Wat is een IP-stresser?
een IP-stresser is een tool ontworpen om een netwerk of server te testen op robuustheid. De beheerder kan een stresstest uitvoeren om te bepalen of de bestaande bronnen (bandbreedte, CPU, enz.) voldoende zijn om extra belasting aan te kunnen.
het testen van een eigen netwerk of server is een legitiem gebruik van een stresser. Het uitvoeren van het tegen het netwerk of de server van iemand anders, wat resulteert in denial-of-service aan hun legitieme gebruikers, is illegaal in de meeste landen.
Wat zijn booterservices?,
Booters, ook bekend als booter services, zijn on-demand DDoS (Distributed-Denial-of-Service) aanval diensten aangeboden door ondernemende criminelen om websites en netwerken neer te halen. Met andere woorden, booters zijn het onwettige gebruik van IP-stressers.
illegale IP-stressers verhullen vaak de identiteit van de aanvallende server door gebruik te maken van proxyservers. De proxy leidt de verbinding van de aanvaller om terwijl het IP-adres van de aanvaller wordt gemaskeerd.
Booters zijn slickly verpakt als SaaS (Software-as-a-Service), vaak met e-mail ondersteuning en YouTube tutorials., Pakketten kunnen een eenmalige service, meerdere aanvallen binnen een bepaalde periode, of zelfs “lifetime” toegang bieden. Een eenvoudige, een maand pakket kan zo weinig kosten als $ 19.99. Betalingsopties kunnen creditcards, Skrill, PayPal of Bitcoin (hoewel PayPal zal accounts te annuleren als kwaadaardige intentie kan worden bewezen).
hoe verschillen IP booters van botnets?
een botnet is een netwerk van computers waarvan de eigenaren niet op de hoogte zijn dat hun computers zijn geïnfecteerd met malware en worden gebruikt bij internetaanvallen. Booters zijn DDoS-for-hire diensten.,
Booters gebruikten van oudsher botnets om aanvallen te lanceren, maar naarmate ze geavanceerder worden, beschikken ze over krachtigere servers om, zoals sommige booters het noemen, “u te helpen uw aanval te lanceren”.
Wat zijn de motieven achter denial-of-service aanvallen?
de motieven achter denial-of-service-aanvallen zijn talrijk: slippies* die hun hacking-vaardigheden verbeteren, zakelijke rivaliteiten, ideologische conflicten, door de overheid gesponsord terrorisme, of afpersing. PayPal en creditcards zijn de geprefereerde betaalmethoden voor afpersing aanvallen., Bitcoin is ook in gebruik is omdat het biedt de mogelijkheid om identiteit te verhullen. Een nadeel van Bitcoin, vanuit het oogpunt van de aanvallers, is dat minder mensen gebruik maken van bitcoins in vergelijking met andere vormen van betaling.
*Script kiddie, of skiddie, is een denigrerende term voor relatief laaggeschoolde internet vandalen die scripts of programma ‘ s gebruiken die door anderen zijn geschreven om aanvallen op netwerken of websites te lanceren. Ze gaan na relatief bekende en gemakkelijk te exploiteren kwetsbaarheden in de beveiliging, vaak zonder rekening te houden met de gevolgen.
wat zijn amplificatie-en reflectieaanvallen?,
reflectie-en versterkingsaanvallen maken gebruik van legitiem verkeer om het netwerk of de server waarop het doelwit is, te overweldigen.
wanneer een aanvaller het IP-adres van het slachtoffer vervalst en een bericht stuurt naar een derde partij terwijl hij zich voordoet als het slachtoffer, wordt het IP-adres spoofing genoemd. De derde partij heeft geen manier om het IP-adres van het slachtoffer te onderscheiden van dat van de aanvaller. Het reageert direct op het slachtoffer. Het IP-adres van de aanvaller is verborgen voor zowel het slachtoffer als de server van derden. Dit proces wordt reflectie genoemd.,
Dit is vergelijkbaar met de aanvaller die pizza ‘ s bestelt bij het huis van het slachtoffer terwijl hij zich voordoet als het slachtoffer. Nu is het slachtoffer geld schuldig aan de Pizzeria voor een pizza die ze niet besteld hebben.
