DoS and DDoS attack
In this article I will talk about the most interesting attack! About the most serious attack! I will tell you about DoS! You do not know what it is? You are behind the times, this thing needs to be fixed. It's time for you to advance in the field of computer security. Beginners, this article is dedicated to you and only you!
DoS (Denial of Service) - denial of service. The essence of the attack is to kill the system of the remote computer, hang the system or disconnect from the network and in a forced reboot. There are many DoS methods, here are some of them: clogging the Internet channel, sending wrong packets, sending a huge number of packets. There are even more reasons: competition (disconnection from the network incurs big losses), revenge (the dream of any teenager to take revenge on his friend), profit (for some people hacking is work), in order to assert themselves (teenage maximalism), study (search for vulnerabilities, protection). I do not welcome any of this except the last point. DoS is one of the scariest attacks that hackers, crackers, and even virmakers use! I want to provide you with knowledge about DoS. I understand that there are so many articles on this subject, but I want to present all this in a more simplified version. I tried very hard to make this material understandable for beginners. I worked on this article for a very long time. Please do not judge strictly.
DoS attacks are carried out using special DoS programs, or manually using standard tools, and sometimes using worm viruses. So the greatest DDoS attack on Microsoft and SCO servers was committed. The MyDoom worm did a tremendous job (though with some errors). But we'll talk about DDoS later, but for now let's see what DoS attacks are like.
Ping of death
Imagine this situation: a hacker begins to ping a remote machine with packets of a non-standard size. Pinging means sending echo-request packets. I understand that this is not entirely clear. I explain. Such packages store only the address and service information. After that, the remote machine that received these packets should send an “echo-reply”. The first thing a hacker needs to do is increase the size of the packets. This, I think, is understandable why. The Internet channel will not withstand large packets (if the channel is small). You can complicate this situation, that is, using special software to increase the size of packages larger than the maximum! Yes Yes! It is possible! As you know, the computer will not be able to send "echo-reply" to such an incorrect "echo-request". And then only the blue screen of death. Not for nothing, this attack is called "Ping of Death" (Rus. Ping death). But there is one problem: now such smart programmers have taught their OS to sift such packages, so it only works on old OSs. But, believe me, now they have remained on the Internet. If you do not understand anything, then I explain it more simply. The attacker sends the wrong packet to the victim. The victim's computer cannot send confirmation and freezes. Now it is clear? That's good.
SYN Flood
Linuxoids! Rejoice, this attack is not scary for you, but the rest need to be alert.
The attacker sends synchronization packets (TCP SYN). After the first packet, the victim computer sends a response packet (SYN ACK) and waits for the ACK packet. But he does not come. How to do it? Everything is simple. There is such a thing as IP Spoofing. Each packet has two fields: “source IP” (source address) and “destination IP” (destination address). So, IP Spoofing is a substitution of the “source IP” field. Those. in such an attack, the hacker changes the source IP to the IP of a computer that is not on the network. The whole charm is that if the computer receives a packet where the IP-name of the left computer is entered, then it will answer this and will wait for a response from it. You can also flood the channel with this. After such an attack, the computer freezes or cannot connect to anything.
CPU Hog
The attack is quite old and simple. Affects WinNT. In this system, each process has its own priority (16 maximum). And a program that has a higher priority will put its process above others, i.e. "Drowning out" others. The hacker writes such a program and sends it to the victim, but the victim cuts it ... the computer hangs.
These are far from all DoS attacks. I described the simplest. And they are all available to you. But in no case do I advise you to apply them. Do not be a kiddie script that, upon seeing a new exploit vulnerability, rushes to defuse and crash everything.
There are also many already “dead attacks” (Land, WinNuke). With types of DoS attacks further, I think you will figure it out yourself. Now let's move on to a more serious one, namely DDoS.
DDoS Attack - Distributed Denial of Service Attack (Rus. Distributed Denial of Service Attack). This is much more serious than DoS. With DoS, one computer attacks the victim. With DDoS 2, 3, 30 or even 100! With such attacks, the servers do not stand up and are ordered to live long.
In order to arrange a DDoS attack, you must have bots on the network. In this case, the DDoS bot is a server infected with a special hacker Trojan. This method is called zombie. You can automate the entire zombie process by creating a special worm virus. This is the most difficult but perfect solution. By the way, a good DDoS'er hacker should always have at hand 60 zombie servers on average.
A DDoS bot can be a program for zombie servers, for attacks. These programs are very expensive ($ 500-1500). Still would! DDoS is not a toy for lamers. This is a very dangerous thing! Although there are free DDoS bots, but they are not very functional. There are many ways to protect these bots from lamers. One of the most successful: the bot is provided in the form of C sources. They need to be compiled, but there are errors in the source code that only a hacker can find and fix. I’m even afraid to imagine what will happen if the finished bot falls into the hands of the lamer. 90% that he will destroy everything.
Hackers create their botnets (zombie networks) through IRC in most cases, but not only through Irku.
Smarter and more daring DDoS hackers intercept other people's botnets, making their army of zombie servers bigger and stronger. This is for the best. I believe that monopoly cannot be allowed in this matter. I will not describe the attacks themselves in practice. They won’t say thanks for this. But I can describe one toy for lamers.
Denyo Launch III is a very convenient DoS'er with a very simple interface. With it, you can hang the site. To understand how to use it, I advise you to watch the training video, and you can find this video on inattack.ru. I do not have a link to the program itself; you have to search for it yourself. The essence of the program’s action is as follows: Denyo Launch III remembers your action / request to a specific server, and then repeats this action 100-200 times. As a result, the site freezes.
But then this toy is for lamers. But the worst DDoS attack is Smurf. The essence of the attack is as follows: using spoofing (IP Spoofing) in the source IP header of an echo packet, the address of the victim is changed and sent to the broadcast channel. All computers begin to respond to the victim. In the end ... very bad.
As you already understood, you have to zombie the server using trojan programs. Such programs usually consist of two exe files: a server and a client. The server is sent to the victim, and the hacker has the client. A port is created between them. The server accepts client commands. Those. a hacker can control someone else’s computer as if he were an administrator, and if he can manage, then he can doS. But how to make sure that the victim receives a Trojan (server) and does not know about it? There are many ways. There are such programs - Joiners. They can glue files. Those. You can glue a harmless toy with the server and give it to the victim. The victim will launch the game and Troyan along with it, but the Troyan will not give himself away. I use MicroJoiner. And you can vparit all this with the help of Social Engineering. Read my article on HZ “Basics of SI. Part 2.".
Personally, I am not a DDoS'er, but if I was not a DDoS'er, but if I were a DDoS'er, I would try to intercept the botnets and give their machines to their administrators. And if you are planning to become a DDoS'er in the future, then do just that. I am sure that the situation on the Internet will improve. And I do not recommend holding one big botnet with one program. Keep a few programs. Always mask scripts and Trojans. For all bots in IRC and ICQ, do different Nickies so that no one would guess.
From literature, I advise you to read the magazine Special Hacker Issue No. 21 in full. This entire issue is dedicated to DoS and DDoS attacks. Also read the article on hackzona.ru "Garden of DDoS bots." Be sure to visit inattack.ru and read all the articles in the "DDoS / Flood" and "Botnet" sections. I also advise you on the Internet to look for everything about such concepts as DoS, DDoS, Spoofing, flood, buffer overflow, worms and protection against all this.
By the way, do not confuse the concepts of "flood" and "DoS". A flood is a packet of unnecessary information, and a DoS is a packet of incorrect information. These are completely different things.
I apologize for not showing real practical examples, for giving important links (although I haven’t giving any links at all), for not showing listings.
Well? To summarize? DoS and DDoS are some of the most dangerous attacks on the Internet. If a DDoS bot falls into the hands of a script kiddy or lamer, the provider will crash. When the MyDoom worm made a DDoS attack on Microsoft and SCO servers, they got so angry that they announced a hunt for an evil programmer, promising 500 thousand dollars for catching him. But the hacker remained in the shadows.
All information is provided for reference only. This is not a push for criminal action. This is me seriously, i.e. I'm not just writing this. I do not urge you to destroy the server, but even vice versa. We are hackers, not vandals. The main thing to remember about this is always.
https://adil666.ucoz.ru/publ/khaking/dos ... a / 3-1-0-16
DOS ATTACKS
METHOD
A DoS attack or a denial of service attack is one of the types of unauthorized access, namely one that leads to information blocking and disruption of the computer and their network. Other types of unauthorized access (copying information, destroying information), as well as the use of malicious programs can be stages of a DoS attack.
Such attacks are usually divided into two types: attacks that use any vulnerabilities in the attacked system and attacks that do not use vulnerabilities. In the second case, a kind of "damaging factor" of the attack is overloading the resources of the attacked system - the processor, RAM, disk, channel bandwidth.
