Domanda:
Un attacco DDoS può fornire informazioni?
KosugiNinja
2016-08-10 12:28:38 UTC
view on stackexchange narkive permalink

Un attacco DDoS può rivelare informazioni o essere utilizzato per montare un attacco? La mia comprensione è che il punto centrale di DDoS o DoS è consumare tutte le risorse / sovraccaricare il server causandone l'arresto anomalo. E questo è l'unico motivo per fare un DDoS.

Ho sentito che DDoS viene utilizzato per ottenere informazioni. È vero o totalmente falso?

Un attacco DoS fa emergere casi limite (un arresto anomalo è un caso appena oltre il limite), che non dovrebbe ma * potrebbe * rivelare informazioni non accessibili altrimenti.
Questo è teorico ma se installi un server, il tempo necessario per gestire una richiesta diventa misurabile su una rete, e se sai che il server sta controllando la password carattere per carattere puoi quindi sapere se i primi caratteri della password che hai provatosono quelli giusti perché il server ora impiega più tempo a rispondere.
@Pierre.Sassoulas Si spera che il server utilizzi confronti a tempo costante per evitare la fuga di informazioni ... aspetta, chi sto prendendo in giro?
Sì, teorico ... ma potrebbe succedere :)
Non sei preoccupato per il [censimento australiano 2016] (http://www.9news.com.au/national/2016/08/10/17/37/census-attack-sets-back-e-voting) sonotu?: P
Poiché la tua domanda non sembra limitata agli attacchi remoti: conta [MAC flooding] (https://en.wikipedia.org/wiki/MAC_flooding)?
Perché lo limiti a DDoS?La domanda sembra applicarsi a DoS in generale.
Sì, rivela la quantità di risorse di cui dispone il server (approssimativamente).
@Paparazzi DoS include altri attacchi più sofisticati di "martella il server finché non fallisce" - ping di morte, per un vecchio esempio.Sebbene sia certamente possibile inviare abbastanza traffico da una posizione per bloccarlo, dicendo "DDoS" è chiaro che stai parlando di traffico di forza bruta.
@SomeoneSomewhere OK.Se la domanda riguarda l'acquisizione di informazioni, qual è lo scopo della limitazione agli attacchi DDoS?
@Paparazzi Perché se includi tutti gli attacchi che negano il servizio, il messaggio verrebbe probabilmente chiuso (giustamente) perché "troppo ampio".
@SomeoneSomewhere Really Distributed farebbe la differenza nell'ottenere chiuso?Ironico, si tratta di negazione del servizio.
DDoS è generalmente considerato * un attacco specifico *: indirizza molto traffico, da molte origini, a un server.DoS è una grande classe di attacchi che bloccano il funzionamento delle cose: si chiede "C'è qualcosa che posso fare che interrompa un servizio e mi informi".È una quantità enorme di informazioni.
Undici risposte:
Rory Alsop
2016-08-10 14:43:46 UTC
view on stackexchange narkive permalink

Un attacco DDoS fornirà sicuramente a un utente malintenzionato informazioni sui tempi di risposta, capacità di carico e instradamento.

Può anche fornire informazioni su come gli incidenti vengono gestiti internamente ed esternamente, nonché su come vengono segnalati al pubblico.

Ma non sono questi gli usi principali.

Generalmente i due motivi principali per DDoS sono:

  • prendere un servizio o sito web offline
  • distrarre da un attacco, un exploit o un'intrusione più ampio

Il primo è ben noto, molto popolare ed è relativamente semplice da eseguire, con l'unica difesa contro un attacco di grandi dimensioni essendo un servizio di mitigazione DDoS ad alto volume.

Il secondo è utilizzato più raramente, ma viene visto come parte del set di strumenti di un utente malintenzionato. Il caricamento del team di risposta agli incidenti può rendere più difficile per loro rilevare un'intrusione, può nascondere il vero motivo dell'attacco e può nascondere le prove di un'intrusione tra un gran numero di voci di registro dal DDoS.