Verkeersversterking gebeurt wanneer de aanvaller de server van derden dwingt om reacties terug te sturen naar het slachtoffer met zoveel mogelijk gegevens. De verhouding tussen de grootte van reactie en verzoek staat bekend als de versterkingsfactor. Hoe groter deze versterking, hoe groter de mogelijke verstoring voor het slachtoffer., De server van derden wordt ook verstoord als gevolg van het volume van vervalste verzoeken die het moet verwerken. NTP versterking is een voorbeeld van een dergelijke aanval.
de meest effectieve typen booteraanvallen gebruiken zowel versterking als reflectie. Ten eerste, de aanvaller vervalst het adres van het doel en stuurt een bericht naar een derde partij. Wanneer de derde partij antwoordt, het bericht gaat naar het vervalste adres van het doel. Het antwoord is veel groter dan het oorspronkelijke bericht, waardoor de omvang van de aanval wordt versterkt.,
de rol van een enkele bot in zo ‘ n aanval is vergelijkbaar met die van een kwaadaardige tiener die een restaurant aanroept en het hele menu ordent, en vervolgens een callback aanvraagt om elk item in het menu te bevestigen. Het terugbelnummer is dat van het slachtoffer, dus het slachtoffer krijgt een telefoontje van het restaurant met een overvloed aan informatie die ze niet hebben gevraagd.
Wat zijn de categorieën van denial-of-service aanvallen?
applicatie laag aanvallen gaan na webapplicaties, en gebruiken vaak de meest geavanceerde., Deze aanvallen maken gebruik van een zwakte in de Layer 7 protocol stack door eerst een verbinding met het doel tot stand te brengen en vervolgens serverbronnen te uitputten door processen en transacties te monopoliseren. Deze zijn moeilijk te identificeren en te verzachten. Een veel voorkomend voorbeeld is een HTTP Flood attack.
Protocol gebaseerde aanvallen richten zich op het benutten van een zwakte in lagen 3 of 4 van de protocol stack. Dergelijke aanvallen verbruiken alle verwerkingscapaciteit van het slachtoffer of andere kritieke bronnen (bijvoorbeeld een firewall), wat resulteert in verstoring van de service. Syn Flood en Ping of Death zijn enkele voorbeelden.,
volumetrische aanvallen sturen grote volumes verkeer in een poging om de bandbreedte van een slachtoffer te verzadigen. Volumetrische aanvallen zijn gemakkelijk te genereren door gebruik te maken van eenvoudige versterkingstechnieken, dus dit zijn de meest voorkomende vormen van aanval. UDP Flood, TCP Flood, NTP Amplification en DNS Amplification zijn enkele voorbeelden.
wat zijn veelvoorkomende denial-of-service aanvallen?,
Het doel van DoS-of DDoS-aanvallen is om voldoende server-of netwerkbronnen te gebruiken zodat het systeem niet meer reageert op legitieme verzoeken:
- SYN Flood: een reeks SYN-Verzoeken wordt naar het systeem van het doel geleid in een poging het te overweldigen. Deze aanval maakt gebruik van zwakke punten in de TCP-verbindingssequentie, bekend als een Drieweg handshake.
- HTTP Flood: Een type aanval waarbij HTTP GET-of POSTVERZOEKEN worden gebruikt om de webserver aan te vallen.,
- UDP Flood: Een type aanval waarbij willekeurige poorten op het doel worden overweldigd door IP-pakketten die UDP-datagrammen bevatten.
