Posted on

Ataki DDoS: What They Are and How to DDoS

, Author

Updated 10/6/2020

Atak DDoS (Distributed Denial-of-Service) jest bardzo podobny do ataku DoS (Denial-of-Service), z tą różnicą, że ten sam atak jest przeprowadzany przez wiele różnych osób (lub botnetów) dokładnie w tym samym czasie. Dlatego DDoS jest kwestią skali.

Po wybraniu usługi, którą chcesz zaatakować, wykonaj pięć poniższych kroków, aby przeprowadzić atak DoS:

  1. Uruchom narzędzie DoS, takie jak LOIC.

  2. Wybierz adres IP serwera, który chcesz zaatakować.

  3. Wybierz port, o którym wiesz, że jest otwarty i że akceptuje połączenia przychodzące.

  4. Wybierz TCP.

  5. Kliknij przycisk, aby rozpocząć atak.

Aby przeprowadzić atak DDoS, wykonaj te same czynności, co w przypadku ataku DoS, tyle że przy użyciu narzędzia HOIC. To jest sposób na DDoS:

  1. Znajdź i wybierz usługę.

  2. Wybierz otwarty port.

  3. Uruchom HOIC.

  4. Wzmocnij Threads.

  5. Wyceluj w pożądany adres URL.

  6. Zwiększ Moc do Wysokiej.

  7. Wybierz swój Booster.

  8. Zmierz się do ataku.

Przejrzyjmy się najpierw atakowi DoS, aby lepiej zrozumieć atak DDoS.

Co to jest atak Denial-of-Service (DoS)?

DoS to cyberatak mający na celu przytłoczenie usługi online, spowodowanie awarii systemu, a tym samym uniemożliwienie korzystania z usługi klientom, pracownikom itp. Aby przeprowadzić atak DoS, wszystko co musisz zrobić to:

  1. Znaleźć i wybrać usługę, która ma być celem ataku.

  2. Wybrać otwarty port.

  3. Obezwładnić usługę.

W swojej istocie, atak DoS jest dość prosty i łatwy do przeprowadzenia. Prawdziwym pytaniem jest, czy masz wystarczającą skalę, aby obezwładnić system docelowy.

Poniżej znajduje się podział każdego kroku.

Znajdź i wybierz usługę do ataku

Pierwszym krokiem do montażu DoS jest znalezienie usługi, którą możesz zaatakować. Musi to być coś z otwartymi portami i lukami, co będzie akceptować połączenia przychodzące.

Kilka z usług, które mogą spełniać te kryteria to:

  • Serwery WWW

  • Serwery DNS

  • Serwery e-mail

  • Serwery FTP

  • Serwery Telnet

To, co czyni te usługi tak łatwym celem, to fakt, że akceptują one nieuwierzytelnione połączenia.

Wybierz otwarty port

Wyświetl listę otwartych portów w systemie Windows, otwierając wiersz poleceń DOS, wpisując netstat i naciskając Enter. Aby wyświetlić porty, z którymi komunikuje się komputer, wpisz netstat -an |find /i „established”.

Ustawienia portów różnią się w zależności od programu, ale ogólna idea jest taka sama we wszystkich programach. Kiedy próbujesz uzyskać dostęp do portu, będziesz wiedział, że nie jest on dostępny, jeśli „Connecting…” zawiesi się, a następnie okno zniknie. Jeśli jest on dostępny, otrzymasz puste okno lub zobaczysz tekst podobny do „220 ESMTP spoken here.”

Jeśli wolisz, oto trzy narzędzia, których możesz użyć do znalezienia otwartych portów:

  1. Telnet

  2. CurrPorts

  3. TCPEye

Przytłocz usługę

W idealnej sytuacji wybrałbyś usługę, która nie ma maksymalnego limitu liczby połączeń, na które pozwala. Najlepszym sposobem, aby dowiedzieć się, czy usługa nie ma górnej granicy, jest wysłanie jej kilkuset tysięcy połączeń, a następnie obserwowanie, co się dzieje.