Potrei facilmente ricordare male o attribuirmi alla finzione, ma sembra che abbia letto che gli attacchi DDoS a volte sono l'inizio del crack di un sistema.Ad esempio, DDoS alcuni server forzano il riavvio e quindi attaccano un punto debole prima che tutti i servizi siano avviati.
Immagino che in teoria potrebbe essere vero, non sono sicuro di come sia possibile in pratica :-)
@DeanMacGregor Teoricamente sì, ma praticamente è improbabile.Qualsiasi bilanciatore del carico reindirizzerà solo a un nodo completamente avviato, un firewall inattivo non instraderà nulla, ecc.allora potrebbe essere possibile, ma è davvero insolito.
@DeanMacGregor, che era popolare ai tempi del selvaggio west di IRC: poiché l'autenticazione era legata a IRC ben dopo lo sviluppo del protocollo, i nomi dei canali e degli utenti erano una questione di "primo arrivato, primo servito".Ci sono stati numerosi attacchi che hanno comportato l'arresto offline di un server o di un utente, quindi la connessione a un'altra parte della rete per rendere il nome più vecchio.
@DeanMacGregor sì;ecco un account di qualcuno che trova un forum di discussione i cookie di accesso sono stati creati con un generatore di numeri casuali debole, seminato nel momento in cui il servizio è stato avviato, e loro hanno bloccato il server con un DoS per acquisire conoscenza dell'ora in cui è stato riavviato e quindi essere in grado di farloprevedere i numeri casuali che proteggono i cookie di accesso e assumere il controllo delle sessioni di altre persone: https://news.ycombinator.com/item?id=639976
Potrebbe essere utilizzato in combinazione con altri attacchi e vulnerabilità come percorso per ottenere maggiori informazioni.Lo spoofing IP è un modo per ottenere l'accesso a informazioni protette per gli utenti interni.La maggior parte delle volte, l'IP contraffatto deve essere disabilitato in modo che non restituisca RCT dicendo "Ehi, questi dati non sono da me".la disabilitazione sarebbe stata eseguita da una sorta di attacco DOS.
H. Idden
2016-08-10 19:35:58 UTC
view on stackexchange narkive permalink

Una risposta completa dipenderà dall'attacco e da cosa verrebbe attaccato, quindi la manterrò generale.

Un DoS può far trapelare informazioni come effetto collaterale. In passato nelle reti venivano utilizzati degli interruttori per impedire alle macchine di ascoltare la comunicazione tra altre 2 macchine. A causa di un problema di progettazione potresti trasformarlo nuovamente in un grande dominio di collisione lanciando un attacco DoS contro lo switch e potrai riascoltare qualsiasi comunicazione Spiegazione dell'attacco: gli switch apprendono quale macchina è connessa a quale porta. Quando una macchina invia un pacchetto a un'altra macchina, lo switch cerca nella sua memoria su quale porta si trova questa macchina e inoltra il traffico solo a questa porta. Una macchina su un'altra porta non vedrebbe il traffico. Quando ci sono più macchine sulla rete, si verifica un problema rispetto a quello che potrebbe essere contenuto nella memoria dello switch. I comportamenti comuni sono:

  • Invia tutto il traffico a tutte le porte
  • Lo switch smette di apprendere nuove macchine
  • Lo switch dimentica le macchine più vecchie

Particolarmente comuni erano il primo tipo: un utente malintenzionato lasciava che la sua macchina fingesse di avere una quantità enorme di macchine su questa porta eseguendola con trasmissioni di annunci.

Un altro attacco correlato a DoS è un attacco di downgrade della sicurezza. Hai un sistema composto da 2 sottosistemi, A e B. B viene utilizzato da A per eseguire ulteriori controlli di sicurezza. Se B non risponde in tempo, A salta questo controllo e lo considera riuscito. Se l'attaccante può DoS sistema B ha un gioco più semplice perché deve solo superare i controlli di sicurezza sul sistema A. Alcuni sistemi sono progettati in questo modo perché la disponibilità del sistema A è importante e nessuno pensava che qualche attaccante potesse DoS sistema B o accetterebbe il rischio. Non posso fornirti i dettagli di un attacco effettivo, ma alcune liste nere anti-spam funzionano in questo modo.

