DoS / DDoSはどのように機能しますか?
最後の数日間は、SonyやHBGaryなどのさまざまなプラットフォームに対する匿名およびLulzSecからの攻撃について頻繁に読むことができました。昨日、たとえば、彼らはDDoSを実行しましたsoca.gov.ukおよびjhw.gov .cn。私の質問は次のとおりです。これはどのように機能しましたか?
PSNは大規模なネットワークであり、多くのトラフィックが共通しているため、攻撃にはどの程度の能力が必要かと思います。彼らは自分のマシンとサーバーを使用するだけですか?パケットがどこから来たのか、なぜだれかわからないのですか?または、最初に多くのパブリックマシン(PCにマルウェアが存在するこれらの組織に関与していない人々)を征服し、これらのマシンに仕事を任せましたか?
そして、攻撃自体はどうですか? pingフラッドのように常に同じですか、それともターゲット自体に依存して、ターゲットマシンで非常に高価な反応を探していますか?
誰もがDoS/DDoSに関与したことがない人にこれらのテクニックを説明できますか?
前もって感謝します!
免責事項: DoS/DDoSはしたくありませんが、AnonymousやLulzSecなどのユーザーがどのようにしてDoS/DDoSを行っているのかを理解し、その力を理解したいと考えています。
Anonymousは、コンピュータにツールをインストールしてDDoSアクションをサポートするように人々に話しかけようとします。これには botnet -modeがあり、リーダーはすべての溺死のターゲットを定義できます。つまり、匿名は、技術的な脆弱性ではなくソーシャルエンジニアリングを使用して、ボットネットクライアントを配布します。
このツールは多くの直接リクエストを生成するだけなので、IPアドレスはターゲットのログファイルに表示されます。メディアの報道によると、ヨーロッパのいくつかの国で攻撃に参加した人々のかなりの数の逮捕がありました:e。 g。 イングランド 、 スペイン 、 フランス 、 オランダ 、 トルコ 。これは注目に値することです。ヨーロッパではアメリカと比較して逮捕は通常ほとんどメディアの注目を集めないからです。
一般に、DOSの脆弱性にはおおよそ2つのタイプがあります。
- ネットワーク接続またはファイアウォールが小さすぎてパケット数を処理できない可能性があります
- アプリケーションは、特定の要求を処理するために必要なリソースが多すぎる場合があります。
単純な洪水
最初のタイプは、ボットネットなどを使用して大量のデータを送信することにより悪用されます。時には、IPスプーフィングを使用して、小さなリクエストを多数の無害なサードパーティに送信します。一般的に使用される 例はDNSクエリです 。
DoSの脆弱性
2番目のタイプはより洗練されています。特定の弱点を悪用します。
たとえば、ネットワーク層では、攻撃者は膨大な数の「接続を確立するためのリクエスト」(TCP SYNフラッド)を送信する可能性がありますが、ハンドシェイクは完了しません。これにより、ターゲットはそれらの接続を準備するために多くのメモリを割り当てます。 SYN cookie を使用するのが対策です。
アプリケーション層では、通常、平均よりはるかに多くのリソースを必要とする操作がいくつかあります。たとえば、Webサーバーは静的コンテンツを提供するように最適化されており、多くの人にとってこれを非常に高速に実行できます。しかし、ウェブサイトは静的なページと比較してかなり遅い検索機能を持っているかもしれません。たまに数人だけが検索機能を使用する場合、これは完全に問題ありません。しかし、攻撃者は特にそれを標的にすることができます。
通常はかなり遅いもう1つの操作は、ログインです。これには、多数のデータベース操作が必要になるためです。同じIPアドレスからの最近失敗したログインの数のカウント、ユーザー名の最近失敗したログインの数のカウント、ユーザー名とパスワードの検証、アカウントの確認禁止ステータス。
対策として、アプリケーションはリソースを集中的に使用する操作を無効にする高負荷モードをサポートする場合があります。これの有名な例は、初期のウィキペディアでしたが、高負荷は突然の人気のために通常のユーザーによって引き起こされました。
PS:あなたの例の両方、SonyとHBGaryは、標的型攻撃、洪水ではありません。これらの攻撃がコアの匿名グループによって行われたかどうかは不明です。
AnonymousやLulzSec、あるいは他の誰かがそれをどのようにして行うのかを理解し、彼らの力についてのアイデアを得たいと思っています。
彼らの本当の力は恐怖に基づいていると思います。
ドイツの州では現在、ニーダーザクセン州政府のウェブサイトへの匿名アクセスがブロックされています。法律によると、オンラインサービスを匿名で使用することが可能です。しかし、法律は「技術的に可能で実現可能な限り」と述べ続けています。政府は彼ら自身を保護したいという彼らの願望がより重要であると主張し、市民が国家のインターネットサービスへのアクセスを要求する権利がないことを指摘しています。 (出典: Heise 、ドイツ語)
ネットワークフラッディングDDoSに関する技術的な詳細。
他の回答で述べたように、DDoS攻撃を仕掛けるには通常「ボットネット」が使用されます。これを見てみましょう:
多くのエンドユーザーシステムが感染し、(通常の機能と並行して)「ボットネット」の一部になります。それらは、「ボットマスター」によって制御される「ボットエージェント」によって制御されます。いくつかのレベルの制御を取得できますが、それはすべて、「ボットの兵士」にコマンドを中継できるあらゆる種類のシステムにつながります。一般的な方法には、IRC、Twitter、パブリックWebサイトなどがあります。ボットマスターとボットを制御する人物の両方が、合意されたコマンドセンター(たとえば、「秘密」IRCチャネル)に接続します。攻撃者は、ターゲット、パケットタイプなどのコマンドを発行します。トラフィックの量などと攻撃が開始されます。各エンドシステムは、合計すると被害者を妨害するパケットのフローを生成します。さらに悪いのは、被害者自身がこのフローを制御できないことです。受信トラフィックは、他者(上流プロバイダー)によって制御されますこの瞬間に助けなければなりません。
多くの場合、どのコンピュータが実際に攻撃を行っているかは明らかではありません。攻撃パケットは「なりすまし」されている可能性があります(つまり、実際のIPとは異なるソースIPを示すように特別に構築されています)。これは一方向の攻撃であり、回答(接続の確立)が必要ないため、彼らはそれを行うことができます。
ソースを隠すことができる別の方法は、「リフレクション」攻撃です。この場合、攻撃者は正当な要求(DNSクエリ、BGPパケット、さらにはWeb要求など)を公的に利用可能なサーバーに送信します。 [〜#〜] but [〜#〜]の場合、リクエストの戻りアドレスは被害者のアドレスです。公開サーバーは正当な答えを被害者に返しますが、被害者はそもそも求めていませんでした。
パケットのタイプとそのレートは、攻撃者が何を望んでいるかによって異なります。このバリエーションは、アップストリームプロバイダーでの攻撃トラフィックのフィルタリングをさらに複雑にする可能性があり、一定の構成調整が必要です。
攻撃はそのような分散された性質を持っているので、ソースではあまり実行できません。それでも一部のISPは、(a)異常に大量のトラフィックを生成するシステムの切断/スロットリング(b)間違った送信元アドレスでパケットを停止するなどの予防策を採用しています。
Anonymousの場合、プロセス全体が自発的に行われます。大量のトラフィックの下で公共サイトをテストするために使用される「低軌道イオンキャノン」(SFリファレンス)と呼ばれる公共ツールがあります。最新のリリースでは、ローカルトラフィックジェネレーターのリモートコントロールが可能です。匿名でのインストールを支援し、決められたとおりに使用するグループに「キーを与える」ことを誓う人々。私が正しく理解していれば、LOICはアドレススプーフィングを採用していないため、攻撃者の識別と逮捕が行われます。
最も簡単な方法は、ボットネットを使用することです(Wikipediaの定義はこちらを確認してください)。
これは、すべてのパケットを一度にターゲットに送信するように制御できるマシンのネットワークです。一度に100,000台のマシンを使用すると、大量のトラフィックが生成される可能性があり、一部のボットネットはそれよりもはるかに大きくなります。
攻撃者が使用する攻撃のタイプがソースよりもターゲット上ではるかに大きなリソースを必要とする場合、攻撃者はさらに大きな影響を及ぼします。
そしてあなたの詳細に答えるために:
優れたボットネットは、ほとんどのエンドユーザーには明らかではありません。インターネットの一般的な人々は、セキュリティや技術にあまり精通していないため、PCのセキュリティを侵害することは難しくありません。
攻撃の種類はターゲットによって異なります。 Pingフラッドは、SYNフラッドなど、他の一部のフラッディングほど可能性が低くなります。