DDoS basati sul cloud come servizio

18

Con il consolidamento del cloud computing e della virtualizzazione, mi viene in mente un semplice dubbio: perché il DDoS non viene in gran parte offerto come servizio? Perché non vediamo attacchi DDoS basati su cloud?

vDOS , LizardStresser e altri hanno offerto un modo in cui puoi pagare per attaccare un bersaglio ma hanno usato la propria infrastruttura . Sembra più sicuro e semplice addebitare un client, utilizzare parte di quei soldi per affittare server su un provider IaaS e creare una botnet basata su cloud. In questo modo si potrebbe iniziare un attacco dall'interno del provider verso un target specifico senza nemmeno usare la propria struttura. Questo potrebbe anche essere usato per lo spoofing degli attacchi in generale. C'è qualche ragione particolare per cui questo non accade?

Non ho idea di quanto sia difficile costruire una botnet in entrambi i contesti (standard o basati su cloud), se rimanere intrappolati nel cloud sarebbe più facile o se ciò potesse essere solo una questione di profitto.

Grazie in anticipo.

    
posta Gabriel Rebello 25.04.2017 - 05:19
fonte

5 risposte

40

... but they used their own infrastructure

Non è proprio l'infrastruttura loro che usano. Usano invece botnet costituite da sistemi dirottati. Questi sono sistemi che pendono ma sicuramente non possiedono. E quindi è molto economico per loro.

Oltre al fatto che qualsiasi provider VPS che affitta il proprio VPS per attacchi DDoS perderebbe rapidamente reputazione e quindi clienti adeguati. E se un provider VPS si specializza poi nel fornire VPS per gli attacchi DDoS per compensare la perdita di clienti normali, sarebbe più facile bloccare tali DDoS perché tutti provengono dalle stesse reti, cioè semplicemente impedendo a questo provider di accedere a reti principali.

    
risposta data 25.04.2017 - 06:54
fonte
9

Gli attacchi DoS basati sul cloud sono possibili e accadono di tanto in tanto. Ma non è un'opzione molto popolare per un paio di motivi:

  • Impostazione iniziale : la distribuzione di centinaia di macchine virtuali non è un'impresa facile, e pagare anche per loro non è semplice. Tuttavia, se stai usando la VM di qualcun altro, questo rende le cose molto più semplici.

  • Rilevamento : molti fornitori, tra cui Azure, monitorano i loro servizi per verificare eventuali attività dannose. In effetti, il lancio di attacchi dai loro sistemi viola il loro ToS e ti farà chiudere molto velocemente.

Tuttavia, la capacità di avere migliaia di macchine sparse nel mondo, ognuna che genera traffico può essere molto potente. Se vuoi fare un ulteriore passo avanti, tunnel il tuo traffico attraverso la rete Tor, per rendere quasi impossibile per un difensore fermarsi.

È già stato fatto prima:

In 2012 group of cyber-criminals exploite the CVE-2014-3120 Elasticsearch 1.1.x vulnerability, followed by the use of Linux DDoS Trojan Mayday and with that, they compromised several Amazon EC2 Virtual Machines. Although this vulnerability was not unique to cloud-based systems and could have been used against any server, including non-cloud based systems, it did open up some interesting opportunities to the attackers. They were able to launch a UDP based DDoS attack from the compromised cloud instances. They utilized the outbound bandwidth of the Cloud Service Provider, Amazon in this case.  Source: Infosec Institute

Essere scoperti - questo è più difficile. Creare e distribuire macchine virtuali in questi giorni è facile come registrarsi per un ID e-mail anonimo, registrando e distribuendo macchine. Tuttavia, fornitore notificherà grandi quantità di traffico da un sistema. Dal momento che stai violando il loro ToS, ti chiuderanno quasi sempre immediatamente. Tuttavia, dal momento che non stai mai rivelando la tua vera identità (supponendo che tu stia accedendo ai loro servizi attraverso un anonimizzatore e usando carte di credito rubate (nessuna morale;])), per lo più non saranno in grado di scoprire la tua vera identità. Ma questo significa che stai scaricando i tuoi soldi - ecco perché è più semplice impostare la tua infrastruttura e offrirla come un servizio.

    
risposta data 25.04.2017 - 06:48
fonte
2

La cosa divertente è che ciò che descrivi è disponibile adesso . Si chiama Mirai, è più o meno open source, e le probabilità sono hai già stato interessato da

Mirai is a type of malware that automatically finds Internet of Things devices to infect and conscripts them into a botnet—a group of computing devices that can be centrally controlled. From there this IoT army can be used to mount distributed denial of service (DDoS) attacks in which a firehose of junk traffic floods a target’s servers with malicious traffic. In just the past few weeks, Mirai disrupted internet service for more than 900,000 Deutsche Telekom customers in Germany, and infected almost 2,400 TalkTalk routers in the UK. This week, researchers published evidence that 80 models of Sony cameras are vulnerable to a Mirai takeover.

These attacks have been enabled both by the massive army of modems and webcams under Mirai’s control, and the fact that a hacker known as “Anna-senpai” elected to open-source its code in September. While there’s nothing particularly novel about Mirai’s software, it has proven itself to be remarkably flexible and adaptable. As a result, hackers can develop different strains of Mirai that can take over new vulnerable IoT devices and increase the population (and compute power) Mirai botnets can draw on.

Ci sono un sacco di dispositivi IoT che invadono il mercato. Tutti vogliono la tecnologia "intelligente". Ma, come sempre, la sicurezza è un ripensamento. Quindi mettiamo il dispositivo là fuori ed è su Internet affinché chiunque possa contattarlo e utilizzarlo come meglio crede. E la maggior parte degli utenti (e in effetti degli ISP) probabilmente non noterà

Fast forward another 45 minutes. The router was reset, and the network was set up again. By the time I was done messing around, Peakhour had my traffic clocked at 470GB. But I'd gotten rid of the problem (or so I thought). The next morning, before I left for the weekend, I checked: the total traffic was at around 500GB. Maybe I'd defeated the hackers.