È anche noto che alcuni gruppi / organizzazioni avanzati lanciano attacchi (D) DoS per distrarre dal loro attacco reale attirando l'attenzione del personale di sicurezza sul bersaglio del DDoS o nascondendo il traffico di attacco tra il traffico DDoS.

Un'altra opzione è che hai bisogno di quella quantità di traffico ma non hai bisogno di (D) Fallo. Ad esempio, alcuni attacchi a SSL richiedono pacchetti sufficienti per recuperare / manipolare le informazioni. Qui il DoS sarebbe un effetto collaterale della quantità di traffico.

"In passato gli interruttori dovevano essere utilizzati nelle reti per impedire alle macchine di ascoltare la comunicazione tra 2 altre macchine."- Spero che non fosse l'intenzione, ma solo un effetto collaterale piuttosto utile.Lo spoofing dell'indirizzo MAC ti aiuterà anche ad ascoltare la comunicazione tra altre 2 macchine.
@immibis hai ragione, ma molti non hanno pensato allo spoofing degli indirizzi MAC.Quindi era un mito comune che non si potesse intercettare una rete quando si utilizza uno switch invece di un hub ed è stato regolarmente detto come misura di sicurezza.Simile al fatto che un modem o una sottorete è un sostituto del firewall a causa del NAT (IPv6 non ha NAT e consentirà l'accesso senza firewall a quei dispositivi o lo spoofing della sorgente UDP è possibile con la maggior parte dei dispositivi NAT) o che è sufficiente sfuggire alle virgolettesull'input dell'utente sui siti Web per essere sicuri, ma ciò consente comunque alcuni attacchi di SQL injection (perché non utilizzare query parametrizzate?) o XSS.
@H.Idden: Quando le persone dicono "origliare", si riferiscono a un attacco passivo.L'interruttore lo rende impossibile.L'attacco non è prevenuto, ma ora richiede un componente attivo (che inoltre rende molto più facile rilevare e rintracciare il colpevole)
@BenVoigt Anche se potessi avere ragione con le parole esatte, le persone ne trarrebbero conclusioni sbagliate (che la loro rete è al sicuro da altri che sono in grado di catturare il traffico tra altre macchine).Ancora oggi solo i dispositivi di rete aziendali (> 1000 $) dispongono di misure di monitoraggio / contrasto agli attacchi di flooding MAC.
pipe
2016-08-11 08:56:25 UTC
view on stackexchange narkive permalink

Identifica le risorse condivise

Un attacco Denial of Service , distribuito o meno, può essere utilizzato per identificare con successo le macchine che condividono le risorse. Se vuoi hackerare un servizio, puoi lanciare un attacco contro di esso, monitorando altri servizi. Se anche quelli scompaiono, è probabile che siano ospitati sulla stessa macchina. Questi altri servizi possono essere più inclini alla pirateria informatica e possono essere utilizzati come "piede di porco" per ottenere l'accesso al servizio desiderato.

Servizi nascosti

Questo può essere devastante se utilizzato contro servizi nascosti nella rete Tor. Se hai motivo di credere che un determinato individuo stia ospitando un servizio nascosto, puoi testarlo lanciando un attacco contro un servizio aperto sullo stesso hardware o nello stesso data center. Se il servizio nascosto non funziona, potresti aver confermato che la tua ipotesi è corretta e che l'identità dietro il servizio nascosto è stata compromessa.

Ogni volta che lo provi, otterrai un campione, che potrebbe essere un falso positivo. Facendolo abbastanza volte a intervalli casuali, puoi aumentare la probabilità di avere ragione.

coteyr
2016-08-13 00:47:17 UTC
view on stackexchange narkive permalink

È possibile utilizzare un attacco DDOS per ottenere informazioni. Oltre alle risposte di Rory Alsop e H. Idden che si concentrano sull'acquisizione di informazioni sull'infrastruttura o sul sovraccarico del team di risposta agli incidenti in modo che altri attacchi rimangano inosservati più a lungo, ci sono alcune altre possibilità.

