bLogg
výbjery
o mĚ
Tady bUDE kryštof vyeleťasl.
Předtím, než vám povím, jak provádět DDoS útok, chci vyjasnit několik věcí. Spuštění útoku na distribuovanou službu odmítnutí služby (DDoS) z jiného důvodu než je testování bezpečnosti je nelegální.
V etickém hackingu mohou být DDoS útoky použity jako součást testování bezpečnosti a hodnocení zranitelností. Pokud je to případ, ujistěte se, že jsou před zahájením práce v platnosti přísné směrnice a právní dohody.
Budete potřebovat výslovný souhlas organizace, která je testována, a měli byste být schopni útok pečlivě kontrolovat, aby nedošlo k způsobení skutečného škody. Neoprávněné DDoS útoky jsou nelegální a mohou mít vážné právní následky.
Co je to DDoS útok?
DDoS útok je útok na odmítnutí služby (DoS), který používá botnet k zaplavení cíle škodlivým provozem.
Hackeři spouštějí DDoS útoky s cílem narušit nebo potlačit webovou stránku nebo službu. Toho dosahují tím, že na webový server zasílají více žádostí než cílový web může zpracovat. Kvůli DDoS útokům uživatelé organizace:
r
nebudou moci získat požadované informace,
budou muset pracovat s velmi pomalu pracující aplikací.
Zatímco DoS útoky používají pouze jednoho zdroje k odesílání informací, DDoS útok používá tisíce nebo stovky tisíc infikovaných zařízení k zaplavení svého cíle. DDoS útoky tedy dopadají tvrději než DoS útoky.
Účel DDoS útoku
Kybernetičtí aktéři používají DDoS útoky k různým účelům. Na rozdíl od případu ransomwarových útoků se nečekají rychlé finanční zisky při plánování DDoS útoku. Nicméně se může stát, že hackeři budou chtít vydírat společnost pomocí DDoS jako zbraně. Níže jsou uvedeny důvody, proč hackeři spouštějí DDoS útoky:
DDoS jako technika zamlžování
V mnoha případech hackeři používají DDoS útoky jako kouřové clony. Tím, že zavádějí dolů webový server cíle, se snaží skrýt skutečný cíl: nasazení malwaru nebo odlivu dat.
Zabití konkurentů
Kybernetičtí zločinci mohou používat DDoS útoky jako tupou zbraň proti konkurentům. Například mohou chtít zrušit web hostící nástroj pro kybernetickou bezpečnost nebo zrušit malý internetový obchod působící ve stejném odvětví.
Pokusy o vydírání
Zlomyslní aktéři někdy žádají své oběti, aby zaplatily poplatek za zastavení distribuovaného odmítnutí služby.
Hacktivismus
Hacktivisté jsou aktivisté, kteří používají kybernetickou kriminalitu jako nástroj protestu. DDoS útoky jsou levné a relativně snadno se provádějí, protože je k dispozici spousta bezplatných nástrojů pro DDoS. Stali se tedy oblíbeným způsobem pro určité skupiny aktivistů, jak upozornit na sebe. Jejich cílem je narušit online služby a webové stránky patřící cílovým organizacím, aby přilákali pozornost.
Hacktivisté používají DDoS útoky také proto, že je mohou spustit anonymně, takže úřady budou mít obtížné zjistit, kdo to udělal.
Ne všichni hacktivisté bojují za dobrý účel. Hackeři podporovaní státem, jako například hrozba skupiny KillNet podporovaná Ruskem, používají DDoS útoky k narušení aktivit jiných vlád. Například cílení na organizace poskytující zdravotní péči.
Zábava a sláva
Někdy útočník nemusí mít ani motiv. Jen to dělá pro "smích", aby otestoval své schopnosti nebo jen způsobil chaos. Takže bez ohledu na to, jak malá a zdánlivě nepodstatná organizace se zdá, je možné, že hackeři ji cílí v DDoS útoku. To znamená, že všichni CIO nebo CTO společnosti by měli přijmout vhodná bezpečnostní opatření k zabránění DDoS útoku.
