herramienta dnstooldnsddos

¿Qué significa ddos?

El nombre completo de DDOS es DistributedDenialofservice (Denegación de Servicio Distribuido), comúnmente conocido como ataque de inundación. Muchas fuentes de ataques DOS atacan a un determinado servidor juntos para formar un ataque DDOS que se remonta a 1996. Comenzó a aparecer con frecuencia en China en 2002 y comenzó a tomar forma en 2003.

——Lo anterior está citado de la enciclopedia interactiva

El método de ataque DDoS es un tipo de método de ataque basado en el ataque DoS tradicional. Un solo ataque DoS generalmente adopta un enfoque uno a uno. Cuando el objetivo del ataque tiene una velocidad de CPU baja, memoria pequeña o ancho de banda de red pequeño, etc., sus indicadores de rendimiento no son altos y su efecto es obvio.

Con el desarrollo de la tecnología informática y de redes, la potencia de procesamiento de las computadoras ha aumentado rápidamente, la memoria ha aumentado considerablemente y también han surgido redes de nivel gigabit, lo que dificulta los ataques DoS: el objetivo es Se ha mejorado enormemente la "capacidad de digestión" de los paquetes de ataques maliciosos.

Por ejemplo, su software de ataque puede enviar 3000 paquetes de ataque por segundo, pero mi host y el ancho de banda de mi red pueden manejar 10 000 paquetes de ataque por segundo, por lo que el ataque no tendrá ningún efecto.

En este momento surgieron los métodos de ataque distribuido de denegación de servicio (DDoS). Si comprende el ataque DoS, su principio es muy simple.

Si la potencia de procesamiento de las computadoras y las redes se ha multiplicado por 10 y usar una máquina de ataque para atacar ya no es efectivo, ¿qué pasa si el atacante usa 10 máquinas de ataque para atacar al mismo tiempo? ¿Qué tal si usamos 100 unidades? DDoS utiliza más máquinas títeres para lanzar ataques y atacar a las víctimas a mayor escala que antes.

¿Qué sabes sobre los ataques a servidores DNS? ¿Cómo prevenirlo?

Uso de servidores DNS para llevar a cabo ataques DDOS

El proceso normal de consulta recursiva del servidor DNS puede explotarse en ataques DDOS. Supongamos que el atacante conoce la dirección IP de la máquina comprometida y luego usa esa dirección como dirección de origen para enviar comandos de análisis. De esta manera, cuando el servidor DNS se utiliza para realizar consultas recursivas, el servidor DNS responde al usuario original, y este usuario es el atacante. Luego, si el atacante controla suficientes pollos de engorde y realiza las operaciones anteriores repetidamente, el atacante estará sujeto a un ataque DDOS mediante la información de respuesta del servidor DNS.

Si el atacante tiene una parvada de pollos de engorde lo suficientemente grande, la red del atacante puede verse afectada hasta el punto de interrumpirse. Un desafío importante al utilizar ataques a servidores DNS es que el atacante oculta su paradero porque no se comunica directamente con el host atacado, lo que dificulta a la víctima rastrear el ataque original.

Infección de caché de DNS

Un atacante utiliza solicitudes de DNS para colocar datos en la caché de un servidor DNS vulnerable. Esta información almacenada en caché se devolverá al usuario cuando el cliente realice el acceso DNS, guiando así el acceso del usuario al nombre de dominio normal a la página configurada por el intruso, como montar a caballo, phishing, etc., u obtener la contraseña del usuario. a través de correos electrónicos falsificados y otros servicios de servidor, causando que los clientes sufran más daños.

Secuestro de información DNS

El sistema TCP/IP utiliza números de serie y otros métodos para evitar la inserción de datos falsos, pero si un intruso monitorea la conversación entre el cliente y el servidor DNS , Adivine el ID de la consulta DNS que el servidor respondió al cliente. Cada mensaje DNS incluye un número de identificación de 16 bits asociado y el servidor DNS obtiene la ubicación del origen de la solicitud en función de este número de identificación. El atacante entrega respuestas falsas al usuario antes que el servidor DNS, engañando así al cliente para que visite un sitio web malicioso. Supongamos que se interceptan los datos del paquete DNS de una solicitud de resolución de nombre de dominio enviada a un determinado servidor de nombres de dominio y luego se devuelve una dirección IP falsa al solicitante como mensaje de respuesta de acuerdo con la intención del interceptor. El solicitante original utilizará esta dirección IP falsa como el nombre de dominio que desea solicitar, de modo que será engañado para ir a otra parte y no podrá conectarse al nombre de dominio al que desea acceder.

Redirección de DNS

El atacante redirige la consulta del nombre DNS a un servidor DNS malicioso y la resolución del nombre de dominio secuestrado está completamente bajo el control del atacante.

Suplantación de ARP

El ataque ARP consiste en lograr la suplantación de ARP falsificando direcciones IP y direcciones MAC. Puede generar una gran cantidad de tráfico ARP en la red y bloquear la red. A medida que el atacante continúa enviando un paquete de respuesta ARP falsificado, puede cambiar la entrada IP-MAC en la caché ARP del host de destino, lo que provoca interrupciones en la red o ataques de intermediario. Los ataques ARP existen principalmente en redes LAN. Si una computadora en la LAN está infectada con el virus ARP, el sistema infectado con el virus ARP intentará interceptar la información de comunicación de otras computadoras en la red mediante "suplantación de identidad ARP", provocando así la red. Corrupción. Fallo de comunicación con otras computadoras dentro de la computadora.

La suplantación de ARP suele tener lugar en la red local del usuario, lo que hace que los usuarios accedan a los nombres de dominio en la dirección incorrecta. Si la sala de computadoras IDC también es invadida por el virus ARP, el atacante puede usar paquetes ARP para suprimir los hosts normales o suprimir el servidor DNS para redirigir el acceso en la dirección incorrecta.

Secuestro local

Después de que el sistema informático local sea infectado por troyanos o software fraudulento, también pueden ocurrir anomalías en el acceso a algunos nombres de dominio. Por ejemplo, al acceder a un sitio troyano o de phishing o no poder acceder a él, etc. Los métodos de secuestro de DNS nativo incluyen manipulación de archivos de hosts, secuestro de DNS nativo, inyección de cadena SPI, complementos BHO, etc.