|
作者anderson1127
驚 !? 我多年前做某公家機關的駐點工作 , 就曾遇見過一件事 , 當時該機關正在找廠商
來消化處理某筆預算 , 就是資安的預算!! 我印像中記得,他們家的Sales及PM來過我駐點的
地方之後 , 大約半個月到一個月之間 , 就發生DDoS事件 !!
只是, 因為網路架構上的緣故 , 攻擊方原本只是想攤渙一下該公家機關的出口頻寬 ,結果沒想到
導致骨幹網路上的一台老舊的IPS無法負荷流量的異動(該死的趨勢科技產品) 在該段時間裡
卡住了 , 接著就像漣漪一樣 , 很多單位的服務接著一個一個掛點動不了 !!
在那一瞬間,你會搞不清楚到底發生了什麼事 , 只知道 伺服器掛了,網路不通了 , 天旋地轉了.... !@#!%^*(GASDE#@!
後來,持續約半個多小時後,慢慢恢復了 , 當時我被主管告知隔天早上7:00上班到場!!
------
早上一早,我就趕忙進入辦公室 , 接著查看流量資料 以及那台IPS (其實IPS有好幾台)
因為它就在骨幹那一串設備上!! 當時,真沒想到是DDoS事件的發生 , 只是單純的以為
大概是什麼設備或者主機被攻擊而已!!
查看流量後,順便就開始抓圖抓Log , 當時Firewall Log是外包給SOC (種花拿走了)
我沒得看 , 只好通知種花 , 把晚上23:00-24:00 的記錄截取下來,寄送給我自己分析!!
還好當時有抓取一些流量圖,關鍵點就在那台IPS有記錄到一個詭異的流量出現在WAN端
大約半天以後,我取得FW Log檔 , 查看了裡面記錄的message文字格式,寫了個Script
去專門分析該Log檔 , 這個檔大約2GBytes多 , 丟到網管專用主機去分析後
很快的約15分鐘我就查到一些不大對勁的訊息 .....
有幾個國外的IPv4 address 在那半小時裡(23:00-23:30)瘋狂的丟UDP封包給我們的
官網主機的IP addr. , 搭配流量圖及FW Log確認了DDoS的發生 !!
因為熟悉封包的往來的工程人員就會知道, 你去查這個來源的ip addr 基本上是沒用的
因為UDP封包造假最容易 , 當然來源ip addr要寫那一個ip 都可以!!
重點來了,誰幹的 ?? 又為什麼要這樣做 ??? 去看一下開頭的時後發生了什麼事 ....
我認為啦 , 資安公司為了爭取案子,是有可能犯下這個事件 , 否則我擔任工作的期間
都沒發生過的事,為何只有在該機關有了那一筆資安的預算之後,資安公司來過以後
約1個月內就發生這種無法追蹤的攻擊事件呢 ???
|