DoS su un IP ordinario [duplicato]

Ci sono diversi modi per fare un indirizzo IP individuale, e per rispondere alla tua domanda puoi ancora usare un attacco DoS HTTP se hanno una porta HTTP aperta, quindi in definitiva il miglior tipo di attacco DoS che eseguirai un singolo indirizzo IP si riferisce direttamente ai risultati di un port scan o ad altri metodi di ricognizione e raccolta di informazioni che dovresti completare su quel solo IP.

DDoS ovoparica la capacità di un dispositivo di elaborare le richieste e costringe a perdere le richieste valide. In questo senso, non importa quale sia il protocollo di destinazione, supponendo che tu abbia una larghezza di banda sufficientemente alta come attaccante.

Immagina che il router wifi sia impostato sulla modalità blocco completo sulla rete WAN esterna. Indirizzando diversi Gbs di richieste non valide su di esso, il router semplice sarà focalizzato nel far cadere continuamente le richieste non valide, sovraccaricando la sua capacità della CPU. Poiché le richieste continuano a venire, il router si bloccherà, causando la negazione del servizio a utenti validi, pur non avendo una superficie di attacco chiaramente visibile. Ciò è dovuto al fatto che il blocco della regola del firewall è ancora una regola, poiché ha un impatto sul dispositivo (anche se minuscolo).

La differenza tra un'inondazione stupida nel nulla e un pavimento HTTP, o Syn flood, è che la vittima interagisce attivamente con le richieste non valide, consumando più tempo della CPU sul dispositivo e quindi rendendo necessaria la quantità di traffico necessaria per colpire la vittima off di meno.

Un buon esempio (teorico) del traffico richiesto per disabilitare un dispositivo di rete può essere visto nel seguente scenario:

Regola di rilascio del firewall: 3 gbs

Syn Flood contro qualsiasi porta TCP aperta: 0,5 Gbs

Richieste a una query di ricerca http non sicura, ad uso intensivo di risorse: 10 Mb

Come puoi vedere, più cicli CPU costringi il target a utilizzare, più efficace è l'attacco DDoS.

Se non ci sono servizi o porte aperti su Internet su quell'indirizzo IP, la mia comprensione è che l'unico modo per eliminare quell'IP è saturare la connessione inviando dati casuali a quell'IP. Il firewall lo bloccherà ovviamente, ma quando raggiunge il firewall la larghezza di banda del download della vittima sarà già stata consumata.

In teoria, è possibile farlo con un solo computer, considerando che stiamo parlando di connessioni residenziali e non server-grade: se la tua velocità di upload è maggiore della velocità di download della vittima, allora un computer sarebbe sufficiente.

Se questo non è il caso, può ancora essere fatto senza una botnet usando un attacco di amplificazione DNS o NTP. DNS e NTP sono protocolli UDP, quindi è possibile falsificare l'indirizzo IP della sorgente (diversamente dal TCP). Se trovi un server DNS o NTP pubblico scarsamente protetto (cioè che non ha una limitazione della velocità), puoi inviare tonnellate di query che falsificano l'indirizzo IP della vittima e il server finirà per tentare di inviare risposte alla vittima Indirizzo IP. Se si invia una piccola query che genera una risposta di grandi dimensioni, è possibile inviare relativamente poco traffico al server mentre il server invia grandi quantità di traffico alla vittima (quindi "amplificazione"). Essenzialmente, sfrutteresti la larghezza di banda del server per lanciare l'attacco.

Per quanto riguarda i modi per proteggersi da questo, non penso che ci sia - se vedi un attacco come questo lanciato contro la tua connessione di casa, dovresti probabilmente chiamare il tuo ISP. Se sono competenti, probabilmente controlleranno la tua connessione, capiranno cosa sta succedendo, e quindi annulleranno il tuo indirizzo IP e ne daranno uno nuovo.