Che cos’è uno stresser IP?
Uno stresser IP è uno strumento progettato per testare una rete o un server per la robustezza. L’amministratore può eseguire uno stress test per determinare se le risorse esistenti (larghezza di banda, CPU, ecc.) sono sufficienti per gestire il carico aggiuntivo.
Testare la propria rete o server è un uso legittimo di uno stresser. Eseguirlo contro la rete o il server di qualcun altro, con conseguente negazione del servizio ai propri utenti legittimi, è illegale nella maggior parte dei paesi.
Cosa sono i servizi booter?,
Booters, noti anche come booter services, sono servizi di attacco DDoS (Distributed-Denial-of-Service) su richiesta offerti da criminali intraprendenti al fine di abbattere siti web e reti. In altre parole, i booter sono l’uso illegittimo degli stressatori IP.
Gli stressatori IP illegali spesso oscurano l’identità del server attaccante utilizzando server proxy. Il proxy reindirizza la connessione dell’attaccante mascherando l’indirizzo IP dell’attaccante.
Booters sono slickly confezionati come SaaS (Software-as-a-Service), spesso con supporto e-mail e tutorial di YouTube., I pacchetti possono offrire un servizio una tantum, attacchi multipli entro un periodo definito o anche un accesso” a vita”. Un pacchetto di base di un mese può costare fino a $19,99. Le opzioni di pagamento possono includere carte di credito, Skrill, PayPal o Bitcoin (anche se PayPal cancellerà gli account se l’intento dannoso può essere dimostrato).
In che modo i booter IP sono diversi dalle botnet?
Una botnet è una rete di computer i cui proprietari non sono consapevoli che i loro computer sono stati infettati da malware e vengono utilizzati in attacchi Internet. Booters sono DDoS-for-hire servizi.,
I booter usavano tradizionalmente le botnet per lanciare attacchi, ma man mano che diventano più sofisticati, si vantano di server più potenti per, come dicono alcuni servizi di booter, “aiutarti a lanciare il tuo attacco”.
Quali sono le motivazioni dietro gli attacchi denial-of-service?
Le motivazioni dietro gli attacchi denial-of-service sono molti: skiddies* rimpolpare le loro abilità di hacking, rivalità commerciali, conflitti ideologici, terrorismo sponsorizzato dal governo, o estorsione. PayPal e carte di credito sono i metodi di pagamento preferiti per gli attacchi di estorsione., Bitcoin è anche in uso è perché offre la possibilità di mascherare l’identità. Uno svantaggio di Bitcoin, dal punto di vista degli aggressori, è che meno persone usano bitcoin rispetto ad altre forme di pagamento.
*Script kiddie, o skiddie, è un termine dispregiativo per vandali Internet relativamente poco qualificati che impiegano script o programmi scritti da altri al fine di lanciare attacchi su reti o siti web. Vanno dopo vulnerabilità di sicurezza relativamente ben noti e facili da sfruttare, spesso senza considerare le conseguenze.
Cosa sono gli attacchi di amplificazione e riflessione?,
Gli attacchi di riflessione e amplificazione fanno uso del traffico legittimo per sopraffare la rete o il server preso di mira.
Quando un utente malintenzionato forgia l’indirizzo IP della vittima e invia un messaggio a una terza parte fingendo di essere la vittima, è noto come spoofing dell’indirizzo IP. La terza parte non ha modo di distinguere l’indirizzo IP della vittima da quello dell’attaccante. Risponde direttamente alla vittima. L’indirizzo IP dell’attaccante è nascosto sia dalla vittima che dal server di terze parti. Questo processo è chiamato riflessione.,
Questo è simile all’attaccante che ordina pizze a casa della vittima fingendo di essere la vittima. Ora la vittima finisce a causa di soldi per la pizzeria per una pizza che non hanno ordinato.
L’amplificazione del traffico si verifica quando l’attaccante costringe il server di terze parti a inviare risposte alla vittima con il maggior numero possibile di dati. Il rapporto tra le dimensioni di risposta e richiesta è noto come fattore di amplificazione. Maggiore è questa amplificazione, maggiore è la potenziale interruzione per la vittima., Anche il server di terze parti viene interrotto a causa del volume di richieste falsificate che deve elaborare. L’amplificazione NTP è un esempio di tale attacco.
I tipi più efficaci di attacchi booter utilizzano sia l’amplificazione che la riflessione. In primo luogo, l’attaccante falsifica l’indirizzo del bersaglio e invia un messaggio a una terza parte. Quando la terza parte risponde, il messaggio va all’indirizzo falso di destinazione. La risposta è molto più grande del messaggio originale, amplificando così la dimensione dell’attacco.,
Il ruolo di un singolo bot in un tale attacco è simile a quello di un adolescente malintenzionato che chiama un ristorante e ordina l’intero menu, quindi richiede una richiamata che conferma ogni elemento del menu. Solo che il numero di richiamata e ‘quello della vittima, il risultato e’ che la vittima ha ricevuto una chiamata dal ristorante con una marea di informazioni che non aveva richiesto.
Quali sono le categorie di attacchi denial-of-service?
Gli attacchi a livello di applicazione seguono le applicazioni Web e spesso utilizzano la massima sofisticazione., Questi attacchi sfruttano una debolezza nello stack di protocollo Layer 7 stabilendo prima una connessione con il target, quindi esaurendo le risorse del server monopolizzando processi e transazioni. Questi sono difficili da identificare e mitigare. Un esempio comune è un attacco HTTP Flood.
