¿Qué es un ataque DDOS? ¿Cómo funciona? ¿Cuál es su propósito? ¡Cuanto más detallado mejor! ¡Gracias!
El nombre chino completo de DDOS es ataque de denegación de servicio distribuido, comúnmente conocido como ataque de inundación
El concepto de ataque DDoS
El ataque DoS tiene muchos ataques Métodos, el más básico El ataque DoS consiste en utilizar solicitudes de servicio razonables para ocupar demasiados recursos del servicio, de modo que los usuarios legítimos no puedan obtener una respuesta del servicio.
El método de ataque DDoS es un tipo de método de ataque basado en el ataque DoS tradicional. Un solo ataque DoS generalmente adopta un enfoque uno a uno, y su efecto es obvio cuando el objetivo del ataque tiene indicadores de rendimiento bajos, como baja velocidad de CPU, poca memoria o pequeño ancho de banda de red. Con el desarrollo de la tecnología informática y de redes, la potencia de procesamiento de las computadoras ha aumentado rápidamente, la memoria también ha aumentado considerablemente y han surgido redes de nivel gigabit, lo que dificulta los ataques DoS: el objetivo del ataque es más vulnerable a ataques maliciosos. paquetes de ataque La "capacidad de digestión" se ha mejorado enormemente. Por ejemplo, su software de ataque puede enviar 3000 paquetes de ataque por segundo, y mi host y el ancho de banda de la red pueden procesar 10,000 paquetes de ataque por segundo. uno. . Por ejemplo, su software de ataque puede enviar 3000 paquetes por segundo, pero mi host y el ancho de banda de mi red pueden manejar 10 000 paquetes por segundo, por lo que el ataque no tendrá mucho impacto.
Así funciona un ataque de denegación de servicio distribuido (DDoS). El principio del ataque DoS es muy simple. Si la potencia de procesamiento de las computadoras y las redes aumenta 10 veces y atacar con un atacante ya no es efectivo, ¿el atacante utilizará 10 atacantes al mismo tiempo? ¿Y qué si usas 100? DDoS consiste en utilizar más máquinas títeres para lanzar ataques, atacando a las víctimas a una escala mayor que nunca.
La comodidad que ofrecen las redes de alta velocidad y ampliamente conectadas crea condiciones extremadamente favorables para los ataques DDoS. En la era de las redes de baja velocidad, cuando los piratas informáticos ocupaban máquinas títeres para realizar ataques, siempre daban prioridad a atacar las máquinas cercanas a la red objetivo, porque el número de saltos a través del enrutador era pequeño y muy efectivo. Hoy en día, la conexión entre los nodos troncales de telecomunicaciones ha alcanzado el nivel G, y la conexión entre las grandes ciudades puede incluso alcanzar los 2,5 G. Esto hace posible lanzar ataques desde más lugares u otras ciudades, y la ubicación de la máquina títere del atacante también cambia. Se puede distribuir en una superficie mayor, lo que hace que la elección sea más flexible.
Fenómenos durante un ataque DDoS
Hay una gran cantidad de conexiones TCP en espera en el host atacado
La red está inundada con una gran cantidad de datos inútiles con direcciones de origen falsas
Genera una gran cantidad de datos inútiles, causando congestión de la red y haciendo que el host de la víctima no pueda comunicarse con el mundo exterior
El atacante explota las fallas en el. Servicios o protocolos de transmisión proporcionados por el host víctima para enviar repetidamente mensajes de alta velocidad en paquetes de alta velocidad. Aproveche las fallas del protocolo para enviar repetidamente solicitudes de servicio específicas a alta velocidad, lo que hace que el host víctima no pueda procesar todas las solicitudes normales de manera oportuna.
En casos graves, puede provocar una falla del sistema
Principio de operación del ataque
/security/se-ddos/fig1.gifHaga clic para ver la imagen 1
Como se muestra en la Figura 1, un sistema de ataque DDoS relativamente completo se divide principalmente en cuatro partes Primero echemos un vistazo a la parte más importante. Parte 2 y Parte 3: se utilizan para controlar y lanzar el ataque respectivamente. Note la diferencia entre controlar una máquina y atacarla. Para la víctima de la Parte 4, los paquetes de ataque DDoS reales se envían desde la máquina títere de ataque de la Parte 3, mientras que la máquina de control de la Parte 2 solo emite comandos y no participa en el ataque real. Para las computadoras de las Partes 2 y 3, los piratas informáticos tienen control o control parcial y cargan los programas DDoS correspondientes en estas plataformas. Estos programas se ejecutarán como programas normales y esperarán las órdenes del pirata informático. Por lo general, también utilizarán varios medios para ocultarse de los demás. .
