Posted on

Atacurile DDoS: What They Are and How to DDoS

, Author

Updated 10/6/2020

Un atac DDoS (Distributed Denial-of-Service) este foarte asemănător cu un atac DoS (Denial-of-Service), cu singura diferență că același atac este efectuat de mai multe persoane diferite (sau botnets) exact în același timp. Prin urmare, DDoS este o chestiune de scară.

După ce ați selectat un serviciu pe care să îl vizați, urmați acești cinci pași pentru a organiza un atac DoS:

  1. Lansați un instrument DoS, cum ar fi LOIC.

  2. Specificați adresa IP a serverului pe care doriți să îl atacați.

  3. Alegeți un port despre care știți că este deschis și care acceptă conexiuni de intrare.

  4. Selectați TCP.

  5. Click pe buton pentru a începe atacul.

Pentru a monta un atac DDoS, procedați la fel ca pentru un atac DoS, cu excepția instrumentului HOIC. Iată cum se face un DDoS:

  1. Căutați și alegeți un serviciu.

  2. Selectați un port deschis.

  3. Lanșați HOIC.

  4. Încrestați Firele.

  5. Țintiți URL-ul dorit.

  6. Creșteți Puterea la High.

  7. Selectați Booster-ul.

  8. Montați atacul.

Să trecem mai întâi în revistă un atac DoS pentru ca un atac DDoS să fie mai bine înțeles.

Ce este un atac DoS (Denial-of-Service Attack)?

DoS este un atac cibernetic conceput pentru a copleși un serviciu online, a face ca sistemul lor să se prăbușească, refuzând astfel serviciul clienților, angajaților etc. Pentru a realiza un atac DoS, tot ce trebuie să faceți este:

  1. Căutați și alegeți un serviciu pe care să îl vizați.

  2. Selectați un port deschis.

  3. Împovărați serviciul.

În esența sa, un atac DoS este destul de direct și simplu de realizat. Adevărata întrebare aici este dacă aveți suficientă amploare pentru a copleși sistemul țintă.

Iată o defalcare a fiecărui pas.

Găsește și alege un serviciu țintă

Primul pas pentru a monta un DoS este să găsești un serviciu pe care îl poți viza. Acesta ar trebui să fie ceva cu porturi și vulnerabilități deschise și care să accepte conexiuni de intrare.

Câteva dintre serviciile care ar putea îndeplini aceste criterii sunt:

  • Servere web

  • Servere DNS

  • Servere de e-mail

  • Servere FTP

  • Servere Telnet

Ceea ce face ca aceste servicii să fie atât de ușor de țintit este faptul că acceptă conexiuni neautentificate.

Selectați un port deschis

Veziți o listă a porturilor deschise în Windows deschizând linia de comandă DOS, introducând netstat și apăsând Enter. Pentru a vizualiza porturile cu care comunică un computer, tastați netstat -an |find /i „established”.

Setările porturilor variază de la program la program, dar ideea generală este aceeași peste tot. Când încercați să accesați un port, veți ști că nu este accesibil dacă „Connecting…” se blochează și apoi fereastra dispare. Dacă este accesibil, veți obține o fereastră goală sau veți vedea un text de afișare similar cu „220 ESMTP spoken here.”

Dacă preferați, iată trei instrumente pe care le puteți folosi pentru a găsi porturile deschise:

  1. Telnet

  2. CurrPorts

  3. TCPEye

Supraîncărcați serviciul

În mod normal, ați alege un serviciu care nu are o limită maximă a numărului de conexiuni pe care le permite. Cel mai bun mod de a afla dacă un serviciu nu are o limită superioară este să îi trimiteți câteva sute de mii de conexiuni și apoi să observați ce se întâmplă.

Pentru a obține un efect optim, trebuie să trimiteți interogări și informații specifice. De exemplu, dacă vizați un server web cu un motor de căutare, nu solicitați doar o pagină web sau apăsați F5 de mai multe ori. Solicitați o interogare de căutare complexă care va consuma o cantitate semnificativă de putere pentru a fi rezolvată. Dacă a face asta o singură dată are un impact notabil asupra backend-ului, atunci a face asta de o sută de ori pe secundă va duce probabil la căderea serverului.

Puteți face același lucru împotriva unui server DNS. Îl puteți forța să rezolve interogări DNS complexe care nu sunt stocate în cache. Faceți acest lucru suficient de des și veți doborî serverul.

Pentru un serviciu de e-mail, puteți trimite o mulțime de atașamente mari de e-mail, dacă puteți obține un cont legitim pe serverul său. Dacă nu puteți, este destul de ușor să îl falsificați.

Dacă nu puteți viza un serviciu specific, puteți pur și simplu inunda o gazdă cu trafic, doar că atacul s-ar putea să nu fie la fel de elegant și cu siguranță ar necesita ceva mai mult trafic.

După ce ați copleșit sistemul, mediul este pregătit pentru un atac.

