Co to jest adres IP?
IP stresser to narzędzie przeznaczone do testowania sieci lub serwera pod kątem odporności. Administrator może przeprowadzić test warunków skrajnych w celu ustalenia, czy istniejące zasoby (przepustowość, procesor itp.) są wystarczające do obsługi dodatkowego obciążenia.
testowanie własnej sieci lub serwera jest legalnym wykorzystaniem stres. Uruchamianie go przeciwko cudzej sieci lub serwerowi, co skutkuje odmową świadczenia usługi dla ich legalnych użytkowników, jest nielegalne w większości krajów.
czym są usługi bootera?,
Bootery, znane również jako bootery, to usługi ataków DDoS na żądanie (Distributed-Denial-of-Service) oferowane przez przedsiębiorczych przestępców w celu obalenia stron internetowych i sieci. Innymi słowy, bootery są bezprawnym użyciem streserów IP.
nielegalne stresery IP często zaciemniają tożsamość atakującego serwera za pomocą serwerów proxy. Proxy przekierowuje połączenie atakującego podczas maskowania adresu IP atakującego.
Bootery są elegancko pakowane jako SaaS (Software-as-a-Service), często z obsługą poczty e-mail i samouczkami na YouTube., Pakiety mogą oferować usługę jednorazową, wiele ataków w określonym czasie, a nawet dostęp „dożywotni”. Podstawowy, miesięczny pakiet może kosztować zaledwie $19.99. Opcje płatności mogą obejmować Karty kredytowe, Skrill, PayPal lub Bitcoin (chociaż PayPal anuluje konta, jeśli można udowodnić złośliwe intencje).
czym różnią się bootery IP od botnetów?
botnet to sieć komputerów, których właściciele nie są świadomi, że ich komputery zostały zainfekowane złośliwym oprogramowaniem i są wykorzystywane w atakach internetowych. Bootery to usługi DDoS-for-hire.,
Bootery tradycyjnie używały botnetów do uruchamiania ataków, ale gdy stają się bardziej wyrafinowane, szczycą się bardziej wydajnymi serwerami, aby-jak to ujęły niektóre usługi rozruchowe – „pomóc w uruchomieniu ataku”.
jakie są motywy ataków typu denial-of-service?
motywacje stojące za atakami typu „denial-of-service” są liczne: skiddies * wzbogacający swoje umiejętności hakerskie, rywalizacja biznesowa, konflikty ideologiczne, terroryzm sponsorowany przez rząd lub wymuszenia. Paypal i Karty kredytowe są preferowanymi metodami płatności za ataki wymuszeń., Bitcoin jest również w użyciu, ponieważ oferuje możliwość ukrycia tożsamości. Wadą Bitcoina z punktu widzenia atakujących jest to, że mniej osób korzysta z bitcoinów w porównaniu z innymi formami płatności.
*Script kiddie, lub skiddie, to obraźliwe określenie stosunkowo nisko wykwalifikowanych wandali internetowych, którzy używają skryptów lub programów napisanych przez innych w celu uruchamiania ataków na sieci lub strony internetowe. Poszukują stosunkowo dobrze znanych i łatwych do wykorzystania luk w zabezpieczeniach, często bez uwzględnienia konsekwencji.
czym są ataki amplifikacyjne i odbiciowe?,
ataki Reflection i amplification wykorzystują legalny ruch w celu przytłoczenia sieci lub serwera, na który są kierowane.
gdy atakujący fałszuje adres IP ofiary i wysyła wiadomość do osoby trzeciej, udając ofiarę, jest to znane jako fałszowanie adresu IP. Strona trzecia nie ma możliwości odróżnienia adresu IP ofiary od adresu atakującego. Odpowiada bezpośrednio ofierze. Adres IP atakującego jest ukryty zarówno przed ofiarą, jak i przed serwerem strony trzeciej. Proces ten nazywa się refleksją.,
jest to podobne do tego, że napastnik zamawiał pizze do domu ofiary, udając ofiarę. Teraz ofiara jest winna pieniądze pizzerii za pizzę, której nie zamówiła.
