¿Qué es un ataque DDOS y para qué sirve?

DDOS

El nombre chino de DDOS es ataque de denegación de servicio distribuido, comúnmente conocido como ataque de inundación.

Concepto de ataque DDoS

DoS Método de ataque Hay muchos tipos. El ataque DoS más básico consiste en utilizar solicitudes de servicio razonables para ocupar demasiados recursos del servicio, de modo que los usuarios legítimos no puedan obtener una respuesta del servicio.

El método de ataque DDoS es un tipo de método de ataque basado en el ataque DoS tradicional. Un solo ataque DoS generalmente adopta un enfoque uno a uno. Cuando el objetivo del ataque tiene una velocidad de CPU baja, memoria pequeña o ancho de banda de red pequeño, etc., sus indicadores de rendimiento no son altos y su efecto es obvio. Con el desarrollo de la tecnología informática y de redes, la potencia de procesamiento de las computadoras ha aumentado rápidamente, la memoria ha aumentado considerablemente y también han surgido redes de nivel gigabit, lo que dificulta los ataques DoS: la capacidad del objetivo para "digerir paquetes de ataques maliciosos" "tiene Se ha fortalecido mucho, por ejemplo, su software de ataque puede enviar 3000 paquetes de ataque por segundo, pero mi host y el ancho de banda de mi red pueden manejar 10,000 paquetes de ataque por segundo, por lo que el ataque no ocurrirá.

En este momento surgieron los métodos de ataque distribuido de denegación de servicio (DDoS). Si comprende el ataque DoS, su principio es muy simple. Si la potencia de procesamiento de las computadoras y las redes se ha multiplicado por 10 y usar una máquina de ataque para atacar ya no es efectivo, ¿qué pasa si el atacante usa 10 máquinas de ataque para atacar al mismo tiempo? ¿Qué tal si usamos 100 unidades? DDoS utiliza más máquinas títeres para lanzar ataques y atacar a las víctimas a mayor escala que antes.

La red de alta velocidad y ampliamente conectada brinda comodidad a todos y también crea condiciones extremadamente favorables para los ataques DDoS. En la era de las redes de baja velocidad, cuando los piratas informáticos ocupan las máquinas títere utilizadas para los ataques, siempre darán prioridad a las máquinas que están cerca de la red objetivo porque el número de saltos a través del enrutador es pequeño y el efecto es bueno. Hoy en día, las conexiones entre los nodos troncales de telecomunicaciones son todas de nivel G, y se pueden alcanzar conexiones de 2,5 G entre grandes ciudades, lo que permite lanzar ataques desde lugares más lejanos u otras ciudades, y la ubicación de la máquina títere del atacante se puede distribuir. en un área más grande, la elección se vuelve más flexible.

Fenómenos al ser atacado por DDoS

Hay una gran cantidad de conexiones TCP en espera en el host atacado

La red se inunda con una gran cantidad de conexiones inútiles paquetes de datos, direcciones de origen Para falsos

Crea un alto tráfico de datos inútiles, causando congestión de la red, haciendo que el host de la víctima no pueda comunicarse con el mundo exterior normalmente

Utilizando el servicio o protocolo de transmisión fallas proporcionadas por el host de la víctima, alta velocidad repetidamente Emite solicitudes de servicio específicas para que el host de la víctima no pueda procesar todas las solicitudes normales de manera oportuna

En casos graves, provocará que el sistema falle

Principio de funcionamiento del ataque

/security/seddos/fig1.gif Haga clic para ver la imagen 1

Como se muestra en la Figura 1, un sistema de ataque DDoS relativamente completo Se divide en cuatro partes. Primero echemos un vistazo a las partes más importantes 2 y 3: se utilizan respectivamente para controlar y lanzar el ataque. Tenga en cuenta la diferencia entre la máquina de control y la máquina de ataque Para la víctima de la Parte 4, el paquete de ataque DDoS real se envía desde la máquina títere de ataque de la Parte 3. La máquina de control de la Parte 2 solo emite comandos y no participa. el ataque real. Los piratas informáticos tienen control total o parcial sobre las computadoras de las Partes 2 y 3 y cargan los programas DDoS correspondientes en estas plataformas. Estos programas se ejecutan como programas normales y esperan instrucciones de los piratas informáticos. Por lo general, también utilizan varios medios para ocultarse de los demás. En tiempos normales, no hay nada inusual en estas máquinas de títeres, pero una vez que un hacker se conecta a ellas para controlarlas y da instrucciones, el atacante se convertirá en una víctima y lanzará un ataque.