En tiempos normales, no hay nada inusual en estas máquinas de títeres, pero una vez que los piratas informáticos se conectan a estas máquinas de títeres para controlarlas y emitir comandos, las máquinas de títeres atacantes se convertirán en víctimas de ataques.
Algunos amigos pueden preguntar: "¿Por qué los piratas informáticos no controlan directamente la máquina títere atacante, sino que comienzan a atacar a su vez desde el control de la máquina títere? Esta es también una de las razones por las que los ataques DDoS son difíciles de rastrear Parado del lado del atacante Desde el ángulo, definitivamente no quieres que te atrapen (sabía cuando era niño que huiría inmediatamente cuando arrojara piedras a los gallineros de otras personas, jaja), y más. Cuando el atacante usa la máquina títere, más se convierte en víctima. Después de que un atacante avanzado se apodera de una máquina, primero hará dos cosas: 1. Piense en cómo mantener la puerta trasera (volveré). (ver más adelante)! 2. Cómo limpiar los registros, para evitar que otros descubran lo que hacen. A los piratas informáticos no profesionales no les importará si se eliminan todos los registros, pero cuando el administrador de la red descubra que los registros han desaparecido. sabrán que alguien ha hecho algo malo y, como máximo, no podrán encontrarlo en los registros. ¿Quién lo hizo? Por el contrario, un verdadero maestro seleccionará y eliminará los elementos del registro sobre sí mismo, para que nadie pueda detectar la anomalía. De esta manera, la máquina títere se puede utilizar durante mucho tiempo. Sin embargo, limpiar los registros de la máquina títere atacada en la Parte 3 es de hecho un proyecto enorme, incluso con la ayuda de una buena herramienta de limpieza de registros, los piratas informáticos tendrán una gran oportunidad. Dolor de cabeza con esta tarea, lo que hace que algunas máquinas de ataque no sean muy buenas. La computadora de nivel superior que la controla se puede encontrar a través de las pistas anteriores. Si la computadora de nivel superior es la propia máquina del hacker, entonces lo será. Lo descubrí, pero si se trata de una máquina títere utilizada para el control, entonces el propio hacker todavía está a salvo. La cantidad de máquinas títere controladas es relativamente pequeña. Generalmente, es mucho más fácil para los piratas informáticos controlar docenas de máquinas de ataque. limpiar los registros de una computadora para que puedan encontrar al pirata informático nuevamente desde la máquina de control. La posibilidad se reduce considerablemente.
¿Cómo organizan los piratas informáticos los ataques DDoS? organización" se utiliza aquí porque DDoS no es tan simple como piratear un host. En términos generales, los piratas informáticos seguirán los siguientes pasos al realizar ataques DDoS:
1. Recopilar información del objetivo
La siguiente información es de gran interés para los piratas informáticos:
El número y la dirección de los hosts atacados
La configuración y el rendimiento del host objetivo
El ancho de banda del objetivo
El ancho de banda del objetivo
El ancho de banda del objetivo El ancho de banda es el factor más importante en un ataque DDoS. El atacante debe poder averiguar la cantidad disponible. ancho de banda Al atacar un sitio web en Internet (como la WWW), el atacante debe centrarse en determinar cuántos hosts proporcionan el sitio web. Sí, un sitio web grande puede tener muchos hosts que utilizan tecnología de equilibrio de carga para proporcionar servicios WWW. mismo sitio web Tomando a Yahoo como ejemplo, la siguiente dirección generalmente brinda servicios:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
Si quieres realizar un ataque DDoS, ¿qué dirección deberías atacar? Si desea que 66.218.71.87 falle, pero otros hosts aún pueden proporcionar servicios www, debe desactivar todas las máquinas que utilizan esas direcciones IP si desea que sean inaccesibles para otros hosts. En la práctica, una dirección IP a menudo representa varias máquinas: los mantenedores de sitios web utilizan conmutadores de Capa 4 o Capa 7 para equilibrar la carga, asignando acceso a la dirección IP a cada host subordinado a través de un algoritmo específico. Para los atacantes DDoS, la situación es aún más compleja, ya que pueden enfrentarse a la tarea de desactivar servicios en docenas de hosts.
