[Τεχνική ανάλυση] Σε βάθος και κατανοητό: Εισαγωγή στην επίθεση της δικτυακής επίθεσης και άμυνας

Οι επιθέσεις DDoS (Distributed Denial of Service) είναι μια από τις πιο ισχυρές και δύσκολες επιθέσεις για άμυνα, επειδή ο κύριος σκοπός των επιθέσεων DDoS είναι να εμποδίσουν έναν καθορισμένο στόχο να παρέχει κανονικές υπηρεσίες ή ακόμα και να εξαφανιστεί από το Διαδίκτυο.

Τα DDoS μπορούν απλά να χωριστούν σε τρεις κατηγορίες ανάλογα με τον τρόπο που ξεκινούν.

Η πρώτη κατηγορία κερδίζει με το ζόριΤεράστια πακέτα δεδομένων συρρέουν από όλες τις γωνιές του Διαδικτύου, εμποδίζοντας την είσοδο στο IDC, καθιστώντας άχρηστα διάφορα ισχυρά αμυντικά συστήματα υλικού και γρήγορες και αποτελεσματικές διαδικασίες έκτακτης ανάγκης. Τυπικά παραδείγματα αυτού του τύπου επίθεσης είναι το ICMP Flood και το UDP Flood, τα οποία είναι πλέον ασυνήθιστα.

Η δεύτερη κατηγορία κερδίζει με εξυπνάδα, έξυπνο και ανεπαίσθητο, η αποστολή ενός πακέτου κάθε λίγα λεπτά ή ακόμα και χρειάζεται μόνο ένα πακέτο μπορεί να κάνει τον πολυτελή διακομιστή διαμόρφωσης να μην ανταποκρίνεται πλέον. Αυτός ο τύπος επίθεσης ξεκινά κυρίως με την εκμετάλλευση τρωτών σημείων σε πρωτόκολλα ή λογισμικό, όπως επιθέσεις Slowloris, επιθέσεις σύγκρουσης κατακερματισμού κ.λπ., και απαιτεί συγκεκριμένες περιβαλλοντικές συμπτώσεις.

Η τρίτη κατηγορία είναι ένα μείγμα των δύο παραπάνωΌχι μόνο εκμεταλλεύεται τα ελαττώματα του πρωτοκόλλου και του συστήματος, αλλά έχει επίσης μεγάλο όγκο κίνησης, όπως η επίθεση SYN Flood και η επίθεση DNS Query Flood, η οποία είναι η τρέχουσα κύρια μέθοδος επίθεσης.

Αυτό το άρθρο θα περιγράψει αυτές τις πιο κοινές και αντιπροσωπευτικές μεθόδους επίθεσης μία προς μία και θα παρουσιάσει τις επιλογές άμυνάς τους.

Το SYN Flood είναι μια από τις πιο κλασικές επιθέσεις DDoS στο Διαδίκτυο, που εμφανίστηκε για πρώτη φορά γύρω στο 1999, με το Yahoo να είναι το πιο διάσημο θύμα εκείνη την εποχή. Οι επιθέσεις SYN Flood εκμεταλλεύονται ελαττώματα τριπλής χειραψίας TCP που μπορούν να καταστήσουν τον διακομιστή-στόχο να μην ανταποκρίνεται και να είναι δύσκολο να εντοπιστεί με μικρό κόστος.

Η τυπική διαδικασία τριμερούς χειραψίας TCP είναι η εξής:

• Ο υπολογιστής-πελάτης στέλνει ένα πακέτο TCP που περιέχει τη σημαία SYN, το SYN συγχρονίζεται και το πακέτο συγχρονισμού υποδεικνύει τη θύρα που χρησιμοποιείται από τον υπολογιστή-πελάτη και τον αρχικό σειριακό αριθμό της σύνδεσης TCP.
• Μετά τη λήψη του πακέτου SYN από τον πελάτη, ο διακομιστής θα επιστρέψει ένα πακέτο SYN+ACK (δηλαδή, επιβεβαίωση επιβεβαίωσης), υποδεικνύοντας ότι το αίτημα του πελάτη έγινε αποδεκτό και ο αρχικός σειριακός αριθμός TCP προστίθεται αυτόματα με το 1.
• Ο υπολογιστής-πελάτης επιστρέφει επίσης ένα μήνυμα επιβεβαίωσης ACK στο διακομιστή και ο σειριακός αριθμός TCP προστίθεται επίσης με το 1.
  

