CTF案例: 一个脚本白赚10w美刀

1. 事件概述

2025 年 1 月 30 日，在 Buck You 平台上发生了一起恶意事件。不法分子利用 DDoS 攻击脚本，向一个共享对象大量发送失败交易，以此阻止其他用户访问该共享对象，最终独自获取了价值 10 万美元的奖励。

下面是对象的链接有兴趣的同学可以看下： https://suivision.xyz/object/0xb7737b1f632a647d9cdd4d091e34de92f2b32a04770d95ff66fe4ad8e5e7edae

2. 什么是 DDoS 攻击？

DDoS 即分布式拒绝服务（Distributed Denial - of - Service ）攻击，攻击者通过控制大量的傀儡主机（僵尸网络），向目标服务器发送海量请求，耗尽服务器的资源（如带宽、CPU、内存等），使其无法正常为合法用户提供服务。 一个完整的DDoS攻击体系包括攻击者、主控端、代理机和攻击目标四部分组成，示意如图1-1所示。

攻击者发起攻击并向代理机发送控制指令，代理机就会向被攻击目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源，而且这些数据包所请求的服务往往要消耗大量的系统资源，造成被攻击目标主机无法为用户提供正常服务，甚至导致系统崩溃。

3. 常见 DDoS 攻击形式

3.1 容量耗尽攻击（Volumetric attacks）

借助僵尸网络和放大技术，向终端资源注入大量流量，阻碍正常用户访问。常见类型包括：

• UDP 洪水攻击：黑客利用大量互联网控制消息协议（ICMP）请求或 ping 命令，试图耗尽受害者服务器带宽。
• ICMP 洪水攻击：黑客向受害主机发送海量用户数据报协议（UDP）数据包，使受害主机因 UDP 报文泛滥而耗尽资源，无法处理和响应合法流量服务。

  3.2 协议攻击

  利用协议工作方式的漏洞发起攻击，是第二常见的攻击媒介。常见类型有：

• SYN 洪水攻击：黑客利用 TCP 三次握手机制的漏洞，客户端发送 SYN 数据包到服务器并接收 SYN - ACK 数据包后，不向服务器发送 ACK 数据包，导致受害者服务器留存大量未完成的 SYN - ACK 请求，最终崩溃。
• Ping of Death 攻击：黑客通过发送超大数据包的简单 Ping 命令，使受害者系统冻结或崩溃。

  3.3 程序攻击

  利用协议栈中的漏洞，针对特定应用程序而非整个服务器发起攻击，通常针对公共端口和服务，如 DNS 或 HTTP。常见类型有：

• HTTP 洪水攻击：黑客利用大量标准 GET 和 POST 请求淹没应用程序或 Web 服务器，因其常伪装成合法流量，检测难度较大。
• Slowloris 攻击：攻击者按一定时间间隔向受害者服务器发送 HTTP 请求，服务器持续等待这些未完成的请求，最终耗尽受害者带宽，使合法用户无法访问服务器。

4. 应对措施

针对 DDoS 攻击，需要采取一系列有效的防范措施。 技术层面上 ① 可采用流量清洗服务，实时监测和过滤恶意流量； ② 优化服务器架构，提升服务器的抗攻击能力和弹性； ③ 部署入侵检测系统（IDS）和入侵防御系统（IPS），及时发现并阻止攻击行为。 管理层面上 ① 制定完善的应急响应预案，当攻击发生时能够迅速采取措施，降低损失； ② 加强员工安全意识培训，提高对 DDoS 攻击的防范意识和应对能力。