That night, I heard from Donna. She'd been monitoring traffic, which was now over 3TB. And, just to make sure we had no doubt, devices were dropped off the network again.

Il suggerimento che qualcosa non andava? Il suo telefono usava tutto il lotto 4G nonostante fosse a casa. Il suo ISP non ha mai battuto ciglia a 3 TB di larghezza di banda consumata

In definitiva, puoi contare su persone che sono tecnicamente analfabete e aziende che non si preoccupano di fornire tutti i dispositivi botnet di cui avrai mai bisogno.

    
risposta data 25.04.2017 - 18:38
fonte
2

I provider di servizi cloud in genere richiedono l'identità dei propri clienti. Se un giovane hacker intraprendente desiderava noleggiare Amazon Web Services o simili, avrebbe dovuto fornire un numero di carta di credito (o più) al servizio, che può essere ricondotto al proprietario. I servizi cloud non vogliono impegnarsi in DDOS perché le loro reti sarebbero bloccate e costerebbe loro denaro in termini di larghezza di banda.

Ci sono servizi in cui è possibile noleggiare un VPS in modo anonimo in Bitcoin, ma sono generalmente più piccoli e inoltre non vogliono essere bloccati dal loro uplink o peer.

Ecco perché non è comune. Il DDOS generalmente considera un comportamento antisociale e i sociopatici rappresentano solo il 4% della popolazione.

    
risposta data 25.04.2017 - 19:11
fonte
0

La chiave della tua domanda è nella prima "D".

Ciò che rende un attacco DDoS così efficace è la natura distribuita di quello attacco. Con un attacco DoS vecchio stile, la vittima di solito proverebbe a numero elevato di richieste o connessioni a un server o risorsa specifici provenienti da un numero unico o piccolo di fonti. Per mitigare l'attacco, potresti semplicemente bloccare il traffico dai sistemi di attacco. Spesso, questo potrebbe essere eseguito dal firewall locale o simile.

Nell'attacco DDoS, la vittima è inondata di richieste da un numero elevato di diverse fonti. Il numero è troppo alto per bloccare individualmente e il il volume di aggressori in genere sovraccaricherà tutte le infrastrutture locali come firewall e switch di rete. In questo scenario, in genere devi lavorare con il tuo ISP per avere traffico verso il sistema di destinazione inviato a un "buco nero", che ridurrà il volume e consentirà il ripristino dell'infrastruttura locale, ma in genere significa che il DDoS sul sistema specifico ha successo (perché il traffico verso quel sistema viene inviato al buco nero). Il punto chiave è che il l'attacco è distribuito, è molto difficile bloccare i sistemi di attacco.

Quindi, per quanto riguarda la tua domanda riguardante i servizi DDoS basati sul cloud - questo a in qualche misura dipende dalla tua definizione di cloud. Una definizione sarebbe qualsiasi servizio che non è sulla propria infrastruttura e viene consegnato da 'the nube'. In questo senso, gli attacchi DDoS sono già basati sul cloud. Non usano il gli hacker possiedono un'infrastruttura, ma invece usano gli host che ha l'hacker ha compromesso o ospita l'attaccante ha identificato che hanno male servizi configurati o mancano di controlli sufficienti per impedire che vengano utilizzati come parte di un attacco DDoS. Ad esempio, uno dei motivi per cui c'è così tanto La preoccupazione che circonda l'IoT è che molti di questi dispositivi IoT includono servizi che possono essere sfruttati come parte di un attacco DDoS e mancano di controlli sufficienti per prevenire questo sfruttamento da usi remoti sconosciuti.

Se definisci il cloud solo come provider IaaS, PaaS e SaaS, la situazione lo è leggermente diverso. È improbabile che questi servizi vengano utilizzati per l'esecuzione l'attacco reale semplicemente perché l'attacco DDoS si basa su un numero elevato di gli hacker e la possibilità di utilizzare quel numero di provider cloud è proibitivo - ricorda che i fornitori di cloud non accetteranno questo tipo di utilizzo di la loro infrastruttura, quindi dovrai farlo in un modo "furtivo", che è diventa sempre più difficile in quanto i fornitori di servizi cloud bloccano ciò che viene considerato uso appropriato della loro infrastruttura (ricorda, hanno una reputazione mantenere - se diventano noti come host per 'attori cattivi', gli ISP e altri lo faranno basta bloccare il traffico dai loro IP).

Questo non significa che gli attaccanti non utilizzino i servizi cloud. Quello che troverai spesso è che i fornitori di servizi DDoS utilizzeranno i servizi cloud come comando e centro di controllo per i loro agenti / bot DDoS. Hanno ancora bisogno di farlo in un modalità furtiva, poiché i servizi cloud più affidabili disattivano tutti gli utenti scoprire di fare cose del genere, ma questo è molto più difficile da rilevare e hanno solo bisogno di a pochi fornitori di cloud. Gli agenti / robot che usano per eseguire effettivamente gli attacchi sono solitamente desktop e server compromessi, spesso nei sistemi domestici che hanno controlli di sicurezza più scadenti e dispositivi IoT sempre più numerosi, molti dei quali presenti anche in ambienti domestici o di piccole dimensioni che mancano di misure di sicurezza aziendale o amministratori di sistema esperti ecc.

    
risposta data 28.04.2017 - 03:22
fonte

Leggi altre domande sui tag