早在 2015 年 9 月，使用 Linux 惡意軟件就發生了超過 150 Gbps 的大規模 XOR.DDoS 攻擊。XOR.DDoS 是惡意軟件的名稱，而不是攻擊名稱，用于影響 Linux 系統。它于 2014 年 9 月被發現，各種網絡安全服務公司和博客（包括安全情報響應團隊 (SIRT)）發布了對這種 Linux 木馬惡意軟件的分析。

很久以前的分布式拒絕服務攻擊今天仍然有用嗎？在許多方面，在本指南中，我們將提供對 XOR.DDoS 的分析以及如何應對它。

什么是 XOR.DDOS 惡意軟件？

傳統的攻擊是利用Linux機器的現有漏洞來惡意利用操作系統。然而，XOR.DDoS 使 Windows PC 成為僵尸 PC，并通過命令與控制 (C&C) 服務器發起攻擊。

XOR.DDoS 攻擊用于通過生成大量數據（包括 SYN 和 DNS 中的無意義字符串）來擊敗網絡。

這對網絡來說是一個非常嚴重的威脅，因為數據量超過了大多數一般公司的網絡處理能力和帶寬。

除了這些主要目標之外，UDP 還被用于阻止上層的大量流量。但是XOR.DDoS攻擊使用的是小網線無法攔截的TCP

什么是蠻力攻擊？

蠻力攻擊會嘗試許多隨機密碼，直到獲得正確的密碼。暴力攻擊有多種類型，包括通過嘗試單詞組合來確定解密密鑰或密碼的 字典攻擊 、輸入所有密鑰的隨機攻擊以及使用預定義哈希表的彩虹攻擊。

XOR.DDOS 攻擊的起源

77.1%的XOR.DDoS攻擊發生在中國和美國，主要發生在使用云服務的Linux服務器上。許多大型云服務提供商也是 XOR.DDoS 惡意軟件的受害者，教育機構和游戲行業也是如此。此外，由于在大多數情況下都使用 SSH 服務（22/TCP），因此假設沒有適當管理和 云安全的云系統 已被黑客入侵。

針對 XOR.DDoS 攻擊的對策

XOR.DDoS 攻擊以 SYN 泛洪 + 包括數據的形式進行。SYN 只是一個執行 3 次握手的過程，不需要在 SYN 數據包中包含數據。

如果檢測到帶有數據的 SYN 數據包，則可以通過阻止所有 SYN 數據包來擊敗 XOR.DDoS 攻擊。此外，使用 SYN cookie 來抵御 SYN 泛洪 + SYN 欺騙攻擊是很好的，這兩種攻擊都發生在 2015 年，因為 SYN cookie 對欺騙有效且有用。

SYN cookie 通過在序列號中包含 cookie 值并將 cookie 值與末尾的 SEQ – 1 = cookie 值進行比較，有效地阻止了 SYN 欺騙。

SYN cookie 不需要一定的時間來等待響應；如果這兩個值不相同，則丟棄該數據包。因此，SYN cookie 是一種非常有效的阻止欺騙攻擊的方法。

或者，First SYN DROP 可以是第二個對策。該技術通過將第一個 SYN 數據包信息保存在內存中并丟棄數據包來工作。如果會話請求正常，同一個IP地址會再次發送SYN請求。如果請求是為了攻擊，將收到來自另一個 IP 的另一個 SYN 請求。

結論 – 獲得 DDoS 緩解服務

大規模的網絡線路是抵御XOR.DDoS等大規模TCP攻擊的必要條件。內容分發網絡行業可以提供服務來 抵御 DDoS 攻擊。由于服務是基于云的，可用的流量處理能力非常大，成本大大低于每個公司實施服務的成本。借助這些服務，大多數公司將從可承受的成本和時間中受益匪淺，而不會出現任何伴隨問題。