Minecraft(我的世界)中文论坛

标题: MCPING攻击原理及防御

作者: 1277832129 时间: 2015-2-5 18:19
标题: MCPING攻击原理及防御
本帖最后由 1277832129 于 2015-2-5 19:28 编辑

从昨天晚上开始,陆续在群里面看到几位服主服务器遭到攻击,大概检查了一下,发现原理很简单.

先说下什么是PING攻击,不是CMD里面的那个PING,获取服务器MOTD后客户端会向服务端发送PING包,来检测延迟,
在熊吧看到,有人想通过获取MOTD的方式打服,那样太没效率,会因为使用的套接字太多,最后被服务器拦下的.
但是通过PING攻击,只需要使用几个套接字即可,基本不会被抓.

原理:
先上图说说,ping攻击.我这里所演示的服务器,是某位熊孩子的,我就不说了.

如图所示红框部分,就是PING状态,并不是MOTD部分,而是单独的.怎么说好呢···总之先看吧.

如图所示,可以发现,在获取MOTD后就可以发送PING包了这个时候你PING一次服务器同样也会返回一次,
所以熊孩子估计就用了这点吧

先说说效果,一般的随便找台宽带不错的服务器,用差不多5个socket打服就可以达到很好的效果,
服务器那边的现象是,不会有任何提示,服务器无缘无故内存溢出(报错outofmemory),最后服务器崩溃.
在这种情况下很难找到真实IP,所以很麻烦.因为是MC协议,防火墙也不会拦截,认为这是一次正常的访问.

实战:
我实战的目的只是为告诉大家威力,希望大家重视,不希望被熊孩子利用
我选取了一台服务器,这台服务器是刚刚攻击其他人的,我只是用来做演示,并无恶意.
根据原理我写好了一套简单的工具直接开始演示威力
还是刚刚看到的那个服务器,开始攻击后

可以看到宽带占用量大幅提高

一会可以看到基本挂了过不了多久就会垮掉.

防御：
两种办法
接到Ping包后返回一次就行了接着close掉socket
或者是直接发完MOTD后断开连接
这里举两个例子

BungeeCord服的自动防御:

如图所示这样的好处在于可以看到PING条会是绿的

一些MOTD为了满足特殊需求,不能发送PING包但是歪打正着的防御了PING攻击比如动态MOTD插件

如图所示是一款动态MOTD插件抓包的截图,为了实现动态MOTD，不得不放弃PING.

可以看到这里的绿灯变成了红灯,这种方法也是有效的

另外这个BUG也提交给保护插件的作者了所以估计很快保护插件会增加这个的防御

3.png (22.33 KB, 下载次数: 48)

作者: Mayomi 时间: 2015-2-5 18:23
提示: 作者被禁止或删除内容自动屏蔽

作者: LZX6238 时间: 2015-2-5 18:23
包括我的- -

作者: lin998776 时间: 2015-2-5 18:23
{:10_492:}隆大神就是厉害

作者: Johnny.R 时间: 2015-2-5 18:23
赞233333萨比隆就是powerful!

作者: 179962678 时间: 2015-2-5 18:25
已阅——来自Bakaの折痕的帐号

作者: GenjiKai 时间: 2015-2-5 18:33
又是攻击
感觉熊已经都变高端了呢

作者: 丶米饭 时间: 2015-2-5 18:34
不错。{:10_492:}

作者: 1395195415 时间: 2015-2-5 18:35
没看懂哪个解决方法

作者: sulu 时间: 2015-2-5 18:40
熊技术越来越叼了.

作者: shunmiaoxiaolin 时间: 2015-2-5 18:49
提示: 作者被禁止或删除内容自动屏蔽

作者: HC20011015 时间: 2015-2-5 18:50
DOS攻击?

作者: wjk13720041 时间: 2015-2-5 18:57
我看到周末云了我会乱说？

作者: 冰之魂魄 时间: 2015-2-5 19:02
提示: 作者被禁止或删除内容自动屏蔽

作者: leavessoft 时间: 2015-2-5 20:10
感谢lz研究并分享，谢谢！

作者: q1170695169 时间: 2015-2-6 11:02
能不能发一个动态MOTD插件，我总是被这样攻击！但是找不到这种插件！

作者: [email protected] 时间: 2015-2-6 13:30
知道了楼主真厉害

作者: [email protected] 时间: 2015-2-6 13:30
看来得加强防御

作者: [email protected] 时间: 2015-2-6 13:32
额这..我是打酱油的

作者: 我才是小灰灰 时间: 2015-2-6 13:32
这感觉就跟假人一样能不能把假人问题给Mojang反映一下。。

作者: 282904893 时间: 2015-2-6 16:02
即使是动态motd想要防御都得去掉ping变量。

作者: w253307725 时间: 2015-2-6 17:43
感谢lz研究并分享

作者: caoli5288 时间: 2015-2-6 19:41
由插件防御比较麻烦，所以我打算直接修改服务端。
代码已提交给spigot社区，上游版本修复由社区更新，1.7.10版本稍后放出。

作者: a215051606 时间: 2015-2-7 13:50
顶顶顶，，，，，，，多点人看到才好

作者: nick513 时间: 2015-2-7 17:06
提示: 作者被禁止或删除内容自动屏蔽

作者: youyang 时间: 2015-2-7 22:56
我会告诉我完全没看懂么= = 熊孩子都成技术熊了现在

作者: 江湖神医 时间: 2015-2-9 00:49

yzr1933043571 发表于 2015-2-5 18:33
又是攻击
感觉熊已经都变高端了呢

我一句都没看懂0.0

作者: huanghongxun 时间: 2015-2-13 22:57
话说这个监视网络活动的软件叫啥= =

作者: Lucency 时间: 2015-2-26 14:03
现在的熊还腻害啊{:10_524:}

作者: 奇迹之都 时间: 2015-2-26 22:03
LZ大人这个插件的MCBBS帖子没有标明是把插件扔进服务器的插件文件夹还是BC端的插件文件夹..跪求LZ解答..
顺+LZ他们这个动态motd是怎么做的~

作者: xcc 时间: 2015-2-27 16:57
攻击之后会怎么样呢。。。。

作者: xcc 时间: 2015-2-27 16:59
攻击之后会怎么样呢。。。。崩溃而已。。。。。

作者: zouchanglin 时间: 2015-3-8 13:13
群里是舍意思，。。有群号嘛...

作者: Spker 时间: 2015-3-9 16:11
攻击分好多种,ICMP也就是ping攻击,这个最好防御,UDP纯流量还有SYN攻击,.这些不好防吧~

作者: 4one_R 时间: 2015-5-19 18:04
0F 00 2F 31 32 37 2E 30 2E 30 2E 31 63 DD 01

作者: pmpklover 时间: 2015-7-13 13:19

Spker 发表于 2015-3-9 16:11
攻击分好多种,ICMP也就是ping攻击,这个最好防御,UDP纯流量还有SYN攻击,.这些不好防吧~ ...

遇到这种攻击就只能硬件防火墙了

作者: 喵喵人 时间: 2015-10-16 14:02
国内熊孩子总是给国内的MC业造成严重打击