Stacheldraht

Stacheldraht (niem. Drut kolczasty) to narzędzie DDoS, które pojawiło się w sierpniu 1999 r. I łączy w sobie cechy Trinoo i TFN. Zawiera również niektóre zaawansowane funkcje, takie jak szyfrowana komunikacja atakujący-mistrz i automatyczne aktualizacje agentów. Stacheldraht wykorzystuje architekturę klient / serwer podobną do Trinoo. Program obsługi nasłuchuje na porcie TCP 16660 dla poleceń klienta (intruza), a agenci nasłuchują na porcie TCP 65000 dla poleceń z programu obsługi. Odpowiedzi agenta na procedurę obsługi wykorzystują komunikaty odpowiedzi echa ICMP. Możliwe ataki są podobne do ataków TFN; mianowicie powódź ICMP, powódź SYN, powódź UDP i ataki smerfowe. Polecenia wymiany Trinoo i TFN w postaci zwykłego tekstu. Trinoo, oparte na protokole TCP, podlega również częstym atakom TCP, takim jak przejęcie sesji. Stacheldraht usuwa te niedociągnięcia, stosując szyfrującego klienta telnet. (Telnet podobnie jest terminem Stacheldraht.) Klient używa kryptografii z tajnym kluczem. Sieć Stacheldraht obejmuje wiele programów. Atakujący używa klienta szyfrującego o nazwie telnetc / client.c do sterowania jednym lub kilkoma programami obsługi. Program obsługi nosi nazwę mserv.c, a każdy moduł obsługi może kontrolować do 1000 agentów. Oprogramowanie agenta, leaf / td.c, koordynuje atak na jedną lub więcej ofiar na polecenie przewodnika.

Tribe Flood Network

Tribe Flood Network (TFN) pojawiła się po Trinoo. TFN działa przede wszystkim na zagrożonych systemach UNIX wykorzystywanych przy użyciu błędów przepełnienia bufora w usłudze zdalnego wywoływania procedur (RPC). Programy klienckie i demoniczne TFN implementują sieć DDoS zdolną do przeprowadzania szeregu ataków, takich jak powódź ICMP, powódź SYN, powódź UDP i ataki typu smurf. TFN wyraźnie różni się od Trinoo tym, że cała komunikacja między klientem (atakującym), programami obsługi i agentami używa pakietów echa ICMP i pakietów odpowiedzi echa. Komunikacja między klientem TFN a demonami odbywa się za pośrednictwem pakietów odpowiedzi echa ICMP. Brak ruchu TCP i UDP czasami utrudnia wykrycie tych pakietów, ponieważ wiele narzędzi do monitorowania protokołu nie jest skonfigurowanych do przechwytywania i wyświetlania ruchu ICMP. Zdalne sterowanie siecią TFN odbywa się poprzez uruchomienie programu w systemie klienta. Program może być również uruchamiany w systemie obsługi przez klienta za pomocą niektórych metod połączenia host-host, takich jak połączenie z wykorzystywanym portem TCP lub za pomocą zdalnej powłoki opartej na UDP lub ICMP. Program musi być dostarczony:

* Lista adresów IP hostów gotowych do przeprowadzenia ataku powodziowego

* Rodzaj ataku, który ma zostać uruchomiony

* Lista adresów IP hostów docelowych

* Numer portu dla ataku SYN

Żadna ochrona hasłem nie jest powiązana z TFN. Każde polecenie do demonów jest wysyłane w polu Identyfikator pakietu ICMP; wartości 345, 890 i 901 rozpoczynają odpowiednio ataki powodziowe SYN, UDP i ICMP. Pole Numer sekwencji w komunikacie odpowiedzi echa jest zawsze ustawione na 0x0000, co sprawia, że ​​wygląda jak odpowiedź na początkowy pakiet echa wysłany przez polecenie ping. Program klienta TFN zazwyczaj nosi nazwę tribe.c, a demonem jest td.c

Opisy rozproszonych narzędzi typu „odmowa usługi”

Ta sekcja zawiera szczegółowe informacje o działaniu niektórych głównych narzędzi DDoS.