wzmocnienie ruchu następuje, gdy atakujący zmusza serwer zewnętrzny do odsyłania odpowiedzi do ofiary z jak największą ilością danych. Stosunek wielkości odpowiedzi i żądania jest znany jako współczynnik wzmocnienia. Im większe wzmocnienie, tym większe potencjalne zakłócenie dla ofiary., Serwer innej firmy jest również zakłócony z powodu ilości fałszywych żądań, które musi przetworzyć. Wzmocnienie NTP jest jednym z przykładów takiego ataku.
najskuteczniejsze typy ataków typu booter wykorzystują zarówno wzmocnienie, jak i odbicie. Po pierwsze, atakujący fałszuje adres celu i wysyła wiadomość do osoby trzeciej. Gdy osoba trzecia odpowie, wiadomość trafia na fałszywy adres celu. Odpowiedź jest znacznie większa niż oryginalna wiadomość, tym samym zwiększając rozmiar ataku.,
rola pojedynczego bota w takim ataku jest podobna do roli złośliwego Nastolatka dzwoniącego do restauracji i Zamawiającego całe menu, a następnie żądającego oddzwonienia Potwierdzającego każdą pozycję w menu. Tyle, że numer oddzwaniania należy do ofiary, co powoduje, że ofiara otrzymuje telefon z restauracji z zalewem informacji, o które nie prosiła.
jakie są kategorie ataków typu denial-of-service?
ataki warstwy aplikacji idą po aplikacjach internetowych i często wykorzystują najbardziej zaawansowane funkcje., Ataki te wykorzystują słabość stosu protokołu warstwy 7, najpierw nawiązując połączenie z celem, a następnie wyczerpując zasoby serwera poprzez monopolizację procesów i transakcji. Są one trudne do zidentyfikowania i złagodzenia. Częstym przykładem jest atak powodziowy HTTP.
ataki oparte na protokole koncentrują się na wykorzystaniu słabości w warstwach 3 lub 4 stosu protokołów. Takie ataki pochłaniają całą zdolność przetwarzania ofiary lub inne krytyczne zasoby( na przykład zapora ogniowa), powodując zakłócenia w usługach. Syn Flood i Ping of Death to kilka przykładów.,
ataki wolumetryczne wysyłają duże ilości ruchu w celu nasycenia przepustowości ofiary. Ataki wolumetryczne są łatwe do wygenerowania dzięki zastosowaniu prostych technik wzmacniających, więc są to najczęstsze formy ataku. UDP Flood, TCP Flood, wzmocnienie NTP i wzmocnienie DNS to kilka przykładów.
czym są częste ataki typu denial-of-service?,
celem ataków DoS lub DDoS jest zużywanie wystarczającej ilości zasobów serwera lub sieci, aby system przestał odpowiadać na uzasadnione żądania:
- syn Flood: kolejne żądania SYN są kierowane do systemu docelowego, próbując go przytłoczyć. Atak ten wykorzystuje słabości w sekwencji połączeń TCP, znanej jako trójdrożny uścisk dłoni.
- http Flood: rodzaj ataku, w którym żądania HTTP GET lub POST są używane do ataku na serwer WWW.,
- UDP Flood: rodzaj ataku, w którym losowe porty na celu są przytłaczane przez pakiety IP zawierające datagramy UDP.