Applicazioni con ridimensionamento automatico : quando si lavora con una piattaforma applicativa che esegue il ridimensionamento automatico, un attacco DDOS può sfruttare il fatto che si ridimensionano automaticamente per fare qualcosa. Questo dovrebbe essere di concerto con qualche altro tipo di attacco o informazione, ma l'idea generale è che se ne sai abbastanza per sfruttare il processo di "riavvio" potresti usare DDOS per forzare un nuovo server online, la strega passerebbe attraverso il processo di riavvio , consentendo il tuo exploit. È importante notare che questo si aggiunge a un problema di sicurezza già esistente. È solo lo strumento attraverso il quale l'exploit completamente diverso viene portato online (o forse testato). Un esempio a cui riesco a pensare è un server di produzione che ospita la sua base di codice in un repository GitHub pubblico, quando scales inserisce nuovo codice nel server, quindi si avvia. Potresti aggiungere un codice errato a quel repository GitHub (se non gestito correttamente), forzare un riavvio e avere il tuo exploit.

Primo arrivato, primo servito - Ci sono alcune applicazioni che sono "primo arrivato, primo servito" in qualche parte del loro processo. IRC (dai commenti) è un esempio ma ce ne sono altri. Qualsiasi servizio che riserva qualcosa a un utente con un approccio primo arrivato, primo servito, può essere sfruttato tramite DDOS. O occupando tutti gli slot fino a quando una persona specifica non ottiene il loro, o forzando un riavvio e ottenendo un'altra possibilità di "slot" dopo il riavvio. Questi sono abbastanza comuni e, sebbene un servizio che lo utilizza per l'autenticazione sia un po 'strano, non è inaudito. In effetti, i servizi di licenza lo fanno sempre. Il primo utente con una licenza di "ABC" è l'utente qualificato di ABC. Se quei dati vengono persi dopo un riavvio, DDOS potrebbe causare il riavvio e mettere piede nella porta.

Vulnerabilità all'avvio - Ho visto, un bel po 'di volte in cui un avvio del server ha portato i servizi a essere "lasciati attivi" per ogni evenienza. Ad esempio, lasciamo le password SSH attive dopo il riavvio e poi disattivale dopo un paio d'ore, nel caso avessimo bisogno di un accesso di emergenza. Oppure, FTP è attivo per 30 minuti dopo il riavvio. Questo è più comune sulle apparecchiature di rete. Cose come "accesso Wi-Fi non sicuro per i primi 2 minuti" o "qualsiasi cosa può caricare qualsiasi cosa per 2 minuti". Di solito questo fa parte di un meccanismo di aggiornamento / aggiornamento. Ad esempio, un router Cisco può accettare tutti i dati TFTP che trova dopo il riavvio. Alcuni computer ascolteranno QUALSIASI server di avvio di rete al riavvio. DDOS può avviare il riavvio e consentire al tuo "codice errato" di entrare.

In sostanza, un DDOS da solo può dirti alcune cose, ma di solito solo cose che sono inutili di per sé. Un DDOS in combinazione con altri vettori di attacco può essere estremamente efficace.

Nota I metodi usati qui funzionerebbero in un laboratorio, ma ci sono pochi frutti sospesi per un team di sicurezza (o anche solo regolare IT). Sebbene esistano in natura, un utente malintenzionato dovrebbe aver ottenuto l'accesso / la conoscenza degli interni ben oltre quella di qualcuno che sta semplicemente facendo un DDOS.

John Smith
2016-08-10 20:24:04 UTC
view on stackexchange narkive permalink

Un esempio reale di questo fenomeno è con Steam. Hanno subito un attacco DoS il giorno di Natale. In risposta a ciò, hanno modificato le regole di memorizzazione nella cache del servizio Steam, in modo che i clienti potessero ancora accedere alla pagina del negozio. Sfortunatamente, hanno finito per commettere un errore di configurazione, che a volte faceva sì che gli utenti vedessero le informazioni personali di altri utenti.

I sistemi a volte hanno un comportamento imprevisto sotto un carico di sistema pesante, che può portare a vulnerabilità di sicurezza. È una possibilità per gli hacker di sfruttarlo, ma è improbabile che siano in grado di pianificarlo e l'exploit è probabilmente imprevedibile. Devono anche fare i conti con il fatto che il server è probabilmente lento a rispondere a causa del carico pesante.