Cum să montați un atac DoS

După ce ați făcut procesele de amprentare, scanare și enumerare a rețelei, ar trebui să aveți o idee bună despre ce se întâmplă în rețeaua pe care o vizați. Iată un exemplu al unui anumit sistem pe care ați dori să îl atacați. Este 192.168.1.16 (un controler de domeniu Windows 2008 și un server web).

Pentru a-l ataca, urmați acești 5 pași:

1. Lansați instrumentul dvs. preferat pentru atacarea sistemelor. Mie îmi place tunul cu ioni pe orbită joasă (LOIC). Aceasta este cea mai ușor de înțeles unealtă, deoarece este destul de evident ce face.

Alte instrumente DoS care pot fi folosite pentru a ataca includ XOIC, HULK, DDOSIM, R.U.D.Y. și Tor’s Hammer.

2. Specificați adresa IP a serverului pe care doriți să îl atacați, care în acest caz este 192.168.1.16. Blocați-vă pe aceasta.

3. Alegeți un port despre care știți că este deschis și care acceptă conexiuni de intrare. De exemplu, alegeți portul 80 pentru a monta un atac bazat pe web.

4. Selectați TCP pentru a specifica ce resurse să blocați.

5. Faceți clic pe buton pentru a monta atacul.

Veți vedea că datele solicitate cresc rapid.

Creșterea datelor poate începe în cele din urmă să încetinească puțin, parțial pentru că veți consuma resurse pe client și, de asemenea, pentru că serverul însuși fie va rămâne fără resurse, fie va începe să se apere împotriva atacului dumneavoastră.

Ce să faceți atunci când gazda începe să se apere singură

Câteva gazde pot fi configurate să caute tipare, să identifice atacuri și să înceapă să se apere singure. Pentru a contracara apărarea lor, puteți:

  1. Întrerupe atacul momentan (făcând clic pe același buton pe care ați făcut clic pentru a monta atacul).

  2. Schimbați portul pe care îl atacați.

  3. Încetiniți puțin atacul, ceea ce adaugă confuzie.

În exemplul nostru, veți schimba portul de la portul 80 la portul 88 (dacă revedeți captura de ecran de pe Advanced Port Scanner, veți vedea că și portul 88 este deschis). După ce ați terminat de modificat setările, puteți relua atacul făcând din nou clic pe butonul de atac.

Acum atacați un port diferit (care echivalează cu un serviciu diferit) într-un mod ușor diferit și la o viteză diferită. Viteza este importantă doar dacă atacați de la un singur client.

Așa ar arăta un atac atunci când faceți acest tip de DoS de la o singură mașină.

Ce este un atac DDoS? Atacarea mai multor clienți deodată

Un atac DDoS (Distributed Denial of Service) este efectuat cu scopul de a doborî un site web sau un serviciu prin inundarea acestuia cu mai multe informații sau procesări decât poate gestiona site-ul web. Este practic același lucru cu un atac DoS, diferența fiind că este efectuat de mai multe mașini diferite în același timp.

În funcție de situație, un client care atacă în acest mod poate sau nu să afecteze imediat performanța serverului, dar un atac DDoS nu trebuie să se oprească doar la un singur client. În mod obișnuit, veți monta acest atac împotriva unor porturi diferite, în momente diferite, și veți încerca să luați amprenta dacă acțiunile dvs. afectează serviciile. Și mai bine, va închide serverul.

Dacă atacul produce efectul dorit, l-ați putea extinde prin rularea LOIC pe o duzină (sau chiar sute) de mașini în același timp. O mare parte din această acțiune poate fi scriptată, ceea ce înseamnă că puteți captura traficul și îl puteți reda la linia de comandă pe diferite ținte. Sau, o puteți reda ca parte a unui script de la diferiți atacatori, care ar putea fi colegii, zombi sau ambele. Adesea, malware-ul (botnets, explorat mai jos) este folosit pentru a lansa atacurile, deoarece malware-ul poate fi programat să se lanseze exact în același moment.

Acesta este momentul în care viteza devine mai puțin importantă, deoarece aveți o sută de clienți diferiți care atacă în același timp. Puteți să încetiniți lucrurile la fiecare client în parte și totuși să puteți organiza un atac destul de eficient.

Ecranul ar arăta la fel pe fiecare mașină individuală dacă ați monta atacul de la sute sau mii de mașini, ca și cum l-ați face pe o singură mașină.

Ce este un botnet?

După cum explică Internet Society:

„Un botnet este o colecție de computere de utilizator conectate la internet (bots) infectate cu un software malițios (malware) care permite computerelor să fie controlate de la distanță de un operator (bot herder) prin intermediul unui server de comandă și control (C&C) pentru a efectua sarcini automate pe dispozitive care sunt conectate la mai multe computere, cum ar fi furtul de informații sau lansarea de atacuri asupra altor computere. Programele malware de tip botnet sunt concepute pentru a oferi operatorilor săi controlul asupra mai multor computere de utilizator în același timp. Acest lucru le permite operatorilor de botnet să utilizeze resursele de calcul și de lățime de bandă din mai multe rețele diferite pentru activități malițioase.”

Deși un mare ajutor pentru hackeri, botnet-urile sunt mai degrabă un flagel pentru o mare parte a societății online. Rețelele botnet:

  • Se pot răspândi pe distanțe mari, funcționând chiar și în țări diferite.