CRIMINAL
DoS attacks are currently being encountered with both personal and selfish motives. Another 2-3 goals ago, personal motives prevailed. But now there is a clear tendency towards an increase in pure DoS attacks with mercenary motives in order to extort or unfair competition.
Organizing a DoS attack on a typical website is not a difficult task; it is the strength of a mid-level IT specialist who has at his disposal average equipment and a medium communication channel. Accordingly, on the black market, a DoS attack on a regular website costs tens of dollars per day. For a larger or more secure facility - the first hundreds of dollars per day. Wholesale discounts are possible. Even one offended individual can afford to order an attack. A tool for carrying out distributed DoS attacks of zombie networks (botnets) is also available on the black market at a relatively low price, about tens of dollars per thousand zombie hosts. And this price has been declining recently.
On the other hand, more and more purely information business appears on the Web, the well-being of which depends entirely on the availability of its website or other network resource. These are online stores, online auctions, online casinos, betting shops and some other types of enterprises. Stopping the website in such conditions means a complete stoppage of the business. A few weeks of downtime can completely ruin an enterprise. Naturally, under such conditions there are those who want to blackmail the owner and get a ransom from him for stopping the DoS attack. A few years ago, there were no such enterprises (e-businesses) with significant revenues. Accordingly, there was no DoS extortion.
So, we can distinguish two types of crimes related to DoS attacks in order to cause trouble to the owner or users of the attacked resource and in order to get a ransom.
In the first case, as with libel and insult, one should look for the “offended”. Moreover, the direct executor can be both himself and a hired professional.
In the second case, we are dealing with a cold-blooded criminal calculation, and the crime is not much different from offline extortion or unfair competition. The type of potential offender “e-businessman” is described in the “Identity of a Probable Offender” section.
SITUATION
One type of DoS attack is based on exploiting vulnerabilities in the software of the attacked resource. Another type of so-called “flood” - does not use any vulnerabilities and is designed to simply exhaust the victim’s resources (channel strip, RAM, processor speed, disk space, etc.). It is easy to understand that there are no invulnerable to the flood. since any computer resources are finite. Nevertheless, different sites are subject to flooding to varying degrees. For example. A CGI script running on a website may not be written optimally and require too much RAM for its operation. While such a CGI script is called once a minute, this non-optimality is completely invisible. But it is worth the attacker to call the CGI script at least a hundred times per second (you don’t require any special costs from the attacker, only 300 packets per second, about 5 Mbps) - and the non-optimal CGI script leads to complete paralysis of the web site.
That is, the performance margin is the primary protection against a DoS attack.
Conventional hosting providers have several dozens of client websites on the same server. For economic reasons, they cannot make a large margin of productivity. It follows that a typical website hosted by a hosting provider is vulnerable to even the simplest flood.
VICTIM
The victim in the vast majority of cases is a legal entity.
Commercial organizations are rarely interested in a formal investigation, since the main thing for them is to eliminate the danger and minimize losses. In the punishment of the attacker, they do not see any benefit for themselves. And participation in the trial in the role of the victim often negatively affects business reputation.
The organization-owner of the attacked resource can act as a victim in the following cases:
• when there is confidence that an unauthorized attacker will repeat attacks;
• when the company needs to report for losses or interruptions in the provision of services to partners, customers, shareholders;
• when the head of the enterprise sees personal motives in the attack, personal resentment, when his pride is wounded.
In other cases, one does not have to count on the victim's interest in solving the crime.
It should be remembered that many DoS attacks directly affect the entire segment of the Network, the channel, the router, which can be used by many consumers of communication services, even if the immediate target of the attack is only one of them. For the purposes of the investigation, it is necessary to establish to whom exactly the intent of the offender was directed. The formal victims can be any of the victims of the attack.
Instead of a formal victim, it is advisable to consider the personality of the specialist who serves the attacked information system and is responsible for its protection. Understanding his personality will help to understand the reasons and mechanism for committing a crime.
A typical professional system administrator is a person who in the real world does not represent anything (even by no means always highly paid), but in the virtual world the king and god. Such a twofold position greatly contributes to the development of inferiority complexes and the desire to compensate in virtuality for their insignificance in the real world. Since this is a young man who is forced to spend a significant part of his time at a computer (otherwise professionalism cannot be acquired), this complex is often exacerbated by sexual dissatisfaction. Now imagine what such a system administrator can do with a painful desire to demonstrate his power. Provided that the head of the company does not understand or is not interested in technical issues at all.
We can say that the victim of a DoS attack (more precisely, employees of the legal entity of the victim) is characterized by provocative behavior in online relationships.
TRACES
When preparing and conducting a DoS attack, the following traces of a technical nature are formed:
• the availability of attack tools — software (agents) installed on an attacker’s computer or, more often, on computers used by others for this purpose, as well as tools for managing agents;
• traces of the search, testing, acquisition of tools;
• logs (mainly traffic statistics) of telecom operators. through the networks of which the attack passed:
• logs of technical means are protected for attack detectors and traffic anomalies, intrusion detection systems, firewalls, specialized anti-flood filters;
• logs, traffic patterns, and other data specially obtained by technical specialists of telecom operators during the investigation of the incident, development of countermeasures, and repulsion of the attack. (You should be aware that a DoS attack requires an immediate response if the owner wants to save his resource or at least neighboring resources from the attack. During such a fight, both sides can use various maneuvers and counter-maneuvers, which makes the attack picture more complicated);
• traces of radiation from a suspect (who is also the customer of the attack) of the advertising of DoS attack performers, his correspondence, negotiations and cash settlements with performers;
• traces of the suspect’s control appeals to the attacked resource during the attack period to verify its effectiveness.
In a professional attack, zombie networks or other specialized tools are used. Naturally, it is not disposable. Performers are not interested in idle their capacities and can carry out several attacks at the same time, or carry out other functions in parallel with the attack by the same software agents, for example, spamming.
https://itinvestigations.blogspot.com/2011/02/dos.html
DoS Protection
Measures to counter DoS attacks can be divided into passive and active, as well as preventive and reactionary.
The following is a brief list of the main methods.
Prevention. Prevention of the reasons prompting those or other persons to organize and undertake DoS attacks. (Very often cyberattacks in general are the consequences of personal insults, political, religious and other disagreements, provoking the behavior of the victim, etc.)
Filtering and blackholing. Blocking traffic coming from attacking machines. The effectiveness of these methods decreases as you approach the object of attack and increases as you approach the attacking machine.
Elimination of vulnerabilities. It does not work against flood attacks for which the “vulnerability” is the finiteness of certain system resources.
Build resources. Naturally, it does not provide absolute protection, but it is a good background for the use of other types of protection against DoS attacks.
Dispersal. Building distributed and duplicating systems that will not stop serving users, even if some of their elements become unavailable due to a DoS attack.
Evasion. Moving the immediate target of the attack (domain name or IP address) away from other resources, which are often also affected along with the immediate target of the attack.
Active response. Impact on the sources, the organizer or the control center of the attack, both technogenic and organizational and legal means.
Using equipment to repel DoS attacks. For example DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® and from other manufacturers.
Acquisition of a service for protection against DoS attacks. Actual if the flood exceeds the bandwidth of the network channel.
[DLMURL] https://ru.wikipedia.org/wiki/DoS-%E0%F2%E0%EA%E0 [/ DLMURL]
PS I’m not going to teach anyone, but I always need to give an account of my actions and deeds, and also understand whether Mr. X needs to spend significant funds on the failure of any particular computer if this problem can be solved by simply transplanting it to another computer?
I was not going to scoff at anyone, but I have a couple of acquaintances who, due to their accidental minor flaws, cause a panic on the “whole ship”.
In this article I will talk about the most interesting attack! About the most serious attack! I will tell you about DoS! You do not know what it is? You are behind the times, this thing needs to be fixed. It's time for you to advance in the field of computer security. Beginners, this article is dedicated to you and only you!
DoS (Denial of Service) - denial of service. The essence of the attack is to kill the system of the remote computer, hang the system or disconnect from the network and in a forced reboot. There are many DoS methods, here are some of them: clogging the Internet channel, sending wrong packets, sending a huge number of packets. There are even more reasons: competition (disconnection from the network incurs big losses), revenge (the dream of any teenager to take revenge on his friend), profit (for some people hacking is work), in order to assert themselves (teenage maximalism), study (search for vulnerabilities, protection). I do not welcome any of this except the last point. DoS is one of the scariest attacks that hackers, crackers, and even virmakers use! I want to provide you with knowledge about DoS. I understand that there are so many articles on this subject, but I want to present all this in a more simplified version. I tried very hard to make this material understandable for beginners. I worked on this article for a very long time. Please do not judge strictly.
DoS attacks are carried out using special DoS programs, or manually using standard tools, and sometimes using worm viruses. So the greatest DDoS attack on Microsoft and SCO servers was committed. The MyDoom worm did a tremendous job (though with some errors). But we'll talk about DDoS later, but for now let's see what DoS attacks are like.