Aby osiągnąć optymalny efekt, musisz wysyłać konkretne zapytania i informacje. Na przykład, jeśli celujesz w serwer WWW z wyszukiwarką, nie żądaj po prostu strony WWW lub naciśnij F5 kilka razy. Zażądaj złożonego zapytania, które będzie wymagało znacznej ilości mocy obliczeniowej do rozwiązania. Jeśli zrobienie tego tylko raz ma zauważalny wpływ na backend, to zrobienie tego sto razy na sekundę prawdopodobnie spowoduje upadek serwera.

To samo można zrobić z serwerem DNS. Możesz zmusić go do rozwiązywania złożonych zapytań DNS, które nie są buforowane. Rób to wystarczająco często, a serwer padnie.

W przypadku usług poczty elektronicznej, możesz wysłać wiele dużych załączników, jeśli możesz uzyskać legalne konto na jego serwerze. Jeśli nie możesz tego zrobić, całkiem łatwo jest je sfałszować.

Jeśli nie możesz celować w żadną konkretną usługę, możesz po prostu zalać hosta ruchem, ale atak może nie być tak elegancki i z pewnością będzie wymagał nieco więcej ruchu.

Jak już przytłoczysz system, środowisko jest przygotowane do ataku.

Jak przeprowadzić atak DoS

Jak już przeprowadzisz procesy śledzenia, skanowania i wyliczania sieci, powinieneś mieć dobre pojęcie o tym, co się dzieje w sieci, którą chcesz zaatakować. Oto przykład jednego konkretnego systemu, który chciałbyś zaatakować. Jest to 192.168.1.16 (kontroler domeny Windows 2008 i serwer WWW).

Aby go zaatakować, wykonaj 5 następujących kroków:

1. Uruchom swoje ulubione narzędzie do atakowania systemów. Ja lubię Działo Jonowe Niskiej Orbity (LOIC). Jest to najłatwiejsze do zrozumienia narzędzie, ponieważ jest dość oczywiste, co robi.

Inne narzędzia DoS, których można użyć do ataku, to XOIC, HULK, DDOSIM, R.U.D.Y. i Tor’s Hammer.

2. Określ adres IP serwera, który chcesz zaatakować, czyli w tym przypadku 192.168.1.16. Zablokuj się na nim.

3. Wybierz port, o którym wiesz, że jest otwarty i akceptuje połączenia przychodzące. Na przykład wybierz port 80, aby przeprowadzić atak oparty na sieci WWW.

4. Wybierz TCP, aby określić, które zasoby mają być zajęte.

5. Kliknij przycisk, aby zamontować atak.

Zobaczysz, że żądane dane szybko rosną.

Przyrost danych może w końcu zacząć trochę zwalniać, częściowo dlatego, że będziesz zużywał zasoby na kliencie, a także dlatego, że sam serwer będzie albo wyczerpywał zasoby, albo zacznie się bronić przed twoim atakiem.

Co zrobić, gdy host zaczyna się bronić

Niektóre hosty można skonfigurować tak, by szukały wzorców, identyfikowały ataki i zaczynały się bronić. Aby przeciwdziałać ich obronie, możesz:

  1. Zatrzymać chwilowo atak (klikając ten sam przycisk, który kliknąłeś, aby rozpocząć atak).

  2. Zmienić atakowany port.

  3. Spowolnij nieco atak, który dodaje zamieszania.

W naszym przykładzie zmienisz port z portu 80 na port 88 (jeśli przejrzysz zrzut ekranu na Zaawansowanym skanerze portów, zobaczysz, że port 88 jest również otwarty). Gdy skończysz zmieniać ustawienia, możesz wznowić atak, klikając ponownie przycisk ataku.

Teraz atakujesz inny port (co oznacza inną usługę) w nieco inny sposób i z inną prędkością. Szybkość jest ważna tylko wtedy, gdy atakujesz z jednego klienta.

Tak wyglądałby atak, gdy robisz tego typu DoS z jednej maszyny.

