Vad är en IP-adresser?
en IP stresser är ett verktyg som är utformat för att testa ett nätverk eller en server för robusthet. Administratören kan köra ett stresstest för att avgöra om de befintliga resurserna (bandbredd, CPU, etc. är tillräckliga för att hantera ytterligare belastning.
Testa ett eget nätverk eller server är en legitim användning av en stresser. Att köra det mot någon annans nätverk eller server, vilket resulterar i överbelastning för sina legitima användare, är olagligt i de flesta länder.
Vad är booter-tjänster?,
Booters, även känd som booter tjänster, är on-demand DDoS (Distributed-Denial-of-Service) attack tjänster som erbjuds av företagsamma brottslingar för att få ner webbplatser och nätverk. Med andra ord är booters den olagliga användningen av IP-stressare.
olagliga IP-stressare döljer ofta identiteten hos den attackerande servern med hjälp av proxyservrar. Proxy omdirigerar angriparens anslutning medan du maskerar angriparens IP-adress.
Booters är smidigt förpackade som SaaS (Software-as-a-Service), ofta med e-postsupport och YouTube-handledning., Paket kan erbjuda en engångstjänst, flera attacker inom en bestämd period eller till och med” livstid ” – åtkomst. Ett grundläggande, enmånaderspaket kan kosta så lite som $ 19.99. Betalningsalternativ kan innehålla kreditkort, Skrill, PayPal eller Bitcoin (även om PayPal kommer att avbryta konton om skadlig avsikt kan bevisas).
hur skiljer sig IP booters från botnät?
en botnet är ett nätverk av datorer vars ägare är omedvetna om att deras datorer har smittats med skadlig kod och används i internetattacker. Booters är DDoS-för-hyra tjänster.,
Booters använde traditionellt botnät för att starta attacker, men när de blir mer sofistikerade skryter de med mer kraftfulla servrar för att, som vissa booter-tjänster uttryckte det, ”hjälpa dig att starta din attack”.
vilka är motiven bakom överbelastningsattacker?
motiven bakom denial-of-service attacker är många: skiddies* fleshing ut sina hacking färdigheter, affärsrivalitet, ideologiska konflikter, statligt sponsrade terrorism, eller utpressning. PayPal och kreditkort är de föredragna betalningssätt för utpressning attacker., Bitcoin är också i bruk är att det ger möjlighet att dölja identitet. En nackdel med Bitcoin, från angriparnas synvinkel, är att färre människor använder bitcoins jämfört med andra betalningsformer.
*Script kiddie, eller skiddie, är en nedsättande term för relativt lågutbildade Internet vandaler som använder skript eller program skrivna av andra för att starta attacker på nätverk eller webbplatser. De går efter relativt välkända och lätt att utnyttja säkerhetsproblem, ofta utan att överväga konsekvenserna.
vad är förstärkning och reflektionsattacker?,
reflektions-och förstärkningsattacker använder sig av legitim trafik för att överväldiga nätverket eller servern som riktas.
När en angripare förfalskar offrets IP-adress och skickar ett meddelande till en tredje part medan han låtsas vara offret, kallas det IP-adressförfalskning. Den tredje parten kan inte skilja offrets IP-adress från angriparens. Den svarar direkt på offret. Angriparens IP-adress är dold från både offret och tredjepartsservern. Denna process kallas reflektion.,
det här är likt angriparen som beställer pizzor till offrets hus medan han låtsas vara offret. Nu hamnar offret på grund av pengar till pizzastället för en pizza som de inte beställde.
trafikförstärkning sker när angriparen tvingar tredjepartsservern att skicka tillbaka svar till offret med så mycket data som möjligt. Förhållandet mellan storleken på svar och begäran är känd som förstärkningsfaktorn. Ju större denna förstärkning desto större är den potentiella störningen för offret., Tredjepartsservern störs också på grund av volymen av spoofed-förfrågningar som den måste bearbeta. NTP-förstärkning är ett exempel på en sådan attack.
de mest effektiva typerna av booterattacker använder både förstärkning och reflektion. Först förfalskar angriparen målets adress och skickar ett meddelande till en tredje part. När den tredje parten svarar går meddelandet till target: s faked-adress. Svaret är mycket större än det ursprungliga meddelandet, vilket förstärker storleken på attacken.,
rollen som en enda bot i en sådan attack är lik den hos en skadlig tonåring som ringer till en restaurang och beställer hela menyn och begär sedan en återuppringning som bekräftar varje objekt på menyn. – Offret får ett samtal från restaurangen.
vilka är kategorierna av överbelastningsattacker?