Ping of death
Imagine this situation: a hacker begins to ping a remote machine with packets of a non-standard size. Pinging means sending echo-request packets. I understand that this is not entirely clear. I explain. Such packages store only the address and service information. After that, the remote machine that received these packets should send an “echo-reply”. The first thing a hacker needs to do is increase the size of the packets. This, I think, is understandable why. The Internet channel will not withstand large packets (if the channel is small). You can complicate this situation, that is, using special software to increase the size of packages larger than the maximum! Yes Yes! It is possible! As you know, the computer will not be able to send "echo-reply" to such an incorrect "echo-request". And then only the blue screen of death. Not for nothing, this attack is called "Ping of Death" (Rus. Ping death). But there is one problem: now such smart programmers have taught their OS to sift such packages, so it only works on old OSs. But, believe me, now they have remained on the Internet. If you do not understand anything, then I explain it more simply. The attacker sends the wrong packet to the victim. The victim's computer cannot send confirmation and freezes. Now it is clear? That's good.
SYN Flood
Linuxoids! Rejoice, this attack is not scary for you, but the rest need to be alert.
The attacker sends synchronization packets (TCP SYN). After the first packet, the victim computer sends a response packet (SYN ACK) and waits for the ACK packet. But he does not come. How to do it? Everything is simple. There is such a thing as IP Spoofing. Each packet has two fields: “source IP” (source address) and “destination IP” (destination address). So, IP Spoofing is a substitution of the “source IP” field. Those. in such an attack, the hacker changes the source IP to the IP of a computer that is not on the network. The whole charm is that if the computer receives a packet where the IP-name of the left computer is entered, then it will answer this and will wait for a response from it. You can also flood the channel with this. After such an attack, the computer freezes or cannot connect to anything.
CPU Hog
The attack is quite old and simple. Affects WinNT. In this system, each process has its own priority (16 maximum). And a program that has a higher priority will put its process above others, i.e. "Drowning out" others. The hacker writes such a program and sends it to the victim, but the victim cuts it ... the computer hangs.
These are far from all DoS attacks. I described the simplest. And they are all available to you. But in no case do I advise you to apply them. Do not be a kiddie script that, upon seeing a new exploit vulnerability, rushes to defuse and crash everything.
There are also many already “dead attacks” (Land, WinNuke). With types of DoS attacks further, I think you will figure it out yourself. Now let's move on to a more serious one, namely DDoS.
DDoS Attack - Distributed Denial of Service Attack (Rus. Distributed Denial of Service Attack). This is much more serious than DoS. With DoS, one computer attacks the victim. With DDoS 2, 3, 30 or even 100! With such attacks, the servers do not stand up and are ordered to live long.
In order to arrange a DDoS attack, you must have bots on the network. In this case, the DDoS bot is a server infected with a special hacker Trojan. This method is called zombie. You can automate the entire zombie process by creating a special worm virus. This is the most difficult but perfect solution. By the way, a good DDoS'er hacker should always have at hand 60 zombie servers on average.
A DDoS bot can be a program for zombie servers, for attacks. These programs are very expensive ($ 500-1500). Still would! DDoS is not a toy for lamers. This is a very dangerous thing! Although there are free DDoS bots, but they are not very functional. There are many ways to protect these bots from lamers. One of the most successful: the bot is provided in the form of C sources. They need to be compiled, but there are errors in the source code that only a hacker can find and fix. I’m even afraid to imagine what will happen if the finished bot falls into the hands of the lamer. 90% that he will destroy everything.
Hackers create their botnets (zombie networks) through IRC in most cases, but not only through Irku.
Smarter and more daring DDoS hackers intercept other people's botnets, making their army of zombie servers bigger and stronger. This is for the best. I believe that monopoly cannot be allowed in this matter. I will not describe the attacks themselves in practice. They won’t say thanks for this. But I can describe one toy for lamers.
Denyo Launch III is a very convenient DoS'er with a very simple interface. With it, you can hang the site. To understand how to use it, I advise you to watch the training video, and you can find this video on inattack.ru. I do not have a link to the program itself; you have to search for it yourself. The essence of the program’s action is as follows: Denyo Launch III remembers your action / request to a specific server, and then repeats this action 100-200 times. As a result, the site freezes.
But then this toy is for lamers. But the worst DDoS attack is Smurf. The essence of the attack is as follows: using spoofing (IP Spoofing) in the source IP header of an echo packet, the address of the victim is changed and sent to the broadcast channel. All computers begin to respond to the victim. In the end ... very bad.
As you already understood, you have to zombie the server using trojan programs. Such programs usually consist of two exe files: a server and a client. The server is sent to the victim, and the hacker has the client. A port is created between them. The server accepts client commands. Those. a hacker can control someone else’s computer as if he were an administrator, and if he can manage, then he can doS. But how to make sure that the victim receives a Trojan (server) and does not know about it? There are many ways. There are such programs - Joiners. They can glue files. Those. You can glue a harmless toy with the server and give it to the victim. The victim will launch the game and Troyan along with it, but the Troyan will not give himself away. I use MicroJoiner. And you can vparit all this with the help of Social Engineering. Read my article on HZ “Basics of SI. Part 2.".
Personally, I am not a DDoS'er, but if I was not a DDoS'er, but if I were a DDoS'er, I would try to intercept the botnets and give their machines to their administrators. And if you are planning to become a DDoS'er in the future, then do just that. I am sure that the situation on the Internet will improve. And I do not recommend holding one big botnet with one program. Keep a few programs. Always mask scripts and Trojans. For all bots in IRC and ICQ, do different Nickies so that no one would guess.
From literature, I advise you to read the magazine Special Hacker Issue No. 21 in full. This entire issue is dedicated to DoS and DDoS attacks. Also read the article on hackzona.ru "Garden of DDoS bots." Be sure to visit inattack.ru and read all the articles in the "DDoS / Flood" and "Botnet" sections. I also advise you on the Internet to look for everything about such concepts as DoS, DDoS, Spoofing, flood, buffer overflow, worms and protection against all this.
By the way, do not confuse the concepts of "flood" and "DoS". A flood is a packet of unnecessary information, and a DoS is a packet of incorrect information. These are completely different things.
I apologize for not showing real practical examples, for giving important links (although I haven’t giving any links at all), for not showing listings.
Well? To summarize? DoS and DDoS are some of the most dangerous attacks on the Internet. If a DDoS bot falls into the hands of a script kiddy or lamer, the provider will crash. When the MyDoom worm made a DDoS attack on Microsoft and SCO servers, they got so angry that they announced a hunt for an evil programmer, promising 500 thousand dollars for catching him. But the hacker remained in the shadows.
All information is provided for reference only. This is not a push for criminal action. This is me seriously, i.e. I'm not just writing this. I do not urge you to destroy the server, but even vice versa. We are hackers, not vandals. The main thing to remember about this is always.
https://adil666.ucoz.ru/publ/khaking/dos ... a / 3-1-0-16
DOS ATTACKS
METHOD
A DoS attack or a denial of service attack is one of the types of unauthorized access, namely one that leads to information blocking and disruption of the computer and their network. Other types of unauthorized access (copying information, destroying information), as well as the use of malicious programs can be stages of a DoS attack.
Such attacks are usually divided into two types: attacks that use any vulnerabilities in the attacked system and attacks that do not use vulnerabilities. In the second case, a kind of "damaging factor" of the attack is overloading the resources of the attacked system - the processor, RAM, disk, channel bandwidth.
CRIMINAL
DoS attacks are currently being encountered with both personal and selfish motives. Another 2-3 goals ago, personal motives prevailed. But now there is a clear tendency towards an increase in pure DoS attacks with mercenary motives in order to extort or unfair competition.
Organizing a DoS attack on a typical website is not a difficult task; it is the strength of a mid-level IT specialist who has at his disposal average equipment and a medium communication channel. Accordingly, on the black market, a DoS attack on a regular website costs tens of dollars per day. For a larger or more secure facility - the first hundreds of dollars per day. Wholesale discounts are possible. Even one offended individual can afford to order an attack. A tool for carrying out distributed DoS attacks of zombie networks (botnets) is also available on the black market at a relatively low price, about tens of dollars per thousand zombie hosts. And this price has been declining recently.
On the other hand, more and more purely information business appears on the Web, the well-being of which depends entirely on the availability of its website or other network resource. These are online stores, online auctions, online casinos, betting shops and some other types of enterprises. Stopping the website in such conditions means a complete stoppage of the business. A few weeks of downtime can completely ruin an enterprise. Naturally, under such conditions there are those who want to blackmail the owner and get a ransom from him for stopping the DoS attack. A few years ago, there were no such enterprises (e-businesses) with significant revenues. Accordingly, there was no DoS extortion.
