¿Cómo funcionan los DoS / DDoS?

Anonymous intenta convencer a las personas para que apoyen sus acciones DDoS instalando una herramienta en su computadora . Tiene un modo botnet que permite a los líderes definir el objetivo para todos los ahogamientos. En otras palabras: Anonymous usa ingeniería social en lugar de vulnerabilidades técnicas para distribuir su cliente de botnet.

Esta herramienta solo genera una gran cantidad de solicitudes directas, por lo que las direcciones IP se mostrarán en los archivos de registro del objetivo. Según los informes de los medios de comunicación, ha habido un número considerable de arrestos de personas que participan en los ataques en un par de países de Europa: e. sol. Inglaterra , Spain , France , Netherlands , Turkey . Esto es digno de mención porque los arrestos normalmente reciben muy poca atención de los medios en Europa en comparación con los EE. UU.

En general, existen aproximadamente dos tipos de vulnerabilidades de DOS:

• La conexión de red o el firewall pueden ser demasiado pequeños para manejar la cantidad de paquetes
• La aplicación puede requerir demasiados recursos para manejar solicitudes específicas.

Inundación simple

El primer tipo se explota mediante el envío de demasiados datos, por ejemplo, mediante una red de bots. A veces, la suplantación de IP se utiliza para enviar pequeñas solicitudes a un gran número de terceros inocentes que enviarán una respuesta más amplia. Un ejemplo comúnmente utilizado de son consultas de DNS .

DoS vulnerabilidades

El segundo tipo es más sofisticado. Explota debilidades específicas.

En la capa de red , por ejemplo, el atacante puede enviar una gran cantidad de "solicitudes para establecer una conexión" (TCP SYN Flood), pero nunca completar el protocolo de enlace. Esto hace que el destino asigne una gran cantidad de memoria para almacenar esas conexiones en preparación. El uso de cookies SYN es una contramedida.

En la capa de aplicación , usualmente hay algunas operaciones que requieren muchos más recursos que el promedio. Por ejemplo, los servidores web están optimizados para servir contenido estático y pueden hacerlo muy rápido para muchas personas. Pero un sitio web puede tener una función de búsqueda que es bastante lenta en comparación con las páginas estáticas. Esto está perfectamente bien si solo unas pocas personas usan la función de búsqueda de vez en cuando. Pero un atacante puede atacarlo especialmente.

Otra operación que suele ser bastante lenta son los inicios de sesión porque requieren una serie de operaciones de base de datos: contar el número de inicios de sesión fallidos recientemente desde la misma dirección IP, contar el número de inicios de sesión fallidos recientemente para el nombre de usuario, validar el nombre de usuario y la contraseña , comprobando el estado de prohibición de cuenta.

Como contramedida, la aplicación puede admitir un modo de carga pesada, que deshabilita las operaciones intensivas de recursos. Un ejemplo famoso de esto fue la Wikipedia en los primeros días, aunque la alta carga fue causada por usuarios normales debido a su repentina popularidad.

PD: Ten en cuenta que tus ejemplos , Sony y HBGary, sufrieron el mayor daño debido a los ataques dirigidos , no a las inundaciones. No está claro si esos ataques fueron cometidos por el grupo anónimo principal.

  

Quiero entender cómo Anonymous o LulzSec o cualquier otra persona lo hacen y tener una idea de su poder.

Creo que su verdadero poder se basa en el miedo.

En el estado alemán, Niedersachsen, el acceso anónimo a sitios web gubernamentales está bloqueado ahora. De acuerdo con la ley, será posible utilizar los servicios en línea de forma anónima. Pero la ley sigue diciendo "en la medida en que sea posible y factible desde el punto de vista técnico". El gobierno afirma que su deseo de protegerse es más importante, señalando que no hay derecho para que los ciudadanos exijan acceso a los servicios de Internet del estado. (Fuente: Heise , alemán)

Algunos detalles técnicos más sobre DDoS de inundación de red .

Como se mencionó en las otras respuestas, generalmente se usa una "red de bots" para enviar el ataque DDoS. Echemos un vistazo a esto:

Varios sistemas de usuarios finales se infectan y (en paralelo a su funcionamiento normal) se convierten en parte de la "red de bots". Están controlados por "agentes bot" que a su vez son controlados por los maestros de bot. Puede obtener una cantidad de niveles de control, pero todo ello conduce a cualquier tipo de sistema que pueda transmitir órdenes a los "soldados bot". Los métodos populares incluyen IRC, Twitter o sitios web públicos. Tanto los maestros de bots como las personas que controlan el bot se conectan al centro de comando acordado (por ejemplo, un canal IRC "secreto"). Los atacantes emiten comandos, por ejemplo. objetivo, tipos de paquetes, volumen de tráfico, etc. y comienza el ataque. Cada sistema final produce un flujo de paquetes que, cuando se resumen, paralizan a la víctima. Lo peor es que la propia víctima no puede controlar este flujo. El tráfico entrante es controlado por otros (los proveedores ascendentes) que deben ayudar en este momento.

En muchos casos, no es obvio cuáles son las verdaderas computadoras atacantes. Los paquetes de ataque pueden haber sido "falsificados" (es decir, especialmente construidos para mostrar una IP de origen diferente a su real). Pueden hacerlo porque se requiere un ataque de una sola vía y no se requiere respuesta. Establecimiento de la conexión.

Otro método que puede ocultar la fuente es el ataque de "reflexión". En este caso, el atacante envía una solicitud legítima (como una consulta de DNS, un paquete BGP, incluso una solicitud web) a un servidor disponible públicamente. PERO , la dirección de retorno de la solicitud es la de la víctima. Los servidores públicos devuelven sus respuestas legítimas a la víctima que, sin embargo, no las había pedido en primer lugar.

Los tipos de paquetes y sus tasas pueden variar según lo que desee el atacante. Esta variación puede complicar aún más el filtrado del tráfico de ataque en los proveedores ascendentes y requiere ajustes de configuración constantes.

Dado que el ataque tiene una naturaleza tan distribuida, no se puede hacer mucho en la fuente. Sin embargo, algunos ISP emplean medidas preventivas como (a) sistemas de desconexión / regulación que producen volúmenes de tráfico inusualmente altos (b) que detienen paquetes con direcciones de origen incorrectas.

En el caso de Anonymous, todo el proceso se lleva a cabo de manera voluntaria: existe una herramienta pública llamada "Low Orbit Ion Cannon" (una referencia de ciencia ficción) que se usa para probar sitios públicos con altos volúmenes de tráfico. En su última versión, permite el control remoto del generador de tráfico local. Las personas que se comprometen a ayudar a la instalación anónima y "entregan las claves" al grupo para que las utilicen según se decida. Si comprendo correctamente, LOIC no emplea la suplantación de direcciones, de ahí las identificaciones y arrestos del atacante.

La forma más sencilla es usar una red de bots (puede consultar la definición de Wikipedia aquí )

Esta es una red de máquinas que puede controlar para enviar todos los paquetes al destino a la vez. ¡Utilizar 100,000 máquinas a la vez puede generar mucho tráfico, y algunas redes de bots son mucho más grandes que eso!

Un atacante tiene un efecto aún mayor si el tipo de ataque que usan requiere un recurso mucho mayor en el objetivo que en la fuente.

Y para responder a sus detalles:

• Las buenas redes de bots no son obvias para la mayoría de los usuarios finales: la población general de Internet no es muy inteligente en materia de seguridad / tecnología, por lo que no es difícil comprometer las PC.

• Los tipos de ataque varían dependiendo del objetivo. Las inundaciones de ping no son tan probables como otras, como las inundaciones SYN.