È possibile utilizzare un attacco DDOS per ottenere informazioni. Oltre alle risposte di Rory Alsop e H. Idden che si concentrano sull'acquisizione di informazioni sull'infrastruttura o sul sovraccarico del team di risposta agli incidenti, così altri attacchi rimangono non rilevati più a lungo, ci sono alcune altre possibilità.
Applicazioni di ridimensionamento automatico : quando si lavora con una piattaforma applicativa che ridimensiona automaticamente un attacco DDOS può utilizzare il fatto che viene ridimensionato automaticamente per fare qualcosa. Questo dovrebbe essere in accordo con qualche altro tipo di attacco o informazione, ma l'idea generale è che se si conosce abbastanza per sfruttare il processo di "riavvio" si potrebbe usare DDOS per forzare un nuovo server online che sarebbe passato attraverso il processo di riavvio , permettendo il tuo exploit. È importante notare che questo è in aggiunta a un problema di sicurezza già esistente. È solo lo strumento con cui l'exploit totalmente diverso viene portato online (o forse testato). Un esempio che mi viene in mente è un server di produzione che ospita la sua base di codice in un repository di github pubblico, quando le scale richiamano il nuovo codice nel server, quindi si avvia. Potresti aggiungere codice cattivo a quel repository github (se non gestito correttamente), forzare un riavvio e sfruttare l'exploit.
Primo arrivato Prime applicazioni : alcune applicazioni "primo arrivato primo servizio" in alcune parti del processo. IRC (dai commenti) è un esempio ma ce ne sono altri. Qualsiasi servizio che riservi qualcosa per un utente con un approccio first come first served, può essere sfruttato tramite DDOS. O riprendendo tutte le slot fino a quando una persona specifica non è la loro, o forzando un riavvio e ottenendo un'ancora possibilità di "slot" dopo il riavvio. Questi sono abbastanza comuni, e mentre un servizio che usa questo per l'autenticazione è un po 'strano, non è inaudito. In effetti, i servizi di licenza lo fanno sempre. Il primo utente con una licenza di "ABC" è l'utente qualificato di ABC. Se tali dati vengono persi dopo un riavvio, DDOS potrebbe causare il riavvio e mettere il piede nella porta.
Vulnerabilità all'avvio - Ho visto, un bel po 'di volte in cui un avvio del server ha comportato l'interruzione dei servizi per ogni evenienza. Ad esempio, lasciamo le password SSH attive dopo il riavvio, quindi spegniamole dopo un paio d'ore nel caso in cui avessimo bisogno di un accesso di emergenza. Oppure, l'FTP è attivo per 30 minuti dopo il riavvio. Questo è più comune sulle appliance di rete. Cose come "accesso wifi insicuro per i primi 2 minuti" o "tutto può caricare qualcosa per 2 minuti". Di solito questo fa parte di un meccanismo di aggiornamento / aggiornamento. Ad esempio un router Cisco può accettare qualsiasi dato TFTP che trova dopo il riavvio. Alcuni computer ascolteranno QUALSIASI server netboot al riavvio. DDOS può avviare il riavvio e consentire al tuo "codice cattivo" di entrare.
In sostanza, un DDOS di per sé può dirti alcune cose, ma di solito roba che è inutile a parte. Un DDOS in combinazione con altri vettori di attacco può essere estremamente efficace.
Nota I metodi usati qui funzionerebbero in un laboratorio, ma i frutti in sospeso per un team di sicurezza (o anche solo IT normale). Sebbene esistano in natura, un utente malintenzionato dovrebbe aver acquisito l'accesso / conoscenza degli interni oltre a quello di qualcuno che fa semplicemente un DDOS.