- Ping of Death: aanvallen omvatten het opzettelijk verzenden van IP-pakketten die groter zijn dan toegestaan door het IP-protocol. TCP / IP fragmentation behandelt grote pakketten door ze op te splitsen in kleinere IP pakketten. Als de pakketten bij elkaar groter zijn dan de toegestane 65.536 bytes, crashen oudere servers vaak. Dit is grotendeels opgelost in nieuwere systemen. Ping flood is de huidige incarnatie van deze aanval.,
- ICMP-Protocolaanvallen: aanvallen op het ICMP-protocol maken gebruik van het feit dat elke aanvraag door de server moet worden verwerkt voordat een antwoord wordt teruggestuurd. Smurf attack, ICMP flood en ping flood profiteren hiervan door de server te overspoelen met ICMP-verzoeken zonder te wachten op het antwoord.
- Slowloris: uitgevonden door Robert ‘RSnake’ Hansen, probeert deze aanval meerdere verbindingen met de doelwebserver open te houden, en zo lang mogelijk. Uiteindelijk zullen extra verbindingspogingen van clients worden geweigerd.,
- DNS Flood: de aanvaller overspoelt de DNS-servers van een bepaald domein in een poging de DNS-resolutie voor dat domein teardrop Attack te verstoren: de aanval waarbij gefragmenteerde pakketten naar het beoogde apparaat worden gestuurd. Een bug in het TCP / IP protocol voorkomt dat de server dergelijke pakketten opnieuw in elkaar zet, waardoor de pakketten elkaar overlappen. Het beoogde apparaat crasht.
- DNS-versterking: deze reflectie-gebaseerde aanval verandert legitieme verzoeken aan DNS-servers (domain name system) in veel grotere, in het proces dat serverbronnen verbruikt.,
- NTP-versterking: een op reflectie gebaseerde volumetrische DDOS-aanval waarbij een aanvaller een NTP-serverfunctionaliteit (Network Time Protocol) gebruikt om een doelgericht netwerk of server met een versterkte hoeveelheid UDP-verkeer te overweldigen.
- SNMP-reflectie: de aanvaller smeedt het IP-adres van het slachtoffer en stuurt meerdere Simple Network Management Protocol (SNMP) – verzoeken naar apparaten. Het volume van de antwoorden kan het slachtoffer overweldigen.,
- SSDP: een SSDP (Simple Service Discovery Protocol) aanval is een reflectie-gebaseerde DDOS-aanval die gebruik maakt van universele Plug and Play (UPnP) netwerkprotocollen om een versterkte hoeveelheid verkeer naar een doelwit te sturen.
- Smurf aanval: deze aanval maakt gebruik van een malware programma genaamd smurf. Grote aantallen Internet Control Message Protocol (ICMP) pakketten met vervalste IP-adres van het slachtoffer worden uitgezonden naar een computernetwerk met behulp van een IP-broadcast-adres.
- Fraggle Attack: een aanval vergelijkbaar met smurf, behalve dat het UDP gebruikt in plaats van ICMP.,
Wat moet er worden gedaan in het geval van een DDOS-afpersing aanval?
- het datacenter en de internetprovider moeten onmiddellijk op de hoogte worden gebracht
- losgeld betalen mag nooit een optie zijn – een betaling leidt vaak tot escalerende losgeld eisen
- wetshandhavingsinstanties moeten op de hoogte worden gesteld
- netwerkverkeer moet worden gemonitord
- bereik DDoS-beschermingsplannen, zoals Cloudflare ‘ s gratis plan
hoe kunnen botnetaanvallen worden beperkt?,
- Firewalls moeten op de server worden geïnstalleerd
- beveiligingspatches moeten up-to-date zijn
- antivirussoftware moet volgens schema worden uitgevoerd
- systeemlogs moeten regelmatig worden gecontroleerd
- Onbekende e-mailservers mogen geen SMTP-verkeer distribueren
Waarom zijn bootservices moeilijk te traceren?
de persoon die deze criminele diensten koopt gebruikt een frontend website voor betaling, en instructies met betrekking tot de aanval. Heel vaak is er geen identificeerbare verbinding met de backend die de eigenlijke aanval initieert., Daarom kan criminele opzet moeilijk te bewijzen zijn. Naar aanleiding van de betaling trail is een manier om op te sporen criminele entiteiten.