Intentando determinar si alguien fue "DoS'd"

4

Soy parte de una comunidad de videojuegos bastante pequeña y uno de nuestros miembros afirma que fue DoSed o DDoSed durante un partido reciente. Actualmente estamos divididos, ya que algunas personas creen que lo fue y otras creen que no lo fue.

Aquí están los registros del enrutador de la noche:

Algunosdelosargumentospara:LeestabanenviandopaquetesdeIPsfalsificados.Tambiénseleenviabanpaquetesalpuerto4444,queaparentementeseusaconfinesmaliciosos.

Además,unadelaspersonasquerevisólainformacióndijoqueparaestarenesteregistroteníaqueserunaconexión"Activa" y que no era solo 4-5 paquetes fragmentados sino 4-5 conexiones. ?

También realizó una exploración de Malwarebytes para ver si estaba infectado con algo. El escaneo estaba limpio.

La gente también sospecha del tiempo y la duración del ataque. Ocurrió cuando su equipo estaba en el juego Up 1, y duró hasta que la serie terminó y su equipo perdió (jugar el partido final contra un miembro sin él)

Argumentos en contra: Bajo número de paquetes, y los "bots" aleatorios pueden haberlo atacado. No estoy realmente seguro sobre el segundo.

Solo tengo curiosidad por saber qué opinión es más profesional para que podamos tratar de resolver la situación ... cualquier ayuda agradecida.

    
pregunta Joe 24.03.2017 - 19:47
fuente

1 respuesta

2

Según la información que ha proporcionado, diría que el jugador no fue víctima de un ataque de denegación de servicio distribuido. La cantidad de paquetes capturados en su registro es demasiado pequeña, sin embargo, esto no significa que el jugador no pudo haber sido DDoSed sin los paquetes en su registro. Por otro lado, parece que los paquetes que se registran indican que están fragmentados. Esta es una táctica DDoS común, ya que la máquina seleccionada intentará volver a ensamblar los miles de paquetes fragmentados, por lo tanto, atar los recursos del sistema causando un retraso o una caída del sistema. Además, puedo ver en sus registros que se realizó un análisis de puertos, pero probablemente no en la misma máquina. Un escaneo de puertos es beneficioso para los atacantes porque les dirá qué puertos están abiertos en su computadora. Enviar paquetes a un puerto cerrado no los llevará muy lejos. Además, un ataque de denegación de servicio distribuido es exactamente lo que son los estados, la denegación de un servicio, específicamente la conexión a Internet. Un ataque DDoS a veces se puede usar para hacer que un sistema se reinicie o cause una distracción, pero no infecta directamente una computadora con un virus.

Para reiterar, la información que ha proporcionado no me da mucha información para darle una respuesta sólida. Sin embargo, aquí hay algunas herramientas y recursos que pueden resultar beneficiosos.

  • Pérdida de la conexión a Internet: esta es una buena señal de que podría ser víctima de una DDoS si tuvo éxito. Si el atacante no tenía suficiente poder, su sistema podría retrasarse.
  • Su proveedor de servicios de Internet (ISP): los ISP odian los ataques DDoS tanto como usted porque la oleada de tráfico también atraviesa sus redes. Como mínimo, puede llamar a su ISP para ver si notaron una anomalía en su tráfico habitual de Internet.
  • Capturas de paquetes: hay herramientas gratuitas disponibles, como wireshark que capturarán todo el tráfico que entra y sale de su máquina. Si nota una gran afluencia de tráfico, ese es un buen indicador. Sin embargo, esta herramienta debe estar ejecutándose cuando sospechas juego sucio, por supuesto. No sirve de nada después del hecho.
  • Utilidad Netstat: otra forma fácil de determinar si se ha producido un ataque DDoS es a través de la utilidad Netstat incorporada en Windows (suponiendo que es su SO) que se explica here . Este sitio le mostrará cómo ejecutar un comando netstat para mostrar las conexiones realizadas a su máquina y cómo analizarlas para ver las huellas de un ataque DDoS.

Dados los recursos enumerados, diría que lo mejor que puede hacer ahora es ponerse en contacto con su ISP. Si puede actualizar su pregunta con más datos, puedo revisar mi respuesta en consecuencia.

    
respondido por el SuperAdmin 24.03.2017 - 20:54
fuente

Lea otras preguntas en las etiquetas