Gli attacchi basati sul protocollo si concentrano sullo sfruttamento di una debolezza nei livelli 3 o 4 dello stack di protocollo. Tali attacchi consumano tutta la capacità di elaborazione della vittima o di altre risorse critiche (un firewall, ad esempio), con conseguente interruzione del servizio. Syn Flood e Ping of Death sono alcuni esempi.,
Gli attacchi volumetrici inviano elevati volumi di traffico nel tentativo di saturare la larghezza di banda di una vittima. Gli attacchi volumetrici sono facili da generare impiegando semplici tecniche di amplificazione, quindi queste sono le forme di attacco più comuni. UDP Flood, TCP Flood, Amplificazione NTP e amplificazione DNS sono alcuni esempi.
Quali sono i comuni attacchi denial-of-service?,
L’obiettivo degli attacchi DoS o DDoS è quello di consumare abbastanza risorse di server o di rete in modo che il sistema non risponda alle richieste legittime:
- SYN Flood: una successione di richieste SYN viene diretta al sistema del target nel tentativo di sopraffarlo. Questo attacco sfrutta le debolezze nella sequenza di connessione TCP, noto come una stretta di mano a tre vie.
- HTTP Flood: un tipo di attacco in cui le richieste HTTP GET o POST vengono utilizzate per attaccare il server web.,
- UDP Flood: un tipo di attacco in cui le porte casuali sul bersaglio sono sopraffatte da pacchetti IP contenenti datagrammi UDP.
- Ping of Death: gli attacchi comportano l’invio deliberato di pacchetti IP più grandi di quelli consentiti dal protocollo IP. La frammentazione TCP/IP si occupa di pacchetti di grandi dimensioni suddividendoli in pacchetti IP più piccoli. Se i pacchetti, una volta messi insieme, sono più grandi dei 65.536 byte consentiti, i server legacy spesso si bloccano. Questo è stato in gran parte risolto nei sistemi più recenti. Ping flood è l’incarnazione attuale di questo attacco.,
- Attacchi al protocollo ICMP: gli attacchi al protocollo ICMP sfruttano il fatto che ogni richiesta richiede l’elaborazione da parte del server prima che una risposta venga inviata indietro. Smurf attack, ICMP flood e ping flood approfittano di questo inondando il server di richieste ICMP senza attendere la risposta.
- Slowloris: Inventato da Robert ‘RSnake’ Hansen, questo attacco cerca di mantenere aperte più connessioni al server web di destinazione e il più a lungo possibile. Alla fine, verranno negati ulteriori tentativi di connessione da parte dei client.,
- DNS Flood: L’attaccante inonda i server DNS di un particolare dominio nel tentativo di interrompere la risoluzione DNS per quel dominio
- Teardrop Attack: L’attacco che comporta l’invio di pacchetti frammentati al dispositivo di destinazione. Un bug nel protocollo TCP/IP impedisce al server di riassemblare tali pacchetti, causando la sovrapposizione dei pacchetti. Il dispositivo mirato si blocca.
- Amplificazione DNS: questo attacco basato sulla riflessione trasforma le richieste legittime ai server DNS (domain name system) in server molto più grandi, nel processo che consuma risorse del server.,
- Amplificazione NTP: un attacco DDoS volumetrico basato sulla riflessione in cui un utente malintenzionato sfrutta una funzionalità del server Network Time Protocol (NTP) al fine di sopraffare una rete o un server mirato con una quantità amplificata di traffico UDP.
- SNMP Reflection: l’utente malintenzionato forgia l’indirizzo IP della vittima e invia più richieste SNMP (Simple Network Management Protocol) ai dispositivi. Il volume delle risposte può sopraffare la vittima.,
- SSDP: Un attacco SSDP (Simple Service Discovery Protocol) è un attacco DDoS basato sulla riflessione che sfrutta i protocolli di rete Universal Plug and Play (UPnP) al fine di inviare una quantità amplificata di traffico a una vittima mirata.
- Smurf Attack: Questo attacco utilizza un programma malware chiamato smurf. Un gran numero di pacchetti ICMP (Internet Control Message Protocol) con l’indirizzo IP contraffatto della vittima vengono trasmessi a una rete di computer utilizzando un indirizzo di trasmissione IP.
- Attacco Fraggle: Un attacco simile a smurf, tranne che usa UDP piuttosto che ICMP.,
Cosa si dovrebbe fare in caso di un attacco di estorsione DDoS?
- Il data center e ISP deve essere immediatamente informato
- Riscatto di pagamento non dovrebbe mai essere un’opzione a pagamento che spesso porta ad un aumento delle richieste di riscatto
- agenzie di applicazione di Legge devono essere notificati
- il traffico di Rete devono essere monitorati
- Raggiungere DDoS piani di protezione, come Cloudflare gratuitamente plan
Come attacchi botnet essere mitigato?,
- Firewall deve essere installato sul server
- le patch di Sicurezza deve essere aggiornato
- il software Antivirus deve essere eseguito in orario
- Sistema di registri devono essere regolarmente monitorati
- Unknown server di posta elettronica non dovrebbe essere consentito di distribuire il traffico SMTP
Perché boot servizi difficile da rintracciare?
La persona che acquista questi servizi criminali utilizza un sito web frontend per il pagamento, e le istruzioni relative all’attacco. Molto spesso non esiste una connessione identificabile con il back-end che avvia l’attacco effettivo., Pertanto, l’intento criminale può essere difficile da dimostrare. Seguendo la pista di pagamento è un modo per rintracciare le entità criminali.