La porta nell'alluvione UDP è necessaria? HTTP flood-down perché? Metodi di alluvione UDP, SYN e ICMP

1

Ho domande sugli attacchi DDoS.

  1. Negli script flood, lo script invia i pacchetti UDP a "ip.address: random.port"

    Perché non usa solo l'IP? La porta è necessaria?

  2. Se qualcuno è HTTP che inonda un sito web e lo abbassa.

    È perché l'applicazione server HTTP è troppo impegnata per rispondere agli altri pacchetti? Se no, qual è il motivo?

  3. Alcune persone mi hanno detto che se avessi scelto come target un router domestico sarebbe meglio scegliere l'alluvione UDP anziché SYN o ICMP come metodo.

    È vero? Se è vero perché?

posta imafunnypanda 29.08.2016 - 18:26
fonte

2 risposte

4

1- In flood scripts, the script sends UDP packets to "ip.address:random.port"

Why It doesn't use only the IP ? Is port necessary ?

UDP è un protocollo multiplex: consente connessioni multiple tra due host.

Quindi una connessione UDP è definita dalla tupla (src address, src port, dst address, dst port) .

2- If someone is HTTP flooding a website and make it down. Is it because of HTTP server application is too busy to reply the other packets ? If not what is the reason ?

Potrebbe essere che il web server o l'app stiano utilizzando troppe risorse, ad esempio se è stato chiesto di eseguire un'operazione costosa.

Potrebbe essere che la larghezza di banda disponibile del target sia stata superata e che i pacchetti vengano eliminati.

Meno comunemente, potrebbe essere che qualche dispositivo tra il bersaglio e il resto del mondo sia stato abbattuto dall'attacco.

3- Some people told me when I'll target a home router it'd be better if I choose UDP flood rather than SYN or ICMP flood as method. Is it true ? If it's true why ?

Dovrai chiedere alla persona che ti ha detto questo. Se dovessi indovinare, direi che è perché UDP è meno vincolato dalla congestione.

    
risposta data 29.08.2016 - 18:58
fonte
0

Negli script flood, lo script invia i pacchetti UDP a "ip.address: random.port" Perché non usa solo l'IP? È necessaria la porta?

Le porte di origine e di destinazione fanno parte della struttura del pacchetto UDP , non è possibile inviare un pacchetto UDP senza definire una fonte e una porta di destinazione. Si noti che le porte possono essere davvero qualsiasi cosa, che ci sia effettivamente qualcosa in ascolto sulla porta dall'altra parte è un'altra storia. Poi di nuovo, il livello IP verrà elaborato prima di decidere cosa fare con i dati della porta prima di utilizzare risorse sul sistema di destinazione.

Se qualcuno è HTTP che inonda un sito web e lo abbassa. È perché l'applicazione server HTTP è troppo impegnata per rispondere agli altri pacchetti? Se no, qual è il motivo?

Praticamente. Se si sta eseguendo un'inondazione HTTP sul server Web, si sta contando sul fatto che ci vuole del tempo per elaborare la richiesta HTTP. E quando il server impiega quasi il 100% del proprio tempo nell'elaborazione delle richieste, non avrà potenza di elaborazione per altre richieste del server.

Si noti che questo non è assolutamente vero per la maggior parte dei siti Web. I server Web oggi hanno diversi meccanismi per prevenire richieste estranee da un singolo IP o anche richieste molto simili da diversi IP (prima D in DDoS). Inoltre, quasi certamente ci sarà il caching su un proxy inverso, il che ridurrà molto il tempo di elaborazione. Avrai bisogno di un numero ragionevole di IP e richieste distinte per un DDoS per avere la possibilità di avere successo.

Alcune persone mi hanno detto che quando sceglierò come target un router domestico sarebbe meglio scegliere UDP flood piuttosto che SYN o ICMP flood come metodo. È vero? Se è vero perché?

Posso solo indovinare su questa affermazione. Anche se direi che potrebbe essere vero per i router domestici, proviamo a ragionare su questo:

I router di casa Mot hanno buone difese contro l'inondazione di SYN e l'inondazione di ICMP. Il precedente spesso oscura gli IP che inviano diversi pacchetti SYN senza completare l'handshake, il successivo interrompe semplicemente l'elaborazione (quasi) di qualsiasi ICMP se il router sembra essere sottoposto a overhelming da esso. Le difese dell'UDP sono leggermente più difficili da realizzare perché i router domestici sono spesso configurati per inoltrare le query DNS senza fare domande (anche se questo non è assolutamente il caso dei router di settore).

UDP è anche molto più veloce da inviare dalla parte dell'attaccante. È un pacchetto più piccolo che un attaccante può inviare mentre ruba quasi lo stesso numero di risorse sul lato del difensore. Nei router di oggi, quello che puoi aspettarti di ottenere è che l'attaccante spenda risorse per rimuovere le intestazioni IP e analizzare il pacchetto di livello 3, non molto di più.

Non siamo nei periodi in cui i router ricevono un pacchetto SYN, rispondono e aspettano un ACK mentre tengono la memoria (e terminano la memoria abbastanza rapidamente). Quel vettore di attacco è praticamente morto. Questo era un motivo per cui le inondazioni SYN erano efficaci, ma questo vettore è stato rettificato praticamente ovunque.

    
risposta data 29.08.2016 - 19:10
fonte

Leggi altre domande sui tag