Trinoo (Trin00). Trinoo lub Trin00 to pierwsze znane narzędzie DDoS, które pojawiło się latem 1999 r. Typowa instalacja Trinoo jest podobna do scenariusza przedstawionego powyżej, w którym atakujący instaluje oprogramowanie obsługi w systemie, a ten z kolei ładuje oprogramowanie atakujące na agenci. Trinoo to rozproszony atak SYN DoS. Trinoo używa wielu portów TCP i UDP:

* Mistrzowie nasłuchują na porcie 27665 TCP w celu komunikacji między atakującym a głównym.

* Demony nasłuchują na porcie UDP 27444 w celu komunikacji master-to-demon.

* Mistrzowie nasłuchują na porcie UDP 31335 w celu komunikacji demon-master.

Są to domyślne numery portów, a warianty używane inne porty. Osoba atakująca może zdalnie sterować nadrzędnym Trinoo (programem obsługi) za pośrednictwem połączenia z portem TCP 27665. Po nawiązaniu połączenia osoba atakująca podaje oczekiwane hasło betaalmostdone. Program główny Trinoo zazwyczaj nosi nazwę master.c, a demonem jest ns.c. Komunikacja między urządzeniem głównym Trinoo (modułem obsługi) a demonami (agentami) odbywa się za pośrednictwem

UDP. Komunikacja master-to-demon wykorzystuje datagramy UDP na porcie 27444. Wszystkie polecenia zawierają hasło, domyślnie l44adsl. Wszystkie poprawne polecenia zawierają podciąg l44. Komunikacja z demonów Trinoo do urządzenia nadrzędnego korzysta z datagramów UDP na porcie 31335. Po uruchomieniu demona wysyła komunikat do urządzenia nadrzędnego zawierający ciąg ∗ CZEŚĆ ∗. Funkcja utrzymywania przy życiu Trinoo jest realizowana przez wymianę między urządzeniem głównym a demonem: Mistrz wysyła polecenie mping Trinoo, które wysyła ciąg png do demona; demon odpowiada, wysyłając ciąg PONG do mastera. Hasła mają uniemożliwić administratorom systemu przejęcie kontroli nad masterami i demonami tworzącymi sieć Trinoo. Inne domyślne hasła w początkowych atakach to gOrave, aby uruchomić serwer główny Trinoo i killme, aby kontrolować polecenie mdie mistrza, aby zabić procesy Trinoo. Podobnie jak numery portów, osoby atakujące mogą łatwo zmieniać hasła. Oprogramowanie do wykrywania włamań lub rutynowa analiza systemu może wyszukać wiele rzeczy, które mogą wskazywać na obecność Trinoo:

* System nasłuchujący na porcie UDP 27444 może być demonem Trinoo.

* Komunikacja demona Trinoo będzie zawierać ciąg l44.

* Mechanizm zalewania SYN wybiera port docelowy za pomocą funkcji generatora liczb losowych.

* Demon Trinoo wyśle ​​ciąg PONG, jeśli otrzyma polecenie png.

* System nasłuchujący na porcie TCP 27665 może być urządzeniem głównym Trinoo.

* System nasłuchujący na porcie UDP 27444 może być urządzeniem głównym Trinoo.

* Pakiety UDP będą zawierać ciąg l44adsl.

Rozproszona terminologia i omówienie odmowy usługi

Aby opisać i zrozumieć ataki DDoS, ważne jest, aby zrozumieć terminologię stosowaną do opisywania ataków i narzędzi. Mimo że branża mniej więcej ustaliła się na niektórych powszechnych warunkach, konsensus pojawił się dopiero po tym, jak wiele ataków DoS / DDoS pojawiło się już w literaturze hakerów i głównego nurtu. Wczesne opisy narzędzi DDoS używały wielu terminów do opisania różnych ról systemów zaangażowanych w atak. Podczas warsztatów narzędzi intruzów systemów rozproszonych CERT / CC, które odbyły się w listopadzie 1999 r., Wprowadzono pewną standardową terminologię i te terminy zostały użyte w poniższych akapitach. Oto kilka synonimów: aby dostosować te terminy do terminów używanych w literaturze hakerów oraz do wczesnych opisów:

Intruz – zwany także napastnikiem lub klientem.

Master – zwany także programem obsługi.

Daemon – zwany także agentem, programem bcast (broadcast) lub zombie.

Ofiara – zwana także celem.

Ataki DoS / DDoS mają w rzeczywistości dwie ofiary: ostateczny cel i systemy pośrednie, które zostały wykorzystane i załadowane oprogramowaniem demona. W tej części skupiono się na ofiarach DoS / DDoS z końca linii. Ataki DDoS zawsze obejmują wiele systemów. Typowy scenariusz ataku DDoS może z grubsza wykonać następujące trzy kroki:

1. Intruz znajduje jeden lub więcej systemów w Internecie, które mogą zostać naruszone i wykorzystane.

Zazwyczaj dokonuje się tego przy użyciu skradzionego konta w systemie z dużą liczbą użytkowników lub nieuważnych administratorów, najlepiej z połączeniem szerokopasmowym z Internetem. (Wiele takich systemów można znaleźć na kampusach uniwersyteckich i uniwersyteckich).

2. Zaatakowany system jest załadowany dowolną liczbą narzędzi do hakowania i łamania, takich jak skanery, narzędzia do eksploracji, detektory systemu operacyjnego, rootkity i programy DoS / DDoS. Ten system staje się masterem DDoS. Oprogramowanie główne pozwala mu znaleźć wiele innych systemów, które same mogą być zagrożone i wykorzystane. Atakujący skanuje szeroki zakres bloków adresów IP w poszukiwaniu systemów z usługami znanymi z luk w zabezpieczeniach. Ta początkowa faza masowej ingerencji wykorzystuje zautomatyzowane narzędzia do zdalnego kompromisu od kilkuset do kilku tysięcy hostów i instaluje agentów DDoS w tych systemach. Automatyczne narzędzia do wykonania tego kompromisu nie są częścią zestawu narzędzi DDoS, lecz są wymieniane w ramach grup hakerów przestępczych. Te zaatakowane systemy są początkowymi ofiarami ataku DDoS. Te później eksploatowane  systemy zostaną załadowane demonami DDoS, które się przeprowadzają faktyczny atak

3. Intruz utrzymuje listę posiadanych systemów (czasami pisanych przez hakerów), zagrożonych systemów z demonem DDoS. Faktyczna faza ataku typu „odmowa usługi” ma miejsce, gdy atakujący uruchamia program w systemie nadrzędnym, który komunikuje się z demonami DDoS w celu uruchomienia ataku. Oto, gdzie zamierzona ofiara DDoS wchodzi do scenariusza

Komunikacja między urządzeniem głównym a demonami może być zaciemniona, przez co trudno jest zlokalizować komputer główny. Chociaż na jednej lub kilku maszynach w sieci DDoS mogą istnieć pewne dowody dotyczące lokalizacji urządzenia nadrzędnego, demony zwykle są zautomatyzowane, więc nie jest konieczne prowadzenie ciągłego dialogu między urządzeniem głównym a resztą sieci DDoS. W rzeczywistości zwykle stosuje się techniki celowego maskowania tożsamości i lokalizacji urządzenia nadrzędnego w sieci DDoS. Techniki te utrudniają analizę trwającego ataku oraz blokowanie ruchu atakującego i śledzenie go z powrotem do źródła. W większości przypadków administratorzy zainfekowanych systemów nie wiedzą, że demony zostały zainstalowane. Nawet jeśli znajdą i wyeliminują oprogramowanie DDoS, nie mogą pomóc nikomu ustalić, gdzie jeszcze oprogramowanie mogło zostać umieszczone. Popularnymi systemami do wykorzystania są serwery WWW, e-mail, nazwa lub inne serwery witryny, ponieważ systemy te mogą mieć dużą liczbę otwartych portów, dużą ilość ruchu i jest mało prawdopodobne, że zostaną szybko odłączone od sieci, nawet jeśli można do nich przypisać atak