Μετά από αυτά τα τρία βήματα, δημιουργείται η σύνδεση TCP. Προκειμένου να επιτευχθεί αξιόπιστη μετάδοση, το πρωτόκολλο TCP έχει δημιουργήσει ορισμένους μηχανισμούς χειρισμού εξαιρέσεων κατά τη διάρκεια των τριών χειραψιών. Στο τρίτο βήμα, εάν ο διακομιστής δεν λάβει το τελικό πακέτο επιβεβαίωσης ACK από τον πελάτη, ο διακομιστής θα παραμείνει στην κατάσταση SYN_RECV, θα προσθέσει τη διεύθυνση IP του πελάτη στη λίστα αναμονής και θα στείλει ξανά το πακέτο SYN+ACK στο δεύτερο βήμα. Οι αναδημοσιεύσεις εκτελούνται συνήθως 3-5 φορές και η λίστα αναμονής γίνεται δημοσκόπηση μία φορά σε διαστήματα περίπου 30 δευτερολέπτων για να δοκιμαστούν ξανά όλοι οι πελάτες. Από την άλλη πλευρά, αφού ο διακομιστής στείλει το πακέτο SYN+ACK, εκχωρεί εκ των προτέρων πόρους για την αποθήκευση πληροφοριών για την επερχόμενη σύνδεση TCP, οι οποίες διατηρούνται κατά την αναμονή της επανάληψης. Το πιο σημαντικό, εάν οι πόροι του διακομιστή είναι περιορισμένοι, η κατάσταση SYN_RECV που μπορεί να διατηρηθεί δεν θα δέχεται πλέον νέα πακέτα SYN μετά την υπέρβαση του ορίου, δηλαδή οι νέες συνδέσεις TCP θα απορρίπτονται.

Το SYN Flood χρησιμοποιεί τις παραπάνω ρυθμίσεις πρωτοκόλλου TCP για να επιτύχει τον σκοπό της επίθεσης. Οι εισβολείς συγκαλύπτουν μεγάλο αριθμό διευθύνσεων IP για να στείλουν πακέτα SYN στον διακομιστή και δεδομένου ότι οι πλαστές διευθύνσεις IP είναι σχεδόν αδύνατο να υπάρχουν, σχεδόν καμία συσκευή δεν θα επιστρέψει καμία απάντηση στον διακομιστή. Ως αποτέλεσμα, ο διακομιστής διατηρεί μια τεράστια λίστα αναμονής και συνεχίζει να προσπαθεί ξανά να στείλει πακέτα SYN+ACK, τα οποία καταναλώνουν πολλούς πόρους και δεν μπορούν να απελευθερωθούν. Το πιο σημαντικό, η ουρά SYN_RECV του διακομιστή που δέχεται επίθεση είναι γεμάτη με κακόβουλα πακέτα και τα νέα αιτήματα SYN δεν γίνονται πλέον δεκτά και οι νόμιμοι χρήστες δεν μπορούν να ολοκληρώσουν τρεις χειραψίες για να δημιουργήσουν συνδέσεις TCP. Με άλλα λόγια, ο διακομιστής αρνήθηκε την υπηρεσία από το SYN Flood.

Αν σας ενδιαφέρει το SYN Flood, μπορείτε να ρίξετε μια ματιά στο http://www.icylife.net/yunshu/show.php?id=367, το οποίο έγραψα το 2006 και αργότερα έκανα αρκετές αλλαγές, διόρθωσα σφάλματα και μείωσα την επιθετικότητα και χρησιμοποιήθηκε καθαρά για δοκιμές.

Ως η πιο βασική και βασική υπηρεσία του Διαδικτύου, το DNS είναι φυσικά ένας από τους σημαντικούς στόχους των επιθέσεων DDoS. Η κατάργηση μιας υπηρεσίας DNS μπορεί έμμεσα να καταστρέψει ολόκληρη την επιχείρηση μιας εταιρείας ή μια υπηρεσία δικτύου σε μια περιοχή. Πριν από λίγο καιρό, η δημοφιλής ομάδα χάκερ Anonymous ανακοίνωσε επίσης ότι θα επιτεθεί σε 13 διακομιστές DNS στο παγκόσμιο Διαδίκτυο, αλλά τελικά δεν τα κατάφερε.