Testování systému
V cvičeních červeného týmu simulovali etičtí hackeři reálné scénáře útoků, aby zhodnotili celkovou bezpečnostní pozici organizace. Tyto mohou zahrnovat DDoS útoky. Aktivita může být součástí širšího souboru taktik k posouzení toho, jak dobře se organizace může bránit proti několika vektorem útoku.
Etičtí hackeři používají ovládané a omezené DDoS útoky k testování odolnosti systému a schopnosti zvládnout náhlý nárůst provozu. To jim pomáhá identifikovat slabiny v infrastruktuře:
css
nedostatečná šířka pásma sítě,
špatně konfigurované vyvažovače zatížení,
n
edostatečné zdroje serveru.
Jak provést DDoS útok?
Existuje více způsobů, jak provádět útok na odmítnutí služby. Některé metody jsou snazší provést než jiné, ale ne tak účinné. Někdy útočník může chtít jít ještě dál, aby si byl jist, že oběť dostane zprávu, takže může najmout dedikovaný botnet k provedení útoku.
Botnets
Botnet je sbírka počítačů nebo jiných zařízení připojených k internetu, která byla infikována malwarou a nyní reaguje na příkazy a příkazy centrálního počítače, nazývaného řídící a kontrolní centrum.
Velké botnety mají síť milionů zařízení, a většina majitelů nemá tušení, že jsou jejich stroje kompromitovány. Kromě několika počítačů může botnet zahrnovat také zařízení IoT.
Obvykle jsou botnety používány pro širokou škálu nelegálních aktivit, jako je rozesílání spamových e-mailů, phishing nebo těžba kryptoměn.
Některé jsou však k dispozici k pronájmu nejvyššímu nabídkovateli, který je může použít jakkoliv se mu zdá. Často to znamená útok DDoS. Přečtěte si více o tom, jak chránit své podnikání před útoky botnet v článku mého kolegy.
Jak fungují botnety DDoS
Programy a nástroje pro DDoS
Hackeři na malém měřítku, kteří nemají přístup k botnetům, se musí spoléhat na své vlastní počítače. To znamená použití specializovaných nástrojů pro útoky DDoS, které mohou směrovat internetový provoz na určitý cíl.
Samozřejmě, množství provozu, které může jednotlivý počítač poslat, je malé, ale pokud se spojí několik set nebo tisíc uživatelů, věci se najednou zvětší v rozsahu.
Tuto konkrétní taktiku distribuovaného odmítnutí služby úspěšně použil Anonymous. Stručně řečeno, požádají své stoupence, aby si stáhli konkrétní nástroj a byli aktivní na diskusních fórech, jako je IRC, v konkrétním čase. Pak současně spustí DDoS útok, který způsobí pád cílové webové stránky nebo služby.
Zde je vzorový seznam nástrojů pro DDoS útoky, které zlomyslní hackeři používají k provedení útoků na odmítnutí služby:
Nízká oběžná iontová děla, zkráceně LOIC.
XOIC.
HULK (HTTP nepřijatelná zátěž krále).
DDOSIM – Simulátor DDoS na úrovni 7.
R-U-Dead-Yet.
Kladivo Tor.
Jak provést DDoS na IP pomocí příkazu cmd
Jedna z nejzákladnějších a nejprimitivnějších metod odmítnutí služby se nazývá „ping smrti“ a používá příkazový řádek k zaplavení adresy internetového protokolu datovými pakety.
Kvůli své malé škále a základní povaze ping útoky smrti obvykle nejlépe fungují proti menším cílům. Například útočník může cílit:
css
Na jediný počítač. Avšak aby byl tento útok úspěšný, zlomyslný aktér musí nejprve zjistit IP adresu zařízení.
Na bezdrátový směrovač. Zaplavení směrovače datovými pakety zabrání odesílání internetového provozu na všechna ostatní zařízení připojená k němu. V důsledku toho to omezuje internetový přístup jakéhokoli zařízení, které používalo směrovač.
