¿La elección del protocolo afecta la eficiencia de un ataque de DOS?

2

Me estaba preguntando, para hacer un ataque de DOS necesitas enviar algo al objetivo que estás utilizando. Y para enviar algo necesitas usar algún protocolo. Mi pregunta es, ¿todos los protocolos son de la misma velocidad? ¿Y cuáles son los protocolos que suelen usar los programas DOS? Supongo que el UDP porque vi en línea era un problema, pero no estoy seguro.

Pregunta extra: si un objetivo está usando un socket TCP para escuchar una conexión, y hago una conexión usando UDP, ¿qué pasará? ¿Podré conectarme o no?

    
pregunta jeyejow 07.04.2017 - 10:09
fuente

2 respuestas

4

En principio, un ataque DDOS puede enviar solicitudes completamente legítimas y, por lo tanto, sobrecargar el servidor. Por ejemplo, solo use una botnet para visitar el blog de algunas personas y el servidor potencialmente colapsará bajo la carga. No hay una forma real de protegerse contra esto porque cada solicitud parece una solicitud real.

Sin embargo, el caso a menudo más interesante es violar intencionalmente el protocolo en algún nivel para aumentar la eficacia de un ataque. Por ejemplo, abrir muchas conexiones TCP a un servidor, pero nunca enviar nada es muy barato para un cliente, pero el servidor puede quedarse sin conexiones (en el sentido que sea) porque está esperando el tiempo de espera. Este tipo de problemas a menudo se pueden mitigar utilizando las medidas de seguridad adecuadas en el código y la configuración.

Entonces, para responder a su pregunta: (D) Los ataques de DOS pueden llevarse a cabo con cualquier protocolo aplicable y, a menudo, se vuelven más poderosos al violar intencionalmente partes del protocolo.

    
respondido por el Elias 07.04.2017 - 11:03
fuente
3

Se ha aceptado una respuesta aquí, y hace algunos puntos válidos, pero no mencionó los ataques de amplificación reflejados; con tcp solo se intercambian pequeñas cantidades de datos (y se deben intercambiar entre el atacante y la víctima) antes de poder procesar, la memoria y los recursos de io pueden consumirse. Un ataque de tipo slowloris como lo describe Elias explota un número limitado de recursos de conexión. Sin embargo, hay una serie de diferencias con udp.

Primero, la solicitud del cliente para hacer algo puede estar en el primer paquete enviado por el cliente.

Una consecuencia de esto es que el atacante puede falsificar la dirección 'desde' en el paquete, lo que dificulta la detección de un ataque, no importa el bloqueo.

Hay algunos protocolos udp en los que una sola solicitud pequeña puede generar una respuesta mucho mayor, tal comportamiento estaba presente en los protocolos DNS y NTP. Esto se explota en un ataque de amplificación: el atacante envía una solicitud a un servidor de un tercero vulnerable con la dirección 'desde' de la víctima. El tercero envía varios paquetes a la víctima. La escala de esto a múltiples terceros significa que un atacante solo necesita usar un poco de ancho de banda para llenar una conexión de red grande en la víctima.

No sé dónde leíste que udp fue "más rápido". Sus características de rendimiento son muy diferentes de tcp (que es parte de la razón por la que existen como protocolos diferentes), pero la velocidad de una conexión IP no es simplemente una cuestión del ancho de banda en los saltos de red entre el cliente y el servidor. Si intenta enviar grandes volúmenes de paquetes udp a través de Internet, es probable que termine de DOSIFICAR su enrutador de enlace ascendente.

    
respondido por el symcbean 08.04.2017 - 01:14
fuente

Lea otras preguntas en las etiquetas