- Ping of Death: ataki polegają na celowym wysyłaniu pakietów IP większych niż te dozwolone przez protokół IP. Fragmentacja TCP / IP zajmuje się dużymi pakietami, dzieląc je na mniejsze pakiety IP. Jeśli pakiety są większe niż dopuszczalne 65 536 bajtów, starsze serwery często ulegają awarii. Zostało to w dużej mierze naprawione w nowszych systemach. Ping flood jest współczesną inkarnacją tego ataku.,
- ataki protokołu ICMP: ataki na protokół ICMP wykorzystują fakt, że każde żądanie wymaga przetworzenia przez serwer przed odesłaniem odpowiedzi. Smurf attack, ICMP flood i ping flood wykorzystują to, zalewając serwer żądaniami ICMP bez czekania na odpowiedź.
- Slowloris: wynaleziony przez Roberta 'Rsnake' Hansena atak ten próbuje utrzymać wiele połączeń z docelowym serwerem WWW otwartych i tak długo, jak to możliwe. Ostatecznie, dodatkowe próby połączenia od klientów zostaną odrzucone.,
- DNS Flood: atakujący zalewa serwery DNS danej domeny, próbując zakłócić rozdzielczość DNS dla tej domeny
- Teardrop Attack: atak, który polega na wysyłaniu pofragmentowanych pakietów do docelowego urządzenia. Błąd w protokole TCP / IP uniemożliwia serwerowi ponowne złożenie takich pakietów, powodując ich nakładanie się. Urządzenie docelowe ulega awarii.
- wzmocnienie DNS: ten atak oparty na odbiciach zamienia uzasadnione żądania do serwerów DNS (domain name system) w znacznie większe, w procesie zużywającym zasoby serwera.,
- wzmocnienie NTP: wolumetryczny atak DDoS oparty na odbiciu, w którym atakujący wykorzystuje funkcjonalność serwera Network Time Protocol (NTP) w celu przytłoczenia docelowej sieci lub serwera ze zwiększoną ilością ruchu UDP.
- refleksja SNMP: atakujący fałszuje adres IP ofiary i wysyła wiele żądań Simple Network Management Protocol (SNMP) do urządzeń. Ilość odpowiedzi może przytłoczyć ofiarę.,
- SSDP: atak SSDP (Simple Service Discovery Protocol) to atak DDoS oparty na odbiciach, który wykorzystuje protokoły sieciowe Universal Plug and Play (UPnP) w celu wysłania zwiększonego ruchu do docelowej ofiary.
- Smurf Attack: ten atak wykorzystuje złośliwy program o nazwie smurf. Wiele pakietów protokołu ICMP (Internet Control Message Protocol) z fałszywym adresem IP ofiary jest transmitowanych do sieci komputerowej za pomocą adresu IP.
- Fraggle Attack: atak podobny do smurf, z tym, że używa UDP, a nie ICMP.,
co należy zrobić w przypadku ataku wymuszenia DDoS?
- centrum danych i dostawca usług internetowych powinni być natychmiast poinformowani
- płatność okupu nigdy nie powinna być dostępna – płatność często prowadzi do eskalacji żądań okupu
- organy ścigania powinny być powiadamiane
- ruch sieciowy powinien być monitorowany
- skontaktuj się z planami ochrony DDoS, takimi jak plan free-of-charge Cloudflare
jak można złagodzić ataki botnetów?,
- zapory sieciowe powinny być zainstalowane na serwerze
- poprawki bezpieczeństwa muszą być aktualne
- oprogramowanie antywirusowe musi być uruchamiane zgodnie z harmonogramem
- logi systemowe powinny być regularnie monitorowane
- nieznane Serwery Pocztowe nie powinny mieć prawa do dystrybucji ruchu SMTP
dlaczego usługi rozruchowe są trudne do śledzenia?
osoba kupująca te usługi przestępcze korzysta ze strony frontend w celu zapłaty oraz instrukcji związanych z atakiem. Bardzo często nie ma możliwego do zidentyfikowania połączenia z zapleczem inicjującym faktyczny atak., Dlatego intencje przestępcze mogą być trudne do udowodnienia. Podążanie ścieżką płatności jest jednym ze sposobów na wyśledzenie podmiotów przestępczych.