注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

中国红盟创始人刘庆 的博客

网站安全专家

 
 
 

日志

 
 

阿里巴巴被攻击,DDOS攻击逞威风   

2010-04-23 15:58:33|  分类: IT评论 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

       4月16日、17日面向美国市场的阿里巴巴全球速卖通平台受到不明身份黑客的持续恶意攻击,黑客针对速卖通网站在国内和美国的服务器采取了多种手段的攻击。阿里巴巴方面称,阿里巴巴的客户资料未受影响,没有泄露和被窃取,速卖通平台的正式上线和进军美国仍将按原计划进行。去年8月,阿里巴巴宣布其全球速卖通平台进入试运行阶段。

        阿里巴巴被黑客攻击这则新闻迅速在网络上传播,我们想简单用技术的方式看看阿里巴巴被攻击的情况,于是我们查看了一下阿里巴巴速卖通网站的基本信息:

网站是由JSP语言开发,数据库是ORACLE,主站www.aliexpress.com的IP地址是110.75.198.31,这台服务器的WEB服务器是Apache/2.0.59 (Unix) mod_AliCookie(for apache2.x)/1.1 aliBeacon/1.0 mod_jk/1.2.25,这台服务器里面有www.aliexpress.com和help.aliexpress.com两个网站,服务器操作系统是LINUX。

这个域名下面有一些二级域名,包括help.aliexpress.com,seller.aliexpress.com,wholesale.alibaba.com,escrow.aliexpress.com,ask.aliexpress.com。

其中seller.aliexpress.com的IP地址是121.0.20.31,这个网站的WEB服务器是Apache/2.0.59 (Unix) mod_AliCookie(for apache2.x)/1.1 aliBeacon/1.0 mod_jk/1.2.25,

这台服务器同时放置了wholesale.alibaba.com,aliexpress.com,seller.aliexpress.com,escrow.aliexpress.com等几个网站,服务器操作系统是LINUX。

121.0.20.31这个IP地址所在地是在浙江省杭州市阿里巴巴,纬度:30.2549991608, 经度:120.168998718。ask.aliexpress.com的IP地址是121.0.20.36。

       黑客的攻击手段我们总结了一下,包括网站漏洞入侵,系统溢出漏洞攻击,数据库漏洞入侵,第三方应用程序溢出漏洞攻击,DDOS服务拒绝攻击。

首先我们来看看速卖通网站漏洞情况,速卖通网站程序大部分都是静态的,而且WEB服务器模块都是阿里巴巴定制的,而且这台服务器前面还加了层代理,一些表单提交的地方、跨站脚本漏洞,源代码泄露漏洞等安全隐患都不存在,因此黑客通过网站漏洞来进行入侵的可能性非常小。

        然后我们再来看看系统溢出漏洞攻击的方式,速卖通网站服务器操作系统的版本通过几种方式尝试都没能拿到,想利用系统的远程溢出漏洞来进行入侵可能性几乎是零。

        接着我们再来看看数据库漏洞入侵的可能性,像阿里巴巴这样的大公司服务器的架构是在WEB服务器的前面部署几台代理服务器,接进来才是WEB服务器,然后多个WEB服务器又往后连接着数据库服务器,数据库服务器通常都是不直接对外开放,只连接着WEB服务器。所以这种架构的情况除非网站程序存在着漏洞,不然除非你直接冲进阿里巴巴的机房去入侵数据库服务器,其它办法是不可能的事情。

        接下来我们再看看第三方应用程序溢出漏洞攻击的方式,简单看了一下,系统就80端口是对外开放,而且阿里巴巴这样的大公司对于第三方的应用程序这一块应该是有着非常严格的管理制度,所以利用第三方应用程序所导致漏洞的可能性也不存在。

