mi az IP stresser?
az IP stresser egy olyan eszköz, amelyet egy hálózat vagy szerver robusztusságának tesztelésére terveztek. A rendszergazda stressztesztet futtathat annak megállapítására, hogy a meglévő erőforrások (sávszélesség, CPU stb.) elegendőek a további terhelés kezeléséhez.
a saját hálózat vagy szerver tesztelése a stresszer legitim használata. A legtöbb országban illegális valaki más hálózatával vagy szerverével szemben futtatni, ami a szolgáltatás megtagadását eredményezi a törvényes felhasználók számára.
mik azok a booter szolgáltatások?,
a Rendszerindítók, más néven booter szolgáltatások, igény szerinti DDoS (Distributed-Denial-of-Service) támadási szolgáltatások, amelyeket vállalkozó bűnözők kínálnak a webhelyek és hálózatok lebontása érdekében. Más szóval, a booters az IP stresszorok törvénytelen használata.
Az illegális IP-stresszorok gyakran fedik le a támadó szerver személyazonosságát proxykiszolgálók használatával. A proxy átirányítja a támadó kapcsolatát, miközben elfedi a támadó IP-címét.
A Rendszerindítók slickly csomagolva SaaS (Software-as-a-Service), gyakran e-mail támogatás, YouTube útmutatók., A csomagok egyszeri szolgáltatást, több támadást kínálhatnak egy meghatározott időszakon belül, vagy akár “élettartam” hozzáférést. Egy alap, egy hónapos csomag ára akár 19, 99 dollár is lehet. A fizetési lehetőségek közé tartozhatnak a hitelkártyák, a Skrill, a PayPal vagy a Bitcoin (bár a PayPal törli a fiókokat, ha a rosszindulatú szándék bizonyítható).
miben különböznek az IP rendszerindítók a botnetektől?
a botnet olyan számítógépek hálózata, amelyek tulajdonosai nem tudják, hogy számítógépeik rosszindulatú programokkal fertőződtek meg, és internetes támadásokban használják őket. Booters DDoS-for-hire szolgáltatások.,
A Rendszerindítók hagyományosan botneteket használtak a támadások elindításához, de mivel kifinomultabbak, nagyobb teljesítményű szerverekkel büszkélkedhetnek, hogy, ahogy néhány rendszerindító szolgáltatás megfogalmazta, “segítsen elindítani a támadást”.
milyen motivációk vannak a szolgáltatásmegtagadási támadások mögött?
a szolgáltatásmegtagadás elleni támadások motivációja sok: skiddies* Hacker képességeik, üzleti riválisaik, ideológiai konfliktusok, kormány által szponzorált terrorizmus vagy zsarolás. A zsarolási támadások esetén a PayPal és a hitelkártyák az előnyben részesített fizetési módok., A Bitcoin azért is használatban van, mert képes álcázni az identitást. A Bitcoin egyik hátránya a támadók szempontjából az, hogy kevesebb ember használja a bitcoinokat más fizetési módokhoz képest.
* Script kiddie, vagy skiddie, egy lekicsinylő kifejezés a viszonylag alacsony képzettségű internetes vandálok, akik alkalmaznak szkriptek vagy programok írt mások annak érdekében, hogy indítson támadások hálózatok vagy weboldalak. Viszonylag jól ismert és könnyen kihasználható biztonsági réseket követnek el, gyakran anélkül, hogy figyelembe vennék a következményeket.
mik azok az amplifikációs és reflexiós támadások?,
a reflexiós és erősítő támadások legitim forgalmat használnak annak érdekében, hogy túlterheljék a megcélzott hálózatot vagy szervert.
amikor a támadó az áldozat IP-címét hamisítja, és üzenetet küld egy harmadik félnek, miközben úgy tesz, mintha az áldozat lenne, IP-cím hamisításként ismert. A harmadik fél nem tudja megkülönböztetni az áldozat IP-címét a támadó IP-címétől. Közvetlenül az áldozatra válaszol. A támadó IP-címe el van rejtve mind az áldozat, mind a harmadik fél szerverétől. Ezt a folyamatot reflexiónak nevezik.,
Ez hasonlít a támadóhoz, aki pizzákat rendel az áldozat házához, miközben úgy tesz, mintha az áldozat lenne. Az áldozat végül pénzt követel a pizzériának egy pizzáért, amit nem rendeltek meg.