Krótka historia rozproszonej odmowy usługi

Ataki typu „odmowa usługi” pod wieloma postaciami istnieją od dziesięcioleci. Rozproszone ataki DoS są znacznie nowsze. Na przełomie czerwca i lipca 1999 r. Grupy hakerów zainstalowały i przetestowały narzędzie DDoS o nazwie Trinoo w celu przeprowadzania średnich i dużych ataków DDoS. Ich testy obejmowały ponad 2000 skompromitowanych systemów i celów na całym świecie. Większość literatury sugeruje, że pierwszy udokumentowany atak DDoS na dużą skalę miał miejsce w sierpniu 1999 r., Kiedy Trinoo zostało wdrożone w co najmniej 227 systemach (z czego 114 w Internecie) w celu zalania jednego komputera University of Minnesota; ten system był wyłączony przez ponad dwa dni. W dniu 28 grudnia 1999 r. CERT / CC wydało swój Poradnik CA-1999-17 (www.cert.org/advisories/CA-1999-17.html) oceniający DDoS. W dniu 7 lutego 2000 r. Yahoo! był ofiarą DDoS, podczas którego portal internetowy był niedostępny przez trzy godziny. 8 lutego Amazon, Buy.com, CNN i eBay zostały dotknięte atakami DDoS, które spowodowały, że albo całkowicie przestały działać, albo znacznie spowolniły. 9 lutego 2000 r. Zarówno E ∗ Trade, jak i ZDNet zostały poddane atakom DDoS. Analitycy oszacowali, że w ciągu trzech godzin Yahoo! spadł, poniósł stratę w handlu elektronicznym i przychodach z reklam, które wyniosły około 500 000 USD. Według księgarni Amazon.com, jego szeroko nagłośniony atak spowodował stratę 600 000 USD w ciągu 10 godzin, które upłynęły. Podczas ich ataków DDoS, Buy.com zwiększył się ze 100 procent dostępności do 9,4 procent, podczas gdy użytkownicy CNN.com spadli poniżej 5 procent normalnego wolumenu, a Zdnet.com i E ∗ Trade.com były praktycznie nieosiągalne. Schwab.com, miejsce online brokera zniżek Charlesa Schwab, również został trafiony, ale odmówił podania dokładnych liczb strat. Można jedynie założyć, że dla firmy, która co tydzień zarabia 2 miliardy dolarów na handlu online, strata czasu przestoju była ogromna. Innym rodzajem szkód spowodowanych pośrednio przez DDoS był spadek wartości zapasów w ciągu 10 dni po atakach: eBay spadł o 24 procent, Yahoo! spadła o 15 procent, a Buy.com o 44 procent. Ataki te zostały zorganizowane przez 15-letniego Michaela Calce, młodzieńca mieszkającego na zachodnim krańcu wyspy Montreal w Quebecu, którego pseudonim brzmiał Mafiaboy. W końcu przyznał się do winy za 56 przestępstw komputerowych i odbył osiem miesięcy pozbawienia wolności. Tego rodzaju ataki DDoS są kontynuowane od lata 1999 r. Jednym z najbardziej znanych incydentów była seria ataków DDoS ponownie na stronie GRC.com Steve’a Gibsona w maju 2001 r. Osoba atakująca miała 13 lat i korzystała z przekaźnika internetowego Bot (IRC), zautomatyzowane programy wykorzystujące systemy korzystające z klientów IRC, by stać się zombie DDoS. Jednak atak DDoS, który miał największy potencjalnie niszczycielski wpływ, miał miejsce 21 października 2002 r., Kiedy wszystkie serwery DNSSroot najwyższego poziomu zostały poddane ciągłemu atakowi przez tysiące zombie. Dziewięć z 13 serwerów głównych DNS zostało usuniętych z Internetu; pozostałe cztery były w stanie kontynuować działanie podczas ataku. Wszyscy główni dostawcy usług internetowych i wiele dużych sieci prywatnych utrzymują własne systemy DNS, chociaż większość serwerów ostatecznie polega na serwerach głównych, aby znaleźć niebuforowane wpisy DNS. Atak trwał zaledwie godzinę lub dwie; gdyby trwało to znacznie dłużej, prawdopodobnie pozostałe serwery zostałyby przytłoczone, skutecznie blokując translację nazwy / adresu hosta DNS. Trendem niepokojącym i rosnącym jest stosowanie DDoS jako narzędzia wymuszeń. Wielu przestępców używa narzędzi DDoS jako sposobu na grożenie atakiem, zamiast zakłócania sieci organizacji docelowej. Chociaż kilku dostawców usług sieciowych, bezpieczeństwa i konsultingowych twierdzi, że zarówno oni, jak i wielu ich klientów otrzymało takie żądania wymuszenia, niewielu publicznie podaje nazwy celów, z których wielu przystępuje do zagrożeń i szantażuje. Większość ekspertów zgadza się, że wymuszenia wymuszenia nie powinny być spełnione; postępowanie takie tylko zachęca do zachowania przestępczego. W przypadku otrzymania takiego zagrożenia należy natychmiast skontaktować się z dostawcą usług internetowych organizacji i organami ścigania

