者表達歉意，我們沒有辦法防禦住這樣的攻擊，導致巴哈的首頁持續癱瘓。我們會繼續努力，但是目前束手無策。我相信這會是一場艱苦且漫長的戰役，我不敢去想像最壞的情況會是什麼，但是，請大家給我們最大的支持….

讓我們一起召喚巴哈姆特 !

sega

19:30 補充聲明：謝謝大家的支持，請大家不要將問題模糊及擴大，留言時也請注意用詞，謝謝!

以下為隨風大所補充之知識

============================================================================
隨風的觀點:

隨風是昨天晚上12點多回到家,在和風家看到這篇文章的~以網路安全的出發點 我只能這樣說明

這很明顯的是所謂的分散式攻擊癱瘓 - DDOS = Distributed Denial of Service
關於這種攻擊方式,以目前的網安技術來說 沒有絕對的防禦方式,被動的手段唯有提高伺服器的頻寬跟設備的效能,但這是治標不治本的方式,因為當你投入大量資金在這些設備上時,真正對於DDOS攻擊的防禦能力可能上升不到1/5...所以這類硬體升級的評估需要好好考量.

大部分的網頁伺服器對於這類攻擊方式並不是說真的不堪一擊,而是不肖商人利用綁架所謂的"肉雞"由世界各地發動網頁要求來癱瘓伺服器運作,對於公眾網頁來說,你很難去拒絕用戶的連線請求.

終究的解決問題點還是在於每個人的個人電腦的防禦能力,只要大家不會被綁架成"肉雞" DDOS的分散性跟廣泛程度就會下降許多,這樣在TRACE始作俑者時也會較為縮小範圍,但在目前來說,這都還是空談,因為大多是人的個人電腦都早已在駭客的威脅之下.

通常DDOS攻擊以一般駭客來說,使用手法不外乎是以下幾種方式:

Synflood - 這是利用TCP/IP網路通訊協定的缺陷發送大量偽造的TCP連線請求來消耗被攻擊主機資源的攻擊方式,但他在收到主機的回應封包後卻不回應主機,讓主機為這些偽造的連線要求建立連線隊列而消的大量資源.

關於Synflood這類攻擊的基本原理有興趣的朋友可以參考:http://www.study-area.org/tips/syn_flood.htm

Smurf - 利用ICMP做大量或倍增式的攻擊方式,對網路進行廣播,造成網路充滿垃圾封包而堵塞,smurf會不斷地將小量偽造的icmp要求封包送給IP廣播位址（IP broadcast address）,然後廣播位址會傳回大量的icmp回應封包給目標主機,這種smurf的攻擊方式除了攻擊特定目標主機,也能在網路上塞滿icmp的要求封包與回應封包而造成網路中斷.

Land-based - 攻擊者將一個封包的源位址和目的地址都設置為目標主機的位址,然後將該包通過IP欺騙的方式發送給被攻擊主機,這種包可以造成被攻擊主機因試圖與自己建立連接而陷入一個死循環,大幅度地降低了系統性能.

Ping of Death - 根據網路傳輸TCP/IP的規範來看,封包長度最大為65536,但我們可以利用封包多片段的疊加來讓一個封包的程度大於65536,這樣的攻擊方式可以讓被攻擊的主機產生當機的現象.

Teardrop - IP資料包在網路傳遞時,資料包可以分成更小的片段,攻擊者可以通過發送兩段（或者更多）資料包來實現TearDrop攻擊.第一個包的偏移量為0,長度為N,第二個包的偏移量小於N,為了合併這些資料段,TCP/IP堆疊會分配超乎尋常的巨大資源,從而造成系統資源的缺乏甚至機器的重新啟動.

PingSweep - 最普遍的主動方法是使用 ICMP echo packet (ICMP type 8),多數作業系統內建的工具程式ping使用 ICMP echo packet 來發現一台主機是否在線上(alive),如果收到一個 ICMP echo reply (ICMP type 0),那麼主機便被認定是在線上並且可連線的(reachable),使用這個方法來偵測多台主機通常被歸類為 ping sweep,當然這也可以消耗主機資源.

