¿Por qué es tan difícil rastrear los orígenes de los ataques DDOS?

Esos ataques DDOS se realizaron utilizando una botnet. Una botnet es una red de PC de consumo infectada con malware. Estas redes de bots se utilizan habitualmente para muchas actividades, la mayoría de ellas ilegales o al menos éticamente cuestionables. Por esa razón, las personas que controlan una botnet hacen todo lo posible por no ser encontrados. Por lo general, controlan sus redes de bots usando métodos oscuros de comunicación anónima que son muy difíciles de rastrear hasta ellos.

Puede que se pregunte "considerando las publicaciones recientes sobre las capacidades de espionaje de Internet del gobierno de los EE. UU., ¿cómo no pudieron encontrarlas?". Tal vez el gobierno de los Estados Unidos esté al tanto de quién lo hizo, y cuando no lo están, podrían descubrirlo fácilmente. Pero la verdad es que a pesar de que el gobierno de los EE. UU. Recopila datos en masa sobre todos los habitantes del mundo, la situación legal actual no les permite procesar a nadie basándose en esos datos. Toda la recopilación de datos es escuchas telefónicas ilegales, por lo que no se puede utilizar como prueba en el tribunal.

Lo único que el gobierno de los EE. UU. puede hacer contra personas a las que solo tienen pruebas en contra a través de sus programas de vigilancia es ilegal acciones extrajudiciales como secuestrarlos y deportarlos a una prisión secreta o matarlos mediante un ataque con aviones no tripulados . Tales acciones drásticas actualmente solo se realizan contra personas que se consideran un peligro para la seguridad nacional (o que viven cerca de la frontera entre Afganistán y Pakistán).

Y al contrario de lo que creen algunos "hacktivistas", hacer que un sitio web público de una agencia gubernamental sea inaccesible durante unas pocas horas, no es un ataque a la seguridad nacional. Un ataque de este tipo tiene el mismo nivel de peligro que el hecho de dibujar un grafiti difamatorio en su pared.

Una conexión DDOS se ejecuta normalmente mediante el envío de mensajes UDP con una IP de origen falsificada a un servicio que enviará una respuesta a la IP de origen que figura en el mensaje entrante.

Por ejemplo: si IP 1.1.1.1 está ejecutando un servidor DNS, el envío de una consulta DNS a 1.1.1.1 como un paquete UDP con una IP de origen establecida en 2.2.2.2, dará como resultado el envío del servidor DNS Una respuesta a 2.2.2.2. La fuente real de la consulta de DNS no se registra en ninguna parte.

Además, estas consultas falsificadas se envían normalmente desde varios clientes, a través de varios servidores, por lo que desde el punto de vista de la red, esto se parece al tráfico regular (a excepción del host deficiente en 2.2.2.2 que recibe todas las respuestas del DNS).

Para poder detectar esto, uno necesita monitorear grandes partes de la red en tiempo real y correlacionar las solicitudes que se realizan desde varios clientes a la vez.

Una de las razones es que los atacantes están utilizando bots que son PC víctimas, por lo que no hay una fuente de ataque. Esos bots generalmente se controlan mediante un comando & Servidor de control, o salas de IRC simples, feeds privados de Twitter, etc.

Un escenario puede ser: un atacante escribe un bot, con un horario establecido. ES DECIR. Difundir tanto como sea posible por diferentes medios mientras se elimina de 10 o 100 niveles de propagación. (Lavado de rastreo a origen de bot). Ahora, en fecha / hora de código duro, esos robots pueden iniciar un DDOS masivo desde las máquinas de las víctimas.