¿Qué es un ataque DDOS y cuál es su función?
El nombre chino de DDOS es un ataque distribuido de denegación de servicio, comúnmente conocido como ataque de inundación.
Concepto de ataque DDoS
Existen muchos tipos de ataques DoS. El ataque DoS más básico consiste en utilizar solicitudes de servicio razonables para ocupar demasiados recursos de servicio, de modo que los usuarios legítimos no puedan recibir respuestas de servicio.
El método de ataque DDoS es un método de ataque basado en ataques DoS tradicionales. Un solo ataque DoS es generalmente uno a uno y el efecto es obvio cuando la velocidad de la CPU objetivo es baja, la memoria es pequeña o el ancho de banda de la red es pequeño. Con el desarrollo de la tecnología informática y de redes, la potencia de procesamiento de las computadoras ha aumentado rápidamente y la memoria también ha aumentado considerablemente. Al mismo tiempo, la aparición de redes Gigabit ha hecho que sea más difícil atacar DoS: la "capacidad de digestión" del objetivo para paquetes de ataque maliciosos ha mejorado considerablemente. Por ejemplo, su software de ataque puede enviar 3000 paquetes de ataque por segundo, pero mi host y el ancho de banda de mi red pueden manejar 10 000 paquetes de ataque por segundo, lo que hace que el ataque sea imposible.
En este momento surgieron los ataques distribuidos de denegación de servicio (DDoS). Si comprende los ataques DoS, sus principios son simples. Si la potencia de procesamiento de las computadoras y las redes aumenta 10 veces, ya no es posible atacar con un avión de ataque. ¿Qué pasa si el atacante usa 10 aviones de ataque para atacar al mismo tiempo? ¿Qué tal 100? DDoS utiliza más aviones títere para lanzar ataques y atacar a las víctimas a mayor escala que antes.
Si bien las redes de alta velocidad y ampliamente conectadas brindan comodidad a todos, también crean condiciones extremadamente favorables para los ataques DDoS. En la era de las redes de baja velocidad, cuando los piratas informáticos ocupan las máquinas títere utilizadas para los ataques, siempre dan prioridad a las máquinas cercanas a la red objetivo, porque el número de saltos a través del enrutador es pequeño y el efecto es bueno. En la actualidad, las conexiones entre los nodos troncales de telecomunicaciones son todas de nivel G, y las conexiones entre las grandes ciudades pueden incluso alcanzar 2,5 G. Esto permite lanzar ataques desde lugares más lejanos u otras ciudades, y la ubicación de la máquina títere del atacante puede ser. distribuidos en Cuanto más amplia sea la gama, más flexible será la elección.
Fenómenos cuando se ataca por DDoS
Hay muchas conexiones TCP esperando en el host bajo ataque.
La red está inundada de paquetes inútiles con direcciones de origen falsas.
Crea un alto tráfico de datos inútiles, causando congestión en la red, haciendo que el host víctima no pueda comunicarse con el mundo exterior normalmente.
Utilizando los defectos en los servicios o protocolos de transmisión proporcionados por el host víctima, el host víctima emite repetidamente solicitudes de servicio específicas a alta velocidad, lo que hace imposible que el host víctima procese todas las solicitudes normales en el momento oportuno. manera.
En casos severos, el sistema fallará.
Principio de operación del ataque
/security/se-DDOS/fig 1. gif Haga clic para ver la imagen 1.
Como se muestra en la Figura 1, un sistema de ataque DDoS relativamente completo se divide en cuatro partes. Echemos un vistazo a las partes 2 y 3 más importantes: control y ataques reales respectivamente. Tenga en cuenta la diferencia entre aviones de control y aviones de ataque. Para las víctimas de la Parte 4, el paquete de ataque DDoS real fue enviado desde la máquina títere de ataque de la Parte 3. La máquina de control de la Parte 2 solo emitió comandos y no participó en el ataque real. Para la segunda y tercera parte de la computadora, el hacker tiene el control o control parcial y sube el programa DDoS correspondiente a estas plataformas. Estos programas se ejecutan como programas normales, esperando instrucciones del hacker. Por lo general, utilizarán diversos medios para ocultarse. En tiempos normales, no hay nada inusual en estas máquinas títeres, pero una vez que un hacker se conecta a ellas para controlarlas y dar instrucciones, la máquina títere atacante se convertirá en el perpetrador del ataque.