Οι επιθέσεις UDP είναι η ευκολότερη μέθοδος επίθεσης για την έναρξη μαζικής κυκλοφορίας και η πλαστογράφηση IP τυχαίας πηγής είναι δύσκολο να εντοπιστεί. Ωστόσο, το φιλτράρισμα είναι ευκολότερο επειδή οι περισσότερες IP δεν παρέχουν υπηρεσίες UDP, επομένως μπορείτε απλώς να απορρίψετε την κυκλοφορία UDP. Επομένως, οι επιθέσεις καθαρής κυκλοφορίας UDP είναι σχετικά σπάνιες τώρα και αντικαθίστανται από επιθέσεις DNS Query Flood που μεταφέρονται από το πρωτόκολλο UDP. Με απλά λόγια, οι επιθέσεις DDoS που εξαπολύονται όσο υψηλότερο είναι το πρωτόκολλο, τόσο πιο δύσκολο είναι να αμυνθείτε, επειδή όσο υψηλότερο είναι το πρωτόκολλο, τόσο πιο σχετικό με τις επιχειρήσεις είναι και τόσο πιο περίπλοκο αντιμετωπίζει το αμυντικό σύστημα.

Το DNS Query Flood είναι όταν ένας εισβολέας χειρίζεται μεγάλο αριθμό μηχανών sockpuppet για να ξεκινήσει μεγάλο αριθμό αιτημάτων ερωτημάτων ονόματος τομέα στον στόχο. Για να αποφευχθεί το φιλτράρισμα που βασίζεται σε ACL, πρέπει να βελτιωθεί η τυχαιότητα των πακέτων. Μια κοινή πρακτική είναι η τυχαία πλαστογράφηση της διεύθυνσης IP προέλευσης, η τυχαία πλαστογράφηση της θύρας προέλευσης και άλλων παραμέτρων στο επίπεδο UDP. Στο επίπεδο πρωτοκόλλου DNS, το αναγνωριστικό ερωτήματος πλαστογραφείται τυχαία μαζί με το όνομα τομέα που πρόκειται να επιλυθεί. Εκτός από την αποτροπή του φιλτραρίσματος, τα τυχαία πλαστά ονόματα τομέα που πρέπει να επιλυθούν μπορούν επίσης να μειώσουν την πιθανότητα να χτυπήσουν την προσωρινή μνήμη DNS και να καταναλώσουν όσο το δυνατόν περισσότερους πόρους CPU του διακομιστή DNS.

Όσον αφορά τον κώδικα για το DNS Query Flood, έγραψα έναν κώδικα τον Ιούλιο του 2011 για να δοκιμάσω την απόδοση του διακομιστή και ο σύνδεσμος είναι http://www.icylife.net/yunshu/show.php?id=832. Ομοίως, αυτός ο κώδικας είναι τεχνητά λιγότερο επιθετικός και προορίζεται μόνο για δοκιμαστικούς σκοπούς.

Το SYN Flood και το DNS Query Flood που περιγράφηκαν παραπάνω μπορούν να αμυνθούν αποτελεσματικά σε αυτό το στάδιο και ο πραγματικός πονοκέφαλος για τους μεγάλους κατασκευαστές και τις εταιρείες του Διαδικτύου είναι οι επιθέσεις HTTP Flood. Το HTTP Flood είναι μια επίθεση σε μια υπηρεσία web σε ένα πρωτόκολλο έβδομου επιπέδου. Η μεγάλη του βλάβη εκδηλώνεται κυρίως σε τρεις πτυχές: βολική έναρξη, δύσκολο φιλτράρισμα και εκτεταμένες επιπτώσεις.

Τόσο το SYN Flood όσο και το DNS Query Flood απαιτούν από τους εισβολείς να ελέγχουν μεγάλο αριθμό bots με δικαιώματα root. Χρειάζεται χρόνος και προσπάθεια για τη συλλογή μεγάλου αριθμού προνομίων root και κατά τη διάρκεια της επίθεσης, η μαριονέτα αργεί να αναπληρωθεί λόγω της ταχείας απώλειας πόρων από τον εισβολέα λόγω της μη φυσιολογικής κίνησης που ανακάλυψε ο διαχειριστής, με αποτέλεσμα τη σημαντική μείωση της έντασης της επίθεσης και δεν μπορεί να διατηρηθεί για μεγάλο χρονικό διάστημα. Οι επιθέσεις HTTP Flood είναι διαφορετικές, οι επιτιθέμενοι δεν χρειάζεται να ελέγχουν μεγάλο αριθμό bots, αλλά αντ' αυτού χρησιμοποιούν σαρωτές θυρών για να βρουν ανώνυμους διακομιστές μεσολάβησης HTTP ή διακομιστές μεσολάβησης SOCKS στο Διαδίκτυο, μέσω των οποίων ο εισβολέας εκκινεί αιτήματα HTTP στον στόχο επίθεσης. Οι ανώνυμοι διακομιστής μεσολάβησης είναι ένας σχετικά πλούσιος πόρος και δεν είναι δύσκολο να αποκτήσετε διακομιστές μεσολάβησης σε λίγες μέρες, επομένως οι επιθέσεις είναι εύκολο να ξεκινήσουν και μπορούν να διαρκέσουν για μεγάλο χρονικό διάστημα.