  • Restricționează deschiderea, inovarea și raza de acțiune globală a internetului.

  • Influențează drepturile fundamentale ale utilizatorilor prin blocarea libertății de exprimare și de opinie și prin încălcarea vieții private.

Cum se face un atac DDoS

Pentru a monta peste 256 de atacuri DDoS simultane care să pună la pământ un sistem, o echipă formată din mai mulți utilizatori poate folosi în același timp High Orbit Ion Cannon (HOIC) și puteți folosi scriptul adițional „booster”.

Pentru a face un atac DDoS, găsiți și alegeți un serviciu, selectați un port deschis și copleșiți serviciul urmând acești pași:

  1. Lansați HOIC.

  2. Creșteți Firele.

  3. Țintiți URL-ul dorit.

  4. Creșteți Puterea la High.

  5. Selectați Booster-ul.

  6. Montați atacul.

De ce execută hackerii ilegali atacuri DoS și DDoS?

Atacurile DoS și atacurile DDoS sunt excesiv de distructive și pot necesita ceva muncă pentru a fi lansate, dar sunt folosite de infractorii cibernetici ca o armă pe care să o folosească împotriva unui concurent, ca o formă de șantaj sau ca o perdea de fum pentru a ascunde extragerea de date sensibile.

De asemenea, uneori, atacurile sunt organizate din unul sau mai multe dintre aceste motive:

  • Războaie teritoriale bazate pe internet.

  • O expresie a furiei sau o pedeapsă.

  • Practică, sau doar pentru a vedea dacă se poate face.

  • Pentru „distracția” de a provoca haos.

Daunele cauzate de atacurile DDoS sunt extrem de semnificative. Cisco a raportat câteva fapte și estimări care deschid ochii:

  • Numărul atacurilor DDoS globale se va dubla de la 7,9 milioane în 2018 la 15,4 milioane până în 2023.

  • Dimensiunea medie a unui atac DDoS este de 1 Gbps, care poate scoate o organizație complet offline.

Un sondaj ITIC din 2019 a constatat că „o singură oră de întrerupere a activității costă acum 98% dintre firme cel puțin 100.000 de dolari. Iar 86% dintre întreprinderi spun că costul pentru o oră de timp de nefuncționare este de 300.000 de dolari sau mai mult”. Treizeci și patru la sută spun că o oră de nefuncționare costă între 1 și 5 milioane de dolari.

Un exemplu recent de atac DDoS este atacul Amazon Web Services din februarie 2020. Gigantul de cloud computing a fost vizat și a trimis până la un număr uimitor de 2,3 terabytes de date pe secundă timp de trei zile la rând.

Dacă doriți să răsfoiți atacurile mondiale care au loc în timp real (sau aproape), consultați o hartă a amenințărilor atacurilor cibernetice.

Cum să vă protejați afacerea de atacurile DoS și DDoS

Pentru a vă proteja afacerea de atacurile DoS și DDoS, iată câteva recomandări:

  1. Instalați software-ul de securitate și păstrați-l actualizat cu cele mai recente patch-uri.

  2. Securizați toate parolele.

  3. Utilizați servicii anti-DDoS pentru a recunoaște vârfurile legitime de trafic în rețea, față de un atac.

  4. Aveți un ISP de rezervă, astfel încât furnizorul dvs. de ISP să vă poată redirecționa traficul.

  5. Utilizați servicii care dispersează traficul masiv de atac între o rețea de servere.

  6. Actualizați și configurați firewall-urile și routerele pentru a respinge traficul fraudulos.

  7. Integrați hardware-ul front-end al aplicațiilor pentru a filtra și clasifica pachetele.

  8. Utilizați un sistem de inteligență artificială cu autoînvățare care direcționează și analizează traficul înainte ca acesta să ajungă la computerele companiei.

  9. Angajați un hacker etic pentru a căuta și a găsi puncte neprotejate în sistemul dumneavoastră.

Este o sarcină dificilă să vă protejați afacerea de atacurile DoS și DDoS, dar determinarea vulnerabilităților dumneavoastră, existența unui plan de apărare și găsirea unor tactici de atenuare sunt elemente esențiale ale securității rețelei.

Învățați mai multe despre hackingul etic

Hackingul etic este un instrument important și valoros folosit de profesioniștii în securitate IT în lupta lor împotriva breșelor cibernetice costisitoare și potențial devastatoare. Acesta utilizează tehnici de hacking pentru a obține informații despre eficiența software-ului și a politicilor de securitate, astfel încât să poată fi promulgată o mai bună protecție a rețelelor.

Principiile directoare de bază care trebuie urmate atunci când se face hacking legal sunt:

  • Nu folosiți niciodată cunoștințele pentru câștig personal.

  • Faceți acest lucru numai atunci când vi s-a dat dreptul.

  • Nu folosiți software piratat în atacurile dumneavoastră.

  • Aveți întotdeauna integritate și fiți de încredere.

Lasă un răspuns

Adresa ta de email nu va fi publicată.