So, we can distinguish two types of crimes related to DoS attacks in order to cause trouble to the owner or users of the attacked resource and in order to get a ransom.
In the first case, as with libel and insult, one should look for the “offended”. Moreover, the direct executor can be both himself and a hired professional.
In the second case, we are dealing with a cold-blooded criminal calculation, and the crime is not much different from offline extortion or unfair competition. The type of potential offender “e-businessman” is described in the “Identity of a Probable Offender” section.
SITUATION
One type of DoS attack is based on exploiting vulnerabilities in the software of the attacked resource. Another type of so-called “flood” - does not use any vulnerabilities and is designed to simply exhaust the victim’s resources (channel strip, RAM, processor speed, disk space, etc.). It is easy to understand that there are no invulnerable to the flood. since any computer resources are finite. Nevertheless, different sites are subject to flooding to varying degrees. For example. A CGI script running on a website may not be written optimally and require too much RAM for its operation. While such a CGI script is called once a minute, this non-optimality is completely invisible. But it is worth the attacker to call the CGI script at least a hundred times per second (you don’t require any special costs from the attacker, only 300 packets per second, about 5 Mbps) - and the non-optimal CGI script leads to complete paralysis of the web site.
That is, the performance margin is the primary protection against a DoS attack.
Conventional hosting providers have several dozens of client websites on the same server. For economic reasons, they cannot make a large margin of productivity. It follows that a typical website hosted by a hosting provider is vulnerable to even the simplest flood.
VICTIM
The victim in the vast majority of cases is a legal entity.
Commercial organizations are rarely interested in a formal investigation, since the main thing for them is to eliminate the danger and minimize losses. In the punishment of the attacker, they do not see any benefit for themselves. And participation in the trial in the role of the victim often negatively affects business reputation.
The organization-owner of the attacked resource can act as a victim in the following cases:
• when there is confidence that an unauthorized attacker will repeat attacks;
• when the company needs to report for losses or interruptions in the provision of services to partners, customers, shareholders;
• when the head of the enterprise sees personal motives in the attack, personal resentment, when his pride is wounded.
In other cases, one does not have to count on the victim's interest in solving the crime.
It should be remembered that many DoS attacks directly affect the entire segment of the Network, the channel, the router, which can be used by many consumers of communication services, even if the immediate target of the attack is only one of them. For the purposes of the investigation, it is necessary to establish to whom exactly the intent of the offender was directed. The formal victims can be any of the victims of the attack.
Instead of a formal victim, it is advisable to consider the personality of the specialist who serves the attacked information system and is responsible for its protection. Understanding his personality will help to understand the reasons and mechanism for committing a crime.
A typical professional system administrator is a person who in the real world does not represent anything (even by no means always highly paid), but in the virtual world the king and god. Such a twofold position greatly contributes to the development of inferiority complexes and the desire to compensate in virtuality for their insignificance in the real world. Since this is a young man who is forced to spend a significant part of his time at a computer (otherwise professionalism cannot be acquired), this complex is often exacerbated by sexual dissatisfaction. Now imagine what such a system administrator can do with a painful desire to demonstrate his power. Provided that the head of the company does not understand or is not interested in technical issues at all.
We can say that the victim of a DoS attack (more precisely, employees of the legal entity of the victim) is characterized by provocative behavior in online relationships.
TRACES
When preparing and conducting a DoS attack, the following traces of a technical nature are formed:
• the availability of attack tools — software (agents) installed on an attacker’s computer or, more often, on computers used by others for this purpose, as well as tools for managing agents;
• traces of the search, testing, acquisition of tools;
• logs (mainly traffic statistics) of telecom operators. through the networks of which the attack passed:
• logs of technical means are protected for attack detectors and traffic anomalies, intrusion detection systems, firewalls, specialized anti-flood filters;
• logs, traffic patterns, and other data specially obtained by technical specialists of telecom operators during the investigation of the incident, development of countermeasures, and repulsion of the attack. (You should be aware that a DoS attack requires an immediate response if the owner wants to save his resource or at least neighboring resources from the attack. During such a fight, both sides can use various maneuvers and counter-maneuvers, which makes the attack picture more complicated);
• traces of radiation from a suspect (who is also the customer of the attack) of the advertising of DoS attack performers, his correspondence, negotiations and cash settlements with performers;
• traces of the suspect’s control appeals to the attacked resource during the attack period to verify its effectiveness.
In a professional attack, zombie networks or other specialized tools are used. Naturally, it is not disposable. Performers are not interested in idle their capacities and can carry out several attacks at the same time, or carry out other functions in parallel with the attack by the same software agents, for example, spamming.
https://itinvestigations.blogspot.com/2011/02/dos.html
DoS Protection
Measures to counter DoS attacks can be divided into passive and active, as well as preventive and reactionary.
The following is a brief list of the main methods.
Prevention. Prevention of the reasons prompting those or other persons to organize and undertake DoS attacks. (Very often cyberattacks in general are the consequences of personal insults, political, religious and other disagreements, provoking the behavior of the victim, etc.)
Filtering and blackholing. Blocking traffic coming from attacking machines. The effectiveness of these methods decreases as you approach the object of attack and increases as you approach the attacking machine.
Elimination of vulnerabilities. It does not work against flood attacks for which the “vulnerability” is the finiteness of certain system resources.
Build resources. Naturally, it does not provide absolute protection, but it is a good background for the use of other types of protection against DoS attacks.
Dispersal. Building distributed and duplicating systems that will not stop serving users, even if some of their elements become unavailable due to a DoS attack.
Evasion. Moving the immediate target of the attack (domain name or IP address) away from other resources, which are often also affected along with the immediate target of the attack.
Active response. Impact on the sources, the organizer or the control center of the attack, both technogenic and organizational and legal means.
Using equipment to repel DoS attacks. For example DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® and from other manufacturers.
Acquisition of a service for protection against DoS attacks. Actual if the flood exceeds the bandwidth of the network channel.
[DLMURL] https://ru.wikipedia.org/wiki/DoS-%E0%F2%E0%EA%E0 [/ DLMURL]
PS I’m not going to teach anyone, but I always need to give an account of my actions and deeds, and also understand whether Mr. X needs to spend significant funds on the failure of any particular computer if this problem can be solved by simply transplanting it to another computer?
I was not going to scoff at anyone, but I have a couple of acquaintances who, due to their accidental minor flaws, cause a panic on the “whole ship”.
Original message
DoS и DDoS атака
В этой статье я расскажу о самой интересной атаке! О самой серьезной атаке! Я расскажу вам о DoS! Вы не знаете что это такое? Вы отстали от жизни, это дело надо исправлять. Пора вам продвинуться в области компьютерной безопасности. Новички, эта статья посвящается вам и только вам!
DoS (Denial of Service) – отказ об обслуживании. Суть атаки состоит в убиении системы удаленного компьютера, повисания системы или отключения от сети и в вынужденной перезагрузке. Способов DoS’а существует много, вот некоторые из них: засорение Интернет канала, посылка неправильных пакетов, посылка огромного числа пакетов. Причин еще больше: конкуренция (отключение от сети несет большие убытки), месть (мечта любого подростка отомстить своему другу), выгода (для некоторых людей взлом – работа), в целях самоутверждения (подростковый максимализм), изучение (поиск уязвимостей, защиты). Ничего из этого я не приветствую, кроме последнего пункта. DoS – одна из самых страшных атак, которые используют хакеры, взломщики и даже вирмейкеры! Я вам хочу преподнести знания о DoS’е. Я понимаю, что таких статей по этой тематике и так много, но я хочу все это преподнести в более упрощенном варианте. Я очень старался, что бы этот материал был понятен для новичков. Над этой статьей я работал очень долго. Прошу строго не судить.
DoS атаки совершаются с помощью специальных программ DoS’еров, либо вручную с использованием штатных средств, а иногда при помощи вирусов-червей. Так была совершена величайшая DDoS атака на сервера Microsoft и SCO. Червь MyDoom выполнил колоссальную работу (правда, с некоторыми ошибками). Но о DDoS мы позже поговорим, а пока давайте посмотрим, какими бывают DoS атаки.
Ping of Death
Представьте себе такую ситуацию: хакер начинает пинговать удаленную машину пакетами нестандартного размера. Пинговать значит слать пакеты «echo-request». Я понимаю, что это не совсем понятно. Объясняю. В таких пакетах хранится только адрес и служебная информация. После этого удаленная машина, получившая эти пакеты должна отослать «echo-reply». Первое, что должен сделать хакер - это увеличить размер пакетов. Это, я думаю, понятно почему. Интернет канал не выдержит больших пакетов (если канал маленький). Можно эту ситуацию более усложнить, т. Е. при помощи специального софта увеличить размер пакетов больше максимального! Да, да! Это возможно! Как вы понимаете, комп не сможет отослать «echo-reply» на такой неправильный «echo-request». И тогда только синий экран смерти. Не даром эта атака называется «Ping of Death» (рус. Пинг смерти). Но здесь есть одна проблема: сейчас такие умные программисты, что научили свою ОС отсеивать такие пакеты, поэтому она действует только на старые ОС. Но, поверьте мне, и сейчас такие остались в Internet. Если вы ничего не поняли, то объясняю попроще. Атакующий посылает неправильный пакет жертве. Компьютер жертвы не может послать подтверждение и зависает. Теперь понятно? Вот и хорошо.
