La scelta del protocollo influenza l'efficienza di un attacco DOS?

2

Mi stavo chiedendo, per fare un attacco DOS è necessario inviare qualcosa alla destinazione che stai DOS. E per inviare qualcosa è necessario utilizzare qualche protocollo. La mia domanda è: tutti i protocolli hanno la stessa velocità? E quali sono i protocolli utilizzati solitamente dai programmi DOS? La mia ipotesi è l'UDP perché ho visto online che era faser, ma non ne sono sicuro.

Domanda bonus: se un obiettivo utilizza un socket TCP per ascoltare una connessione e faccio una connessione usando UDP, cosa succederà? Sarò in grado di connettermi o no?

    
posta jeyejow 07.04.2017 - 10:09
fonte

2 risposte

4

In linea di principio un attacco DDOS può inviare richieste completamente legittime e quindi sovraccaricare il server. Ad esempio, basta usare una botnet per visitare il blog di alcune persone e il server potrebbe collassare sotto il carico. Non c'è un modo reale per proteggersi da questo perché ogni richiesta sembra una vera richiesta.

Tuttavia, il caso spesso più interessante è quello di violare intenzionalmente il protocollo su qualche livello per aumentare l'efficienza di un attacco. Ad esempio, l'apertura di un sacco di connessioni TCP a un server, ma mai l'invio di qualcosa è molto economico per un client, ma il server potrebbe esaurire le connessioni (in qualsiasi senso) perché sta aspettando che scada. Questi tipi di problemi possono essere spesso mitigati utilizzando misure di sicurezza appropriate nel codice e nelle impostazioni di configurazione.

Quindi per rispondere alla tua domanda: (D) Gli attacchi DOS possono essere eseguiti con qualsiasi protocollo applicabile e spesso diventano più potenti violando intenzionalmente parti del protocollo.

    
risposta data 07.04.2017 - 11:03
fonte
3

Una risposta è stata accettata qui - e fa alcuni punti validi, ma non ha menzionato gli attacchi di amplificazione riflessi; con tcp vengono scambiate solo piccole quantità di dati (e devono essere scambiate tra l'attaccante e la vittima) prima dell'elaborazione, le risorse di memoria e io possono essere consumate. Un attacco di tipo slowloris descritto da Elias sfrutta un numero limitato di risorse di connessione. Tuttavia ci sono un certo numero di differenze con udp.

In primo luogo, la richiesta da parte del client di fare qualcosa può essere nel primo pacchetto inviato dal client.

Una conseguenza di ciò è che l'attaccante può falsificare l'indirizzo "from" sul pacchetto, rendendo difficile il rilevamento di un attacco, ma non bloccarlo.

Esistono alcuni protocolli udp in cui una singola richiesta di piccole dimensioni può generare una risposta molto più ampia - tale comportamento era presente nei protocolli DNS e NTP. Questo è sfruttato in un attacco di amplificazione - l'attaccante invia una richiesta a un server di terze parti vulnerabile con l'indirizzo "da" della vittima. La terza parte invia diversi pacchetti alla vittima. Ridimensionarlo a più parti terze significa che un utente malintenzionato deve utilizzare solo una piccola larghezza di banda per riempire una connessione di rete grassa alla vittima.

Non so dove hai letto che udp fosse "più veloce". Le sue caratteristiche prestazionali sono molto diverse da tcp (che è parte della ragione per cui esistono come protocolli diversi) ma la velocità di una connessione IP non è semplicemente una questione di larghezza di banda sugli hop di rete tra client e server. Tentativo di inviare grandi volumi di pacchetti udp su Internet e probabilmente finirai con il DOS del router di uplink.

    
risposta data 08.04.2017 - 01:14
fonte

Leggi altre domande sui tag