¿Qué es un ataque DDOS?
Hay muchas formas de ataques DoS. El ataque DoS más básico es utilizar solicitudes de servicio razonables para ocupar demasiados recursos del servicio, de modo que los usuarios legítimos no puedan obtener respuestas del servicio. El método de ataque DDoS es un tipo de método de ataque basado en el ataque DoS tradicional. Un solo ataque DoS generalmente adopta un enfoque uno a uno. Cuando el objetivo del ataque tiene una velocidad de CPU baja, memoria pequeña o ancho de banda de red pequeño, etc., sus indicadores de rendimiento no son altos y su efecto es obvio. Con el desarrollo de la tecnología informática y de redes, la potencia de procesamiento de las computadoras ha aumentado rápidamente, la memoria ha aumentado considerablemente y también han surgido redes de nivel gigabit, lo que dificulta los ataques DoS: la capacidad del objetivo para "digerir paquetes de ataques maliciosos" "tiene Se ha fortalecido mucho, por ejemplo, su software de ataque puede enviar 3000 paquetes de ataque por segundo, pero mi host y el ancho de banda de mi red pueden manejar 10,000 paquetes de ataque por segundo, por lo que el ataque no ocurrirá. En ese momento, surgieron los métodos de ataque distribuido de denegación de servicio (DDoS). Si comprende el ataque DoS, su principio es muy simple. Si la potencia de procesamiento de las computadoras y las redes se ha multiplicado por 10 y usar una máquina de ataque para atacar ya no es efectivo, ¿qué pasa si el atacante usa 10 máquinas de ataque para atacar al mismo tiempo? ¿Qué tal si usamos 100 unidades? DDoS utiliza más máquinas títeres para lanzar ataques y atacar a las víctimas a mayor escala que antes. Las redes de alta velocidad y ampliamente conectadas brindan comodidad a todos y también crean condiciones extremadamente favorables para los ataques DDoS. En la era de las redes de baja velocidad, cuando los piratas informáticos ocupan las máquinas títere utilizadas para los ataques, siempre darán prioridad a las máquinas que están cerca de la red objetivo porque la cantidad de saltos a través del enrutador es pequeña y el efecto es bueno. Hoy en día, las conexiones entre los nodos troncales de telecomunicaciones son todas de nivel G, y se pueden alcanzar conexiones de 2,5 G entre grandes ciudades, lo que permite lanzar ataques desde lugares más lejanos u otras ciudades, y la ubicación de la máquina títere del atacante se puede distribuir. en un área más grande, la elección se vuelve más flexible. Edite este párrafo: Fenómeno al ser atacado por DDoS. Hay una gran cantidad de conexiones TCP en espera en el host atacado. La red está inundada con una gran cantidad de paquetes de datos inútiles. La dirección de origen es falsa y un gran flujo de datos inútiles. se genera, causando congestión de la red e impidiendo que el host víctima funcione normalmente y la comunicación externa aprovecha los defectos en los servicios o protocolos de transmisión proporcionados por el host víctima para emitir repetidamente solicitudes de servicio específicas a alta velocidad, lo que hace que el host víctima no pueda procesar todas las solicitudes normales de manera oportuna. En casos graves, el sistema fallará. El principio de funcionamiento del ataque de la gran barra de pollo es el que se muestra en la figura. Echemos un vistazo a un sistema de ataque DDoS completo. en las partes más importantes 2 y 3: se utilizan para control y ataque real respectivamente. Tenga en cuenta la diferencia entre la máquina de control y la máquina de ataque Para la víctima de la Parte 4, el paquete de ataque DDoS real se envía desde la máquina títere de ataque de la Parte 3. La máquina de control de la Parte 2 solo emite comandos y no participa. el ataque real. Los piratas informáticos tienen control total o parcial sobre las computadoras de las Partes 2 y 3 y cargan los programas DDoS correspondientes en estas plataformas. Estos programas se ejecutan como programas normales y esperan instrucciones de los piratas informáticos. Por lo general, también utilizan varios medios para ocultarse de los demás. En tiempos normales, no hay nada anormal en estas máquinas títeres. Sin embargo, una vez que un hacker se conecta a ellas para controlarlas y da instrucciones, el atacante se convierte en víctima y lanza ataques. Algunos amigos pueden preguntar: "¿Por qué los piratas informáticos no controlan y atacan directamente la máquina de títeres, sino que controlan la máquina de títeres?". Ésta es una de las razones por las que los ataques DDoS son difíciles de rastrear. Desde el punto de vista del atacante, definitivamente no quiere ser atrapado, y cuantas más máquinas títeres utilice el atacante, más base de análisis proporcionará a la víctima. Después de ocupar una máquina, un atacante de alto nivel primero hará dos cosas: 1. ¡Piensa en cómo dejar una buena puerta trasera! 2. Cómo borrar el registro. Esto es para borrar las huellas y evitar que otros detecten lo que has hecho. Los piratas informáticos menos dedicados eliminarán todos los registros independientemente de la situación, pero si el administrador de la red descubre que los registros han desaparecido, sabrá que alguien ha hecho algo malo. Como máximo, no podrá descubrir quién lo hizo. de los troncos.