SYN Flood
Линуксоиды! Радуйтесь, эта атака вам не страшна, а вот остальным нужно быть начеку.
Атакующий посылает пакеты синхронизации (TCP SYN). После первого пакета комп жертвы посылает ответный пакет (SYN ACK) и ждет пакет ACK. А он не приходит. Как это сделать? Все просто. Есть такое понятие как IP Spoofing. Каждый пакет имеет два поля: «source IP» (адрес отправителя) и «destination IP» (адрес получателя). Так вот, IP Spoofing – это подмена поля «source IP». Т.е. при такой атаке хакер меняет source IP на IP компьютера, который не в сети. Вся прелесть в том, что если комп получает пакет, где вписан IP-шник левого компьютера, то он и ответит этому, и будет ждать от него ответа. Еще с помощью этого можно зафлудить канал. После такой атаки компьютер зависает или не может ни к чему подключиться.
CPU Hog
Атака достаточно старая и простая. Действует на WinNT. В этой системе каждый процесс имеет свой приоритет (16 максимально). И программа, имеющая больший приоритет, будет ставить свой процесс выше других, т.е. «заглушая» другие. Хакер пишет такую программу и отсылает жертве, жертва же врубает ее… комп виснет.
Это далеко не все DoS атаки. Я описал самые простые. И все они доступны для вас. Но ни в коем случае я не советую их вам применять. Не будьте скрипт-кидди, который, увидев новую уязвимость с эксплоитом, мчится все дефейсить и крушить.
Существует так же множество уже «умерших атак» (Land, WinNuke). С типами DoS атак дальше, я думаю, вы разберетесь сами. Теперь перейдем к более серьезному, а именно к DDoS.
DDoS Attack – Distributed Denial of Service Attack (рус. Распределенная атака на отказ об обслуживании). Это намного серьезнее, чем DoS. При DoS один компьютер атакует жертву. При DDoS 2, 3, 30 или даже 100! При таких атаках сервера не выдерживают и приказывают долго жить.
Для того, что бы устроить DDoS атаку, вы должны иметь ботов в сети. В этом случае DDoS-бот – это сервер, зараженный специальной хакерской программой-трояном. Этот способ называется зомбированием. Можно весь процесс зомбирования автоматизировать, создав специального вируса-червя. Это самое сложное, но идеальное решение. Кстати, хороший DDoS’ер-хакер всегда должен иметь под рукой 60 серверов-зомби в среднем.
DDoS-ботом может быть программа для зомбирования серверов, для совершения атак. Программы эти очень дорогие (500-1500 $). Еще бы! DDoS – это игрушка не для ламеров. Это очень опасная штука! Хотя встречаются бесплатные DDoS-боты, но они мало функциональны. Существует много способов ограждения этих ботов от ламеров. Один из самых удачных: бот предоставляется в виде исходников на C. Их нужно откомпилировать, но в коде исходников допущены ошибки, которые найти и исправить сможет только хакер. Я даже боюсь представить, что будет, если готовый бот попадет в руки ламера. 90%, что он пойдет крушить все подряд.
Хакеры создают свои ботнеты (зомби-сети) через IRC в большинстве случаев, но можно не только через Ирку.
Более умные и дерзкие DDoS’еры-хакеры перехватывают чужие ботнеты, делая свою армию зомби-серверов больше и сильнее. Это и к лучшему. Я считаю, что в этом деле нельзя допустить монополии. Описывать сами атаки на практике я не буду. Мне за это спасибо не скажут. Но смогу описать одну игрушку для ламеров.
Denyo Launch III – это очень удобный DoS’ер с очень простым интерфейсом. С его помощью можно повесить сайт. Что бы понять, как ей пользоваться, советую посмотреть обучающее видео, а найти это видео можно на inattack.ru. Ссылку на саму прогу я не имею, придется поискать вам самим. Суть действия программы заключается в следующем: Denyo Launch III запоминает ваше действие/запрос на определенный сервер, а потом повторяет это действие 100-200 раз. В итоге сайт виснет.
Но на то эта игрушка для ламеров. А вот самая страшная DDoS атака – это Smurf. Суть атаки состоит в следующем: с помощью спуфинга (IP Spoofing) в заголовке source IP echo-пакета меняется адрес на адрес жертвы и посылается на широковещательный канал. Все компы начинают отвечать жертве. В итоге… очень плохо.
Как вы уже поняли, зомбировать сервера приходится с помощью программ-троянов. Такие программы обычно состоят из двух exe-файлов: сервера и клиента. Сервер засылается жертве, а у хакера клиент. Между ними создается порт. Сервер принимает команды клиента. Т.е. хакер может управлять чужим компьютером словно он администратор, а если может управлять, значит может и DoS’ить. А вот как сделать, что бы жертва получила Троян (сервер) и не знала об этом? Способов много. Есть такие программы – Джойнеры (Joiner). Они могут склеивать файлы. Т.е. вы сможете склеить безобидную игрушку с сервером и отдать это жертве. Жертва запустит игру и Трояна вместе с ней, но Троян себя не выдаст. Я пользуюсь MicroJoiner. А впарить все это можно с помощью Социальной инженерии. Читайте мою статью на ХЗ «Основы СИ. Часть 2.».
Лично я DDoS’ером не являюсь, но если бы я занимался DDoS’ером не являюсь, но если бы я занимался DDoS’ом, я бы старался перехватывать ботнеты и отдавал бы их машины их администраторам. И если вы в будующем планируете стать DDoS’ером, то именно так и делайте. Я уверен, что положение в Интернете улучшиться. И одной программой держать свой один большой ботнет я тоже не советую. Держите несколькими прогами. Всегда маскируйте скрипты и Трояны. Для всех ботов в IRC и ICQ делайте разные Ники, что бы никто не догадался.
Из литературы советую полностью прочитать журнал «Спец Хакер выпуск №21». Весь этот выпуск посвящен DoS и DDoS атакам. Так же прочитайте статью на hackzona.ru «Огород из DDoS-ботов». Обязательно посетите inattack.ru и прочитайте все статьи в разделах «DDoS/Флуд» и «Ботнет». Так же советую в Интернете поискать все о таких понятиях как DoS, DDoS, Spoofing, флуд, переполнение буфера, черви и защита от всего этого.
Кстати, не надо путать понятии «флуд» и «DoS». Флуд – это закидование пакетами ненужной информации, а DoS закидование пакетами неправильной информации. Это совсем разные вещи.
Прошу меня извинить, что не показал реальных практических примеров, не дал важных ссылок (хотя я вообще никаких ссылок не дал), не показал листингов.
Ну что? Подведем итоги? DoS и DDoS одни из самых опасных атак в Интернете. Попади DDoS-бот в руки скрипт-кидди или ламеру – крах провайдеру. Когда червь MyDoom совершил DDoS атаку на сервера Microsoft и SCO, они так разозлились, что объявили охоту на злобного программиста, обещая за его поимку 500 тысяч долларов. Но хакер остался в тени.
Вся информация предоставлена только для ознакомления. Это не подталкивание к криминальным действиям. Это я серьезно, т.е. я это не просто пишу. Я вас не призываю крушить сервера, а даже наоборот. Мы хакеры, а не вандалы. Главное помнить оь этом всегда.
https://adil666.ucoz.ru/publ/khaking/dos ... a/3-1-0-16
DOS-АТАКИ
СПОСОБ
DoS-атака или атака типа «отказ в обслуживании» является одним из видов неправомерною доступа, а именно такого, который приводит к блокированию информации и нарушению работы ЭВМ и их сети. Иные виды неправомерного доступа (копирование информации, уничтожение информации), а также использование вредоносных программ могут быть этапами осуществления DoS-атаки.
Такие атаки принято разделять на два типа: атаки, использующие какие-либо уязвимости в атакуемой системе и атаки, не использующие уязвимостей. Во втором случае своеобразным «поражающим фактором» атаки является перегрузка ресурсов атакуемой системы – процессора, ОЗУ, диска, пропускной способности канала.
ПРЕСТУПНИК
В настоящее время встречаются DoS-атаки как с личными, так и с корыстными мотивами. Еще 2-3 гола назад личные мотивы превалировали. Но сейчас наблюдается четкая тенденция возрастания чиста DoS-атак с корыстными мотивами в целях вымогательства или недобросовестной конкуренции.