Pro spuštění útoku odmítnutí služby ping musí zlomyslný hacker nejprve zjistit IP adresu počítače nebo zařízení oběti. Jedná se o relativně jednoduchý úkol.
Ping smrti je malého rozsahu a poměrně základní, takže je převážně účinný proti konkrétním zařízením. Nicméně, pokud se spojí několik počítačů, je možné zrušit malou webovou stránku, která nemá odpovídající infrastrukturu pro zvládnutí této hrozby.
Použití tabulky Google Spreadsheet k odesílání nekonečného počtu žádostí.
Útočník může použít Google Spreadsheets k neustálému žádání webové stránky oběti o poskytnutí obrázku nebo PDF uloženého v mezipaměti. Pomocí skriptu vytvoří nekonečnou smyčku, kde Google Spreadsheets neustále žádá webovou stránku, aby získala obrázek.
Tento obrovský počet žádostí přetíží stránku a blokuje legitimní provoz.
Na rozdíl od jiných taktik odmítnutí služby tato neposílá velké informační balíky k zaplavení webové stránky, ale místo toho požaduje data, která jsou mnohem, mnohem menší.
Jinými slovy, útočník nemusí spoléhat na rozsáhlý botnet nebo tisíce dalších uživatelů, aby dosáhl podobného účinku.
Teardrop útoky
Ve většině případů je informace přenášená mezi klientovým zařízením a serverem příliš velká na to, aby byla odeslána v jednom kuse. Proto jsou data rozdělena na menší pakety a pak jsou znovu sestavena, jakmile dosáhnou serveru.
Server zná pořadí sestavování prostřednictvím parametru nazývaného „offset“. Představte si to jako pokyny k sestavení LEGO hračky.
To, co teardrop útok dělá, je odesílání datových paketů na server, které nemají smysl a mají překrývající se nebo dysfunkční parametry offsetu. Server se pokouší a selže při řazení dat podle škodlivých parametrů offsetu. To rychle spotřebovává dostupné prostředky, dokud se nezastaví a nepřivede s sebou dolu webovou stránku.
Zesílení DDoS útoku
Abyste maximalizovali každý datový byte, zlomyslní hackeři někdy zesilují záplavu použitím útoku na DNS reflexi.
Jedná se o několikakrokový proces:
css
Útočník převezme identitu oběti paděláním její IP adresy.
Použitím padělané identity pak odešle nespočetné dotazy DNS na otevřený resolver DNS.
DNS resolver zpracuje každý dotaz a pak pošle informace zpět zařízení oběti, kterému byla ukradena jeho identita. Nicméně informační pakety, které DNS resolver odesílá, jsou mnohem větší než dotazy, které obdrží.
Co se děje během zesílení, je to, že každý 1 byte informací se stává 30 nebo 40 bytů, někdy i více. Zesilte to dále pomocí botnetu s několika tisíci počítači a můžete skončit s odesláním 100 gigabajtů DDoS provozu na stránku.
Typy DDoS útoků
Útoky na odmítnutí služby se dělí do dvou širokých kategorií v závislosti na jejich hlavním vektoru útoku:
Útoky na aplikační vrstvu.
Útoky na síťovou vrstvu.
Síťové útoky
Útok na síťové vrstvě funguje tím, že zaplaví infrastrukturu použitou k hostování webové stránky obrovským množstvím dat.
Mnoho poskytovatelů dnes tvrdí, že nabízejí „neměřené“ šířky pásma, což znamená, že byste teoreticky neměli nikdy mít obavy o nadměrné množství provozu, který by vaši stránku zastavil. Nicméně, toto „neměřené“ šířka pásma přichází s některými podmínkami.
