Perché è così difficile rintracciare le origini degli attacchi DDOS?

Questi attacchi DDOS sono stati eseguiti utilizzando una botnet. Una botnet è una rete di PC consumer infettati da malware. Tali botnet sono abitualmente utilizzate per molte attività, la maggior parte illegali o almeno eticamente discutibili. Per questo motivo le persone che controllano una botnet fanno del loro meglio per non essere trovate. Di solito controllano le loro botnet usando metodi oscuri di comunicazione anonima che sono molto difficili da rintracciare a loro.

Ci si potrebbe chiedere "considerando le pubblicazioni recentemente sulle capacità di spionaggio di Internet del governo degli Stati Uniti, come non potrebbero essere trovate?". Forse il governo degli Stati Uniti è a conoscenza di chi lo ha fatto e, quando non lo sono, potrebbe facilmente scoprirlo. Ma la verità è che anche se il governo degli Stati Uniti raccoglie dati ingombranti su tutti nel mondo, l'attuale situazione legale non consente loro di perseguire nessuno in base a tali dati. Tutta quella raccolta di dati è intercettazione illegale, quindi non può essere utilizzata come prova in tribunale.

L'unica cosa che il governo degli Stati Uniti può fare contro persone con cui hanno prove solo attraverso i loro programmi di sorveglianza sono le azioni extragiudiziali illegali come rapirle e deportarle in una prigione segreta o ucciderle con uno sciopero dei droni . Tali azioni drastiche vengono attualmente eseguite solo contro persone considerate pericolose per la sicurezza nazionale (o che vivono vicino al confine Afghanistan / Pakistan).

E contrariamente a quanto alcuni "hackeriani" credono, rendere un sito pubblico di un'agenzia governativa irraggiungibile per alcune ore, non è un attacco alla sicurezza nazionale. Un attacco del genere si trova sullo stesso livello di pericolo del disegno di un graffito diffamatorio sul loro muro.

Un DDOS-attach viene in genere eseguito inviando messaggi UDP con un IP di origine falsificato a un servizio che invierà una risposta all'IP di origine indicato nel messaggio in arrivo.

Ad esempio: se IP 1.1.1.1 sta eseguendo un server DNS, l'invio di una query DNS a 1.1.1.1 come pacchetto UDP con source-IP impostato su 2.2.2.2, comporterà l'invio del server DNS una risposta al 2.2.2.2. La vera fonte della query DNS non viene registrata da nessuna parte.

Inoltre, queste query di spoofing vengono tipicamente inviate da un certo numero di client, tramite un certo numero di server, quindi dal punto di vista della rete, sembra proprio traffico regolare (tranne per l'host povero a 2.2.2.2 che riceve tutte le risposte DNS).

Per essere in grado di rilevare ciò, è necessario monitorare in tempo reale ampie parti della rete e mettere in correlazione richieste provenienti da più client contemporaneamente.

Una delle ragioni è che gli hacker utilizzano bot che sono PC vittime, quindi non c'è una fonte di attacco. Questi robot sono solitamente controllati usando un comando & Server di controllo o semplici sale IRC, feed Twitter privati, ecc.

Uno scenario può essere: un utente malintenzionato scrive un bot, con una pianificazione prestabilita. OSSIA Diffondere il più possibile con mezzi diversi rimuovendo se stesso da 10 o 100 livelli di diffusione. (lavaggio traceback all'origine di bot). Ora in data / ora hardcoded questi robot possono avviare un enorme DDOS dalle macchine delle vittime.