Организовать DoS-атаку на типичный веб-сайт не представляет из себя сложной задачи, она пол силу ИТ-специалисту средней квалификации, имеющему в своем распоряжении среднее же оборудование и средней ширины канал связи. Соответственно, на черном рынке DoS-атака на обычный веб-сайт стоит десятки долларов за сутки. На более крупный или более защищенный объект - первые сотни долларов за сутки. Возможны оптовые скидки. Заказать атаку может себе позволить даже один обиженный индивидуум. Инструмент для осуществления распределенных DoS-атак зомби-сети (ботнеты) - также имеются в продаже на черном рынке по сравнительно низкой цене, порядка десятков долларов за тысячу зомби-хостов. И цена эта в последнее время снижается.
С другой стороны, в Сети появляется все больше и больше чисто информационного бизнеса, благополучие которого целиком и полностью зависит от доступности его сайта или другого сетевого ресурса. Это онлайн-магазины, онлайн-аукционы, онлайн-казино, букмекерские конторы и некоторые другие виды предприятий. Остановка работы веб-сайта в таких условиях означает полную остановку бизнеса. Несколько недель простоя могут полностью разорить предприятие. Естественно, при таких условиях находятся желающие пошантажировать владельца и получить с него выкуп за прекращение DoS-атаки. Несколько лет назад подобных предприятий (е-бизнеса) с существенными доходами еще не было. Соответственно, не было и DoS-вымогательства.
Итак, можно выделить два типа преступлений, связанных с DoS-атaками с целью доставить неприятности владельцу или пользователям атакуемого ресурса и с целью получить выкуп.
В первом случае, как и при клевете и оскорблениях, следует искать «обиженного». При этом непосредственным исполнителем может быть как он сам, так и нанятый профессионал.
Во втором случае мы имеем дело с хладнокровным криминальным расчетом, и преступление мало чем отличается от офлайнового вымогательства или недобросовестной конкуренции. Тип возможного преступника «е-бизнесмен» описан в разделе «Личность вероятного преступника».
ОБСТАНОВКА
Один тип DoS-атаки основан на использовании уязвимостей в программном обеспечении атакуемого ресурса. Другой тип так называемый «флуд» - не использует никаких уязвимостей и рассчитан на простое исчерпание ресурсов жертвы (полоса канала, оперативная память, быстродействие процессора, место на диске и т.п.). Как легко понять, ко флуду нет неуязвимых. поскольку любые компьютерные ресурсы конечны. Тем не менее разные сайты подвержены флуду в разной степени. Например. CGI-скрипт, работающий на веб-сайте, может быть написан не оптимально и требовать для своей работы слишком много оперативной памяти. Пока такой CGI-скрипт вызывается paз в минуту, эта неоптимальность совершенно незаметна. Но стоит злоумышленнику произвести вызов CGI-скрипта хотя бы сто раз в секунду (никаких особых затрат со стороны злоумышленника для этого не требуете, всего 300 пакетов в секунду, порядка 5 Мбит/с) — и неоптимальность CGI-скрипта приводит к полному параличу веб-сайта.
То есть запас по производительности и есть первичная зашита от DoS-атаки.
Обычные хостинг-провайдеры держат на одном сервере по нескольку десятков клиентских веб-сайтов. По экономическим причинам большого запаса производительности они сделать не могут. Отсюда следует, что типичный веб-сайт, размещенный у хостинг-провайдера, уязвим даже к самому простейшему флуду.
ПОТЕРПЕВШИЙ
Потерпевшим в подавляющем большинстве случаев выступает юридическое лицо.
Коммерческие организации редко бывают заинтересованы в официальном расследовании, поскольку для них главное - устранить опасность и минимизировать убытки. В наказании злоумышленника они не видят для себя никакой выгоды. А участие в судебном процессе в роли потерпевшего часто негативно отражается на деловой репутации.
Выступить потерпевшим организация-владелец атакуемого ресурса может в следующих случаях:
• когда есть уверенность, что не наказанный злоумышленник будет повторять атаки;
• когда предприятию надо отчитываться за понесенные убытки или перерывы в оказании услуг перед партнерами, клиентами, акционерами;
• когда руководитель предприятия усматривает в атаке личные мотивы, личную обиду, когда уязвлено его самолюбие.
В прочих случаях не приходится рассчитывать на заинтересованность потерпевшего в раскрытии преступления.
Следует помнить, что многие DoS-атаки воздействуют сразу на целый сегмент Сети, на канал, на маршрутизатор, за которым могут располагаться много потребителей услуг связи, даже если непосредственной целью атаки является лишь один из них. Для целей расследования необходимо установить, на кого именно был направлен умысел преступника. Формальным же потерпевшим может выступить любой из пострадавших от атаки.
Вместо формального потерпевшего целесообразно рассмотреть особенности личности специалиста, который обслуживает атакованную информационную систему и отвечает за ее защиту. Понимание его личности поможет понять причины и механизм совершения преступления.
Типичный профессиональный системный администратор человек, в реальном мире ничего из себя не представляющий (даже далеко не всегда высокооплачиваемый), но в мире виртуальном царь и бог. Подобное двоякое положение сильно способствует развитию комплексов неполноценности и стремлению компенсировать в виртуальности свою ничтожность в реальной мире. Поскольку речь идет о молодом человеке, значительную часть времени вынужденной проводить за компьютером (иначе профессионализм не приобрести), данный комплекс часто усугубляется половой неудовлетворенностью. Теперь представьте, что может натворить такой системный администратор с болезненным желанием продемонстрировать свою власть. При условии, что руководитель компании в технических вопросах вовсе не разбирается или не интересуется ими.
Можно сказать, что для потерпевшего от DoS-атаки (точнее, сотрудников юрлица потерпевшего) характерно провоцирующее поведение в онлайновых взаимоотношениях.
СЛЕДЫ
При подготовке и проведении DoS-атаки образуются следующие следы технического характера:
• наличие инструментария атаки - программных средств (агентов), установленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
• следы поиска, тестирования, приобретения инструментария;
• логи (преимущественно статистика трафика) операторов связи. через сети которых проходила атака:
• логи технических средств зашиты детекторов атак и аномалий трафика, систем обнаружения вторжений, межсетевых экранов, специализированных антифлудовых фильтров;
• логии, образцы трафика и другие данные, специально полученные техническими специалистами операторов связи в ходе расследования инцидента, выработки контрмер, отражения атаки. (Следует знать, что DoS-атака требует немедленной реакции, если владелец желает спасти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрманевры, из-за чего картина атаки усложняется);
• следы от излучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS-атак, его переписки, переговоров и денежных расчетов с исполнителями;
• следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.
При профессиональном осуществлении атаки используются зомби-сети или иной специализированный инструментарий. Естественно, он не одноразовый. Исполнители не заинтересованы в простаивании своих мощностей и могут осуществлять несколько атак одновременно, либо осуществлять теми же программными агентами параллельно с атакой другие функции, например, рассылку спама.
https://itinvestigations.blogspot.com/2011/02/dos.html
Защита от DoS-атак
Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.
Ниже приведён краткий перечень основных методов.
Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)
Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.
Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.
Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.
Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.
Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.
[DLMURL]https://ru.wikipedia.org/wiki/DoS-%E0%F2%E0%EA%E0[/DLMURL]
P.S. Не собираюсь кого-либо поучать, но всегда нужно давать отчет свои действиям и поступкам, а также понимать нужно ли мистеру "Х" тратить значительные средства на вывод из строя какого-либо конкретного компьютера, если эта проблема решается простым пересаживанием за другой компьютер?
Не собирался ни над кем ёрничать, но у меня есть пара знакомых, которые из-за своего же случайного мелкого недочета устраивают панику на "всем корабле".
В этой статье я расскажу о самой интересной атаке! О самой серьезной атаке! Я расскажу вам о DoS! Вы не знаете что это такое? Вы отстали от жизни, это дело надо исправлять. Пора вам продвинуться в области компьютерной безопасности. Новички, эта статья посвящается вам и только вам!
DoS (Denial of Service) – отказ об обслуживании. Суть атаки состоит в убиении системы удаленного компьютера, повисания системы или отключения от сети и в вынужденной перезагрузке. Способов DoS’а существует много, вот некоторые из них: засорение Интернет канала, посылка неправильных пакетов, посылка огромного числа пакетов. Причин еще больше: конкуренция (отключение от сети несет большие убытки), месть (мечта любого подростка отомстить своему другу), выгода (для некоторых людей взлом – работа), в целях самоутверждения (подростковый максимализм), изучение (поиск уязвимостей, защиты). Ничего из этого я не приветствую, кроме последнего пункта. DoS – одна из самых страшных атак, которые используют хакеры, взломщики и даже вирмейкеры! Я вам хочу преподнести знания о DoS’е. Я понимаю, что таких статей по этой тематике и так много, но я хочу все это преподнести в более упрощенном варианте. Я очень старался, что бы этот материал был понятен для новичков. Над этой статьей я работал очень долго. Прошу строго не судить.