Algunos amigos pueden preguntar: "¿Por qué los piratas informáticos no controlan y atacan directamente la máquina de marionetas, sino que controlan la máquina de marionetas?". Ésta es una de las razones por las que los ataques DDoS son difíciles de rastrear. Como atacante, ciertamente no quiero que me atrapen (sabía que huiría inmediatamente cuando tiraba piedras a los gallineros de otras personas cuando era niño, jaja. Cuantas más máquinas de títeres usa un atacante, más análisis realiza). proporcionada a la víctima, mayor será la evidencia.
Después de que un atacante de alto nivel se apodere de una máquina, primero hará dos cosas: 1. ¡Considere cómo usar la puerta trasera (volveré pronto)! 2. ¿Cómo borrar el registro? Esto es para borrar tus huellas y evitar que otros descubran lo que has hecho. Los piratas informáticos menos dedicados eliminarán todos los registros, pero en este caso, el webmaster sabrá que alguien ha hecho algo malo cuando descubra que los registros han desaparecido. Como máximo, no podrá descubrir quién lo hizo a partir de los registros. Por el contrario, los verdaderos expertos eliminan las entradas del registro sobre ellos mismos para que las anomalías sean invisibles. Esto permite utilizar la máquina de títeres durante mucho tiempo.
Pero en la tercera parte, limpiar los registros de la máquina títere de ataque es un proyecto enorme. Incluso con la ayuda de una buena herramienta de limpieza de registros, esta tarea puede ser un dolor de cabeza para los piratas informáticos. Esto resultó en que algunos aviones de ataque no estuvieran muy limpios y, a través de sus pistas, se encontró la computadora superior que los controlaba. Si la computadora superior fuera la propia máquina del hacker, lo descubrirían. Pero si se trata de una máquina de marionetas controlada, el propio hacker sigue estando a salvo. El número de máquinas de títeres controladas es relativamente pequeño. Generalmente, una persona puede controlar docenas de aviones de ataque. Es mucho más fácil para los piratas informáticos limpiar los registros de una computadora, lo que reduce en gran medida la posibilidad de descubrir piratas informáticos desde la máquina de control.
¿Cómo organizan los hackers los ataques DDoS?
La palabra "organización" se utiliza aquí porque DDoS no es tan simple como invadir un host. En términos generales, los piratas informáticos seguirán los siguientes pasos al implementar un ataque DDoS:
1.
Los piratas informáticos están muy preocupados por la siguiente información:
El número y las direcciones de los hosts objetivo que están siendo atacados.
Configuración y rendimiento del host objetivo
Ancho de banda objetivo
Por ejemplo, para que un atacante DDoS ataque un sitio en Internet, determine cuántos hosts admiten este sitio. es importante. Un sitio web grande puede tener muchos hosts que utilizan tecnología de equilibrio de carga para proporcionar servicios www para el mismo sitio web. Tomemos como ejemplo Yahoo. Normalmente, el servicio se brinda en:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
Si quieres atacar DDoS , deberías ¿Qué dirección atacar? Bloquee la máquina 66.218.71.87, pero otros hosts aún pueden proporcionar servicios www, por lo que si desea que otros accedan a él, debe bloquear todas las máquinas con estas direcciones IP. En aplicaciones prácticas, una dirección IP a menudo representa varias máquinas: el personal de mantenimiento del sitio web utiliza conmutadores de capa cuatro o siete para equilibrar la carga y asigna acceso a una dirección IP a cada host esclavo a través de un algoritmo específico. En este momento, la situación es más complicada para los atacantes DDoS. La tarea que enfrenta puede ser hacer que los servicios de docenas de servidores sean anormales.
