Gli aggressori possono ottenere qualsiasi cosa con attacchi DoS, ad eccezione del blocco del servizio?

65

Un attacco DoS (abbreviazione di "denial of service") è una forma di attacco usata sui servizi web che mira a "mandare in crash" il servizio.

C'è qualche motivo di questa forma di attacco oltre a bloccare il servizio / sito web?

Per esempio, potrei pensare a ricattare / fare del male a un concorrente / ragioni politiche come motivo diretto per l'attacco DoS. Ma ci sono altri motivi più indiretti? Sarebbe possibile ottenere dati dal servizio con un attacco DoS? Se sì, come?

    
posta Martin Thoma 27.05.2015 - 15:49
fonte

9 risposte

74

In generale un attacco Denial of Service (Distribuito) non ti fornisce molte informazioni direttamente. Tuttavia, ci sono alcuni scenari in cui le informazioni potrebbero essere raccolte a seguito di un DoS. I seguenti sono alcuni esempi, ma questo non è affatto esauriente:

  • Un servizio di bilanciamento del carico può divulgare informazioni di sottorete interne o perdere nomi di macchine interne in situazioni in cui i sistemi di supporto non sono in linea.
  • Un DoS che arresta il database per primo potrebbe causare la rivelazione del tipo di motore del database, del nome utente della connessione o dell'indirizzo IP interno tramite un messaggio di errore.
  • Un'API mal implementata potrebbe causare uno scenario "fail-open": il server DoSing di Single Sign-On può dare a un utente malintenzionato la possibilità di accedere non autenticato o con credenziali locali.
  • Negli scenari di minacce persistenti avanzate, l'infrastruttura di rilevamento di DoS potrebbe consentire a un utente malintenzionato di rimanere nascosto durante altre fasi di raccolta delle informazioni.
  • Allo stesso modo, l'interfaccia di amministrazione di un firewall potrebbe ostacolare gli sforzi di risposta agli incidenti dell'amministrazione della rete.
  • In casi estremi, DoS contro un servizio di revoca di chiavi potrebbe consentire a un utente malintenzionato di continuare a utilizzare credenziali revocate o note compromesse.

Altri motivi per un attacco Denial of Service diventano evidenti se consideri gli utenti di un sistema come obiettivi in aggiunta al sistema stesso: un attacco di tipo Denial of Service contro un sito Web che vende biglietti per concerti può consentire a un utente malintenzionato di acquistare i biglietti per un evento che altrimenti sarebbe andato esaurito in pochi minuti. Un DoS contro un sistema di controllo delle versioni potrebbe impedire a una società di sviluppo di consegnare il software in tempo. Un DoS contro un sito di social media potrebbe rendere più difficile il coordinamento delle proteste politiche o l'evento impossibile.

    
risposta data 27.05.2015 - 16:25
fonte
13

In generale, gli attacchi DoS sono progettati solo per causare (come suggerisce il nome) una negazione del servizio, ossia una compromissione della disponibilità del servizio.

Altre forme di DoS, ad es. l'attivazione di un dereferenziamento di un puntatore nullo potrebbe essere utilizzata per compromettere l'integrità arrestando un servizio in modo anomalo senza aver tempo di chiudere in modo pulito i file, causando il danneggiamento dei dati (perdita di integrità). I database sono un obiettivo ovvio per questo tipo di cose.

I firewall e altri servizi di sicurezza non dovrebbero essere chiusi se sono effettivamente DoS. Non sono a conoscenza di casi in cui qualcosa del genere fallirebbe. Tuttavia, potrei prevedere uno scenario in cui un server dietro un sistema di bilanciamento del carico cade su un attacco DoS, quindi il bilanciamento del carico si sposta su un sistema secondario, che è configurato in modo più debole, rivelando così all'esterno la vulnerabilità.

Al di fuori della triade della CIA, potresti scoprire che gli attacchi DoS sono usati per distogliere l'attenzione e le risorse del personale da un attacco più sottile.

    
risposta data 27.05.2015 - 16:00
fonte
13

Sì, l'attacco DoS può essere utile a un utente malintenzionato.

(A proposito, non è un attacco solo contro i servizi Web. Può essere diretto contro qualsiasi dispositivo di rete).

Il punto di DoSing di un dispositivo in questi casi è di farlo rispondere più lentamente o più tardi di quanto farebbe normalmente. Dalla cima della mia testa, vedo:

  • Avvelenamento della cache DNS (attacco di Kaminsky) - Questo si basa sulla capacità dell'attaccante di fornire una risposta DNS prima del server DNS autorevole, che potrebbe essere eseguita da DoSing al server autorevole.
  • L'attacco con l'inserto Quantum di NSA si basa sulla risposta prima del server legittimo
  • Lo spoofing dell'indirizzo TCP / IP viene anche aiutato rallentando la risposta legittima
  • I server OCSP (stato certificato) sono così inaffidabili e sovraccarichi, che alcuni browser Web non li controllano di default, aprendo viale a falsi attacchi di certificati

Su una nota diversa, i server Clear Net di DoSing (ad esempio un dos classico o semplicemente tagliando l'accesso alla rete) potrebbero essere utilizzati per verificare l'identità del servizio nascosto di Tor - ad es. potrebbe essere stato usato per individuare il server di Silk Road.