Από την άλλη πλευρά, οι επιθέσεις HTTP flood ξεκινούν στο επίπεδο HTTP, το οποίο μιμείται έντονα τη συμπεριφορά αιτημάτων ιστοσελίδων των κανονικών χρηστών, η οποία σχετίζεται στενά με την επιχείρηση του ιστότοπου, καθιστώντας δύσκολο για τους προμηθευτές ασφαλείας να παρέχουν μια κοινή λύση που δεν επηρεάζει την εμπειρία του χρήστη. Κανόνες που λειτουργούν καλά σε ένα μέρος, η αλλαγή σεναρίων μπορεί να οδηγήσει σε μεγάλο αριθμό ανθρωποκτονιών.

Τέλος, οι επιθέσεις HTTP flood μπορούν να προκαλέσουν σοβαρές αλυσιδωτές αντιδράσεις, όχι μόνο προκαλώντας άμεσα αργή απόκριση από το front-end ιστού που δέχεται επίθεση, αλλά και έμμεσα επιτιθέμενοι στο back-end Java και σε άλλες λογικές υπηρεσίες επιχειρηματικού επιπέδου και βάσεις δεδομένων back-end, αυξάνοντας την πίεσή τους και επηρεάζοντας ακόμη και τους διακομιστές αποθήκευσης αρχείων καταγραφής.

Είναι ενδιαφέρον ότι το HTTP Flood έχει επίσης ένα ιστορικό ψευδώνυμο που ονομάζεται CC attack. Το CC είναι συντομογραφία του Challenge Collapsar, το οποίο είναι μια συσκευή προστασίας DDoS από μια γνωστή εταιρεία ασφαλείας στην Κίνα. Κρίνοντας από την τρέχουσα κατάσταση, όχι μόνο το Collapsar, αλλά όλος ο αμυντικός εξοπλισμός υλικού εξακολουθεί να αμφισβητείται και ο κίνδυνος δεν έχει αρθεί.

Όταν πρόκειται για επιθέσεις, η πρώτη αντίδραση είναι η μαζική κίνηση και τα τεράστια πακέτα. Υπάρχει όμως μια επίθεση που κάνει το αντίθετο, γνωστή για το ότι είναι αργή, έτσι ώστε ορισμένοι στόχοι επίθεσης να σκοτώνονται χωρίς να γνωρίζουν πώς πεθαίνουν, η οποία είναι η επίθεση αργής σύνδεσης, η πιο αντιπροσωπευτική είναι η Slowloris που εφευρέθηκε από τον rsnake.

Το πρωτόκολλο HTTP ορίζει ότι οι αιτήσεις HTTP τελειώνουν σε \r\n\r\n, υποδεικνύοντας ότι ο πελάτης έχει ολοκληρώσει την αποστολή και ο διακομιστής έχει ξεκινήσει την επεξεργασία. Τι θα συμβεί λοιπόν αν δεν στείλετε ποτέ \r\n\r\n; Το Slowloris το χρησιμοποιεί προς όφελός του σε επιθέσεις DDoS. Ο εισβολέας ορίζει τη σύνδεση σε Keep-Alive στην κεφαλίδα αίτησης HTTP, ζητά από το διακομιστή web να διατηρήσει τη σύνδεση TCP μη αποσυνδεδεμένη και, στη συνέχεια, στέλνει αργά μια μορφή κλειδιού-τιμής στο διακομιστή κάθε λίγα λεπτά, όπως a:b\r\n, με αποτέλεσμα ο διακομιστής να πιστεύει ότι η κεφαλίδα HTTP δεν έχει ληφθεί και περιμένει. Εάν ένας εισβολέας χρησιμοποιεί multithreading ή μαριονέτα για να κάνει το ίδιο, το κοντέινερ ιστού του διακομιστή θα κατακλυστεί γρήγορα από τον εισβολέα και δεν θα δέχεται πλέον νέα αιτήματα.

