Non dovrebbe Netstat mostrare connessioni da molti diversi indirizzi IP durante un DDoS, diversamente da questo esempio?

Question

Non dovrebbe Netstat mostrare connessioni da molti diversi indirizzi IP durante un DDoS, diversamente da questo esempio?

#1 da (1 voti)
#2 da (1 voti)

4

Ho appena letto questo articolo da logly ( link ), e mi sono chiesto.

L'autore afferma che sotto un attacco DDoS, l'output netstat sul server attaccato mostrerebbe qualcosa del genere:

TCP 192.168.2.104:00 216.35.50.65:60973 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60974 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60975 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60976 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60977 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60978 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60979 TIME_WAIT
.
.
.

Qualcuno può spiegarmi perché succederebbe questo? Dal momento che è un attacco DDoS, non dovrebbe avere connessioni da diversi IP da botnet?

ddos netstat

posta cryptow 14.03.2018 - 14:37

fonte

2 risposte

Leggi altre domande sui tag ddos netstat

Voglio assumere qualcuno su Upwork per installare un bot di trading bitcoin su un server cloud. A quali vulnerabilità devo prestare attenzione? Quando completare il documento di conformità PCI DSS

score 1 · Answer 1

Leggi appena sotto l'immagine da cui stai citando.

We simulated an example in a text file since we can’t get sample output from Netstat.

The takeaway from this screenshot is that the same IP is connecting to contiguous ports and the connection is timing out. We show only a handful, but a real DDoS attack should show hundreds of connections (sometimes thousands).

score 1 · Answer 2

Ottima domanda. La risposta è, forse.

Ci sono molti motivi per cui un host interno potrebbe vedere 1 IP al posto di molti, uno grande essendo i load balancer. Il bilanciamento del carico è stato un problema per il monitoraggio interno per un po 'di tempo. Agiscono come proxy completo (in genere) e in pratica non è possibile stabilire da dove sia iniziata la connessione, perché tutto ciò che viene visualizzato è l'IP LB.

Per rispondere a una domanda separata qui, UDP sarebbe più comune anche per le connessioni in DDOS. TCP non "riflette" nel senso di se si vuole far finta di essere un server diverso e provare a connettere TCP, la terza parte dell'handshake non verrà indirizzata a te, andrà all'IP spoofato e verrà abbandonata interrompere la connessione.