Was ist ein IP Stresser?
Ein IP Stresser ist ein Tool zum Testen eines Netzwerks oder Servers auf Robustheit. Der Administrator kann einen Stresstest durchführen, um festzustellen, ob die vorhandenen Ressourcen(Bandbreite, CPU, etc.) sind ausreichend, um zusätzliche Last zu handhaben.
Das Testen des eigenen Netzwerks oder Servers ist eine legitime Verwendung eines Stressers. Das Ausführen gegen das Netzwerk oder den Server einer anderen Person, was zu Denial-of-Service für ihre legitimen Benutzer führt, ist in den meisten Ländern illegal.
Was sind Booter-Dienste?,
Booter, auch als Booter-Dienste bekannt, sind On-Demand-DDoS-Angriffsdienste (Distributed-Denial-of-Service), die von unternehmungslustigen Kriminellen angeboten werden, um Websites und Netzwerke zu stürzen. Mit anderen Worten, Booter sind die illegitime Verwendung von IP-Stressern.
Illegale IP-Stressoren verschleiern oft die Identität des angreifenden Servers durch den Einsatz von Proxy-Servern. Der Proxy leitet die Verbindung des Angreifers um, während er die IP-Adresse des Angreifers maskiert.
Booter sind geschickt als SaaS (Software-as-a-Service) verpackt, oft mit E-Mail-Support und YouTube-Tutorials., Pakete können einen einmaligen Service, mehrere Angriffe innerhalb eines definierten Zeitraums oder sogar „lebenslangen“ Zugriff bieten. Ein einfaches einmonatiges Paket kann nur 19,99 US-Dollar kosten. Zahlungsoptionen können Kreditkarten, Skrill, PayPal oder Bitcoin sein (obwohl PayPal Konten storniert, wenn böswillige Absicht nachgewiesen werden kann).
Wie unterscheiden sich IP-Booter von Botnets?
ein botnet ist Ein Netzwerk von Computern, deren Eigentümer sind sich nicht bewusst, dass Ihr Computer mit malware infiziert und in der Internet-Angriffe. Booters sind DDoS-for-hire-Dienste.,
Booter verwendeten traditionell Botnetze, um Angriffe zu starten, aber da sie ausgefeilter werden, rühmen sie sich leistungsfähigerer Server, um, wie einige Booter-Dienste es ausdrücken, „Ihnen beim Starten Ihres Angriffs zu helfen“.
Was sind die Motivationen hinter denial-of-service-Angriffe?
Die Motivationen hinter denial-of-service-Angriffe gibt es viele: skiddies* Konkretisierung Ihre hacking-Fähigkeiten, business-Rivalitäten, ideologische Konflikte, Staatlich geförderten Terrorismus oder Erpressung. PayPal und Kreditkarten sind die bevorzugten Zahlungsmethoden für Erpressungsangriffe., Bitcoin wird auch verwendet, weil es die Fähigkeit bietet, Identität zu verschleiern. Ein Nachteil von Bitcoin aus Sicht der Angreifer ist, dass im Vergleich zu anderen Zahlungsarten weniger Menschen Bitcoins verwenden.
*Script Kiddie oder Skiddie ist ein abfälliger Begriff für relativ wenig qualifizierte Internet-Vandalen, die Skripte oder Programme anderer verwenden, um Angriffe auf Netzwerke oder Websites zu starten. Sie gehen relativ bekannten und leicht auszunutzenden Sicherheitslücken nach, oft ohne die Konsequenzen zu berücksichtigen.
Was sind Verstärkungs-und Reflexionsangriffe?,
Reflexions – und Verstärkungsangriffe nutzen legitimen Datenverkehr, um das anvisierte Netzwerk oder den Server zu überwältigen.
Wenn ein Angreifer die IP-Adresse des Opfers fälscht und eine Nachricht an einen Dritten sendet, während er vorgibt, das Opfer zu sein, wird dies als IP-Adressen-Spoofing bezeichnet. Der Dritte hat keine Möglichkeit, die IP-Adresse des Opfers von der des Angreifers zu unterscheiden. Es antwortet direkt auf das Opfer. Die IP-Adresse des Angreifers ist sowohl vor dem Opfer als auch vor dem Server eines Drittanbieters verborgen. Dieser Prozess wird Reflexion genannt.,
Dies ähnelt dem Angreifer, der Pizza zum Haus des Opfers bestellt, während er vorgibt, das Opfer zu sein. Jetzt schuldet das Opfer der Pizzeria Geld für eine Pizza, die sie nicht bestellt haben.