Co to jest atak DDoS? Attacking Multiple Clients at Once

Atak DDoS (Distributed Denial of Service) jest przeprowadzany w celu wyłączenia strony internetowej lub usługi przez zalanie jej większą ilością informacji lub przetwarzania niż strona może obsłużyć. Jest to praktycznie to samo, co atak DoS, z tą różnicą, że jest on przeprowadzany przez wiele różnych maszyn jednocześnie.

W zależności od sytuacji, jeden klient atakujący w ten sposób może, ale nie musi natychmiast wpłynąć na wydajność serwera, ale atak DDoS nie musi kończyć się tylko na jednym kliencie. Zazwyczaj przeprowadza się taki atak na różne porty w różnym czasie i próbuje się wyśledzić, czy nasze działania mają wpływ na usługi. Jeszcze lepszym rozwiązaniem jest wyłączenie serwera.

Jeśli atak przynosi pożądany efekt, możesz go zwiększyć, uruchamiając LOIC na kilkunastu (lub nawet kilkuset) maszynach w tym samym czasie. Wiele z tych działań może być oskryptowanych, co oznacza, że możesz przechwytywać ruch i odtwarzać go z linii poleceń na różnych celach. Możesz też odtworzyć go jako część skryptu od różnych napastników, którymi mogą być Twoi rówieśnicy, Twoje zombie lub obaj. Często złośliwe oprogramowanie (botnety, omówione poniżej) jest wykorzystywane do przeprowadzania ataków, ponieważ złośliwe oprogramowanie może być tak zaprogramowane, aby uruchomić się dokładnie w tym samym momencie.

To właśnie wtedy szybkość staje się mniej ważna, ponieważ masz sto różnych klientów atakujących w tym samym czasie. Możesz spowolnić działania na każdym pojedynczym kliencie i nadal być w stanie przeprowadzić całkiem skuteczny atak.

Ekran wyglądałby tak samo na każdej maszynie, gdybyś przeprowadził atak z setek lub tysięcy maszyn, jak gdybyś zrobił to na pojedynczej maszynie.

Co to jest botnet?

Jak wyjaśnia Internet Society:

„Botnet to zbiór podłączonych do Internetu komputerów użytkowników (botów) zainfekowanych złośliwym oprogramowaniem (malware), które pozwala komputerom być kontrolowane zdalnie przez operatora (bot herder) poprzez serwer Command-and-Control (C&C) w celu wykonywania zautomatyzowanych zadań na urządzeniach, które są podłączone do wielu komputerów, takich jak wykradanie informacji lub przeprowadzanie ataków na inne komputery. Złośliwe oprogramowanie botnetu jest zaprojektowane w taki sposób, aby umożliwić jego operatorom kontrolę nad wieloma komputerami użytkowników jednocześnie. Umożliwia to operatorom botnetów wykorzystanie zasobów obliczeniowych i szerokości pasma w wielu różnych sieciach do złośliwych działań.”

Ale choć botnety są bardzo pomocne dla hakerów, są raczej plagą dla większości społeczeństwa online. Botnety:

  • Mogą być rozprzestrzeniane na duże odległości, działając nawet w różnych krajach.

  • Ograniczają otwartość, innowacyjność i globalny zasięg Internetu.

  • Wpływają na podstawowe prawa użytkowników, blokując wolność słowa i opinii oraz naruszając prywatność.

Jak przeprowadzić atak DDoS

Aby przeprowadzić ponad 256 jednoczesnych ataków DDoS, które doprowadzą do upadku systemu, zespół kilku użytkowników może użyć High Orbit Ion Cannon (HOIC) w tym samym czasie, a ty możesz zastosować skrypt dodatku „booster”.

Aby przeprowadzić atak DDoS, znajdź i wybierz usługę, wybierz otwarty port i przeciąż usługę, wykonując następujące kroki:

  1. Uruchom HOIC.

  2. Zwiększ Threads.

  3. Wyceluj w żądany adres URL.

  4. Zwiększ Moc do Wysokiej.

  5. Wybierz swój Booster.

  6. Wykonaj atak.

Dlaczego nielegalni hakerzy wykonują ataki DoS i DDoS?