DoS атаки совершаются с помощью специальных программ DoS’еров, либо вручную с использованием штатных средств, а иногда при помощи вирусов-червей. Так была совершена величайшая DDoS атака на сервера Microsoft и SCO. Червь MyDoom выполнил колоссальную работу (правда, с некоторыми ошибками). Но о DDoS мы позже поговорим, а пока давайте посмотрим, какими бывают DoS атаки.
Ping of Death
Представьте себе такую ситуацию: хакер начинает пинговать удаленную машину пакетами нестандартного размера. Пинговать значит слать пакеты «echo-request». Я понимаю, что это не совсем понятно. Объясняю. В таких пакетах хранится только адрес и служебная информация. После этого удаленная машина, получившая эти пакеты должна отослать «echo-reply». Первое, что должен сделать хакер - это увеличить размер пакетов. Это, я думаю, понятно почему. Интернет канал не выдержит больших пакетов (если канал маленький). Можно эту ситуацию более усложнить, т. Е. при помощи специального софта увеличить размер пакетов больше максимального! Да, да! Это возможно! Как вы понимаете, комп не сможет отослать «echo-reply» на такой неправильный «echo-request». И тогда только синий экран смерти. Не даром эта атака называется «Ping of Death» (рус. Пинг смерти). Но здесь есть одна проблема: сейчас такие умные программисты, что научили свою ОС отсеивать такие пакеты, поэтому она действует только на старые ОС. Но, поверьте мне, и сейчас такие остались в Internet. Если вы ничего не поняли, то объясняю попроще. Атакующий посылает неправильный пакет жертве. Компьютер жертвы не может послать подтверждение и зависает. Теперь понятно? Вот и хорошо.
SYN Flood
Линуксоиды! Радуйтесь, эта атака вам не страшна, а вот остальным нужно быть начеку.
Атакующий посылает пакеты синхронизации (TCP SYN). После первого пакета комп жертвы посылает ответный пакет (SYN ACK) и ждет пакет ACK. А он не приходит. Как это сделать? Все просто. Есть такое понятие как IP Spoofing. Каждый пакет имеет два поля: «source IP» (адрес отправителя) и «destination IP» (адрес получателя). Так вот, IP Spoofing – это подмена поля «source IP». Т.е. при такой атаке хакер меняет source IP на IP компьютера, который не в сети. Вся прелесть в том, что если комп получает пакет, где вписан IP-шник левого компьютера, то он и ответит этому, и будет ждать от него ответа. Еще с помощью этого можно зафлудить канал. После такой атаки компьютер зависает или не может ни к чему подключиться.
CPU Hog
Атака достаточно старая и простая. Действует на WinNT. В этой системе каждый процесс имеет свой приоритет (16 максимально). И программа, имеющая больший приоритет, будет ставить свой процесс выше других, т.е. «заглушая» другие. Хакер пишет такую программу и отсылает жертве, жертва же врубает ее… комп виснет.
Это далеко не все DoS атаки. Я описал самые простые. И все они доступны для вас. Но ни в коем случае я не советую их вам применять. Не будьте скрипт-кидди, который, увидев новую уязвимость с эксплоитом, мчится все дефейсить и крушить.
Существует так же множество уже «умерших атак» (Land, WinNuke). С типами DoS атак дальше, я думаю, вы разберетесь сами. Теперь перейдем к более серьезному, а именно к DDoS.
DDoS Attack – Distributed Denial of Service Attack (рус. Распределенная атака на отказ об обслуживании). Это намного серьезнее, чем DoS. При DoS один компьютер атакует жертву. При DDoS 2, 3, 30 или даже 100! При таких атаках сервера не выдерживают и приказывают долго жить.
Для того, что бы устроить DDoS атаку, вы должны иметь ботов в сети. В этом случае DDoS-бот – это сервер, зараженный специальной хакерской программой-трояном. Этот способ называется зомбированием. Можно весь процесс зомбирования автоматизировать, создав специального вируса-червя. Это самое сложное, но идеальное решение. Кстати, хороший DDoS’ер-хакер всегда должен иметь под рукой 60 серверов-зомби в среднем.
DDoS-ботом может быть программа для зомбирования серверов, для совершения атак. Программы эти очень дорогие (500-1500 $). Еще бы! DDoS – это игрушка не для ламеров. Это очень опасная штука! Хотя встречаются бесплатные DDoS-боты, но они мало функциональны. Существует много способов ограждения этих ботов от ламеров. Один из самых удачных: бот предоставляется в виде исходников на C. Их нужно откомпилировать, но в коде исходников допущены ошибки, которые найти и исправить сможет только хакер. Я даже боюсь представить, что будет, если готовый бот попадет в руки ламера. 90%, что он пойдет крушить все подряд.
Хакеры создают свои ботнеты (зомби-сети) через IRC в большинстве случаев, но можно не только через Ирку.
Более умные и дерзкие DDoS’еры-хакеры перехватывают чужие ботнеты, делая свою армию зомби-серверов больше и сильнее. Это и к лучшему. Я считаю, что в этом деле нельзя допустить монополии. Описывать сами атаки на практике я не буду. Мне за это спасибо не скажут. Но смогу описать одну игрушку для ламеров.
Denyo Launch III – это очень удобный DoS’ер с очень простым интерфейсом. С его помощью можно повесить сайт. Что бы понять, как ей пользоваться, советую посмотреть обучающее видео, а найти это видео можно на inattack.ru. Ссылку на саму прогу я не имею, придется поискать вам самим. Суть действия программы заключается в следующем: Denyo Launch III запоминает ваше действие/запрос на определенный сервер, а потом повторяет это действие 100-200 раз. В итоге сайт виснет.
Но на то эта игрушка для ламеров. А вот самая страшная DDoS атака – это Smurf. Суть атаки состоит в следующем: с помощью спуфинга (IP Spoofing) в заголовке source IP echo-пакета меняется адрес на адрес жертвы и посылается на широковещательный канал. Все компы начинают отвечать жертве. В итоге… очень плохо.
Как вы уже поняли, зомбировать сервера приходится с помощью программ-троянов. Такие программы обычно состоят из двух exe-файлов: сервера и клиента. Сервер засылается жертве, а у хакера клиент. Между ними создается порт. Сервер принимает команды клиента. Т.е. хакер может управлять чужим компьютером словно он администратор, а если может управлять, значит может и DoS’ить. А вот как сделать, что бы жертва получила Троян (сервер) и не знала об этом? Способов много. Есть такие программы – Джойнеры (Joiner). Они могут склеивать файлы. Т.е. вы сможете склеить безобидную игрушку с сервером и отдать это жертве. Жертва запустит игру и Трояна вместе с ней, но Троян себя не выдаст. Я пользуюсь MicroJoiner. А впарить все это можно с помощью Социальной инженерии. Читайте мою статью на ХЗ «Основы СИ. Часть 2.».
Лично я DDoS’ером не являюсь, но если бы я занимался DDoS’ером не являюсь, но если бы я занимался DDoS’ом, я бы старался перехватывать ботнеты и отдавал бы их машины их администраторам. И если вы в будующем планируете стать DDoS’ером, то именно так и делайте. Я уверен, что положение в Интернете улучшиться. И одной программой держать свой один большой ботнет я тоже не советую. Держите несколькими прогами. Всегда маскируйте скрипты и Трояны. Для всех ботов в IRC и ICQ делайте разные Ники, что бы никто не догадался.
Из литературы советую полностью прочитать журнал «Спец Хакер выпуск №21». Весь этот выпуск посвящен DoS и DDoS атакам. Так же прочитайте статью на hackzona.ru «Огород из DDoS-ботов». Обязательно посетите inattack.ru и прочитайте все статьи в разделах «DDoS/Флуд» и «Ботнет». Так же советую в Интернете поискать все о таких понятиях как DoS, DDoS, Spoofing, флуд, переполнение буфера, черви и защита от всего этого.
Кстати, не надо путать понятии «флуд» и «DoS». Флуд – это закидование пакетами ненужной информации, а DoS закидование пакетами неправильной информации. Это совсем разные вещи.
Прошу меня извинить, что не показал реальных практических примеров, не дал важных ссылок (хотя я вообще никаких ссылок не дал), не показал листингов.
Ну что? Подведем итоги? DoS и DDoS одни из самых опасных атак в Интернете. Попади DDoS-бот в руки скрипт-кидди или ламеру – крах провайдеру. Когда червь MyDoom совершил DDoS атаку на сервера Microsoft и SCO, они так разозлились, что объявили охоту на злобного программиста, обещая за его поимку 500 тысяч долларов. Но хакер остался в тени.
