¿Es necesario el puerto en la inundación UDP? HTTP se desborda porque? Métodos de inundación UDP, SYN e ICMP

1

Tengo preguntas sobre los ataques DDoS.

  1. En los scripts de inundación, el script envía paquetes UDP a "ip.address: random.port"

    ¿Por qué no usa solo la IP? ¿Es necesario el puerto?

  2. Si alguien está inundando un sitio web con HTTP y bájalo.

    ¿Es debido a que la aplicación del servidor HTTP está demasiado ocupada para responder a los otros paquetes? Si no, ¿cuál es la razón?

  3. Algunas personas me dijeron que si me enfocaría en un enrutador doméstico, sería mejor si seleccionara la inundación UDP en lugar de la inundación SYN o ICMP como método.

    ¿Es cierto? Si es verdad ¿por qué?

pregunta imafunnypanda 29.08.2016 - 18:26
fuente

2 respuestas

4
  

1- En los scripts de inundación, el script envía paquetes UDP a   "ip.address: random.port"

     

¿Por qué no usa solo la IP? ¿Es necesario el puerto?

UDP es un protocolo multiplexado: permite múltiples conexiones entre dos hosts.

Por lo tanto, una conexión UDP está definida por la tupla (src address, src port, dst address, dst port) .

  

2- Si alguien está inundando un sitio web con HTTP y bájalo. Lo es   Debido a que la aplicación del servidor HTTP está demasiado ocupada para responder la otra   paquetes? Si no, ¿cuál es la razón?

Podría ser que el servidor web o la aplicación esté utilizando demasiados recursos, por ejemplo, si se le pidió que realizara una operación costosa.

Es posible que se haya excedido el ancho de banda disponible del objetivo y que se estén eliminando paquetes.

Menos comúnmente, podría ser que algún dispositivo entre el objetivo y el resto del mundo haya sido derribado por el ataque.

  

3- Algunas personas me dijeron que cuando me dirija a un enrutador doméstico sería mejor   si elijo UDP flood en lugar de SYN o ICMP flood como método. Lo es   cierto ? Si es verdad, ¿por qué?

Tendrás que preguntarle a la persona que te dijo esto. Si tuviera que adivinar, diría que es porque UDP está menos limitado por la congestión.

    
respondido por el GnP 29.08.2016 - 18:58
fuente
0

En los scripts de inundación, el script envía paquetes UDP a "ip.address: random.port" ¿Por qué no usa solo la IP? ¿Es necesario el puerto?

Los puertos de origen y destino forman parte de la estructura de paquetes UDP , no puede enviar un paquete UDP sin definir una fuente y un puerto de destino. Tenga en cuenta que los puertos realmente pueden ser cualquier cosa, ya sea que haya algo que escuche en el puerto del otro lado es otra historia. Una vez más, la capa de IP se procesará antes de decidir qué hacer con los datos del puerto, por lo que está utilizando los recursos en el sistema de destino.

Si alguien está inundando un sitio web con HTTP y bájelo. ¿Es debido a que la aplicación del servidor HTTP está demasiado ocupada para responder a los otros paquetes? Si no, ¿cuál es la razón?

Bastante mucho. Si está inundando el servidor web con HTTP, entonces está contando con el hecho de que lleva un tiempo procesar la solicitud HTTP. Y cuando el servidor dedica casi el 100% de su tiempo a procesar sus solicitudes, no tendrá capacidad de procesamiento para atender otras solicitudes.

Tenga en cuenta que esto no es cierto para la mayoría de los sitios web. Los servidores web de hoy tienen varios mecanismos para evitar solicitudes extrañas de una única IP, o incluso solicitudes muy similares de diferentes IP (primera D en DDoS). Además, es casi seguro que haya almacenamiento en caché en un proxy inverso, lo que reducirá mucho el tiempo de procesamiento. Necesitará un número razonable de direcciones IP y solicitudes distintas para que una DDoS tenga la oportunidad de tener éxito.

Algunas personas me dijeron que cuando me dirija a un enrutador doméstico sería mejor si elijo el flujo UDP en lugar de SYN o ICMP como método. ¿Es verdad? Si es verdad, ¿por qué?

Sólo puedo adivinar sobre esa declaración. Aunque diría que puede ser cierto para los enrutadores domésticos, intentemos razonar al respecto:

Los enrutadores domésticos de Mot tienen buenas defensas contra las inundaciones SYN y las inundaciones ICMP. Las antiguas listas negras a menudo que envían varios paquetes SYN sin completar el protocolo de enlace, la última simplemente detiene el procesamiento (casi) de cualquier ICMP si el enrutador parece estar sobrecargado. Las defensas UDP son un poco más difíciles de hacer porque los enrutadores domésticos a menudo están configurados para reenviar consultas de DNS sin hacer preguntas (aunque definitivamente no es el caso de los enrutadores de la industria).

UDP también es mucho más rápido de enviar desde el lado del atacante. Es un paquete más pequeño para que lo envíe un atacante mientras roba casi la misma cantidad de recursos del lado defensor. En los enrutadores de hoy, lo que puede esperar lograr es que el atacante gaste recursos eliminando los encabezados IP y analizando el paquete de la capa 3, no mucho más.

No estamos en momentos en que los enrutadores obtengan un paquete SYN, respondan y esperen un ACK mientras sostienen la memoria (y terminan fuera de la memoria bastante rápido). Ese vector de ataque está bastante muerto. Esa fue una razón por la cual las inundaciones SYN fueron efectivas, pero este vector ha sido rectificado en casi todas partes.

    
respondido por el grochmal 29.08.2016 - 19:10
fuente

Lea otras preguntas en las etiquetas