        最后一种情况:DDOS攻击。这种攻击方式是不用进入阿里巴巴公司的服务器,直接利用大量垃圾数据包来阻塞阿里巴巴服务器的带宽,这种攻击方式很多大的IT公司都遭遇过,包括新浪,百度,雅虎等等。为什么连很多大的公司都很难防御DDOS攻击呢?因为黑客都是靠收集大量的肉鸡电脑和肉鸡服务器来实施攻击的,你说你是家大公司,能购买几百,上千台服务器,也能购买上10G的带宽,但是黑客只用1万台肉鸡就可以达到10到20G的攻击流量,而且黑客收集1万只肉鸡是很快的事情,正常来说如果黑客是团队作案,通过一周甚至更短的时间就能收集到1万只肉鸡,所以这种攻击方式是最难防范的。据几个在阿里巴巴上做生意的朋友跟我反映,4月16日有个别阿里巴巴网站访问速度非常慢,这种情况是典型的受DDOS攻击的症状,然后我们再来分析一下新闻里所讲的内容“4月16日、17日面向美国市场的阿里巴巴全球速卖通平台受到不明身份黑客的持续恶意攻击,黑客针对速卖通网站在国内和美国的服务器采取了多种手段的攻击。”“经公司技术人员的全力维护,本网站抵御住了攻击,客户资料未受影响,没有泄露和被窃取。但因为攻击,有部分用户在部分时段访问速卖通网站受到影响。”这些新闻里有“持续恶意攻击”的字眼,通常来说入侵攻击的方式,通常都是你来我往,就像上次百度被黑一样,黑客一方把网站页面篡改掉,然后百度一方又把网站页面改回来,这种是拉锯战,是你来我往型的。就像战场上我方和敌方争夺一个制高点一样,一会儿你夺得了,一会儿我又抢回来了。而DDOS攻击则是持续性的,就像战场上敌方往我方阵地上扔炮弹一样,是持续性不间断的。而且新闻字眼里有“有部分用户在部分时段访问速卖通网站受到影响。”这是典型的网站受到DDOS攻击而无法访问的情况,而入侵攻击是不会同时把所有网站页面给改掉的,所以如果是入侵攻击,那网站还是可以访问的。所以最后我们断定阿里巴巴的速卖通网站是遭受到DDOS攻击了。

        最后我们简单来分析一下黑客的来源,针对速卖通网站的攻击时间从16日晚11时开始,断续攻击到17日晚,被攻击的开始时间应该是美国时间的上午,正好是网站访问的高峰时段,

而且就只有速卖通的网站被攻击了,阿里巴巴其它的网站都还挺正常的,这个速卖通网站我们如果不是搞网上贸易的,还真不知道这个网站的存在,而且网站又是英文的,按照国内黑客垃圾的英文水平来说,一般的黑客盯上的可能性非常小。所以根据我们多年与黑客做斗争的经验来看,这种很有可能是竞争对手找黑客实施的攻击。如果是竞争对手的话,那会不会是阿里巴巴国内的竞争对手呢?如果是阿里巴巴在国内的竞争对手的话,那如果他们要攻击也不会等到这个时候来攻击,而且DDOS攻击也是有办法能查的,如果到时候查到的话,我想以阿里巴巴良好的政府关系,阿里巴巴这家竞争对手公司将会很难受,所以国内的竞争对手可能性不大。那国外的竞争对手呢?阿里巴巴这个网站是直接针对美国用户的,受影响的应该是美国的电子商务网站,以及美国的贸易保护主义。前段时间美国谷歌遭受黑客攻击而退出中国,相信不少美国人都憋了一股气,那这次有没有可能是美国人的报复呢?

 

中国红盟介绍:中国红盟是由刘庆先生(昵称SHARPWINNER)所创立的网络上著名的网络安全组织,现在红盟在现实中成立了网络安全公司,专注服务器与网站的安全解决方案。

网址:www.runet.cn

中国红盟创始人刘庆联系方式,MSN:liuqingrk@hotmail.com。欢迎大家与我进行沟通,交流。

  评论这张
 
阅读(5155)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017