DDOS攻撃の原因を追跡することがなぜそれほど難しいのですか？

これらのDDOS攻撃はボットネットを使用して実行されました。ボットネットは、マルウェアに感染したコンシューマPCのネットワークです。このようなボットネットは、多くの活動に日常的に使用されており、そのほとんどは違法であるか、少なくとも倫理的に疑わしいものです。そのため、ボットネットを制御する人々は発見されないように最善を尽くします。彼らは通常、ボットネットを追跡するのが非常に難しい匿名通信のあいまいな方法を使用してボットネットを制御します。

「最近、米国政府のインターネットスパイ機能についての出版物を検討して、どうして彼らを見つけられなかったのだろう」と疑問に思うかもしれません。多分アメリカ政府は誰がそれをしたのか知っていて、彼らがそうでないとき、彼らは簡単に見つけることができました。しかし、真実は、米国政府が世界中のすべての人に関する大量のデータを収集しても、現在の法的状況では、そのデータに基づいて誰も起訴することは許可されていません。これらのデータ収集はすべて違法な盗聴であるため、法廷で証拠として使用することはできません。

米国政府が彼らの監視プログラムを通じて証拠しか持っていない人々に対してできる唯一のことは、 違法 それらを誘拐し、秘密の刑務所に強制送還したり、ドローンストライキで殺したりするような超法規的行動。このような思い切った行動は現在、国家安全保障への危険があると見なされている（またはアフガニスタンとパキスタンの国境近くに住んでいる）人々に対してのみ行われています。

そして、一部の「ハクティビスト」が信じていることに反して、政府機関の公開ウェブサイトを数時間アクセスできないようにすることは、国家安全保障への攻撃ではありません。そのような攻撃は、彼らの壁に中傷的な落書きを描くのとほぼ同じ危険レベルです。

DDOS-attachは通常、スプーフィングされたソースIPを含むUDPメッセージを、着信メッセージで指定されたソースIPに応答を送信するサービスに送信することによって実行されます。

例：IP 1.1.1.1がDNSサーバーを実行している場合、DNSクエリを1.1.1.1にUDPパケットとして送信し、source-IPを2.2.2.2に設定すると、DNSサーバーが応答を送信します。 2.2.2.2。 DNSクエリの実際のソースはどこにも記録されません。

さらに、これらのスプーフィングされたクエリは、通常、いくつかのクライアントからいくつかのサーバーを介して送信されるため、ネットワークの観点からは、これは通常のトラフィックのように見えます（2.2.2.2の貧弱なホストを除き、すべてのDNSを受信します） -返信）。

これを検出できるようにするには、ネットワークの大部分をリアルタイムで監視し、複数のクライアントからのリクエストを一度に関連付ける必要があります。

1つの理由は、攻撃者が被害者のPCであるボットを使用しているため、攻撃元が1つではないためです。これらのボットは通常、コマンド＆コントロールサーバー、または単純なIRC部屋、プライベートTwitterフィードなどを使用して制御されます。

1つのシナリオは次のとおりです。攻撃者は、スケジュールを設定してボットを作成します。 I.E.さまざまな手段でできるだけ多くを拡散し、10または100レベルの拡散からそれ自体を取り除きます。 （ボットの起源への洗浄トレースバック）。ハードコーディングされた日付/時刻に、これらのボットは被害者のマシンから大量のDDOSを開始できます。