Ataki DoS i DDoS są zbyt destrukcyjne i mogą wymagać trochę pracy, aby je uruchomić, ale są wykorzystywane przez cyberprzestępców jako broń przeciwko konkurentowi, jako forma wymuszenia lub jako zasłona dymna w celu ukrycia ekstrakcji poufnych danych.

Czasami ataki są również przeprowadzane z jednego lub więcej z następujących powodów:

  • Wojny internetowe.

  • Wyraz gniewu lub kara.

  • Praktyka lub po prostu sprawdzenie, czy da się to zrobić.

  • Dla „zabawy” powodowania chaosu.

Szkody powodowane przez ataki DDoS są niezwykle istotne. Firma Cisco podała kilka otwierających oczy faktów i szacunków:

  • Liczba globalnych ataków DDoS podwoi się z 7,9 mln w 2018 r. do 15,4 mln do 2023 r.

  • Średnia wielkość ataku DDoS wynosi 1 Gbps, co może całkowicie wyłączyć organizację z sieci.

Badanie ITIC z 2019 r. wykazało, że „pojedyncza godzina przestoju kosztuje obecnie 98% firm co najmniej 100 000 USD. A 86% przedsiębiorstw twierdzi, że koszt jednej godziny przestoju wynosi 300 000 USD lub więcej.” Trzydzieści cztery procent twierdzi, że jedna godzina przestoju kosztuje od 1 mln do 5 mln dolarów.

Ostatnim przykładem ataku DDoS jest atak Amazon Web Services w lutym 2020 roku. Gigant chmury obliczeniowej został namierzony i wysłał do zdumiewających 2,3 terabajtów danych na sekundę przez trzy dni z rzędu.

Jeśli chcesz przejrzeć światowe ataki odbywające się w czasie rzeczywistym (lub zbliżonym), sprawdź mapę zagrożeń cyberatakami.

Jak chronić swoją firmę przed atakami DoS i DDoS

Aby chronić swoją firmę przed atakami DoS i DDoS, oto kilka zaleceń:

  1. Zainstaluj oprogramowanie zabezpieczające i aktualizuj je za pomocą najnowszych poprawek.

  2. Zabezpiecz wszystkie hasła.

  3. Używaj usług anty-DDoS do rozpoznawania uzasadnionych wzrostów ruchu w sieci, a nie ataków.

  4. Posiadanie zapasowego dostawcy usług internetowych, aby mógł on przekierować ruch w sieci.

  5. Używanie usług, które rozpraszają masowy ruch związany z atakiem między siecią serwerów.

  6. Uaktualnianie i konfigurowanie zapór sieciowych i routerów w celu odrzucenia ruchu związanego z oszustwami.

  7. Zintegrowanie sprzętu front-end aplikacji w celu przesiewania i klasyfikowania pakietów.

  8. Użycie samouczącego się systemu AI, który trasuje i analizuje ruch, zanim dotrze on do komputerów firmowych.

  9. Zatrudnij etycznego hakera, aby szukał i znajdował niezabezpieczone miejsca w Twoim systemie.

Ochrona firmy przed atakami DoS i DDoS jest trudnym zadaniem, ale określenie słabych punktów, posiadanie planu obrony i wymyślenie taktyk łagodzących to podstawowe elementy bezpieczeństwa sieci.

Learn More About Ethical Hacking

Ethical hacking jest ważnym i cennym narzędziem używanym przez specjalistów ds. bezpieczeństwa IT w ich walce z kosztownymi i potencjalnie niszczycielskimi naruszeniami cybernetycznymi. Wykorzystuje techniki hakerskie w celu uzyskania informacji na temat skuteczności oprogramowania zabezpieczającego i polityk, tak aby można było wprowadzić lepszą ochronę sieci.

Podstawowe zasady, którymi należy się kierować podczas legalnego hakowania to:

  • Nigdy nie wykorzystuj swojej wiedzy dla osobistego zysku.

  • Rób to tylko wtedy, gdy masz do tego prawo.

  • Nie używaj pirackiego oprogramowania w swoich atakach.

  • Zawsze miej uczciwość i bądź godny zaufania.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.