ROZPOWSZECHNIANE ATAKI DENIAL-OF-SERVICE

Narzędzia DDoS wykorzystują wzmocnienie do zwiększenia siły atakującego. Przekształcając słabo zabezpieczone systemy w wysyłanie skoordynowanych fal oszukańczego ruchu skierowanego do określonych celów, intruzi mogą przytłoczyć przepustowość dowolnej ofiary. W ataku DDoS atakujące pakiety pochodzą z dziesiątek lub setek adresów, a nie tylko z jednego, jak w przypadku standardowego ataku DoS. Jakakolwiek ochrona DoS oparta na monitorowaniu ilości pakietów pochodzących z jednego adresu lub jednej sieci zawiedzie, ponieważ ataki pochodzą z całego świata. Zamiast otrzymywać na przykład 1000 gigantycznych pingów na sekundę z atakującego miejsca, ofiara może otrzymać jeden ping na sekundę z każdego z 1000 atakujących stron. Inną niepokojącą rzeczą dotyczącą ataków DDoS jest to, że moduł obsługi może wybrać lokalizację agentów. Tak więc, na przykład, przewodnik może atakować kilka stron Organizacji Traktatu Północnoatlantyckiego (NATO) jako ofiary i zatrudniać agentów, którzy wszyscy są w krajach, o których wiadomo, że są wrogo nastawieni do NATO. Ludzki napastnik może siedzieć, powiedzmy, w Kanadzie. Podobnie jak ataki DoS, wszystkie ataki DDoS wykorzystują standardowe wiadomości TCP / IP – ale wykorzystują je w niestandardowy sposób. Typowe ataki DDoS obejmują Tribe Flood Network (TFN), Trin00, Stacheldraht i Trinity. W poniższych sekcjach przedstawiono niektóre szczegóły dotyczące tych ataków.

ZAPOBIEGANIE I ODPOWIEDZI NA ATAKI DENIAL-OF-SERVICE

Atakom DoS najlepiej zapobiegać; obsługa ich w czasie rzeczywistym jest bardzo  ważna i trudna. Najważniejszym sposobem ochrony systemu jest hartowanie systemów operacyjnych:

* Zainstaluj je z myślą o bezpieczeństwie.

* Monitoruj witryny, aby mieć świadomość luk w zabezpieczeniach.

* W miarę możliwości utrzymuj najnowsze wersje oprogramowania.

