第54章 黑客园哥
第54章 黑客园哥 (第3/3页)
个软件还能有什么作为。
园哥一下切中了这款软件的最关键之处。识别正常的访问和DDOS攻击是非常困难的,尤其攻击者还可以伪造数据包和进行协议欺骗,再不济模拟正常的访问流量以硬碰硬,靠带宽的优势来压倒目标。
防跟踪的功能难不倒园哥,花了一些时间,他进入到了软件的核心逻辑代码,通过反编译观察软件的处理流程。经过几天几夜的研究,他就弄清楚了大概的流程。
原来软件在接受请求的时候,首先会去查一下本地的黑名单库,这个黑名单库是从后台服务器传送过来的。如果请求来源地址在黑名单之中,软件会直接将此请求过滤掉。如果请求被某种机制判断为可疑时,会将相关信息上传到后台服务器中处理。
后台服务器对信息进行确认,如果确为DDOS攻击,则将此来源地址加入黑名单,下发回软件客户端,并发动反击。园哥通过sniffer工具捕捉到反击的数据流,通过事件发生的时序证实了这一点。
这套系统最精髓的就是请求的判断机制和后台服务器的处理了,园哥开始研究判断机制的代码。可惜毕竟没有拿到源代码,单靠汇编语言一时之间难以窥得这种机制实现的全貌。他初步判断这段代码应该有机器学习的功能,进而推断这个软件也许具有一定的人工智能。
可惜后台服务器用的是UNIX系统,安全防护做得比较到位,一时之间没法攻破,不然如果拿到后台的服务程序,可以更快速深入了解整个处理机制。
再来研究通过捕捉到的漏洞利用代码,整个过程非常的利落,精心设计的溢出数据,化数据为指令,利用缓冲区溢出的数据修改PC指针的值,指向希望执行的代码,提升权限,完成攻击,没有一点冗余的动作。
那段执行并提升权限的代码很精妙,就像在另一个更高维的空间里做出动作,所有人都无法看到动作的过程,只能承受动作的结果。这很像他一直在苦苦追寻的通用漏洞利用模型,他决定要把这件事搞明白。