Un attacco DDoS può dare qualche informazione?

58

Un attacco DDoS può rivelare qualsiasi informazione o essere usato per montare un hack? La mia comprensione è che l'intero punto di DDoS o DoS è quello di consumare tutte le risorse / sovraccaricare il server causandone l'arresto. E quella è l'unica ragione per fare un DDoS.

Ho sentito che DDoS è usato per ottenere informazioni. È vero o totalmente falso?

    
posta KosugiNinja 10.08.2016 - 09:28
fonte

11 risposte

86

Un DDoS fornirà certamente a un utente malintenzionato informazioni sui tempi di risposta, la capacità di carico e il routing.

Può anche fornire informazioni su come gli incidenti sono gestiti internamente ed esternamente, nonché su come vengono segnalati al pubblico.

Ma questo non è quello che sono gli usi principali.

Generalmente i due principali motivi per DDoS sono:

  • accetta un servizio o un sito web offline
  • distrarre da un attacco, exploit o intrusione più ampio

Il primo è ben noto, molto popolare ed è relativamente semplice da eseguire, con l'unica difesa contro un grande attacco da parte di un servizio di attenuazione DDoS ad alto volume.

Il secondo è usato più raramente, ma viene visto come parte del set di strumenti di un attaccante. Caricare il team di risposta agli incidenti può rendere più difficile per loro rilevare un'intrusione, nascondere la vera ragione dell'attacco e nascondere la prova di un'intrusione in un numero elevato di voci di registro dal DDoS.

    
risposta data 10.08.2016 - 11:43
fonte
14

Una risposta completa dipende dall'attacco e da cosa verrebbe attaccato, quindi lo terrò generale.

Un DoS può perdere informazioni come un effetto collaterale. In passato, gli switch venivano utilizzati nelle reti per impedire alle macchine di ascoltare la comunicazione tra altre due macchine. A causa di un problema di progettazione, potresti trasformarlo nuovamente in un grande dominio di collisione lanciando un attacco DoS contro lo switch e potrai riascoltare qualsiasi comunicazione. Spiegazione dell'attacco: Gli switch apprendono quale macchina è connessa a quale porta. Quando una macchina invia un pacchetto a un'altra macchina, lo switch cerca nella sua memoria a quale porta questa macchina è e inoltra il traffico solo a questa porta. Una macchina su un'altra porta non vedrebbe il traffico. Un problema sorge quando ci sono più macchine sulla rete che cosa si adatterebbe nella memoria dello switch. Comportamenti comuni sono:

  • Verrà inviato tutto il traffico a tutte le porte
  • Lo switch smetterebbe di apprendere nuove macchine
  • Lo switch dimenticherà le macchine più vecchie

Particolarmente comuni erano i primi tipi. Un utente malintenzionato permetterebbe alla sua macchina di fingere di avere una quantità enorme di macchine per essere presente a questa porta eseguendo la trasmissione di annunci.

Un altro attacco relativo a DoS è un attacco di downgrade di sicurezza. Si dispone di un sistema costituito da 2 sottosistemi, A e B. B viene utilizzato da A per eseguire ulteriori controlli di sicurezza. Se B non risponde in tempo, A salta questo controllo e lo considera valido. Se l'attaccante può fare il sistema B di DoS, ha un gioco più semplice perché ha solo bisogno di passare i controlli di sicurezza sul sistema A. Alcuni sistemi sono progettati in questo modo perché la disponibilità del sistema A è importante e nessuno pensava che un attaccante potesse fare il sistema B o avrebbe accettato il rischio. Non posso fornirti i dettagli di un attacco effettivo, ma alcune blacklist anti-spam funzionano in questo modo.

È anche noto che alcuni gruppi / organizzazioni avanzati lanciano attacchi DoS (D) per distrarre dal loro attacco reale attirando l'attenzione del personale di sicurezza sul bersaglio del DDoS o nascondendo il traffico di attacco tra il traffico DDoS.

Un'altra opzione è che hai bisogno di quella quantità di traffico ma non è necessario (D) farlo. Ad esempio alcuni attacchi su SSL richiedono abbastanza pacchetti per recuperare / manipolare le informazioni. Qui il DoS sarebbe un effetto collaterale della quantità di traffico.

    
risposta data 10.08.2016 - 16:35
fonte
10

Identifica risorse condivise

Un attacco Denial of Service , distribuito o meno, può essere usato per identificare con successo le macchine che condividono le risorse. Se vuoi hackerare un servizio, puoi lanciare un attacco contro di esso, mentre monitora altri servizi. Se anche quelli spariscono, è probabile che siano ospitati sulla stessa macchina. Questi altri servizi potrebbero essere più inclini all'hacking e possono essere utilizzati come "palanchino" per accedere al servizio desiderato.