Algunos amigos pueden preguntar: "¿Por qué los piratas informáticos no controlan y atacan directamente la máquina de marionetas, sino que controlan la máquina de marionetas?". Ésta es una de las razones por las que los ataques DDoS son difíciles de rastrear.

Desde el punto de vista del atacante, definitivamente no quieres que te atrapen (sabía cómo escapar inmediatamente cuando tiraba piedras a los gallineros de otras personas cuando era niño, jaja), y cuantas más máquinas de títeres usa el atacante, más base analítica que realmente proporciona a la víctima. Después de ocupar una máquina, un atacante de alto nivel primero hará dos cosas: 1. ¡Considere cómo mantener una puerta trasera (volveré a ello en el futuro)! 2. Cómo borrar el registro. Esto es para borrar las huellas y evitar que otros detecten lo que has hecho. Los piratas informáticos menos dedicados eliminarán todos los registros independientemente de la situación, pero si el administrador de la red descubre que los registros han desaparecido, sabrá que alguien ha hecho algo malo. Como máximo, no podrá descubrir quién lo hizo. de los troncos. Por el contrario, los verdaderos expertos seleccionarán y eliminarán elementos de registro relacionados con ellos mismos para que nadie pueda ver la situación anormal. Esto le permite utilizar la máquina de títeres durante mucho tiempo.

Pero limpiar los registros en la máquina títere de ataque en la Parte 3 es realmente un proyecto enorme. Incluso con la ayuda de una buena herramienta de limpieza de registros, los piratas informáticos todavía tienen dolor de cabeza por esta tarea. Esto ha provocado que algunas máquinas de ataque no estén muy limpias, y la computadora de nivel superior que las controla se puede encontrar a través de las pistas que contiene. Si la computadora de nivel superior es la propia máquina del hacker, entonces será descubierto. Pero si se trata de una máquina títere para el control, el propio hacker sigue estando a salvo. La cantidad de máquinas títeres controladas es relativamente pequeña. Generalmente, una máquina puede controlar docenas de máquinas de ataque. Es mucho más fácil para los piratas informáticos limpiar los registros de una computadora y la posibilidad de encontrar piratas informáticos desde la máquina de control también se reduce considerablemente.

¿Cómo organizan los hackers un ataque DDoS?

La palabra "organización" se utiliza aquí porque DDoS no es tan simple como invadir un host. En términos generales, los piratas informáticos seguirán los siguientes pasos al realizar ataques DDoS:

1. Recopilar y comprender la situación del objetivo

Las siguientes situaciones son información que preocupa mucho a los piratas informáticos:

Número y direcciones de los hosts objetivo atacados

Configuración y rendimiento de los hosts objetivo

Ancho de banda objetivo

Para los atacantes DDoS, atacar en el Internet Para un sitio determinado, por ejemplo, un punto importante es determinar cuántos hosts admiten este sitio. Un sitio web grande puede tener muchos hosts que utilizan tecnología de equilibrio de carga para proporcionar el servicio www del mismo sitio web. Tomando a Yahoo como ejemplo, las siguientes direcciones generalmente brindan servicios:

66.218.71.87

66.218.71.88

66.218.71.89

66.218.71.80

66.218.71.81

66.218.71.83

66.218.71.84

66.218.71.86

Si quieres realizar un ataque DDoS, ¿qué dirección deberías atacar? Incluso si la máquina 66.218.71.87 está paralizada, otros hosts aún pueden proporcionar servicios www al mundo exterior. Por lo tanto, si desea que otros no puedan acceder a ella, todas las máquinas con estas direcciones IP deben estar paralizadas. En las aplicaciones reales, una dirección IP a menudo representa varias máquinas: los mantenedores de sitios web utilizan conmutadores de capa cuatro o siete para equilibrar la carga y asignan acceso a una dirección IP a cada máquina subordinada mediante un algoritmo específico. En este momento, la situación se vuelve más complicada para el atacante DDoS. La tarea que enfrenta puede ser hacer que los servicios de docenas de hosts sean anormales.