Abyste si to představili, stránka s několika 15 000 měsíčními zobrazeními stránek a stovkami stránek vyžaduje asi 50 gigabajtů měsíčního šíření pásma, aby optimálně fungovala. Mějte na paměti, že tento provoz je široce rozptýlen během celého měsíce. Stránka jako tato nemá šanci zůstat online, pokud ji DDoS útok nárazem dopadne s 30 nebo 40 gigabajty provozu během jedné hodiny.
Jako obranný opatření sami poskytovatelé webhostingu jednají tím, že spustí softwarové balíčky, které automaticky zaznamenávají velké objemy provozu. Když vidí, že zpracování vyžaduje větší množství zdrojů, než by mělo, mohou začít blokovat žádosti z určitých IP adres.
Některé útočníky tato opatření nezastaví, ale to je obvykle tím, kde začíná hra pokračovat.
Útoky na aplikační vrstvu
Útoky na aplikační vrstvu se liší od síťových útoků tím, že místo toho, aby se zaměřovaly na infrastrukturu, zaměřují se přímo na softwarové služby, které poskytují stránku. Zde jsou některé z nejběžnějších forem útoků na aplikační vrstvu:
css
SQL injection – když útočník použije zranitelnou SQL databázi k injektování kódu, který pomůže získat informace nebo dokonce ovládnout celý systém.
Cross-site scripting (XSS) – to se stává, když útočník použije aplikaci, která povoluje uživatelům vkládat kód nebo skripty na stránce.
Cross-site request forgery (CSRF) – je zranitelnost, která umožňuje útočníkovi přesměrovat uživatele na jiné stránky, které mohou být ovládány hacknuty.
Obrana proti DDoS útokům
Jedním z nejjednodušších způsobů, jak se bránit DDoS útoku, je mít širší infrastrukturu, než potřebujete.
Takže pokud vaše stránka potřebuje 50 gigabajtů měsíčního šíření pásma, aby optimálně fungovala, vlastně budete potřebovat přibližně 75 gigabajtů měsíčního šíření pásma. Jakýkoliv náhlý růst může být rychle obsloužen.
Co je důležitější, připojení k poskytovateli webhostingu, který může rychle reagovat na náhlý nárůst provozu, může být klíčem k udržení online.
Mějte na paměti, že se snažíte získat dvojnásobek toho, co skutečně potřebujete. Pokud máte webovou stránku, která se vydává jako něco, co není, nemůžete očekávat, že bude k dispozici dvojnásobné množství šířky pásma, ani když se útočník pokusí zabavit stránku.
Pokud vlastníte nebo provozujete web, můžete podniknout kroky k ochraně vaší stránky před útoky DDoS. Některé z těchto kroků zahrnují:
css
Monitorování a analýza provozu vašeho webu. Tímto způsobem můžete rychle detekovat neobvyklé nebo podezřelé vzory, které by mohly naznačovat DDoS útok.
Implementace webových aplikací firewall (WAF). WAF může detekovat a blokovat nebezpečné webové provoz.
Použití služeb od společností poskytujících cloudovou bezpečnostní ochranu. Tyto služby mohou poskytnout ochranu před DDoS útoky na aplikační vrstvu a mohou být konfigurovány tak, aby automaticky zablokovaly provoz, který vykazuje známky útoku.
Distribuce obsahu pomocí CDN. Obsahová distribuční síť (CDN) může snížit zátěž na váš původní server tím, že obsah distribuuje na geograficky distribuované servery.
Existují také specializované služby a technologie navržené k ochraně proti DDoS útokům. Některé z těchto služeb mohou zahrnovat:
csharp
Anti-DDoS služby poskytované poskytovateli webhostingu nebo poskytovatelům cloudových služeb.
Specializované DDoS ochranné služby poskytované třetími stranami.
DDoS ochranné hardwarové a softwarové přístroje.
Ochrana před DDoS útoky se většinou zaměřuje na detekci a eliminaci škodlivého provozu, zatímco pokud je útok ve velkém měřítku, je také třeba spustit procesy, které umožní webové službě být stále dostupná pro uživatele, dokud se útok nezastaví.