Come funzionano i DoS / DDoS?

30

Negli ultimi giorni si poteva leggere spesso su attacchi da anonimi e LulzSec contro piattaforme differenti come Sony o HBGary ecc. Ieri per esempio hanno fatto DDoS soca.gov.uk e jhw .gov.cn . La mia domanda è: come funziona?

Dato che il PSN è una grande rete con molto traffico in comune, mi chiedo quanto potere debbano avere i loro attacchi. Usano solo le proprie macchine e server? Perché nessuno può sapere chi sono, i pacchetti devono venire da qualche parte? Oppure hanno prima conquistato molte macchine pubbliche (di persone che non sono coinvolte in queste organizzazioni che hanno alcun tipo di malware sui loro PC) e lasciano che queste macchine facciano il loro lavoro?

E gli attacchi in sé? È sempre la stessa cosa, qualcosa come ping flood, o dipende dal target stesso, alla ricerca di reazioni molto costose sulle macchine target?

Qualcuno può spiegare queste tecniche a qualcuno mai coinvolto in DoS / DDoS?

Grazie in anticipo!

Disclaimer: Non voglio fare nulla per DoS / DDoS, ma voglio capire come lo fanno Anonymous e LulzSec o chiunque altro e avere un'idea del loro potere.

    
posta binfalse 21.06.2011 - 13:09
fonte

3 risposte

26

Anonimo cerca di convincere le persone a supportare le loro azioni DDoS installando uno strumento sul proprio computer . Ha una botnet - modalità che consente ai leader di definire il bersaglio per tutti gli annegati. In altre parole: Anonymous utilizza l'ingegneria sociale invece delle vulnerabilità tecniche per distribuire il proprio client botnet.

Questo strumento genera solo molte richieste dirette, quindi gli indirizzi IP verranno visualizzati nei file di registro della destinazione. Secondo quanto riportato dai media, c'è stato un numero considerevole di arresti di persone che hanno preso parte agli attacchi in un paio di paesi in Europa: e. g. Inghilterra , Spagna , Francia , Paesi Bassi , Turkey . Ciò è degno di nota perché gli arresti normalmente ricevono poca attenzione da parte dei media in Europa rispetto agli Stati Uniti.

In generale ci sono circa due tipi di vulnerabilità DOS:

  • La connessione di rete o il firewall potrebbero essere troppo piccoli per gestire il numero di pacchetti
  • L'applicazione potrebbe richiedere troppe risorse per gestire richieste specifiche.

Inondazione semplice

Il primo tipo viene sfruttato inviando troppi dati, ad esempio utilizzando una botnet. A volte lo spoofing IP viene utilizzato per inviare piccole richieste a un gran numero di terze parti innocenti che invieranno una risposta più ampia. Un esempio comunemente usato sono query DNS .

Vulnerabilità DoS

Il secondo tipo è più sofisticato. Sfrutta specifici punti deboli.

Sul livello di rete , ad esempio, l'attaccante può inviare un numero enorme di "richieste per stabilire una connessione" (TCP SYN Flood), ma senza mai completare l'handshake. Questo fa sì che l'obiettivo allochi molta memoria per memorizzare quelle connessioni in preparazione. L'utilizzo dei cookie SYN è una contromisura.

Sul livello di applicazione di solito ci sono alcune operazioni che richiedono molte più risorse della media. Ad esempio i web server sono ottimizzati per servire contenuti statici e possono farlo molto velocemente per molte persone. Ma un sito web può avere una funzione di ricerca che è piuttosto lenta rispetto alle pagine statiche. Questo è perfetto se solo poche persone usano la funzione di ricerca di volta in volta. Ma un attaccante può bersagliarlo in particolare.

Un'altra operazione che di solito è piuttosto lenta sono accessi perché richiedono un numero di operazioni di database: Conteggio del numero di accessi non riusciti recentemente dallo stesso indirizzo ip, conteggio del numero di accessi non riusciti per il nome utente, convalida del nome utente e della password , controllo dello stato di ban del conto.

Come contromisura, l'applicazione può supportare una modalità di carico pesante, che disabilita le operazioni a uso intensivo di risorse. Un famoso esempio di questo è stato Wikipedia nei primi tempi, anche se il carico elevato è stato causato da utenti normali a causa della sua improvvisa popolarità.

PS: tieni presente che entrambi i esempi , Sony e HBGary, hanno subito il maggior danno da attacchi mirati , non inondazioni. Non è chiaro se tali attacchi siano stati effettuati dal nucleo del gruppo anonimo.

I want to understand how Anonymous or LulzSec or anyone else does it and get an idea of their power.

Penso che il loro vero potere sia basato sulla paura.

