In che modo gli autori di attacchi di negazione del servizio possono determinare l'impatto del loro attacco?

1

Anche se so come un utente possa mitigare gli attacchi Dos e rilevare la loro presenza, ad es. controllare i pacchetti ricevuti e inviati, confrontando il normale utilizzo della CPU con il normale, confrontando l'utilizzo della rete con la normale ecc.

Oltre a confrontare la velocità con cui il sistema di destinazione sta ora ricevendo i pacchetti, in quale altro modo gli autori di attacchi di negazione del servizio possono determinare l'impatto del loro attacco?

    
posta information 01.12.2015 - 13:28
fonte

2 risposte

1

Gli attacchi recenti sembrano aver avuto lo scopo di ottenere la copertura mediatica delle interruzioni di servizio - vedere cose come Dicembre 2014 Lizard Squad attacca su Xbox Live e PSN, o Novembre 2015 attacchi collettivi di Armada . Getta abbastanza traffico su un target di alto profilo (social network, servizio di gioco, servizio news) e prima o poi riceverai resoconti dei media su di esso.

Oltre a ciò, non c'è molto che tu possa fare - per definizione, un attacco riuscito risulterà irraggiungibile nel servizio sotto attacco. Se riesci a raggiungerlo, hai bisogno di più traffico o di reindirizzare il traffico o di modificare il tipo di traffico: se un server può gestire enormi volumi di traffico HTTP, può gestire lo stesso volume di traffico HTTPS? Non è molto più difficile da servire, ma il caching potrebbe essere impostato in modo errato, con conseguente maggiore carico sui server. Se c'è un firewall che perde connessioni dopo un numero relativamente basso di tentativi da un dato indirizzo IP, sono necessari più indirizzi IP, per mantenere il numero di tentativi di connessione da ogni down. Il sistema gestisce tutto senza problemi? Prova a raddoppiare il numero di connessioni.

L'altra cosa da tenere presente è che gli aggressori non sono necessariamente le persone che eseguono i sistemi che stanno effettuando l'attacco. Questo potrebbe sembrare contro-intuitivo, ma ci sono varie offerte di tipo DDoS-as-a-service in giro. Un utente malintenzionato può pagare per un certo livello di traffico per colpire un dato indirizzo IP o nome di dominio, in un dato momento, e, dal loro punto di vista, succede semplicemente. In tal caso, potrebbero ottenere alcune statistiche di base (quante connessioni vengono eliminate, connessioni totali, larghezza di banda totale necessaria per gestire tutto ciò che viene lanciato nel sistema), ma avranno una capacità limitata di influenzarle: possono pagare più traffico, ma probabilmente non controlla da dove proviene. Alcuni di questi servizi tendono ad essere aperti anche alla corruzione: puoi pagare più di chiunque tu stia attaccando? In caso contrario, potrebbero semplicemente pagare il servizio - il servizio ottiene comunque i soldi.

    
risposta data 01.12.2015 - 14:37
fonte
1

Il modo più semplice per determinare l'impatto dell'attacco DOS / DDOS è cercare di accedere a uno dei servizi legittimi ospitati sul server sotto attacco, se il server non risponde alla richiesta di servizio allora sarebbe dovuto il DOS / DDOS.

Ma il test di cui sopra può essere fatto solo per i servizi che sappiamo essere ospitati pubblicamente sul target.

    
risposta data 01.12.2015 - 14:40
fonte

Leggi altre domande sui tag