サービスとしてのクラウドベースのDDoS

...しかし、彼らは独自のインフラストラクチャを使用しました

それは実際には彼ら自身の彼らが使用するインフラストラクチャではありません。代わりに、ハイジャックされたシステムで構成されるボットネットを使用します。これらはそれらがp0wnするシステムですが、絶対に所有していません。したがって、彼らにとっては非常に安価です。

それとは別に、DDoS攻撃のためにVPSをレンタルするVPSプロバイダーは、すぐに評判を失い、適切な顧客を失うことになります。そして、VPSプロバイダーがDDoS攻撃にVPSを提供することに特化している場合、通常の顧客の損失を補うために、そのようなDDoSをブロックするのはより簡単です。主要なネットワーク。

クラウドベースのDoS攻撃が可能であり、時々発生します。しかし、これはいくつかの理由であまり人気のないオプションです：

• 初期設定-何百ものVMを導入することは簡単なことではなく、それらに支払うことも簡単ではありません。ただし、他の人のVMを使用している場合は、これにより作業が非常に簡単になります。

• Detection-Azureを含む多くのプロバイダーは、サービスを監視して悪意のあるアクティビティをチェックします。実際、彼らのシステムから攻撃を仕掛けることは彼らのToSに違反し、あなたはあなたを非常に素早くシャットダウンさせるでしょう。

ただし、世界中に何千ものマシンを分散させ、それぞれがいくつかのトラフィックを生成する能力は非常に強力です。さらに一歩進めたい場合は、Torネットワークを介してトラフィックをトンネルし、防御側が停止することをほぼ不可能にします。

それは以前にも行われています：

2012年にサイバー犯罪者のグループがCVE-2014-3120 Elasticsearch 1.1.xの脆弱性を悪用し、続いてLinux DDoS Trojan Maydayを使用し、それによっていくつかのAmazon EC2仮想マシンを侵害しました。この脆弱性はクラウドベースのシステムに固有のものではなく、非クラウドベースのシステムを含む任意のサーバーに対して使用される可能性がありましたが、攻撃者に興味深い機会をもたらしました。侵害されたクラウドインスタンスからUDPベースのDDoS攻撃を開始することができました。クラウドサービスプロバイダー、この場合はAmazonの送信帯域幅を利用しました。出典： Infosec Institute

捕まる-これはより困難です。最近のVMの作成と展開は、匿名のメールIDにサインアップし、マシンを登録して展開するのと同じくらい簡単です。ただし、 プロバイダーは通知 システムからの大量のトラフィックです。あなたは彼らのToSに違反しているので、彼らはほとんど常にあなたを即座にシャットダウンします。ただし、実際の身元を明かすことは決してないので（アノニマイザーを介してサービスにアクセスし、盗まれたクレジットカードを使用していると仮定します（モラルなし;]））、ほとんどの場合、本当の身元を見つけることはできません。ただし、これはお金を使い果たしていることを意味します。そのため、独自のインフラストラクチャをセットアップしてサービスとして提供する方が簡単です。

おもしろいのは、あなたが説明したものが現在利用可能であるということです。それはMiraiと呼ばれ、多かれ少なかれオープンソースであり、可能性は すでに影響を受けています

Miraiは、感染するモノのインターネットデバイスを自動的に検出し、それらをボットネット（中央で制御できるコンピューティングデバイスのグループ）に徴集するマルウェアの一種です。そこから、このIoT軍は分散型サービス拒否（DDoS）攻撃を仕掛けるために使用できます。DDoS攻撃では、ジャンクトラフィックのファイアホースが悪意のあるトラフィックでターゲットのサーバーをフラッディングします。過去数週間の間に、Miraiはドイツの900,000人を超えるDeutsche Telekomの顧客のインターネットサービスを妨害し、英国の約2,400のTalkTalkルーターに感染しました。今週、研究者たちはソニーのカメラの80モデルがみらいの乗っ取りに対して脆弱であるという証拠を発表しました。

これらの攻撃は、Miraiの制御下にある大規模なモデムとウェブカメラの軍隊、および「Anna-senpai」として知られるハッカーが9月にコードをオープンソース化することを選択したという事実の両方によって可能になりました。 Miraiのソフトウェアに特に目新しいものはありませんが、非常に柔軟で順応性があることが証明されています。その結果、ハッカーは新しい脆弱なIoTデバイスを乗っ取り、Miraiボットネットが利用できる人口（および計算能力）を増加させる可能性があるMiraiのさまざまな株を開発できます。

市場には多数のIoTデバイスがあふれています。誰もが「スマート」なテクノロジーを望んでいます。しかし、通常そうであるように、セキュリティは後付けです。だから私たちはそのデバイスを世に出して、インターネット上にあり、だれでも適切に連絡して使用することができます。そして、ほとんどのユーザー（そして確かにISP） おそらく気づかないでしょう