Por el contrario, los verdaderos expertos seleccionarán y eliminarán elementos de registro relacionados con ellos mismos para que nadie pueda ver la situación anormal. Esto le permite utilizar la máquina de títeres durante mucho tiempo. Pero limpiar los registros en la máquina títere de ataque en la Parte 3 es realmente un proyecto enorme. Incluso con la ayuda de una buena herramienta de limpieza de registros, los piratas informáticos todavía tienen dolor de cabeza en esta tarea. Esto ha provocado que algunas máquinas de ataque no estén muy limpias, y la computadora de nivel superior que las controla se puede encontrar a través de las pistas que contiene. Si la computadora de nivel superior es la propia máquina del hacker, entonces será descubierto. Pero si se trata de una máquina títere para el control, el propio hacker sigue estando a salvo. La cantidad de máquinas títeres controladas es relativamente pequeña. Generalmente, una máquina puede controlar docenas de máquinas de ataque. Es mucho más fácil para los piratas informáticos limpiar los registros de una computadora y la posibilidad de encontrar piratas informáticos desde la máquina de control también se reduce considerablemente. Edite este párrafo: ¿Cómo organizó un hacker un ataque DDoS? La palabra "organización" se utiliza aquí porque DDoS no es tan simple como invadir un host. En términos generales, los piratas informáticos seguirán los siguientes pasos al realizar ataques DDoS: 1. Recopilar y comprender la situación del objetivo. La siguiente información es de gran preocupación para los piratas informáticos: número de hosts objetivo atacados, estado de la dirección y configuración del host objetivo. y ancho de banda de los objetivos de rendimiento para DDoS. Para un atacante, cuando ataca un sitio en Internet, por ejemplo, uno de los puntos clave es determinar cuántos hosts soportan el sitio. Un sitio web grande puede tener muchos hosts que utilizan equilibrio de carga. tecnología para prestar el servicio www del mismo sitio web. Tomando como ejemplo Yahoo, generalmente existen las siguientes direcciones que brindan servicios: 66.218.71.87 66.218.71.88 66.218.71.89 66.218.71.80 66.218.71.81 66.218.71.83 66.218.71.84 66.218.71.86 Si desea Si se realiza un ataque DDoS, donde ¿Debería ser el ataque? ¿Qué pasa con una dirección? Incluso si la máquina 66.218.71.87 está paralizada, otros hosts aún pueden proporcionar servicios www al mundo exterior. Por lo tanto, si desea que otros no puedan acceder a ella, todas las máquinas con estas direcciones IP deben estar paralizadas. En las aplicaciones reales, una dirección IP a menudo representa varias máquinas: los mantenedores de sitios web utilizan conmutadores de cuatro o siete capas para equilibrar la carga y asignan acceso a una dirección IP a cada máquina subordinada mediante un algoritmo específico. En este momento, la situación se vuelve más complicada para el atacante DDoS. La tarea que enfrenta puede ser hacer que los servicios de docenas de hosts sean anormales. Por lo tanto, es muy importante que los atacantes DDoS recopilen inteligencia con anticipación, lo cual está relacionado con la cuestión de cuántas máquinas títeres se pueden usar para lograr el efecto. Simplemente piénselo, en las mismas condiciones, si necesita 2 máquinas títeres para atacar a 2 hosts en el mismo sitio, es posible que necesite más de 5 máquinas títeres para atacar a 5 hosts. Algunas personas dicen que cuantas más máquinas de títeres tengas para atacar, mejor. No importa cuántos hosts tengas, yo simplemente uso tantas máquinas de títeres como sea posible para atacar. De todos modos, el efecto es mejor cuando hay más máquinas de títeres. Pero en el proceso real, muchos piratas informáticos no recopilan inteligencia sino que realizan directamente ataques DDoS. En este momento, la ceguera del ataque es muy grande y el efecto depende de la suerte. De hecho, ser un hacker es como un administrador de red, no puedes ser holgazán. Si algo se hace bien o no, la actitud es lo más importante, el nivel es lo segundo. 