Σύντομα, άρχισαν να εμφανίζονται διάφορες παραλλαγές του Slowloris. Για παράδειγμα, η μέθοδος POST υποβάλλει δεδομένα στον διακομιστή Web, συμπληρώνει ένα μεγάλο μήκος περιεχομένου αλλά αργό byte προς byte POST πραγματικό περιεχόμενο δεδομένων κ.λπ. Σχετικά με την επίθεση Slowloris, το rsnake δίνει επίσης έναν κωδικό δοκιμής, δείτε http://ha.ckers.org/slowloris/slowloris.pl.

Τα παραπάνω εισάγουν πολλές βασικές μεθόδους επίθεσης, οποιαδήποτε από τις οποίες μπορεί να χρησιμοποιηθεί για να επιτεθεί στο δίκτυο, ακόμη και να νικήσει γιγάντιους ιστότοπους όπως η Alibaba, η Baidu και η Tencent. Αλλά δεν είναι μόνο αυτό, διαφορετικά επίπεδα επιτιθέμενων μπορούν να εξαπολύσουν εντελώς διαφορετικές επιθέσεις DDoS και η χρήση τους είναι το ίδιο πράγμα.

Οι προχωρημένοι επιτιθέμενοι δεν χρησιμοποιούν ποτέ ένα μόνο διάνυσμα για να επιτεθούν, αλλά τα συνδυάζουν ευέλικτα με βάση το περιβάλλον-στόχο. Το συνηθισμένο SYN Flood είναι εύκολο να φιλτραριστεί από συσκευές καθαρισμού κυκλοφορίας μέσω αντίστροφης ανίχνευσης, cookies SYN και άλλων τεχνικών μέσων, αλλά εάν τα πακέτα SYN+ACK αναμειγνύονται στο SYN Flood, έτσι ώστε κάθε πλαστό πακέτο SYN να έχει ένα αντίστοιχο πλαστό πακέτο επιβεβαίωσης πελάτη, το αντίστοιχο εδώ αναφέρεται στη διεύθυνση IP προέλευσης, τη θύρα προέλευσης, την IP προορισμού, τη θύρα προορισμού, το μέγεθος παραθύρου TCP, το TTL κ.λπ. Η πίεση στην απόδοση της αντίστροφης ανίχνευσης και των cookies SYN του εξοπλισμού καθαρισμού ροής θα αυξηθεί σημαντικά. Στην πραγματικότητα, τα πακέτα δεδομένων SYN και διάφορα άλλα bit σημαίας έχουν ειδικά εφέ επίθεσης, τα οποία δεν παρουσιάζονται εδώ. Υπάρχουν επίσης μοναδικές τεχνικές για το DNS Query Flood.

Πρώτα απ 'όλα, το DNS μπορεί να χωριστεί σε συνηθισμένο DNS και εξουσιοδοτημένο τομέα DNS, επιτίθεται στο συνηθισμένο DNS, η διεύθυνση IP πρέπει να πλαστογραφηθεί τυχαία και ο διακομιστής απαιτεί αναδρομική ανάλυση. Ωστόσο, κατά την επίθεση στον εξουσιοδοτημένο τομέα DNS, η πλαστή διεύθυνση IP προέλευσης δεν πρέπει να είναι καθαρά τυχαία, αλλά θα πρέπει να είναι οι διευθύνσεις DNS των ISP σε όλο τον κόσμο που συλλέγονται εκ των προτέρων, έτσι ώστε να επιτευχθεί το μέγιστο αποτέλεσμα επίθεσης, έτσι ώστε η συσκευή καθαρισμού κυκλοφορίας να βρίσκεται στην ενοχλητική κατάσταση της προσθήκης μαύρης λίστας IP ή της μη προσθήκης μαύρης λίστας IP. Η προσθήκη του θα οδηγήσει σε μεγάλο αριθμό ανθρωποκτονιών και αν δεν προσθέσετε μια μαύρη λίστα, κάθε πακέτο πρέπει να ανιχνευθεί αντίστροφα, γεγονός που αυξάνει την πίεση απόδοσης.