A Forgalomerősítés akkor történik, amikor a támadó arra kényszeríti a harmadik féltől származó szervert, hogy a lehető legtöbb adatot küldje vissza az áldozatnak. A válasz és a kérés mérete közötti arányt amplifikációs tényezőnek nevezzük. Minél nagyobb ez az erősítés, annál nagyobb az áldozat esetleges megzavarása., A harmadik féltől származó szerver is megszakad, mert a kötet hamis kéréseket kell feldolgozni. Az NTP amplifikáció egy ilyen támadás egyik példája.
a booter támadások leghatékonyabb típusai mind erősítést, mind visszaverődést használnak. Először is, a támadó hamisítja a célpont címét, majd üzenetet küld egy harmadik félnek. Amikor a harmadik fél válaszol, az üzenet a target hamis címére kerül. A válasz sokkal nagyobb, mint az eredeti üzenet, ezáltal erősítve a támadás méretét.,
egyetlen bot szerepe egy ilyen támadásban hasonlít egy éttermet hívó rosszindulatú tinédzserhez, aki megrendeli a teljes menüt, majd visszahívást kér, amely megerősíti a menü minden elemét. Csakhogy a visszahívási szám az áldozaté, aminek az az eredménye, hogy a megcélzott áldozat hívást kap az étteremtől, és olyan információt kap, amit nem kértek.
melyek a szolgáltatásmegtagadási támadások kategóriái?
az Application Layer támadások a webes alkalmazások után mennek, gyakran a kifinomultságot használják., Ezek a támadások kihasználják a Layer 7 protokollcsomag gyengeségét azáltal, hogy először kapcsolatot létesítenek a célponttal, majd kimerítik a szerver erőforrásait a folyamatok és tranzakciók monopolizálásával. Ezeket nehéz azonosítani és enyhíteni. Egy gyakori példa egy HTTP árvíz támadás.
A protokoll alapú támadások a protokollcsomag 3.vagy 4. rétegében lévő gyengeség kihasználására összpontosítanak. Az ilyen támadások az áldozat vagy más kritikus erőforrások (például tűzfal) összes feldolgozási kapacitását fogyasztják, ami szolgáltatási zavarokat okoz. Syn Flood és Ping a halál néhány példa.,
a volumetrikus támadások nagy mennyiségű forgalmat küldenek az áldozat sávszélességének telítettsége érdekében. A volumetrikus támadásokat egyszerű erősítési technikák alkalmazásával könnyű előállítani, így ezek a támadás leggyakoribb formái. UDP Flood, TCP Flood, NTP Amplification and DNS Amplification are some examples.
mik a közös szolgáltatásmegtagadási támadások?,
a DOS vagy DDoS támadások célja, hogy elegendő kiszolgálói vagy hálózati erőforrást fogyasszon, hogy a rendszer ne reagáljon a jogos kérésekre:
- SYN Flood: a SYN kérések sorozata a célrendszerére irányul, hogy megpróbálja túlterhelni. Ez a támadás kihasználja gyengeségeit a TCP kapcsolat szekvencia, ismert, mint egy háromutas kézfogás.
- HTTP Flood: olyan típusú támadás, amelyben a HTTP GET vagy POST kéréseket használják a webszerver támadására.,
- UDP Flood: olyan típusú támadás, amelyben a cél véletlenszerű portjait elárasztják az UDP-adatokat tartalmazó IP-csomagok.