2. Los piratas informáticos que ocupan máquinas títeres están más interesados en hosts con las siguientes condiciones: Hosts con buen estado de enlace Hosts con buen rendimiento Hosts con mala gestión de seguridad Esta parte en realidad utiliza otro tipo importante de método de ataque: el uso del ataque de formulario. Este es un método de ataque paralelo al DDoS. En pocas palabras, consiste en ocupar y controlar el host atacado. Obtenga los derechos administrativos más altos, o al menos obtenga una cuenta con autoridad para completar tareas de ataque DDoS. Para un atacante DDoS, preparar una cierta cantidad de máquinas títeres es una condición necesaria. Hablemos de cómo las ataca y captura.
En primer lugar, lo que hacen los piratas informáticos generalmente es escanear, utilizar escáneres de forma aleatoria o selectiva para descubrir máquinas vulnerables en Internet, como vulnerabilidades de desbordamiento de programas, cgi, Unicode, ftp, vulnerabilidades de bases de datos... (la lista es interminable). (por ejemplo), estos son los resultados del análisis que los piratas informáticos quieren ver. Luego intenté invadir. No entraré en los métodos específicos aquí. Si está interesado, hay muchos artículos sobre estos contenidos en Internet. En resumen, ¡el hacker se ha apoderado de una máquina de marionetas! ¿Y qué hace? Además del trabajo básico de dejar puertas traseras y borrar huellas como se mencionó anteriormente, cargará el programa utilizado para ataques DDoS, generalmente usando ftp. En la máquina atacante, habrá un programa de envío de paquetes DDoS, que los piratas informáticos utilizan para enviar paquetes de ataque maliciosos al objetivo de la víctima. 3. Ataque real Después de una cuidadosa preparación en las dos primeras etapas, el hacker comienza a apuntar al objetivo y se prepara para el lanzamiento. Si los preparativos anteriores se hacen bien, el proceso de ataque real será relativamente simple. Como se muestra en la imagen, el hacker inicia sesión en la máquina títere como consola y emite comandos a todas las máquinas de ataque: "¡Listo~, apunta~, fuego!". En este momento, el programa de ataque DDoS emboscado en la máquina atacante responderá al comando de la consola y enviará una gran cantidad de paquetes de datos al host de la víctima a alta velocidad, lo que provocará que se bloquee o no pueda responder a las solicitudes normales. Los piratas informáticos generalmente atacan a una velocidad que supera con creces la capacidad de procesamiento de la víctima y no muestran piedad. Mientras un atacante sofisticado ataca, también utilizará varios medios para monitorear el efecto del ataque y realizar algunos ajustes cuando sea necesario. Es más sencillo abrir una ventana y hacer ping continuamente al host objetivo. Cuando se recibe una respuesta, aumentar el tráfico u ordenar que más máquinas títeres se unan al ataque. Software de herramienta de uso común para DDOS: CC v2.0. Excelentes firewalls para prevenir DDOS: varios firewalls de hardware, look'n'sotp Fengyun
.