è possibile tracciare un attacker ddos se sta usando un servizio web a pagamento?

3

Dopo alcuni giorni in cui ho pensato che la mia connessione Internet era molto più lenta del solito, ho iniziato a considerare la possibilità che qualcuno mi facesse da doppiago dato che la mia connessione Internet si riduce solo a occasioni speciali come la manutenzione o cose correlate. Il mio amico mi ha avvertito che era possibile trovare l'attaccante solo se stava lanciando l'attacco direttamente da lui, e che è impossibile tenere traccia di un utente malintenzionato che sta usando un servizio web a pagamento.

È vero? Qualche consiglio a riguardo?

    
posta Ruben 07.11.2017 - 23:13
fonte

4 risposte

2

Questa è più una domanda di rete. Se l'attaccante lancia l'attacco dalla sua casa senza alcuna protezione, l'IP indicherà la sua casa. Se paga un servizio per farlo, o usa un server cloud, allora l'IP punterà al servizio e non alla sua casa.

Ma il servizio avrà i record di chi li ha pagati, quindi è possibile per gli investigatori tracciare l'attacco in questo modo.

    
risposta data 07.11.2017 - 23:19
fonte
0

Anche se l'attaccante di ddos stava lanciando l'attacco da solo, l'attribuzione è ancora molto difficile. Potresti essere in grado di monitorare il tipo di botnet da cui proviene l'attacco, ma probabilmente è meglio contattare il tuo ISP se credi veramente di essere sotto attacco.

    
risposta data 07.11.2017 - 23:20
fonte
0

Sarà sicuramente difficile, ma diciamo che se l'attaccante sta usando un servizio di "booster", dovrai tracciare e hackerare il servizio booter o costringerli a dare l'indirizzo IP della persona che ha ordinato l'attacco ironicamente ddossing il servizio booter. Per hacking, lo spoofing DNS + phishing con proxy sul sito reale è probabilmente la soluzione migliore.

Molti booter usano l'amplificazione UDP invece delle botnet, e molti usano anche il server stesso per attaccare. Molti eseguiranno il ping del target per determinare se è inattivo. Puoi utilizzarlo per tenere traccia del server dell'attaccante e, se sei fortunato, sarà lo stesso di quello che ospita la pagina web booter.

Onestamente, non è necessario utilizzare un servizio booter per le connessioni domestiche. È molto facile disabilitare completamente una connessione Internet domestica con un solo server perché il caricamento del server è molto maggiore della maggior parte delle velocità di download dell'ISP. Possono anche usare lo spoofing IP per nascondere il loro indirizzo IP, ma ancora una volta, molti eseguiranno il ping dell'IP per verificare che non sia attivo, il che può rivelare l'IP del server.

    
risposta data 07.11.2017 - 23:41
fonte
0

Se utilizzano un servizio DDoS, l'attacco sarà simile a questo:

[Attacker] ---- DDoS command ----> [Server] ----- Traffic -----> [You]

Quindi, se dovessi esaminare l'indirizzo di origine del traffico, verrebbe l'indirizzo IP di qualche server di proprietà o controllato dal servizio DDoS, non dall'attaccante.

L'indirizzo IP dell'aggressore può ancora essere ottenuto poiché ci saranno record sui server del servizio DDoS di ciascun attacco e da dove provengono.

Se l'attacco viene lanciato direttamente dall'attaccante, appare come segue:

[Attacker] ----- Traffic -----> [You]

In questo caso, la fonte del traffico sarebbe quella dell'attaccante.

    
risposta data 07.11.2017 - 23:26
fonte

Leggi altre domande sui tag