- halál Pingje: a támadások az IP protokoll által megengedettnél nagyobb IP-csomagok szándékos küldését foglalják magukban. A TCP / IP fragmentáció nagy csomagokkal foglalkozik, kisebb IP-csomagokra bontva. Ha a csomagok összeállításakor nagyobbak, mint a megengedett 65,536 bájt, a régebbi szerverek gyakran összeomlanak. Ezt nagyrészt az újabb rendszerekben rögzítették. Ping flood a támadás mai megtestesülése.,
- ICMP protokoll támadások: az ICMP protokoll elleni támadások kihasználják azt a tényt, hogy minden kéréshez a kiszolgáló általi feldolgozásra van szükség a válasz visszaküldése előtt. Smurf attack, ICMP flood, és ping flood kihasználják ezt a elárasztják a szerver ICMP kérések várakozás nélkül a választ.
- Slowloris: Robert “RSnake” Hansen által feltalált támadás több kapcsolatot próbál nyitva tartani a cél webszerverrel, ameddig csak lehetséges. Végül az ügyfelek további csatlakozási kísérleteit megtagadják.,
- DNS Flood: a támadó elárasztja egy adott domain DNS-kiszolgálóit, hogy megpróbálja megzavarni az adott tartomány DNS-felbontását
- Könnycsepp támadás: a támadás, amely magában foglalja a töredezett csomagok küldését a célzott eszközre. A TCP/IP protokoll hibája megakadályozza, hogy a szerver újra összeillessze az ilyen csomagokat, így a csomagok átfedésben vannak. A célzott eszköz összeomlik.
- DNS Amplification: ez a reflexió-alapú támadás a DNS (domain name system) szerverekre irányuló jogos kéréseket sokkal nagyobbakká változtatja a szerver erőforrásait fogyasztó folyamat során.,
- NTP Amplification: a reflection-alapú volumetrikus DDoS támadás, amelyben a támadó kihasználja a Network Time Protocol (NTP) szerver funkcionalitás annak érdekében, hogy elborít egy célzott hálózat vagy szerver erősített mennyiségű UDP forgalom.
- SNMP reflexió: a támadó megforgatja az áldozat IP-címét, és több egyszerű hálózatkezelési protokollt (SNMP) kér az eszközökre. A válaszok mennyisége eláraszthatja az áldozatot.,
- SSDP: az SSDP (Simple Service Discovery Protocol) támadás egy reflexió alapú DDoS támadás, amely kihasználja az univerzális Plug and Play (UPnP) hálózati protokollokat annak érdekében, hogy erősített mennyiségű forgalmat küldjön egy célzott áldozatnak.
- Smurf Attack: Ez a támadás egy Smurf nevű rosszindulatú programot használ. Az áldozat hamis IP-címével rendelkező Internet Control Message Protocol (ICMP) csomagok nagy számát IP-cím segítségével továbbítják a számítógépes hálózathoz.
- Fraggle Attack: a smurfhoz hasonló támadás, kivéve, ha az UDP-t használja az ICMP helyett.,
mit kell tenni DDoS zsarolási támadás esetén?
- A data center ISP kell azonnal tájékoztatta
- Váltságdíjat soha nem szabad egy lehetőség – a fizetési gyakran vezet fokozódó váltságdíjat
- a bűnüldöző szervek kell bejelenteni
- Hálózati forgalom figyelemmel kell kísérni
- Elérni DDoS védelem tervek, például a Cloudflare az ingyenes terv
Hogyan lehet botnet támadások mérsékelni?,
- Tűzfalak kell telepíteni a szerver
- Biztonsági javítások naprakésznek kell lennie
- a Vírusirtó szoftvert futtatni kell a menetrend
- Rendszer naplókat rendszeresen ellenőrizni kell
- Ismeretlen e-mail szerverek nem szabad terjeszteni az SMTP forgalom
Miért booter szolgáltatások nehéz lenyomozni?
az a személy, aki ezeket a bűnügyi szolgáltatásokat vásárolja, egy frontend webhelyet használ fizetésre, valamint a támadással kapcsolatos utasításokat. Nagyon gyakran nincs azonosítható kapcsolat a backend kezdeményező tényleges támadás., Ezért a bűnügyi szándékot nehéz bizonyítani. A Fizetési nyomvonal követése az egyik módja annak, hogy nyomon kövessük a bűnözőket.