Por lo tanto, para los atacantes DDoS, es muy importante recopilar inteligencia con anticipación, lo que está relacionado con cuántas máquinas títeres se pueden usar para lograr el efecto. Piénselo brevemente. En las mismas condiciones, si se necesitan dos máquinas títeres para atacar a dos hosts en el mismo sitio, es posible que se necesiten más de cinco máquinas títeres para atacar a cinco hosts. Algunos dicen que cuantos más títeres tengas que atacar, mejor. No importa cuántos hosts tengas, atacaría con tantas máquinas títeres como fuera posible. La máquina de títeres acabó siendo más eficaz de todos modos.
Sin embargo, en el proceso real, muchos piratas informáticos atacan directamente DDoS sin recopilar inteligencia. En este momento, la ceguera del ataque se vuelve mayor y el efecto depende de la suerte. De hecho, ser hacker es lo mismo que ser webmaster. No puedes ser holgazán. Lo hagas bien o no, lo más importante es la actitud, seguida del nivel.
2. Ocupar la máquina de marionetas
Los hackers están más interesados en hosts con las siguientes condiciones:
Hosts con buen estado de enlace
Rendimiento Buenos hosts
Hosts con mala gestión de seguridad
Esta parte en realidad utiliza otro método de ataque: el uso de ataques morfológicos. Este es un ataque paralelo al DDoS.
En pocas palabras, significa ocupar y controlar el host atacado. Obtenga los derechos administrativos más altos, o al menos obtenga una cuenta con permiso para completar tareas de ataque DDoS. Preparar una cierta cantidad de máquinas títeres es una condición necesaria para los atacantes DDoS. Hablemos de cómo los atacó y ocupó.
En primer lugar, lo que suelen hacer los piratas informáticos es escanear, utilizando escáneres de forma aleatoria o selectiva para buscar máquinas vulnerables en Internet, como vulnerabilidades de desbordamiento de programas, cgi, Unicode, ftp, vulnerabilidades de bases de datos, etc. (Por nombrar algunos), son todos los resultados del análisis que los piratas informáticos quieren ver. Luego intenté invadir. No mencionaré los métodos específicos aquí. Si estás interesado, hay muchos artículos sobre estos contenidos en Internet.
De todos modos, ¡el hacker ahora se ha apoderado de una máquina de marionetas! Entonces, ¿qué hace? Además del trabajo básico mencionado anteriormente, también cargará programas para ataques DDoS, normalmente utilizando ftp. El atacante tendrá un programa de firma de DDoS y el pirata informático utilizará este programa para enviar paquetes de ataque maliciosos a la víctima.
3. Ataque real
Después de una cuidadosa preparación en las dos primeras etapas, los piratas informáticos comenzaron a apuntar al objetivo y prepararse para el lanzamiento. Si los preparativos preliminares se hacen bien, el proceso de ataque real es relativamente simple. Como se muestra en la imagen, el hacker inicia sesión en la máquina títere como una consola y emite comandos a todos los aviones de ataque: "¡Listos ~, apunta ~, fuego!". En este momento, el programa de ataque DDoS emboscado en el avión de ataque responderá. al comando de la consola, enviando una gran cantidad de paquetes de datos al host de la víctima a alta velocidad, provocando que se bloquee o no responda a las solicitudes normales. Los piratas informáticos generalmente atacan a una velocidad que excede con creces las capacidades de procesamiento de la víctima y no "escatiman". jade" en el ataque. Al mismo tiempo, los atacantes sofisticados también utilizarán varios medios para monitorear el efecto del ataque y hacer algunos ajustes cuando sea necesario. En pocas palabras, abren una ventana y hacen ping continuamente al host objetivo, y aumentan algo de tráfico. cuando se pueda recibir una respuesta. O agregue más máquinas títeres al ataque.