Allo stesso modo, i nazisti durante la seconda guerra mondiale hanno usato una specie di DoS (spegnimento dell'elettricità nei quartieri cittadini e nelle strade) durante le transizioni di la resistance delle radiostazioni per scoprire le loro posizioni.

    
risposta data 28.05.2015 - 20:20
fonte
5

A DoS (short for "denial of service") attack is a form of attack used on web services which aims to "crash" the service.*

Non esattamente. Come suggerisce il nome, l'obiettivo è rendere il servizio non disponibile per gli utenti legittimi. Il modo più comune per eseguire questa operazione per un servizio Internet come un server Web è saturare le connessioni in modo che nessun altro possa connettersi. Questo può essere fatto ad es. tramite un SYN flood .

Modifica: come commentato da @RoryAlsop, un utente malintenzionato potrebbe anche provare a bloccare il servizio per renderlo completamente offline.

Would it be possible to get data from the service with a DoS attack? If so, how?

No, questo è un tipo di attacco completamente diverso - che, tuttavia, potrebbe essere eseguito insieme a un DoS, quest'ultimo con l'obiettivo di saturare le risorse di un'appliance relativa alla sicurezza, ad es. un IDS, un firewall o anche un logger.

    
risposta data 27.05.2015 - 15:55
fonte
4

Un risultato di un attacco DoS che credo non sia stato menzionato in nessuna delle altre risposte, è la possibilità che una determinata azione possa comportare l'archiviazione dei dati, anche se solo byte. Ad esempio, se visitare un determinato URL può registrare qualcosa in un file, l'obiettivo dell'attaccante potrebbe essere quello di riempire il disco rigido.

Ciò potrebbe creare confusione per la cancellazione dello spazio su disco, specialmente se i dati sono creati in file separati, con nomi casuali o se i dati vengono aggiunti a un database con dati legittimi.

    
risposta data 31.05.2015 - 00:58
fonte
2

Sebbene un DoS non possa normalmente essere utilizzato per causare danni diversi dal semplice fatto di battere il server offline, in determinate circostanze (più comunemente a causa di sistemi mal configurati), possono portare a gravi conseguenze, come la perdita di dati.

Un esempio famoso è la perdita di informazioni sul sito Web di ACS Law . Il server configurato male, una volta riavviato dopo che l'attacco DoS è terminato, in qualche modo ha perso le sue impostazioni originali e ha permesso alla sua directory root di essere visualizzabile pubblicamente.

“Their site came back online [after the DDoS attack] – and on their frontpage was accidentally a backup file of the whole website (default directory listing, their site was empty), including emails and passwords,” a leader of the attacking group told TorrentFreak. “The email contains billing passwords and some information that ACS:Law is having financial problems.”

Ciò ha portato in seguito a serie ripercussioni finanziarie e di reputazione per la legge ACS.

    
risposta data 27.05.2015 - 23:15
fonte
2

Penso ai guadagni non tecnici per l'attaccante:

  • Estrarre denaro del riscatto dal servizio attaccato per fermare l'attacco DoS
  • Ottenere attenzione pubblica per una causa politica (il gruppo anonimo ha usato gli attacchi DoS in passato in questo modo)
  • Ottenere vantaggi commerciali dall'abbassare il sito web del concorrente (un utente malintenzionato può offrirlo come servizio illegale)
risposta data 31.05.2015 - 18:37
fonte
1

La maggior parte delle risposte qui menziona gli effetti collaterali degli attacchi DOS. Tuttavia, penso che ci sia anche l'opzione inversa possibile: che l'attacco DOS non è la causa degli effetti collaterali, ma invece è esso stesso un effetto collaterale di un altro attacco. Ad esempio, un attacco DOS potrebbe essere un effetto collaterale di una botnet brute-force che enumera gli indirizzi e-mail attraverso una schermata di password dimenticata, rallentando il servizio o addirittura causandone il blocco.

Il motivo di questa forma di attacco non è quello di abbattere il sistema, ma piuttosto di ottenere un elenco di utenti del servizio, in cui il metodo utilizzato per ottenere l'elenco degli utenti ha l'effetto collaterale di abbattere il sistema .

    
risposta data 28.05.2015 - 15:09
fonte
0

Di solito, ma non necessariamente. Tutto dipende da cosa succederà dopo quando è stato progettato il servizio non riesce a causa dell'attacco. Immagina che l'effetto dell'attacco sia sovraccaricare l'autenticazione dell'utente per un sito e che l'effetto dell'errore è consentire il servizio invece di negarlo. Probabilmente non il comportamento previsto, facilmente uno che potrebbe essere perso in test normali.

    
risposta data 27.05.2015 - 21:20
fonte

Leggi altre domande sui tag