Από την άλλη, όπως αναφέρθηκε προηγουμένως, για να αυξηθεί η πίεση καθαρισμού της συσκευής, είναι απαραίτητο να τυχαιοποιηθεί το ζητούμενο όνομα τομέα χωρίς να χτυπήσει την κρυφή μνήμη, αλλά πρέπει να σημειωθεί ότι το όνομα τομέα που πρόκειται να επιλυθεί πρέπει να έχει μια ορισμένη κανονικότητα στην πλαστογραφία, όπως σφυρηλάτηση μόνο ενός συγκεκριμένου μέρους του ονόματος τομέα και στερεοποίηση ενός τμήματος για να σπάσει τη λίστα επιτρεπόμενων που έχει ορίσει η συσκευή καθαρισμού. Ο λόγος είναι απλός, οι διακομιστές της Tencent μπορούν να επιλύσουν μόνο τα ονόματα τομέα της Tencent και τα εντελώς τυχαία ονόματα τομέα μπορεί να απορριφθούν απευθείας και να πρέπει να σταθεροποιηθούν. Αλλά αν είναι πλήρως διορθωμένο, είναι εύκολο να απορριφθεί απευθείας, επομένως πρέπει να σφυρηλατηθεί.

Δεύτερον, οι επιθέσεις στο DNS δεν πρέπει να επικεντρώνονται αποκλειστικά στις θύρες UDP, οι οποίες είναι επίσης τυπικές υπηρεσίες σύμφωνα με το πρωτόκολλο DNS. Σε περίπτωση επίθεσης, μπορούν να πραγματοποιηθούν ταυτόχρονα επιθέσεις UDP και TCP.

Το επίκεντρο του HTTP Flood είναι να σπάσει την προσωρινή μνήμη στο frontend και να φτάσει απευθείας στον ίδιο τον Web Server μέσω των ρυθμίσεων πεδίου στην κεφαλίδα HTTP. Επιπλέον, το HTTP Flood είναι επίσης πολύ κρίσιμο για την επιλογή των στόχων και οι απλοί εισβολείς θα επιλέξουν σελίδες που απαιτούν πολλά ερωτήματα δεδομένων, όπως η αναζήτηση ως στόχος επίθεσης, κάτι που είναι πολύ σωστό και μπορεί να καταναλώσει όσο το δυνατόν περισσότερους πόρους του διακομιστή. Αλλά αυτή η επίθεση είναι εύκολο να εντοπιστεί με τον καθαρισμό του εξοπλισμού μέσω της αναγνώρισης ανθρώπου-μηχανής, οπότε πώς να λύσετε αυτό το πρόβλημα; Είναι πολύ απλό, προσπαθήστε να επιλέξετε σελίδες στις οποίες έχουν πρόσβαση και οι κανονικοί χρήστες μέσω της APP, σε γενικές γραμμές, διαφόρων Web API. Οι κανονικοί χρήστες και η κακόβουλη κίνηση προέρχονται από την εφαρμογή και η διαφορά μεταξύ ανθρώπου και μηχανής είναι πολύ μικρή και είναι δύσκολο να γίνει διάκριση μεταξύ της βασικής ενοποίησης.

Κάθε σύνδεση TCP υπάρχει από την πλευρά του διακομιστή και από μόνη της, και πρέπει επίσης να καταναλώνει πόρους για να διατηρήσει την κατάσταση TCP, επομένως η σύνδεση δεν μπορεί να διατηρηθεί πάρα πολύ. Εάν αυτό μπορεί να λυθεί, η επιθετικότητα θα ενισχυθεί σημαντικά, δηλαδή, ο Slowloris μπορεί να εξαπολύσει επιθέσεις με τρόπο χωρίς ιθαγένεια, να συλλάβει τον σειριακό αριθμό TCP και να επιβεβαιώσει τη συντήρηση των συνδέσεων TCP στον πελάτη με sniffing και ο πυρήνας του συστήματος δεν χρειάζεται να δώσει προσοχή σε διάφορες αλλαγές κατάστασης του TCP και ένας φορητός υπολογιστής μπορεί να δημιουργήσει έως και 65.535 συνδέσεις TCP.

