Rozproszona terminologia i omówienie odmowy usługi

Aby opisać i zrozumieć ataki DDoS, ważne jest, aby zrozumieć terminologię stosowaną do opisywania ataków i narzędzi. Mimo że branża mniej więcej ustaliła się na niektórych powszechnych warunkach, konsensus pojawił się dopiero po tym, jak wiele ataków DoS / DDoS pojawiło się już w literaturze hakerów i głównego nurtu. Wczesne opisy narzędzi DDoS używały wielu terminów do opisania różnych ról systemów zaangażowanych w atak. Podczas warsztatów narzędzi intruzów systemów rozproszonych CERT / CC, które odbyły się w listopadzie 1999 r., Wprowadzono pewną standardową terminologię i te terminy zostały użyte w poniższych akapitach. Oto kilka synonimów: aby dostosować te terminy do terminów używanych w literaturze hakerów oraz do wczesnych opisów:

Intruz – zwany także napastnikiem lub klientem.

Master – zwany także programem obsługi.

Daemon – zwany także agentem, programem bcast (broadcast) lub zombie.

Ofiara – zwana także celem.

Ataki DoS / DDoS mają w rzeczywistości dwie ofiary: ostateczny cel i systemy pośrednie, które zostały wykorzystane i załadowane oprogramowaniem demona. W tej części skupiono się na ofiarach DoS / DDoS z końca linii. Ataki DDoS zawsze obejmują wiele systemów. Typowy scenariusz ataku DDoS może z grubsza wykonać następujące trzy kroki:

1. Intruz znajduje jeden lub więcej systemów w Internecie, które mogą zostać naruszone i wykorzystane.

Zazwyczaj dokonuje się tego przy użyciu skradzionego konta w systemie z dużą liczbą użytkowników lub nieuważnych administratorów, najlepiej z połączeniem szerokopasmowym z Internetem. (Wiele takich systemów można znaleźć na kampusach uniwersyteckich i uniwersyteckich).

2. Zaatakowany system jest załadowany dowolną liczbą narzędzi do hakowania i łamania, takich jak skanery, narzędzia do eksploracji, detektory systemu operacyjnego, rootkity i programy DoS / DDoS. Ten system staje się masterem DDoS. Oprogramowanie główne pozwala mu znaleźć wiele innych systemów, które same mogą być zagrożone i wykorzystane. Atakujący skanuje szeroki zakres bloków adresów IP w poszukiwaniu systemów z usługami znanymi z luk w zabezpieczeniach. Ta początkowa faza masowej ingerencji wykorzystuje zautomatyzowane narzędzia do zdalnego kompromisu od kilkuset do kilku tysięcy hostów i instaluje agentów DDoS w tych systemach. Automatyczne narzędzia do wykonania tego kompromisu nie są częścią zestawu narzędzi DDoS, lecz są wymieniane w ramach grup hakerów przestępczych. Te zaatakowane systemy są początkowymi ofiarami ataku DDoS. Te później eksploatowane  systemy zostaną załadowane demonami DDoS, które się przeprowadzają faktyczny atak

3. Intruz utrzymuje listę posiadanych systemów (czasami pisanych przez hakerów), zagrożonych systemów z demonem DDoS. Faktyczna faza ataku typu „odmowa usługi” ma miejsce, gdy atakujący uruchamia program w systemie nadrzędnym, który komunikuje się z demonami DDoS w celu uruchomienia ataku. Oto, gdzie zamierzona ofiara DDoS wchodzi do scenariusza

Komunikacja między urządzeniem głównym a demonami może być zaciemniona, przez co trudno jest zlokalizować komputer główny. Chociaż na jednej lub kilku maszynach w sieci DDoS mogą istnieć pewne dowody dotyczące lokalizacji urządzenia nadrzędnego, demony zwykle są zautomatyzowane, więc nie jest konieczne prowadzenie ciągłego dialogu między urządzeniem głównym a resztą sieci DDoS. W rzeczywistości zwykle stosuje się techniki celowego maskowania tożsamości i lokalizacji urządzenia nadrzędnego w sieci DDoS. Techniki te utrudniają analizę trwającego ataku oraz blokowanie ruchu atakującego i śledzenie go z powrotem do źródła. W większości przypadków administratorzy zainfekowanych systemów nie wiedzą, że demony zostały zainstalowane. Nawet jeśli znajdą i wyeliminują oprogramowanie DDoS, nie mogą pomóc nikomu ustalić, gdzie jeszcze oprogramowanie mogło zostać umieszczone. Popularnymi systemami do wykorzystania są serwery WWW, e-mail, nazwa lub inne serwery witryny, ponieważ systemy te mogą mieć dużą liczbę otwartych portów, dużą ilość ruchu i jest mało prawdopodobne, że zostaną szybko odłączone od sieci, nawet jeśli można do nich przypisać atak

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *