¿No debería netstat mostrar conexiones de muchas direcciones IP diferentes durante un DDoS, a diferencia de este ejemplo?

4

Acabo de leer este artículo de loggly ( enlace ), y me hizo preguntarme.

El autor afirma que bajo un ataque DDoS, la salida de netstat en el servidor atacado mostraría algo como esto:

TCP 192.168.2.104:00 216.35.50.65:60973 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60974 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60975 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60976 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60977 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60978 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60979 TIME_WAIT
.
.
.

¿Puede alguien explicarme por qué sucedería esto? Dado que es un ataque DDoS, ¿no debería tener conexiones desde varias IP diferentes desde botnet?

    
pregunta cryptow 14.03.2018 - 14:37
fuente

2 respuestas

1

Lea justo debajo de la imagen que está citando.

  

Simulamos un ejemplo en un archivo de texto ya que no podemos obtener muestras   salida de Netstat.

     

La conclusión de esta captura de pantalla es que la misma IP se está conectando a   Puertos contiguos y la conexión se está agotando. Mostramos solo un   Un puñado, pero un ataque DDoS real debería mostrar cientos de conexiones.   (a veces miles).

    
respondido por el Nick W. 14.03.2018 - 15:24
fuente
1

Gran pregunta. La respuesta es, tal vez.

Hay varias razones por las que un host interno puede ver 1 IP en lugar de muchos, uno de los cuales son los equilibradores de carga. Los balanceadores de carga han sido un problema para el monitoreo interno durante bastante tiempo. Actúan como un proxy completo (normalmente) y, básicamente, es imposible saber desde dónde comenzó la conexión porque todo lo que ve es la IP de LB.

Para responder a una pregunta separada aquí, UDP sería más común también para conexiones en DDOS. TCP no se "refleja" en el sentido de que si desea pretender ser un servidor diferente e intenta conectarse a TCP, la tercera parte del protocolo de enlace no irá a usted, irá a la IP falsificada y se eliminará. rompiendo la conexión.

    
respondido por el bashCypher 11.09.2018 - 18:56
fuente

Lea otras preguntas en las etiquetas