* Zainstaluj wszystkie odpowiednie poprawki bezpieczeństwa.

Jednak duża część zapobiegania polega na filtrowaniu pakietów na routerach sieciowych. Ponieważ osoby atakujące często ukrywają tożsamość maszyn używanych do przeprowadzania ataków poprzez fałszowanie adresu źródłowego połączenia sieciowego, techniki znane jako filtrowanie wyjścia i filtrowanie dostępu są powszechnie stosowane jako środki ochronne. Jak omówiono w dalszej części tego rozdziału, wychodzenie i filtrowanie wejścia są metodami zapobiegania, odpowiednio, opuszczaniu lub wchodzeniu pakietów do sieci z nieprawidłowym adresem źródłowym. Blokowanie adresów, które nie spełniają kryteriów prawidłowych adresów źródłowych i upewnienie się, że wszystkie pakiety opuszczające witrynę organizacji zawierają prawidłowe adresy, może udaremnić wiele ataków DoS. Inne metody filtrowania pakietów, które pomogą zapobiec DoS, to blokowanie wszystkich wiadomości rozgłoszeniowych i większości wiadomości ICMP. Nie ma powodu, dla którego witryna powinna akceptować wiadomości wysyłane do wszystkich hostów w witrynie. Ponadto prawdopodobnie nie ma dobrego powodu, aby zezwolić wszystkim hostom na odpowiadanie na wiadomości ping lub traceroute; w rzeczywistości większość komunikatów ICMP prawdopodobnie może zostać zablokowana. W niektórych przypadkach ofiary ustawiają listy odpowiedzi uruchamiane w celu wysyłania i ponownego wysyłania w dużych ilościach, aby zalać adres atakującego. Robienie tego na ogół nie jest dobrym pomysłem. Jeśli te wiadomości zostaną wysłane na prawidłowy adres, osoba atakująca może je odebrać i zatrzymać. Ale atakujący zazwyczaj fałszują źródłowy adres IP, więc odpowiedź na prawdopodobnie fałszywą sieć IP nie jest dobrą postawą obronną, ponieważ może zaszkodzić niewinnym ofiarom. Najlepsza obrona będzie obejmować ISP. W przypadkach, w których można zidentyfikować dostawcę usług osoby atakującej i skontaktować się z nim, ofiara może poprosić dostawcę usług o interwencję. W takich przypadkach dostawcy usług internetowych zwykle podejmują odpowiednie działania, aby zatrzymać atak i odnaleźć sprawcę. Jednak w przypadkach, gdy DoS wydaje się naśladować lub naśladować inną formę ataku lub gdy trwa on niezwykle długo, ofiara może chcieć podjąć bardziej agresywne działania, kontaktując się z CERT / CC, FBI i innymi organami, które mieć doświadczenie w atakach DoS i pewną jurysdykcję, jeśli sprawcy zostaną złapani. Obrona w czasie rzeczywistym jest trudna, ale możliwa. Wiele routerów i zewnętrznych systemów wykrywania włamań (IDS) może wykryć atak w czasie rzeczywistym, na przykład zbyt wiele żądań połączeń na jednostkę czasu z danego hosta IP lub adresu sieciowego. Router może blokować żądania połączenia lub IDS może wysłać komunikat pagera do administratora bezpieczeństwa. Jednak ataki takie jak smerfy mogą pochłonąć całą przepustowość, nawet zanim pakiety dotrą do miejsca docelowego. Aby w pełni zwalczać ataki DoS, wymagana jest współpraca dostawców usług internetowych i witryn użytkowników końcowych. Zostanie to omówione w dalszej części dyskusji na temat odpowiedzi na DDoS.