Servizi nascosti

Questo può essere devastante se usato contro servizi nascosti nella rete Tor. Se hai motivi per credere che un determinato individuo stia ospitando un servizio nascosto, puoi testarlo avviando un attacco contro un servizio aperto sullo stesso hardware o nello stesso centro dati. Se il servizio nascosto si interrompe, è possibile che tu abbia confermato che la tua ipotesi è corretta e che l'identità dietro al servizio nascosto è stata compromessa.

Ogni volta che provi questo, otterrai un campione, che potrebbe essere un falso positivo. Facendolo abbastanza volte a intervalli casuali, puoi aumentare la probabilità di avere ragione.

    
risposta data 11.08.2016 - 05:56
fonte
3

È possibile utilizzare un attacco DDOS per ottenere informazioni. Oltre alle risposte di Rory Alsop e H. Idden che si concentrano sull'acquisizione di informazioni sull'infrastruttura o sul sovraccarico del team di risposta agli incidenti, così altri attacchi rimangono non rilevati più a lungo, ci sono alcune altre possibilità.

Applicazioni di ridimensionamento automatico : quando si lavora con una piattaforma applicativa che ridimensiona automaticamente un attacco DDOS può utilizzare il fatto che viene ridimensionato automaticamente per fare qualcosa. Questo dovrebbe essere in accordo con qualche altro tipo di attacco o informazione, ma l'idea generale è che se si conosce abbastanza per sfruttare il processo di "riavvio" si potrebbe usare DDOS per forzare un nuovo server online che sarebbe passato attraverso il processo di riavvio , permettendo il tuo exploit. È importante notare che questo è in aggiunta a un problema di sicurezza già esistente. È solo lo strumento con cui l'exploit totalmente diverso viene portato online (o forse testato). Un esempio che mi viene in mente è un server di produzione che ospita la sua base di codice in un repository di github pubblico, quando le scale richiamano il nuovo codice nel server, quindi si avvia. Potresti aggiungere codice cattivo a quel repository github (se non gestito correttamente), forzare un riavvio e sfruttare l'exploit.

Primo arrivato Prime applicazioni : alcune applicazioni "primo arrivato primo servizio" in alcune parti del processo. IRC (dai commenti) è un esempio ma ce ne sono altri. Qualsiasi servizio che riservi qualcosa per un utente con un approccio first come first served, può essere sfruttato tramite DDOS. O riprendendo tutte le slot fino a quando una persona specifica non è la loro, o forzando un riavvio e ottenendo un'ancora possibilità di "slot" dopo il riavvio. Questi sono abbastanza comuni, e mentre un servizio che usa questo per l'autenticazione è un po 'strano, non è inaudito. In effetti, i servizi di licenza lo fanno sempre. Il primo utente con una licenza di "ABC" è l'utente qualificato di ABC. Se tali dati vengono persi dopo un riavvio, DDOS potrebbe causare il riavvio e mettere il piede nella porta.

Vulnerabilità all'avvio - Ho visto, un bel po 'di volte in cui un avvio del server ha comportato l'interruzione dei servizi per ogni evenienza. Ad esempio, lasciamo le password SSH attive dopo il riavvio, quindi spegniamole dopo un paio d'ore nel caso in cui avessimo bisogno di un accesso di emergenza. Oppure, l'FTP è attivo per 30 minuti dopo il riavvio. Questo è più comune sulle appliance di rete. Cose come "accesso wifi insicuro per i primi 2 minuti" o "tutto può caricare qualcosa per 2 minuti". Di solito questo fa parte di un meccanismo di aggiornamento / aggiornamento. Ad esempio un router Cisco può accettare qualsiasi dato TFTP che trova dopo il riavvio. Alcuni computer ascolteranno QUALSIASI server netboot al riavvio. DDOS può avviare il riavvio e consentire al tuo "codice cattivo" di entrare.

In sostanza, un DDOS di per sé può dirti alcune cose, ma di solito roba che è inutile a parte. Un DDOS in combinazione con altri vettori di attacco può essere estremamente efficace.

Nota I metodi usati qui funzionerebbero in un laboratorio, ma i frutti in sospeso per un team di sicurezza (o anche solo IT normale). Sebbene esistano in natura, un utente malintenzionato dovrebbe aver acquisito l'accesso / conoscenza degli interni oltre a quello di qualcuno che fa semplicemente un DDOS.

    
risposta data 12.08.2016 - 21:47
fonte
2

Un esempio reale di questo successo è con Steam. Hanno subito un attacco DoS il giorno di Natale. In risposta a ciò, hanno modificato le regole di memorizzazione nella cache del servizio di vapore, in modo che i clienti potessero comunque accedere alla pagina dello store. Sfortunatamente, hanno finito per fare un errore di configurazione, che a volte portava gli utenti a vedere le informazioni personali di altri utenti.

