首先这次抨击打击起源于应用层的抨击打击，所以所有的ip都是真实的，颠末与CERT沟通，也发现这些ip都是韩国的，并且节制端不在国内，因为期间没有与国内有过通讯，即便在后面换成了udp+icmp的flood，可是依然是那些韩国的ip，这很有意思，正常情况下udp+icmp的数据包是可以伪造的，可是这里竟然没有伪造，这在后面年夜概被我们证实了原因。

这些ip是真实存在的ip，并且这些ip必定在抨击打击完我们之后一定依然跟抨击打击者保持着联系，而一般的联系体例因为需要节制的便利都是dns域名，既然如此，如果我们能挖掘到这个dns域名我们便可能间接的挖掘出真正幕后黑手在哪里。首先，我们迅速的找出了这次抨击打击ip中开放了80端口的机械，因为我们对80端口上的平安问题比较自信，应该很快可以获知这些ip背后的细节（80sec名称由来），我们发现年夜部分是一些路由器和一些web的vpn设备，我们猜想这次抨击打击的主要是韩国的小我用户，而小我用户的机械操作系统一般是windows所以在较高版本上发送数据包方面可能有着比较年夜的限制，这也诠释了为什么即便是udp+icmp的抨击打击我们看到的年夜都是真实ip。发现这些路由设备之后我们测验测验深入得更多，很快用一些弱口令譬如admin/admin登岸进去，公然全世界的网民都一样，admin/admin是天生的入口。

登岸进去一些路由之后我们发现这些路由器里面存在一个功能是设置自己的dns，这意味着这下面的所有dns请求都可以被定向到我们自己设置的dns办事器，这对我们去体会内部网络的细节会很有用，于是我们成立了一个自己的dns办事器，并且开启了dns请求的日志功能以记实所有请求的细节。我们年夜约节制了20台路由器的dns指向，并且都成功重定向到我们自己的办事器。 剩下的就是简单的数据阐发，在这之前我们可以对僵尸网络的节制域名做如下的猜想：

1这个dns应该为了矫捷的节制域名的缓存时间TTL一般不会特别长

2这个dns应该是按期的被请求，所以会在dns请求里有较年夜的呈现比例

3这个dns应该是为了节制而存在的，所以域名不该该在搜索引擎以及其他处所取得较高的拜候指数，这与2中的法则配合起来会比较好确定，是一个天生的矛盾。

4这个dns应该在各个路由下面城市被请求

这些通过简单的统计就很容易得出谜底，我们发现了一些3322的通用歹意软件域名可是发现它其实不是我们需要的，因为只有少数机械去拜候到，颠末一些时间之后最后我们发现一个域名拜候量与naver（韩国的一个门户）的拜候量持平，workgroup001.snow**** ，看起来似乎对自己的僵尸网络办理很好嘛，年夜概有18台机械拜候过这个域名，这个域名的主机托管在新加坡，生存时间TTL在1800也就是半小时，这个域名在所有的搜索引擎中都不存在记实，是一个韩国人在godady一年前才注册的，同时我们拜候这个域名指向主机的3389，简单的通过5下shift就判断出它上面存在着一个典型的windows后门，似乎我们找到它了，不是么？经事后续的不雅察，一段时间后这个域名指向到了127.0.0.1，我们确信了我们的谜底,workgroup001.snow**** ，看起来似乎对自己的僵尸网络办理很好嘛：）

这是一次典型的ddos抨击打击，抨击打击之后我们取得了参与抨击打击的主机列表和节制真个域名及ip，相信中国和韩国的cert对清理这次的抨击打击源很有兴趣，我们是有一些损失，可是抨击打击者也有损失了（年夜概包含一个僵尸网络及一个节制端域名，甚至可能包含一次内部的法令查询拜访），我们不再是不服等的了，不是么？

五总结

正如一个朋友所讲的，所有的防御是不完美的正如抨击打击是不完美的一样，好的防御者在提升自己的防御能力趋于完美的同时也要善于寻找抨击打击者的不完美，寻找一次抨击打击中的缝隙，不要对抨击打击心生惊骇，对Ddos抨击打击而言，倡议一次抨击打击一样是存在缝隙的，如果我们都能够擅长操纵其中的缝隙并且抓住后面的抨击打击者那么相信以后的ddos抨击打击案例将会削减很多，在针对目标倡议抨击打击之前抨击打击者也会做更多的权衡，损失，好处和法令。

作者EMail: jianxin#80sec

文章来历: .80sec