Οι προηγούμενες περιγραφές είναι όλες βελτιώσεις τεχνικής επίθεσης. Από την ανθρώπινη πλευρά, υπάρχουν και άλλα μέσα. Εάν το SYN Flood στέλνει μεγάλο αριθμό πακέτων και συνοδεύεται από αργές συνδέσεις Slowloris, πόσοι άνθρωποι θα ανακαλύψουν το μυστικό; Ακόμα κι αν ο διακομιστής πέσει, ενδέχεται να βρεθούν μόνο επιθέσεις SYN, προσπαθώντας να ενισχύσουν τον καθαρισμό του επιπέδου TCP και αγνοώντας τη συμπεριφορά του επιπέδου εφαρμογής. Όλα τα είδη επιθέσεων μπορούν να συνεργαστούν για να επιτύχουν το μέγιστο αποτέλεσμα. Η επιλογή του χρόνου επίθεσης είναι επίσης ένα βασικό σημείο, όπως η επιλογή του προσωπικού συντήρησης όταν γευματίζουν, όταν το προσωπικό συντήρησης είναι κολλημένο στο δρόμο μετά την αποβίβαση από τη δουλειά ή όταν δεν υπάρχει σήμα στην κάρτα ασύρματου δικτύου στο μετρό και όταν η επιχείρηση-στόχος διοργανώνει μια εκδήλωση μεγάλης κλίμακας και η κίνηση αυξάνεται.

Αυτή είναι μια καθαρή επίθεση, επομένως δεν παρέχεται κώδικας ή εις βάθος εξήγηση.

Οι προηγούμενες μέθοδοι επίθεσης απαιτούν λίγο πολύ κάποια bots, ακόμη και το HTTP Flood απαιτεί αναζήτηση μεγάλου αριθμού ανώνυμων proxies. Εάν υπάρξει επίθεση, χρειάζεται μόνο να δώσετε κάποιες οδηγίες και το μηχάνημα θα εμφανιστεί αυτόματα για να την εκτελέσει, κάτι που είναι η τέλεια λύση. Αυτή η επίθεση έχει ήδη εμφανιστεί, και αυτή είναι από δίκτυα P2P.

Όπως όλοι γνωρίζουμε, οι χρήστες P2P και η κίνηση στο Διαδίκτυο είναι ένας εξαιρετικά μεγάλος αριθμός. Εάν όλα πάνε σε ένα καθορισμένο μέρος για να κατεβάσουν δεδομένα και να συνδέσουν χιλιάδες πραγματικές διευθύνσεις IP, καμία συσκευή δεν μπορεί να το υποστηρίξει. Πάρτε για παράδειγμα τη λήψη BT, η πλαστογράφηση torrents ορισμένων δημοφιλών βίντεο και η ανάρτησή τους στις μηχανές αναζήτησης είναι αρκετή για να εξαπατήσει πολλούς χρήστες και επισκεψιμότητα, αλλά αυτό είναι μόνο μια βασική επίθεση.

Οι προηγμένες επιθέσεις P2P είναι άμεση πλαστογράφηση διακομιστών διαχείρισης πόρων. Για παράδειγμα, ο πελάτης Thunder θα ανεβάσει τους πόρους που βρίσκει στον διακομιστή διαχείρισης πόρων και, στη συνέχεια, θα τους προωθήσει σε άλλους χρήστες που πρέπει να κατεβάσουν τους ίδιους πόρους, έτσι ώστε να δημοσιευτεί ένας σύνδεσμος. Μέσω της αντιστροφής πρωτοκόλλου, οι εισβολείς πλαστογραφούν μεγάλο όγκο δημοφιλών πληροφοριών πόρων και τις διανέμουν μέσω του κέντρου διαχείρισης πόρων, το οποίο μπορεί να διαδοθεί άμεσα σε ολόκληρο το δίκτυο P2P. Αυτό που είναι ακόμα πιο τρομακτικό είναι ότι αυτή η επίθεση δεν μπορεί να σταματήσει, ακόμη και από τον ίδιο τον εισβολέα, και η επίθεση συνεχίζεται έως ότου ο υπάλληλος του P2P εντοπίσει το πρόβλημα και ενημερώσει τον διακομιστή και ο χρήστης λήψης επανεκκινήσει το λογισμικό που έχει λάβει.

Αυτό είναι το μόνο που υπάρχει στην εισαγωγή στις επιθέσεις DDoS και δεν θέλω να προχωρήσω περισσότερο - αρκεί να καταλάβω ότι τόση άμυνα είναι αρκετή.

Γενικά, οι επιθέσεις DDoS μπορεί να είναι επιδέξιες και χαριτωμένες. Η ομορφιά της εφαρμογής έγκειται στην ενότητα του νου.