反黑风暴·记一次遭遇 SSDP DDoS 和 EternalBlue(永恒之蓝)攻击经历
作者:高玉涵
时间:2021.12.07 15:45
博客:blog.csdn.net/cg_i
前言
就在昨天下午我所处的内网被 DDoS 攻击,万幸的是攻击来自内部,除所处网络因攻击不堪重负瘫痪,期间并未波及其它。因发生在内部,定位也较为轻松,找到中毒的电脑,拔掉它的网线、杀毒、打上补丁,故障排除。本想“事去佛衣了”没曾想,今天一大早又遭遇“永恒之蓝”病毒攻击。既然如此索性将此次遭遇分享,如果能够对大家有所启发将万分荣幸。
故事一:SSDP DDoS
2021年12月6日15 时,办公室里正在认真工作而忙碌的同事,突然发现使用的内网电脑,操作出现卡顿严重到连鼠标光标也无法移动,与此同时还伴随着网络中断,而一些同事无心将网线拔掉的举动,发现电脑即刻恢复正常,插上网线后又出现先前症状。
此时我一个激灵,凭经验判断网络一定遭到了攻击,抓包后果然验证了先前的判断,网络中充斥着不正常的 SSDP 广播包。
经过统计 240 这台机器,当前时间 53s 到 54s 间,1 秒内发送了 998,672 个数据包 1,104,788 * 179 Bytes 数据就达 170 M 之多,而此时攻击已经持续超过 30 分钟,整个网络带宽早已被占用耗尽,又因为发送的是广播数据,内网中每台电脑在接收到广播后又必须应答(本身也要发送一些应答数据),网络中的电脑近百台,攻击规模瞬间被放大以几何级增长,受攻击的电脑疲于接收、应答及等待回复(网络已瘫痪回复数据不能正常传回直至超时)直至耗尽 CPU 资源,这也就是为什么会出开头的描述,内网中的每台电脑 CPU 风扇狂转,同时系统出现卡顿现象。
定位到攻击源后,接下来的事情就比较简单了,拔掉网线、杀毒、打上系统漏洞补丁,故障排除。
这里要特别说明一下,在内部遭遇 DDoS 攻击的网络,除了要断开攻击源主机的网络,还必须要重启一下核心网络设备,因为虽然攻击源主机断开了,但攻击数据包还在网络中(俗称网络被“毒化”)否则网络攻击依然不会停止。
故事二:EternalBlue(永恒之蓝)
2021年12月7日8 时30分,跟往常一样,打开电脑准备一天的工作,可能缘于大家对昨天的攻击还心有余悸,同事还在半开玩笑的说,觉得网络又有一点卡顿。但这次电脑并未见异常,我也没当回事,只当是同事间开的玩笑,但又鬼使神差的,习惯性抓了一会包,这一看不得了,还真让我发现了点珠丝马迹。
根据我以往的经验,发现网络中存在利用微软 MS17-010 漏洞的数据报文,即使一时还不能断定是病毒所为,起码从报文信息中可得知,有“人”在通过匿名方式穷举 SMB 共享密码的行为。定位到攻击源后,接下来的事情就比较简单了,拔掉网线、杀毒、打上系统漏洞补丁,故障排除。
通过杀毒结果印证了我先前的猜测,这台电脑的确中了“永恒之蓝”病毒,好在发现的早事态并未进一步扩大。
总结
通过上述两个我亲身经历的故事,发现这些遭受攻击,症状比较严重的电脑,都存在一个共性问题,就是使用的操作系统是 WIN10 以下, 都是 WIN7 系统,且都是没有安装杀毒软件,或病毒库版久没更新,更要命的是系统自带的防火墙也没有启用,即使开了防火墙,默认启用了共享目录及打印机服务、UPNP 即插即用服务,前者易被“永恒之蓝”病毒利用,后者易被 SSDP DDoS利用。
所以这里强烈建议大家,平时要重视信息安全防护工作,特别是在内网环境,不仅要安装杀毒软件、开启防火墙、打补丁,有条件的话在网关或系统防火墙里关闭 139、135、445、1900 端口(SSDP DDoS利用)这些端口平时内网里也使用不到。