Inne ataki typu „odmowa usługi”

Nawet ta lista konkretnych ataków DoS nie jest wyczerpująca. Na przykład Bonk i boink (aka bonk.c) to ataki DoS, które powodują awarię docelowego systemu Windows 9x / NT. Arnudp (arnudp100.c) wykuwa pakiety UDP w celu implementacji DoS w stosunku do UUDPports 7 (echo), 13 (w dzień), 19 (chargeen) i 37 (czas), usługi często uruchamiane w systemach UNIX i Windows NT. A cbcb.c to cancelbot, który niszczy istniejące posty grup dyskusyjnych Usenet, które spełniają określone kryteria. (Niektórzy twierdzą, że cbcb.c tak naprawdę nie przeprowadza ataku DoS; jednak po aktywacji program odmawia dostępu do postów dla docelowych użytkowników Usenetu). Przykładem ataku sieciowego na zasób niesieciowy byłoby miliard śmiechu (bomba XML), atak DoS wymierzony w parsery języka Extensible Markup Language (XML). W XML jednostka jest fragmentem kodu, który pozwala programiście zdefiniować coś, co można łatwo zmodyfikować lub ponownie wykorzystać w innych dokumentach, podobnie jak obiekt programowy. W miliardach śmiechu atakujący tworzy dokument XML zawierający 10 encji, z których każda definiowana jest jako 10 instancji poprzedniej encji (1010 ≈ 1 miliarda, stąd nazwa). Miliardowe śmiechy zostały wprowadzone po raz pierwszy już w 2003 roku, ale pozostały problemem do końca pierwszej dekady 2000 roku. Podsumowując, ataki DoS nie ograniczają się do sieci. Na przykład atak czarnym faksem to prosty, ale skuteczny atak polegający na wyczerpaniu zasobów; atakujący jedynie przesyła fakcie stronę zawierającą dużą czarną skrzynkę ofierze, co powoduje, że faks ofiary zużywa dużą ilość czarnego tonera. Wysłanie dużej liczby tych faksów ostatecznie zużyje toner na faksie ofiary i / lub uniemożliwi dostarczenie legalnych faksów. Pewien ekspert ds. Bezpieczeństwa skleił ze sobą końce długiego paska papieru, aby stworzyć nieskończoną pętlę w faksie, aby zaatakować spamera faksu, który odmówił przestania wysyłać mu niechciane oferty podróży. Kolejny atak na faksy wykorzystuje zautomatyzowane skrypty do wybierania numeru i wybierania numeru przez komputer docelowy za pomocą tysięcy kopii (zwykle obraźliwych) faksów; zdenerwowani kujony znani są z tego, że wykorzystują ten atak na spamerów faksu, na tyle nierozsądnie, by używać prawdziwych numerów telefonicznych do własnych faksów

Ataki na router

Ataki na router zostały opracowane dla wielu różnych routerów. Ponieważ routery są szkieletem Internetu i bramą, przez którą organizacje łączą się z Internetem, zabicie routera odmawia usługi sieciowej dla setek komputerów. Wydajność i konsekwencje finansowe ataku sprzętowego mogą być bardzo poważne. Popularnymi celami tego rodzaju ataków są routery Ascend, aCisco, Juniper, Lucent i 3Com. Niestety wielu menedżerów sieci ułatwia ataki, wykorzystując Telnet lub HTTP do zdalnego dostępu i niewłaściwie zabezpieczając sieć przed zdalnym dostępem przez kogokolwiek przez Internet.

Ataki Java, PHP i ASP

Istnieje wiele ataków ukierunkowanych na luki w zabezpieczeniach programu na stronach internetowych korzystających z Java, PHP (PHP: Hypertext Preprocessor), Active Server Pages (ASP) i innych języków skryptowych po stronie serwera. Jednym z przykładów jest atak DOS z 2011 r., Który spowodował wyczerpanie zasobów procesora. W tym konkretnym ataku osoba atakująca wysyła zmienne na serwer sieciowy przy użyciu metody POST protokołu HTTP. Wysyłając dziesiątki lub setki tysięcy specjalnie wybranych nazw zmiennych, można wymusić kolizje w nazwach tabel skrótów, ostatecznie zużywając wszystkie cykle procesora na obsługę pojedynczego żądania HTTP POST.