Applikationslagerattacker går efter webbapplikationer och använder ofta den mest sofistikerade., Dessa attacker utnyttjar en svaghet i Layer 7-protokollstacken genom att först upprätta en anslutning till målet och sedan uttömma serverresurser genom monopoliserande processer och transaktioner. Dessa är svåra att identifiera och mildra. Ett vanligt exempel är en HTTP Flood attack.
protokollbaserade attacker fokuserar på att utnyttja en svaghet i lager 3 eller 4 i protokollstacken. Sådana attacker förbrukar all bearbetningskapacitet hos offret eller andra kritiska resurser (till exempel en brandvägg), vilket resulterar i serviceavbrott. Syn Flood och Ping of Death är några exempel.,
volymetriska attacker skickar stora trafikvolymer i ett försök att mätta offrets bandbredd. Volymetriska attacker är lätta att generera genom att använda enkla förstärkningstekniker, så dessa är de vanligaste formerna av attack. UDP Översvämning, TCP Översvämning, NTP Förstärkning och DNS Amplification är några exempel.
vad är vanliga överbelastningsattacker?,
Målet med DoS-eller DDoS-attacker är att konsumera tillräckligt med server-eller nätverksresurser så att systemet inte svarar på legitima förfrågningar:
- SYN Flood: en rad SYN-förfrågningar riktas till målets system i ett försök att överväldiga det. Denna attack utnyttjar svagheter i TCP-anslutningssekvensen, känd som en trevägs handslag.
- HTTP Flood: en typ av attack där HTTP GET eller POST förfrågningar används för att attackera webbservern.,
- UDP Flood: en typ av attack där slumpmässiga portar på målet är överväldigade av IP-paket som innehåller UDP-datagram.
- Ping of Death: attacker innebär avsiktlig sändning av IP-paket större än de som tillåts av IP-protokollet. TCP / IP fragmentering behandlar stora paket genom att bryta ner dem i mindre IP-paket. Om paketen, när de sätts ihop, är större än de tillåtna 65.536 byte, kraschar äldre servrar ofta. Detta har till stor del fastställts i nyare system. Ping flood är dagens inkarnation av denna attack.,
- ICMP-Protokollattacker: attacker mot ICMP-protokollet utnyttjar det faktum att varje begäran kräver behandling av servern innan ett svar skickas tillbaka. Smurf attack, ICMP flood och ping flood dra nytta av detta genom att översvämma servern med ICMP-förfrågningar utan att vänta på svaret.
- Slowloris: uppfanns av Robert ’RSnake’ Hansen, försöker denna attack att hålla flera anslutningar till målwebbservern öppen, och så länge som möjligt. Så småningom kommer ytterligare anslutningsförsök från kunder att nekas.,
- DNS Flood: angriparen översvämmer en viss domän DNS-servrar i ett försök att störa DNS-upplösning för den domänen
- Teardrop Attack: attacken som innebär att skicka fragmenterade paket till den riktade enheten. En bugg i TCP / IP-protokollet hindrar servern från att återmontera sådana paket, vilket gör att paketen överlappar varandra. Den riktade enheten kraschar.
- DNS-förstärkning: denna reflektionsbaserade attack gör legitima förfrågningar till DNS-servrar (domain name system) till mycket större, i processen som förbrukar serverresurser.,
- NTP Amplification: en reflektionsbaserad volymetrisk DDOS-attack där en angripare utnyttjar en Nätverkstidsprotokoll (NTP) serverfunktionalitet för att överväldiga ett målinriktat nätverk eller server med en förstärkt mängd UDP-trafik.
- SNMP reflektion: angriparen förfalskar offrets IP-adress och spränger flera Simple Network Management Protocol (SNMP) förfrågningar till enheter. Volymen av svar kan överväldiga offret.,
- SSDP: en SSDP (Simple Service Discovery Protocol) attack är en reflektionsbaserad DDOS-attack som utnyttjar Universal Plug and Play (UPnP) nätverksprotokoll för att skicka en förstärkt mängd trafik till ett målinriktat offer.
- Smurf Attack: Denna attack använder en malware program som heter smurf. Ett stort antal Internet Control Message Protocol (ICMP) paket med offrets spoofed IP-adress sänds till ett datornätverk med hjälp av en IP-sändningsadress.
- Fraggle Attack: en attack som liknar smurf, förutom att den använder UDP snarare än ICMP.,
Vad ska man göra vid en DDoS-utpressningsattack?
- datacentret och ISP bör omedelbart informeras
- lösen betalning bör aldrig vara ett alternativ – en betalning leder ofta till eskalerande lösenkrav
- brottsbekämpande organ bör meddelas
- nätverkstrafik bör övervakas
- nå ut till DDoS skyddsplaner, såsom Cloudflares kostnadsfria plan
hur kan botnetattacker mildras?,
- brandväggar ska installeras på servern
- säkerhetspatchar måste vara uppdaterade
- antivirusprogram måste köras i schema
- systemloggar bör regelbundet övervakas
- okända e-postservrar bör inte tillåtas att distribuera SMTP-trafik
Varför är bootertjänster svåra att spåra?
den person som köper dessa kriminella tjänster använder en frontend webbplats för betalning, och instruktioner om attacken. Mycket ofta finns det ingen identifierbar anslutning till backend initiera själva attacken., Därför kan brottsligt uppsåt vara svårt att bevisa. Efter betalningsspåret är ett sätt att spåra upp kriminella enheter.