Por lo tanto, es muy importante que los atacantes DDoS recopilen información de inteligencia con antelación, lo que está relacionado con la cuestión de cuántas máquinas títere utilizar para lograr el efecto. Solo piénselo, si atacar 2 hosts en el mismo sitio en las mismas condiciones requiere 2 máquinas títeres, entonces atacar 5 hosts puede requerir 5 máquinas títeres más. Algunas personas dicen que cuantas más máquinas de títeres ataquen, mejor. No importa cuántos hosts tengas, usaré tantas máquinas de títeres como sea posible para atacar. De todos modos, cuantas más máquinas de títeres, mejor será el efecto.
Sin embargo, en el proceso real, muchos piratas informáticos llevan a cabo directamente ataques DDoS sin recopilar inteligencia. En este momento, la ceguera del ataque será muy grande y el efecto depende completamente de la suerte. De hecho, los piratas informáticos, al igual que los administradores de red, no pueden ser perezosos. Tanto si algo se hace bien como si no, lo más importante es la actitud, seguida del nivel.
2. Ocupa la máquina de marionetas
Los hackers están más interesados en hosts con las siguientes condiciones:
Hosts con buen estado de enlace
Hosts con buen rendimiento
Hosts con mala gestión de seguridad
Esta parte en realidad utiliza otro tipo de ataque importante: ataques en forma de vulnerabilidad. Este es un ataque que va de la mano del DDoS. En pocas palabras, se hace cargo y controla el host atacado. Obtenga privilegios administrativos máximos, o al menos obtenga una cuenta autorizada para completar la misión de ataque DDoS. Para un atacante DDoS, es necesario preparar una cierta cantidad de máquinas títeres. Así es como ataca y captura estas máquinas.
En primer lugar, lo que los piratas informáticos tienen que hacer es escanear, utilizando escáneres de forma aleatoria o intencionada para encontrar máquinas con vulnerabilidades en Internet, como vulnerabilidades de desbordamiento de programas, cgi, Unicode, ftp, vulnerabilidades de bases de datos... ...(la lista continúa), estos son los resultados del análisis que los piratas informáticos quieren ver. Luego está el intento de invasión, que no entraré en detalles aquí. Si está interesado, hay muchos artículos sobre estos aspectos en Internet.
¡En definitiva, el hacker ahora tiene el control de una máquina de marionetas! Entonces, ¿qué va a hacer? Además del trabajo básico de dejar puertas traseras y borrar huellas, también carga programas para usarlos en ataques DDoS, generalmente usando ftp. En la máquina atacante, habrá un programa de envío de paquetes DDoS, que los piratas informáticos utilizan para enviar paquetes de ataque maliciosos al objetivo de la víctima.
3. Ataque real
Después de una cuidadosa preparación en las dos primeras etapas, el hacker comienza a apuntar al objetivo y se prepara para lanzar el ataque. Si la preparación se hace bien, el ataque real es relativamente sencillo. Como se muestra en la figura, el hacker inicia sesión en la máquina títere como consola y emite comandos a todas las máquinas de ataque: "¡Listo~, apunta~, fuego!". En este momento, el programa de ataque DDoS integrado en la máquina atacante responderá a los comandos de la consola y enviará una gran cantidad de paquetes de datos al host víctima a alta velocidad, lo que provocará que el host falle o no responda a las solicitudes normales. Los piratas informáticos suelen atacar mucho más rápido de lo que sus víctimas pueden manejar y no muestran piedad hacia ellas.
Los atacantes sofisticados utilizarán una variedad de medios para monitorear la efectividad de sus ataques y realizar ajustes si es necesario. El método más simple es abrir una ventana, hacer ping al host objetivo continuamente y luego aumentar el tráfico o ordenar a más títeres que se unan al ataque cuando obtenga una respuesta.