Вся информация предоставлена только для ознакомления. Это не подталкивание к криминальным действиям. Это я серьезно, т.е. я это не просто пишу. Я вас не призываю крушить сервера, а даже наоборот. Мы хакеры, а не вандалы. Главное помнить оь этом всегда.
https://adil666.ucoz.ru/publ/khaking/dos ... a/3-1-0-16
DOS-АТАКИ
СПОСОБ
DoS-атака или атака типа «отказ в обслуживании» является одним из видов неправомерною доступа, а именно такого, который приводит к блокированию информации и нарушению работы ЭВМ и их сети. Иные виды неправомерного доступа (копирование информации, уничтожение информации), а также использование вредоносных программ могут быть этапами осуществления DoS-атаки.
Такие атаки принято разделять на два типа: атаки, использующие какие-либо уязвимости в атакуемой системе и атаки, не использующие уязвимостей. Во втором случае своеобразным «поражающим фактором» атаки является перегрузка ресурсов атакуемой системы – процессора, ОЗУ, диска, пропускной способности канала.
ПРЕСТУПНИК
В настоящее время встречаются DoS-атаки как с личными, так и с корыстными мотивами. Еще 2-3 гола назад личные мотивы превалировали. Но сейчас наблюдается четкая тенденция возрастания чиста DoS-атак с корыстными мотивами в целях вымогательства или недобросовестной конкуренции.
Организовать DoS-атаку на типичный веб-сайт не представляет из себя сложной задачи, она пол силу ИТ-специалисту средней квалификации, имеющему в своем распоряжении среднее же оборудование и средней ширины канал связи. Соответственно, на черном рынке DoS-атака на обычный веб-сайт стоит десятки долларов за сутки. На более крупный или более защищенный объект - первые сотни долларов за сутки. Возможны оптовые скидки. Заказать атаку может себе позволить даже один обиженный индивидуум. Инструмент для осуществления распределенных DoS-атак зомби-сети (ботнеты) - также имеются в продаже на черном рынке по сравнительно низкой цене, порядка десятков долларов за тысячу зомби-хостов. И цена эта в последнее время снижается.
С другой стороны, в Сети появляется все больше и больше чисто информационного бизнеса, благополучие которого целиком и полностью зависит от доступности его сайта или другого сетевого ресурса. Это онлайн-магазины, онлайн-аукционы, онлайн-казино, букмекерские конторы и некоторые другие виды предприятий. Остановка работы веб-сайта в таких условиях означает полную остановку бизнеса. Несколько недель простоя могут полностью разорить предприятие. Естественно, при таких условиях находятся желающие пошантажировать владельца и получить с него выкуп за прекращение DoS-атаки. Несколько лет назад подобных предприятий (е-бизнеса) с существенными доходами еще не было. Соответственно, не было и DoS-вымогательства.
Итак, можно выделить два типа преступлений, связанных с DoS-атaками с целью доставить неприятности владельцу или пользователям атакуемого ресурса и с целью получить выкуп.
В первом случае, как и при клевете и оскорблениях, следует искать «обиженного». При этом непосредственным исполнителем может быть как он сам, так и нанятый профессионал.
Во втором случае мы имеем дело с хладнокровным криминальным расчетом, и преступление мало чем отличается от офлайнового вымогательства или недобросовестной конкуренции. Тип возможного преступника «е-бизнесмен» описан в разделе «Личность вероятного преступника».
ОБСТАНОВКА
Один тип DoS-атаки основан на использовании уязвимостей в программном обеспечении атакуемого ресурса. Другой тип так называемый «флуд» - не использует никаких уязвимостей и рассчитан на простое исчерпание ресурсов жертвы (полоса канала, оперативная память, быстродействие процессора, место на диске и т.п.). Как легко понять, ко флуду нет неуязвимых. поскольку любые компьютерные ресурсы конечны. Тем не менее разные сайты подвержены флуду в разной степени. Например. CGI-скрипт, работающий на веб-сайте, может быть написан не оптимально и требовать для своей работы слишком много оперативной памяти. Пока такой CGI-скрипт вызывается paз в минуту, эта неоптимальность совершенно незаметна. Но стоит злоумышленнику произвести вызов CGI-скрипта хотя бы сто раз в секунду (никаких особых затрат со стороны злоумышленника для этого не требуете, всего 300 пакетов в секунду, порядка 5 Мбит/с) — и неоптимальность CGI-скрипта приводит к полному параличу веб-сайта.
То есть запас по производительности и есть первичная зашита от DoS-атаки.
Обычные хостинг-провайдеры держат на одном сервере по нескольку десятков клиентских веб-сайтов. По экономическим причинам большого запаса производительности они сделать не могут. Отсюда следует, что типичный веб-сайт, размещенный у хостинг-провайдера, уязвим даже к самому простейшему флуду.
ПОТЕРПЕВШИЙ
Потерпевшим в подавляющем большинстве случаев выступает юридическое лицо.
Коммерческие организации редко бывают заинтересованы в официальном расследовании, поскольку для них главное - устранить опасность и минимизировать убытки. В наказании злоумышленника они не видят для себя никакой выгоды. А участие в судебном процессе в роли потерпевшего часто негативно отражается на деловой репутации.
Выступить потерпевшим организация-владелец атакуемого ресурса может в следующих случаях:
• когда есть уверенность, что не наказанный злоумышленник будет повторять атаки;
• когда предприятию надо отчитываться за понесенные убытки или перерывы в оказании услуг перед партнерами, клиентами, акционерами;
• когда руководитель предприятия усматривает в атаке личные мотивы, личную обиду, когда уязвлено его самолюбие.
В прочих случаях не приходится рассчитывать на заинтересованность потерпевшего в раскрытии преступления.
Следует помнить, что многие DoS-атаки воздействуют сразу на целый сегмент Сети, на канал, на маршрутизатор, за которым могут располагаться много потребителей услуг связи, даже если непосредственной целью атаки является лишь один из них. Для целей расследования необходимо установить, на кого именно был направлен умысел преступника. Формальным же потерпевшим может выступить любой из пострадавших от атаки.
Вместо формального потерпевшего целесообразно рассмотреть особенности личности специалиста, который обслуживает атакованную информационную систему и отвечает за ее защиту. Понимание его личности поможет понять причины и механизм совершения преступления.
Типичный профессиональный системный администратор человек, в реальном мире ничего из себя не представляющий (даже далеко не всегда высокооплачиваемый), но в мире виртуальном царь и бог. Подобное двоякое положение сильно способствует развитию комплексов неполноценности и стремлению компенсировать в виртуальности свою ничтожность в реальной мире. Поскольку речь идет о молодом человеке, значительную часть времени вынужденной проводить за компьютером (иначе профессионализм не приобрести), данный комплекс часто усугубляется половой неудовлетворенностью. Теперь представьте, что может натворить такой системный администратор с болезненным желанием продемонстрировать свою власть. При условии, что руководитель компании в технических вопросах вовсе не разбирается или не интересуется ими.
Можно сказать, что для потерпевшего от DoS-атаки (точнее, сотрудников юрлица потерпевшего) характерно провоцирующее поведение в онлайновых взаимоотношениях.
СЛЕДЫ
При подготовке и проведении DoS-атаки образуются следующие следы технического характера:
• наличие инструментария атаки - программных средств (агентов), установленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
• следы поиска, тестирования, приобретения инструментария;
• логи (преимущественно статистика трафика) операторов связи. через сети которых проходила атака:
• логи технических средств зашиты детекторов атак и аномалий трафика, систем обнаружения вторжений, межсетевых экранов, специализированных антифлудовых фильтров;
• логии, образцы трафика и другие данные, специально полученные техническими специалистами операторов связи в ходе расследования инцидента, выработки контрмер, отражения атаки. (Следует знать, что DoS-атака требует немедленной реакции, если владелец желает спасти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрманевры, из-за чего картина атаки усложняется);
• следы от излучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS-атак, его переписки, переговоров и денежных расчетов с исполнителями;
• следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.
При профессиональном осуществлении атаки используются зомби-сети или иной специализированный инструментарий. Естественно, он не одноразовый. Исполнители не заинтересованы в простаивании своих мощностей и могут осуществлять несколько атак одновременно, либо осуществлять теми же программными агентами параллельно с атакой другие функции, например, рассылку спама.
https://itinvestigations.blogspot.com/2011/02/dos.html
Защита от DoS-атак
Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.
Ниже приведён краткий перечень основных методов.
Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)
Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.
Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.
Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.
Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.
Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.
[DLMURL]https://ru.wikipedia.org/wiki/DoS-%E0%F2%E0%EA%E0[/DLMURL]
P.S. Не собираюсь кого-либо поучать, но всегда нужно давать отчет свои действиям и поступкам, а также понимать нужно ли мистеру "Х" тратить значительные средства на вывод из строя какого-либо конкретного компьютера, если эта проблема решается простым пересаживанием за другой компьютер?
Не собирался ни над кем ёрничать, но у меня есть пара знакомых, которые из-за своего же случайного мелкого недочета устраивают панику на "всем корабле".