Eine Verkehrsverstärkung tritt auf, wenn der Angreifer den Server eines Drittanbieters zwingt, Antworten mit so vielen Daten wie möglich an das Opfer zurückzusenden. Das Verhältnis zwischen den Größen von Antwort und Anforderung wird als Verstärkungsfaktor bezeichnet. Je größer diese Verstärkung ist, desto größer ist die potenzielle Störung für das Opfer., Der Server eines Drittanbieters ist auch aufgrund der Menge gefälschter Anforderungen, die er verarbeiten muss, gestört. NTP-Verstärkung ist ein Beispiel für einen solchen Angriff.
Die effektivsten Arten von Booter-Angriffen verwenden sowohl Verstärkung als auch Reflexion. Zuerst fälscht der Angreifer die Adresse des Ziels und sendet eine Nachricht an einen Dritten. Wenn der Dritte antwortet, geht die Nachricht an die gefälschte Adresse des Ziels. Die Antwort ist viel größer als die ursprüngliche Nachricht, wodurch die Größe des Angriffs verstärkt wird.,
Die Rolle eines einzelnen Bots bei einem solchen Angriff ähnelt der eines böswilligen Teenagers, der ein Restaurant anruft und das gesamte Menü bestellt und dann einen Rückruf anfordert, der jedes Element im Menü bestätigt. Außer, Die Rückrufnummer ist die des Opfers. Dies führt dazu, dass das gezielte Opfer einen Anruf vom Restaurant mit einer Flut von Informationen erhält, die sie nicht angefordert haben.
Was sind die Kategorien von denial-of-service-Angriffe?
Anwendungsschicht Angriffe gehen nach Web-Anwendungen, und verwenden oft die meisten Raffinesse., Diese Angriffe nutzen eine Schwäche im Layer 7-Protokollstapel aus, indem sie zuerst eine Verbindung zum Ziel herstellen und dann Serverressourcen erschöpfen, indem sie Prozesse und Transaktionen monopolisieren. Diese sind schwer zu identifizieren und zu mildern. Ein häufiges Beispiel ist ein HTTP-Flood-Angriff.
Protokollbasierte Angriffe konzentrieren sich auf die Ausnutzung einer Schwäche in den Schichten 3 oder 4 des Protokollstapels. Solche Angriffe verbrauchen die gesamte Verarbeitungskapazität des Opfers oder anderer kritischer Ressourcen (z. B. einer Firewall), was zu Dienstunterbrechungen führt. Syn Flood und Ping of Death sind einige Beispiele.,
Volumetrische Angriffe senden ein hohes Verkehrsaufkommen, um die Bandbreite eines Opfers zu sättigen. Volumetrische Angriffe sind durch den Einsatz einfacher Verstärkungstechniken leicht zu erzeugen, daher sind dies die häufigsten Angriffsformen. UDP Flood, TCP Flood, NTP Amplification und DNS Amplification sind einige Beispiele.
Was sind häufige Denial-of-Service-Angriffe?,
Das Ziel von DoS-oder DDoS-Angriffen ist es, genügend Server-oder Netzwerkressourcen zu verbrauchen,damit das System nicht mehr auf legitime Anforderungen reagiert:
- SYN Flood: Eine Folge von SYN-Anforderungen wird an das System des Ziels gerichtet, um es zu überwältigen. Dieser Angriff nutzt Schwächen in der TCP-Verbindungssequenz aus, die als Drei-Wege-Handshake bezeichnet werden.
- HTTP Flood: Eine Art von Angriff, bei dem HTTP-GET-oder POST-Anforderungen verwendet werden, um den Webserver anzugreifen.,
- UDP Flood: Eine Art von Angriff, bei dem zufällige Ports auf dem Ziel von IP-Paketen überwältigt werden, die UDP-Datagramme enthalten.