A volte i sistemi hanno un comportamento imprevisto sotto carico di sistema pesante, che può portare a vulnerabilità della sicurezza. È una possibilità per gli hacker di sfruttarlo, ma è improbabile che siano in grado di pianificarlo e l'exploit è probabilmente imprevedibile. Devono anche fare i conti con il fatto che il server è probabilmente lento a rispondere a causa del carico pesante.

    
risposta data 10.08.2016 - 17:24
fonte
2

Un attacco DDOS potrebbe sfruttare una vulnerabilità

In teoria un attacco DDOS potrebbe non solo distrarre da un exploit come menzionato in un'altra risposta, ma potrebbe anche essere combinato con uno.

Considera il bug Heartbleed , che ha restituito le informazioni quando un server è stato contattato in un modo particolare.

Si potrebbe aumentare le informazioni ottenute dal server contattando il server in un attacco DDOS e raccogliendo le informazioni che sono state rilasciate in questo modo.

    
risposta data 11.08.2016 - 15:27
fonte
1

Forza il tempo di avvio del server

Una cosa che è stata menzionata tangenzialmente nei commenti, ma che non è stata risolta in nessuna delle altre risposte eccellenti è che a volte può essere utile sapere quando un server / applicazione viene avviato. Ad esempio, alcuni generatori di numeri casuali orribilmente insicuri (che non dovrebbero mai essere usati per compiti legati alla sicurezza, ma invariabilmente lo sono ogni tanto) usano l'ora del sistema come seme "casuale".

In tal caso, se è possibile dedurre quando l'RNG è stato seminato (preferibilmente entro un paio di minuti di accuratezza) e avere alcuni campioni di output del generatore, è ragionevolmente banale trovare il seed e ricostruire lo stato RNG in prevedere futuri gettoni. Ora, normalmente un server non deve esporre il suo orario di inizio (anche se, di nuovo, invariabilmente lo fanno), tuttavia se un attacco DDoS può essere utilizzato per forzare il riavvio del server, hai acquisito conoscenza dell'ora di avvio del server.

Questo può portare a una serie di attacchi basati su token come il dirottamento di sessione.

    
risposta data 13.08.2016 - 20:25
fonte
0

Può essere risolto, ma so che nei primi tempi di Criteri di gruppo un exploit consisteva nel sovraccaricare il server Criteri di gruppo e in alcune configurazioni veniva applicata la politica locale. Quindi dovremmo configurare la politica locale come minima. È possibile utilizzare solo la negazione come exploit l'autorizzazione ridotta della politica del server. So che non ho tutti i termini corretti - è passato un po 'di tempo dall'amministratore dei Criteri di gruppo.

Supponiamo che tu abbia compromesso un router, ma quel router non ha ottenuto il traffico desiderato. Potresti fare un DoS su un buon router per sperare di ottenere traffico sul router Hack.

    
risposta data 11.08.2016 - 20:27
fonte
0

Suppongo che l'attacco DoS possa essere usato insieme al tipo di exploit race condition. Quando il server è pesantemente caricato, exploit sarà più facile da usare.

Tuttavia, l'attacco DoS da solo può fornire alcune informazioni, come è stato mostrato nelle risposte precedenti - sul routing, il tempo di risposta e la gestione degli incidenti interni.

    
risposta data 14.08.2016 - 09:29
fonte
0

Che dire di un attacco a tempo? Questo problema è stato discusso come possibile vulnerabilità della sicurezza in Java , Python , probabilmente molti altri, e in realtà potrebbe sembrare un attacco DOS.

Quando varie librerie controllano l'uguaglianza, generalmente sono pronte per byte e confrontate, restituendo false se non corrispondenti - se qualcosa di simile viene usato per controllare password / cookie, teoricamente possono cronometrare la richiesta più lunga e assumere che sia più lontano attraverso il confronto.

    
risposta data 15.08.2016 - 09:25
fonte
-3

Di solito non è incredibilmente invadente. Dipende dalle porte aperte e dai pacchetti inviati. Gli DDoS possono provenire da persone che usano la bruteforcing dei dettagli e dei database del tuo server, specialmente su LAN, e possono in alcuni casi implicare un attacco bruteforce discreto. Un server web tipico è difficile da hackerare, ospitare web e videogiochi. Chiedi a un professionista o presumo che sia una vulnerabilità inevitabile.

    
risposta data 10.08.2016 - 22:16
fonte

Leggi altre domande sui tag