Si può usare lo spoofing IP per rendere anonimi gli attacchi DDOS?

2

Dato che è possibile falsificare l'IP sorgente di un pacchetto, è anche possibile rendere anonimi gli attacchi DDOS?

    
posta Goot 28.01.2014 - 00:19
fonte

4 risposte

5

Le altre risposte mi sembravano sbagliate, quindi ecco il mio tentativo.

Sì.

Questo è molto comune, e recentemente ha visto attacchi alla rabbia di centinaia di gigabit al secondo. L'idea non è quella di spoofare il tuo IP sul computer di destinazione, ma di spoofing tuo IP a un intermediario che restituisce i dati al tuo IP (target) falsificato.

In genere non è molto facile falsificare gli indirizzi IP di origine, quindi avere un DOS distribuito direttamente su un target (cioè SYN Flood) usando tutti gli indirizzi falsi sarebbe molto difficile. Se sei in grado di falsificare alcuni indirizzi, avresti la possibilità di abusare di un servizio che comporterebbe un'amplificazione (DNS, NTP). Quindi lo scopo di spoofing dell'indirizzo qui non è quello di nascondere il tuo IP, ma di fare in modo che l'intermedio pensi di essere la vittima, inondandoli di risposte non richieste.

L'attacco sarebbe andato in questo modo:

  • L'utente malintenzionato esegue lo spoofing dell'indirizzo IP delle vittime e invia una richiesta DNS da 60 byte a un resolver aperto.
  • Il resolver risponde all'IP della vittima, un record TXT di 4000 byte

Ecco altre informazioni sugli attacchi recenti:

link

link

    
risposta data 13.03.2014 - 11:43
fonte
3

Il primo D in DDOS significa distribuito.
Tutta l'attrattiva del DOS distribuito è che proviene da così tanti attori che non sei in grado di identificare correttamente il responsabile.
Perché dovresti preoccuparti di spoofing di un IP.
Anche la maggior parte dei DDOS in questi giorni sono gestiti da botnet e tali attacchi sono resi ostili alla volontà delle vittime infette.
Lo spoofing di un IP non è rilevante in questo caso.

    
risposta data 13.03.2014 - 10:02
fonte
1

Un attacco DDoS è di solito solo un sacco di pacchetti che vanno da molti IP a un indirizzo IP di destinazione. Supponendo che gli ISP permetterebbero a questo (avendo indirizzi di origine che non si trovano nel loro raggio d'azione), potresti avere diversi pacchetti per "raggiungere" l'obiettivo. Questo potrebbe limitare a pacchetti SYN, richieste ICMP, ecc ...

Ma, sapendo che un DDoS è distribuito, avresti bisogno di dare a molte macchine la possibilità di falsificare gli indirizzi. Se vuoi mettere un bersaglio in ginocchio, potrebbe essere più utile inviare una pesante richiesta HTTP GET (una query di ricerca, per esempio), piuttosto che un solo pacchetto TCP SYN. Per questo, spoofing sarà una sfida; dato che non sarai in grado di completare l'handshake TCP a 3 vie.

    
risposta data 11.02.2014 - 09:11
fonte
-1

Potresti inviare una richiesta a un ampio elenco di siti web. Se hai falsificato il tuo indirizzo IP come indirizzo IP di destinazione, tutte le risposte dei siti web verrebbero indirizzate all'indirizzo IP di destinazione, creando potenzialmente un DDoS. Sarebbe distribuito, perché molti server inviano la risposta.

    
risposta data 17.01.2016 - 16:38
fonte

Leggi altre domande sui tag