- Ping of Death: Angriffe beinhalten das absichtliche Senden von IP-Paketen, die größer sind als die vom IP-Protokoll zulässigen. TCP / IP-Fragmentierung behandelt große Pakete, indem sie in kleinere IP-Pakete zerlegt werden. Wenn die Pakete zusammengesetzt größer als die zulässigen 65.536 Bytes sind, stürzen Legacy-Server häufig ab. Dies wurde weitgehend in neueren Systemen behoben. Die Flut ist die heutige Inkarnation dieses Angriffs.,
- ICMP-Protokoll-Angriffe: Angriffe auf das ICMP-Protokoll nutzen die Tatsache aus, dass jede Anforderung vom Server verarbeitet werden muss, bevor eine Antwort zurückgesendet wird. Schlumpfangriff, ICMP-Flut und Ping-Flut Nutzen Sie dies, indem Sie den Server mit ICMP-Anforderungen überschwemmen, ohne auf die Antwort zu warten.
- Slowloris: Dieser von Robert ‚RSnake‘ Hansen erfundene Angriff versucht, mehrere Verbindungen zum Zielwebserver so lange wie möglich offen zu halten. Schließlich werden zusätzliche Verbindungsversuche von Clients verweigert.,
- DNS Flood: Der Angreifer überflutet die DNS-Server einer bestimmten Domäne, um die DNS-Auflösung für diese Domäne zu stören
- Teardrop Attack: Der Angriff, bei dem fragmentierte Pakete an das Zielgerät gesendet werden. Ein Fehler im TCP/IP-Protokoll verhindert, dass der Server solche Pakete wieder zusammensetzt, wodurch sich die Pakete überlappen. Das Zielgerät stürzt ab.
- DNS-Verstärkung: Dieser reflektionsbasierte Angriff verwandelt legitime Anfragen an DNS-Server (Domain Name System) in viel größere, die dabei Serverressourcen verbrauchen.,
- NTP Amplification: Ein reflexionsbasierter volumetrischer DDoS-Angriff, bei dem ein Angreifer eine Network Time Protocol (NTP) – Serverfunktionalität ausnutzt, um ein Zielnetzwerk oder einen Server mit einer verstärkten Menge an UDP-Datenverkehr zu überwältigen.
- SNMP-Reflektion: Der Angreifer fälscht die IP-Adresse des Opfers und sendet mehrere SNMP-Anforderungen (Simple Network Management Protocol) an Geräte. Das Volumen der Antworten kann das Opfer überwältigen.,
- SSDP: Ein SSDP-Angriff (Simple Service Discovery Protocol) ist ein reflexionsbasierter DDoS-Angriff, der universelle Plug-and-Play-Netzwerkprotokolle (UPnP) ausnutzt, um eine verstärkte Menge an Datenverkehr an ein Zielopfer zu senden.
- Schlumpfangriff: Dieser Angriff verwendet ein Malware-Programm namens Schlumpf. Eine große Anzahl von ICMP-Paketen (Internet Control Message Protocol) mit der gefälschten IP-Adresse des Opfers wird unter Verwendung einer IP-Broadcast-Adresse an ein Computernetzwerk gesendet.
- Fraggle Attack: Ein ähnlicher Angriff wie smurf, außer dass UDP anstelle von ICMP verwendet wird.,
Was ist bei einem DDoS-Erpressungsangriff zu tun?
- Das Rechenzentrum und der ISP sollten sofort informiert werden
- Lösegeldzahlungen sollten niemals eine Option sein – eine Zahlung führt häufig zu eskalierenden Lösegeldforderungen
- Strafverfolgungsbehörden sollten benachrichtigt werden
- Der Netzwerkverkehr sollte überwacht werden
- Erreichen Sie DDoS-Schutzpläne wie Cloudflares kostenlosen Plan
Wie können Botnet-Angriffe gemildert werden?,
- Firewalls sollten auf dem Server installiert sein
- Sicherheitspatches müssen aktuell sein
- Antivirensoftware muss termingerecht ausgeführt werden
- Systemprotokolle sollten regelmäßig überwacht werden
- Unbekannte E-Mail-Server sollten SMTP-Datenverkehr nicht verteilen dürfen
Warum sind Booter-Dienste schwer zu verfolgen?
die person, Die kaufen diese Straf-services verwendet ein frontend Webseite, für die Bezahlung und Angaben zu dem Angriff. Sehr oft gibt es keine identifizierbare Verbindung zum Backend, die den eigentlichen Angriff initiiert., Daher kann kriminelle Absicht schwer zu beweisen sein. Dem Zahlungspfad zu folgen ist eine Möglichkeit, kriminelle Personen aufzuspüren.