在上周的回顾中，我们提到了悲催的“PhantomL0rd”和偏执狂般发起攻击的“DERP”。在去年12月底上演的针对包括EA、暴雪等大型游戏公司的DDoS攻击事件一度使人们误以为“PhantomL0rd”是被攻击的目标和受害者。然而，随着事件及其背后动因不断地被挖掘和曝光，我们看到的则是另外一幅完全不同和令人震惊的画面。这出一个愿打一个愿挨的大戏，其背后到底隐藏着哪些不可告人的秘密呢？

　　在阐述事件的前因后果之前，先简单介绍一下两位主角：“PhantomL0rd”和“DERP”。

　　“PhantomL0rd”名叫James Varga，某专业游戏小组的成员，同时是Twitch的知名和资深视频博主。“DERP”也叫“DERP Trolling”，这是一个成立于2011年，比Anonymous还要随性而松散的黑客组织。如果从Anonymous的攻击行动还可以找到漏洞利用、网页篡改和数据窃取等“高技术“含量的行为，那么DERP恐怕就只有DDoS这唯一一种相对”低技术“含量的攻击手段了。

　　在上周的回顾中我们提到“PhantomL0rd”被“DERP“所追杀，包括魔兽、英雄年代、FIFA、战地4等无数游戏中枪，但凡”PhantomL0rd”玩的游戏均不同程度地遭到DDoS攻击。然而，这位颇有点“亡命天涯”味道的追杀目标——”PhantomL0rd”并非无辜；恰恰相反，他是整个事件的策划者。

　　“PhantomL0rd”经常参加一些网络游戏的对战。但凡对战，只要你不是上帝，就一定互有胜败。问题是“PhantomL0rd”想做上帝。他主动找到“DERP”，提出了一个“不错”的计划：在网游对战中，如果“PhantomL0rd”小组打不过别人，“PhantomL0rd”小组就下线，然后“DERP”登场，发起DDoS攻击游戏服务器让游戏无法继续。这样一来，比赛就没有结果，“PhantomL0rd”就有再次翻盘的机会。这就是“PhantomL0rd”和“DERP”之间的秘密。

　　这尼玛是不是有点过于无耻了？打过团战的都应该深有体会，团战打到high的时候，如果突然网络中断了，那连砸电脑的心都有！另一方面，这尼玛用DDoS来左右比赛结果，是不是可以入选“2013年十大技术创新”名单了？

　　不过，从技术角度上来看，这群随性的黑客并非想象中的那般菜鸟。从大量的外媒报道来看，DERP是第一个利用NTP服务器进行大规模反射放大攻击的黑客组织。和DNS反射攻击的模式非常类似，攻击者将源地址伪造为游戏服务器，向互联网上的开放NTP服务器发送monlist请求。NTP服务器上的monlist模块会对这些monlist请求返回最近600个主机IP地址，而这些回应包将发往被攻击目标主机，即游戏服务器。这就是反射。

　　攻击的另一个关键技术环节是放大。monlist请求数据包大小为8字节，而响应数据包为468字节，这样一来，响应包是请求包大小的58倍。虽然技术上不算高深，但是“四两拨千斤”颇为有效，竟然真的干翻了EA、Battle.net等诸多大型游戏公司的服务器。

　　更令人震精的分析数据来自CloudFlare。CloudFlare在 1月9日的官方博客上对NTP反射放大攻击也进行了分析。NTP反射放大攻击和DNS反射放大攻击有异曲同工之妙，都是基于不需要维护状态的UDP协议。对抗D稍有研究的人都会知道，虽然UDP Flood很简单，但是不是太好防——包括Cookie和CAPTCHA在内的所有客户端验证手段均将失效。CloudFlare提到用MAC终端发出的MON_GETLIST 请求包为234字节，返回包是4460字节（分拆成10个数据包），放大了19倍。

　　有朋友会说，19倍毛毛雨啦。事实上，CloudFlare测试的NTP服务器并非一台业务繁忙的服务器，4460字节返回的仅是55台主机的IP地址。在上文提到，一台业务繁忙的服务器会返回600台服务器IP。如果真的返回了600个IP，那么返回的数据包将是4460字节的10余倍。经放大后，将超过200倍！

　　OMG，200倍！这个数字你应该非常满意了。

　　整个事件中唯一让人稍稍感到有点正能量的是“DERP“的诚信。据称，“Derp“严格兑现自己的承诺：你打不过，我就打DDoS！真诚地“奉献”了针对游戏服务器的若干次DDoS攻击。为啥说“奉献”？因为，“DERP”完全友情赞助，分文不取。

　　到这儿，我只想说一句：DERP，你丫真2。