Nello stato tedesco Niedersachsen l'accesso anonimo ai siti web governativi è ora bloccato. Secondo la legge, sarà possibile utilizzare i servizi online in modo anonimo. Ma la legge continua dicendo "per quanto sia possibile e fattibile dal punto di vista tecnico". Il governo afferma che il loro desiderio di proteggersi è più importante, sottolineando che non esiste alcun diritto per i cittadini di richiedere l'accesso ai servizi Internet dello stato. (Fonte: Heise , tedesco)

    
risposta data 21.06.2011 - 14:07
fonte
12

Altri dettagli tecnici su DDoS flooding di rete .

Come menzionato nelle altre risposte, di solito viene utilizzata una "botnet" per consegnare l'attacco DDoS. Diamo un'occhiata a questo:

Alcuni sistemi di utenti finali vengono infettati e (parallelamente al loro normale funzionamento) diventano parte della "botnet". Sono controllati da "agenti bot" che a loro volta sono controllati dai bot bot. È possibile ottenere un numero di livelli di controllo, ma tutto porta a qualsiasi tipo di sistema in grado di inoltrare comandi ai "soldati robot". Metodi popolari includono IRC, Twitter o siti Web pubblici. Sia i padroni dei bot che le persone che controllano il bot si connettono al centro di comando concordato (ad esempio un canale IRC "segreto"). Gli attaccanti là emettono comandi, ad es. target, tipi di pacchetti, volume di traffico ecc. e l'attacco ha inizio. Ogni sistema terminale produce un flusso di pacchetti che, una volta riassunti, paralizzano la vittima. Quel che è peggio è che la vittima non può controllare questo flusso. Il traffico in entrata è controllato da altri (i fornitori a monte) che devono aiutare in questo momento.

In molti casi non è ovvio quali sono i veri computer che attaccano. I pacchetti di attacco potrebbero essere stati "falsificati" (cioè costruiti appositamente per mostrare un IP di origine diverso da quello reale). Possono farlo perché si tratta di un attacco unidirezionale e non è richiesta alcuna risposta - stabilire la connessione -.

Un altro metodo che può nascondere la fonte è l'attacco "riflessione". In questo l'utente malintenzionato invia una richiesta legittima (come una query DNS, un pacchetto BGP, anche una richiesta Web) a un server disponibile pubblicamente. MA , l'indirizzo di ritorno della richiesta è quello della vittima. I server pubblici restituiscono le loro risposte legittime alla vittima che, tuttavia, non le ha mai chieste in primo luogo.

I tipi di pacchetti e le loro tariffe possono variare in base a ciò che l'utente malintenzionato desidera. Questa variazione può complicare ulteriormente il filtraggio del traffico di attacco presso i fornitori upstream e richiede costanti aggiustamenti di configurazione.

Dato che l'attacco ha una natura così distribuita, non si può fare molto alla fonte. Tuttavia alcuni ISP adottano misure preventive come (a) sistemi di disconnessione / limitazione che producono volumi di traffico insolitamente elevati (b) bloccando pacchetti con indirizzi di origine errati.

Nel caso di Anonymous l'intero processo avviene volontariamente: esiste uno strumento pubblico chiamato "Low Orbit Ion Cannon" (un riferimento sci-fi) che viene utilizzato per testare i siti pubblici con volumi elevati di traffico. Nella sua ultima versione, consente il controllo remoto del generatore di traffico locale. Le persone che si impegnano ad aiutare l'installazione anonima e "consegnano le chiavi" al gruppo da utilizzare come deciso. Se comprendo correttamente LOIC non impiega lo spoofing dell'indirizzo, quindi le identificazioni e gli arresti degli aggressori.

    
risposta data 24.06.2011 - 14:48
fonte
7

Il modo più semplice è usare una botnet (puoi controllare la definizione di Wikipedia qui )

Questa è una rete di macchine che puoi controllare per inviare tutti i pacchetti al bersaglio in una sola volta. Usare 100.000 macchine contemporaneamente può generare molto traffico e alcune botnet sono molto più grandi di così!

Un utente malintenzionato ha un effetto ancora maggiore se il tipo di attacco che utilizza richiede una risorsa molto più grande sulla destinazione rispetto alla sorgente.

E per rispondere alle tue specifiche:

  • Buone botnet non sono ovvie per la maggior parte degli utenti finali: la popolazione generale di Internet non è molto sicura / tecnologicamente avanzata, quindi compromettere i PC non è difficile.

  • I tipi di attacco variano a seconda dell'obiettivo. Le alluvioni di ping non sono così probabili come altre, come le inondazioni di SYN.

risposta data 21.06.2011 - 13:37
fonte

Leggi altre domande sui tag