Pingflood - 在短時間內向主機發送大量的ping來造成網路堵塞或是耗盡主機資源的攻擊方式.

關於以上攻擊方式的一些防禦手段:

Synflood 並不需要以 "多個" 隨機來源主機位址送出 SYN 封包, 只需要 "一個" 就夠了, 用多個主要是預防被發現而 Block 住. 作業系統會維持一個 SYN backlog queue 記錄送出 SYN/ACK 而還未收到 ACK 封包的連線, 早期作業系統可能只會配置 5-10 個空間, 因此很容易受到這種攻擊, 現在的作業系統則以提高 SYN backlog queue 空間來預防這種攻擊(例如 預設 Linux 2.2.x MEM < 128M 配 128 個, MEM > 128M 配 1024 個), 當然如果攻擊者送的 SYN 封包夠多, 還是可發動這種攻擊, 現在的 Linux 則提供 SYN cookie 來防禦這種攻擊, SYN cookie 不以 SYN backlog queue 記錄尚未收到 ACK 的連線, 因此可預防此類攻擊.

Smurf 主要屬於DDoS攻擊,通常是要佔滿網路頻寬,系統本身不太會受這種攻擊影響,一般對外頻寬可能只有T1/T3,Lan 則多 100M 以上,防火牆即使擋住 ICMP 封包流向內網,對外頻寬仍然被佔滿,通常得尋求上層 ISP 協助.一般要注意的是不要讓自己的網路成為 Smurf Amplifier,需擋住由外到內的廣播封包,x.x.x.255,x.x.x.0.

抵擋Land-based攻擊-防火牆擋住由外部來SourceIP 卻為內部(包含所有 Private IP number)IP number 的封包.大部分的防火牆應該能將rule設在特定介面上,以linux netfilter/iptables為例,假設網路介面 eth0 接到內部網路eth1 接到外部網路,則可設定 iptables -A FORWARD -i eth1 -s 192.168.0.0/16 -j DROP,這樣只有從 Internet 上進來的 192.168.0.0/16 封包才會被丟棄,來自內部 eth0 介面的 192.168.0.0/16 則不受影響,但是現在很多 ISP 會使用 Private IP 當成 router 的 IP,因此可能造成 tracert 等出現問題.另外也建議擋住由內部網路介面發出而來源位址卻不是內部設定的封包,例如 iptables -A FORWARD -i eth0 -s ! 192.168.0.0/16 -j DROP,以防止內部機器被利用發動 IP Spoofing 攻擊.

Ping of Death - 這是作業系統實做網路功能時的問題,上patch就行了.

Teardrop - 同樣也是作業系統實做網路功能時的問題...,上 patch

PingSweep&Pingflood - DDoS型的大部分問題會在對外頻寬,不管防火牆再如何擋,封包還是會送到你家門口,因此需尋求上層 ISP 協助,不過檔掉進來的ICMP,至少可以防止內部因此回應大量封包,仍有幫助,但可能會造成網路除錯時的麻煩.

============================================================================
我相信攻擊巴哈的這群死魔獸私服大陸駭客一定不會這麼簡單運用其中一種方式,而是交叉混雜的使用甚至用更高招的方式進行攻擊...因為巴哈是公眾網頁,目前可以參考的方式是以收到網頁要求的頻率來判斷是否該機台已是被綁架的"肉雞",如果網頁要求頻率過高,就直接在GATEWAY或是其他硬體設施上將對方的IP鎖定DENY或是進行轉向反擊....

但這終究不是解決之道...對於DDOS攻擊,目前號稱可以對抗的大廠,其實也只是端著湯,裡面卻沒有肉...華而不實的對抗能力,似乎是現在硬體商的通病...

希望巴哈早日找到解決之道..加油!