Por lo tanto, es muy importante que los atacantes DDoS recopilen información de antemano. Esto está relacionado con cuántas máquinas títeres se utilizan para lograr el efecto. Simplemente piénselo, en las mismas condiciones, si necesita 2 máquinas títeres para atacar a 2 hosts en el mismo sitio, es posible que necesite más de 5 máquinas títeres para atacar a 5 hosts. Algunas personas dicen que cuantas más máquinas de títeres tengas para atacar, mejor. No importa cuántos hosts tengas, yo simplemente uso tantas máquinas de títeres como sea posible para atacar. De todos modos, el efecto es mejor cuando hay más máquinas de títeres.

Sin embargo, en el proceso real, muchos piratas informáticos no recopilan inteligencia sino que llevan a cabo directamente ataques DDoS. En este momento, la ceguera del ataque se vuelve muy grande y el efecto depende de la suerte. De hecho, ser un hacker es como un administrador de red, no puedes ser holgazán. Si algo se hace bien o no, la actitud es lo más importante, el nivel es lo segundo.

2. Aprovecha la máquina de marionetas

Los hackers están más interesados ​​en hosts con las siguientes condiciones:

Hosts con buen estado de enlace

Hosts con buen rendimiento

Hosts con mala gestión de seguridad

Esta parte en realidad utiliza otro tipo importante de método de ataque: ataques de exploits. Este es un método de ataque paralelo al DDoS. En pocas palabras, consiste en ocupar y controlar el anfitrión atacado. Obtenga los derechos administrativos más altos, o al menos obtenga una cuenta con autoridad para completar tareas de ataque DDoS. Para un atacante DDoS, preparar una cierta cantidad de máquinas títeres es una condición necesaria. Hablemos de cómo las ataca y captura.

En primer lugar, lo que hacen los piratas informáticos generalmente es escanear, utilizando escáneres de forma aleatoria o selectiva para descubrir máquinas vulnerables en Internet, como vulnerabilidades de desbordamiento de programas, cgi, Unicode, ftp, vulnerabilidades de bases de datos. . (simplemente hay demasiados para enumerarlos) son todos los resultados del análisis que los piratas informáticos quieren ver. Luego intenté invadir. No entraré en los métodos específicos aquí. Si está interesado, hay muchos artículos sobre estos contenidos en Internet.

¡En resumen, el hacker se ha apoderado de una máquina de marionetas! ¿Y qué hace? Además del trabajo básico de dejar puertas traseras y borrar huellas como se mencionó anteriormente, cargará el programa utilizado para ataques DDoS, generalmente usando ftp. En la máquina atacante, habrá un programa de envío de paquetes DDoS, que los piratas informáticos utilizan para enviar paquetes de ataque maliciosos al objetivo de la víctima.

3. Ataque real

Después de una cuidadosa preparación en las dos primeras etapas, el hacker comienza a apuntar al objetivo y prepararse para el lanzamiento. Si los preparativos anteriores se hacen bien, el proceso de ataque real será relativamente simple. Como se muestra en la imagen, el hacker inicia sesión en la máquina títere como consola y emite comandos a todas las máquinas de ataque: "¡Listo~, apunta~, fuego!". En este momento, el programa de ataque DDoS emboscado en la máquina atacante responderá al comando de la consola y enviará una gran cantidad de paquetes de datos al host de la víctima a alta velocidad, lo que provocará que se bloquee o no pueda responder a las solicitudes normales. Los piratas informáticos generalmente atacan a una velocidad que supera con creces la capacidad de procesamiento de la víctima y no muestran piedad.

Los atacantes sofisticados también utilizarán varios medios para monitorear el efecto del ataque mientras atacan y realizarán algunos ajustes cuando sea necesario. Es más sencillo abrir una ventana y hacer ping continuamente al host objetivo. Cuando se recibe una respuesta, aumentar el tráfico u ordenar que más máquinas títeres se unan al ataque.