さらに45分早送りします。ルーターがリセットされ、ネットワークが再設定されました。私がいじり回し終えたときまでに、ピークアワーは私のトラフィックを470GBで記録していました。しかし、私は問題を取り除かれました（または私はそう思いました）。翌朝、週末に出発する前に確認しました。総トラフィックは約500GBでした。多分私はハッカーを倒したでしょう。

その夜、ドナから聞いた。彼女は現在3TBを超えるトラフィックを監視していました。そして、疑いがないことを確認するためだけに、デバイスがネットワークから再び削除されました。

何かがおかしいというチップオフ？彼の電話は、自宅にいるにも関わらず、4G割り当てのすべてを使用していました。彼のISPは、3TBの消費帯域幅でまつげを打ったことはありません

結局のところ、技術的に読み書きができない人や、必要になるボットネットデバイスをすべて提供することを気にしない会社を当てにすることができます。

クラウドプロバイダーは通常、顧客のIDを必要とします。進取的な若いハッカーがアマゾンウェブサービスなどをレンタルしたい場合、クレジットカード番号（またはそれ以上）をサービスに提供する必要があります。この番号は所有者までさかのぼることができます。クラウドサービスは、ネットワークがブロックされ、帯域幅にコストがかかるため、DDOSに関与したくありません。

ありますあるビットコインで匿名でVPSを借りることができるサービスですが、一般的には小さく、アップリンクやピアによってブロックされることも望んでいません。

それが一般的ではない理由です。 DDOSは一般に反社会的行動を考慮しており、社会人は人口の4％しか占めていません。

あなたの質問の鍵は最初の「D」にあります。

DDoS攻撃を非常に効果的にするのは、その攻撃の分散された性質です。古いスタイルのDoS攻撃では、被害者は通常、単一または少数のソースから発信された特定のサーバーまたはリソースへの多数の要求または接続を経験します。攻撃を緩和するには、攻撃システムからのトラフィックをブロックするだけです。多くの場合、これはローカルファイアウォールなどで実行できます。

DDoS攻撃では、被害者は多数のさまざまなソースからのリクエストで溢れます。この数は高すぎて個別にブロックできず、攻撃者の量は通常、ファイアウォールやネットワークスイッチなどのすべてのローカルインフラストラクチャに過負荷をかけます。このシナリオでは、通常、ISPと連携してターゲットシステムへのトラフィックを「ブラックホール」に送信する必要があります。これにより、ボリュームが削減され、ローカルインフラストラクチャが回復しますが、通常、特定のシステムのDDoS成功しています（そのシステムへのトラフィックがブラックホールに送信されているため）。重要な点は、攻撃が分散されているため、攻撃システムをブロックすることが非常に難しいことです。

クラウドベースのDDoSサービスに関する質問については、これはある程度、クラウドの定義に依存します。 1つの定義は、独自のインフラストラクチャ上になく、「クラウド」から提供されるサービスです。この意味で、DDoS攻撃はすでにクラウドベースです。彼らは攻撃者自身のインフラストラクチャを使用しませんが、代わりに、攻撃者が侵害したホスト、またはサービスが適切に構成されていないか、DDoS攻撃の一部として使用されるのを防ぐための十分な制御がない攻撃者が特定したホストを使用します。たとえば、IoTを非常に懸念している理由の1つは、これらのIoTデバイスの多くにDDoS攻撃の一部として悪用される可能性のあるサービスが含まれており、未知のリモート使用によるこの悪用を防止するための十分な制御がないことです。

クラウドをIaaS、PaaS、およびSaaSプロバイダーのみと定義すると、状況は少し異なります。DDoS攻撃が依存しているという理由だけで、実際の攻撃を実行するためにこれらのサービスが使用されることはほとんどありません。攻撃者の数が多く、その数のクラウドプロバイダーを使用できることは非常に困難です。クラウドプロバイダーはこの種のインフラストラクチャの使用を歓迎しないため、「ステルス」な方法でそれを行う必要があります。クラウドプロバイダーは、インフラストラクチャの適切な使用と見なされるものをロックダウンするため、ますます難しくなっています（覚えておくべき評判があります。「悪意のある俳優」のホストとして知られるようになれば、ISPや他の人はIPからのトラフィックをブロックするだけです）。

これは、攻撃者がクラウドサービスを使用しないという意味ではありません。よく目にするのは、DDoSサービスプロバイダーがDDoSエージェント/ボットのコマンドおよびコントロールセンターとしてクラウドサービスを使用することです。ほとんどの評判の良いクラウドサービスはそのようなことを検出したユーザーを非アクティブ化するので、彼らはまだこれをステルスな方法で行う必要がありますが、これは検出がはるかに難しく、必要なクラウドプロバイダーはわずかです。彼らが実際に攻撃を実行するために使用するエージェント/ボットは通常、セキュリティが低下し、IoTデバイスが増加しているホームシステムの、侵害されたデスクトップとサーバーです。これらの多くは、企業のセキュリティ対策がない、または熟練した家庭または小規模オフィス環境にもあります。システム管理者など.