Dennis Jaheruddin
2016-08-11 18:28:00 UTC
view on stackexchange narkive permalink

Un attacco DDOS potrebbe sfruttare una vulnerabilità

In teoria un attacco DDOS potrebbe non solo distrarre da un exploit come menzionato in un'altra risposta, ma potrebbe anche essere combinato con uno.

Considera il bug Heartbleed, che restituiva informazioni quando un server veniva contattato in un modo particolare.

Si potrebbe aumentare le informazioni ottenute dal server contattando il server in un attacco DDOS e raccogliendo le informazioni che sono state rilasciate in questo modo.

Aurand
2016-08-13 23:25:34 UTC
view on stackexchange narkive permalink

Forzare il tempo di avvio del server

Una cosa che è stata menzionata tangenzialmente nei commenti, ma non affrontata in nessuna delle altre risposte abbastanza eccellenti, è che occasionalmente può essere utile per sapere quando un'applicazione / un server è stato avviato. Ad esempio, alcuni generatori di numeri casuali orribilmente insicuri (che non dovrebbero mai essere usati per attività legate alla sicurezza, ma lo sono sempre di tanto in tanto) usano l'ora di sistema come seme "casuale".

Con questo caso, se puoi dedurre quando l'RNG è stato seminato (preferibilmente entro un paio di minuti di precisione) e hai alcuni campioni di output del generatore, è ragionevolmente banale trovare il seme e ricostruire lo stato RNG per prevedere i token futuri. Ora, normalmente un server non dovrebbe esporre la sua ora di inizio (anche se di nuovo, alcuni lo fanno invariabilmente), tuttavia se un attacco DDoS può essere utilizzato per forzare un riavvio del server, allora hai acquisito conoscenza dell'ora di inizio del server.

Questo può portare a una varietà di attacchi basati su token come il dirottamento della sessione.

paparazzo
2016-08-11 23:27:05 UTC
view on stackexchange narkive permalink

Potrebbe essere risolto, ma so che nei primi giorni di Criteri di gruppo un exploit era sovraccaricare il server Criteri di gruppo e in alcune configurazioni veniva applicato il criterio locale. Quindi configureremmo la politica locale come minima. È possibile utilizzare la negazione solo come exploit dell'autorizzazione ridotta della politica del server. So di non avere tutti i termini corretti: è passato un po 'di tempo da quando ho fatto l'amministratore di Criteri di gruppo.

Supponiamo che tu abbia compromesso un router ma quel router non riceveva il traffico che volevi. Potresti fare un DoS su un buon router per ottenere, si spera, traffico sul router hack.

Alex Bodnya
2016-08-14 12:29:01 UTC
view on stackexchange narkive permalink

Presumo che l'attacco DoS possa essere utilizzato insieme a un tipo di exploit race-condition. Quando il server è pesantemente caricato, l'exploit sarà più facile da usare.

Tuttavia, l'attacco DoS da solo può fornire alcune informazioni, come mostrato nelle risposte precedenti, sull'instradamento, i tempi di risposta e la gestione degli incidenti interni.

NoBugs
2016-08-15 12:25:14 UTC
view on stackexchange narkive permalink

Che ne dici di un attacco a tempo? Questo è stato discusso come una possibile vulnerabilità di sicurezza in Java, Python, probabilmente molti altri, e in realtà potrebbe sembrare un attacco DOS.

Quando varie librerie controllano l'uguaglianza, generalmente sono pronte byte per byte e confrontano, restituendo false se non corrispondenti - se qualcosa del genere viene utilizzato nel controllo di password / cookie, in teoria possono cronometrare la richiesta più lunga e presumere che sia andata oltre il confronto.

user6698139
2016-08-11 01:16:10 UTC
view on stackexchange narkive permalink

Di solito non è incredibilmente invadente. Dipende dalle porte aperte e dai pacchetti inviati. Gli attacchi DDoS possono provenire da persone che forzano brutemente i dettagli e i database del tuo server, specialmente sulla LAN, e in alcuni casi può implicare un attacco di forza bruta discreto. Un tipico server web è difficile da hackerare, hosting web e videogiochi. Chiedi a un professionista o presumo che si tratti di una vulnerabilità inevitabile.

DDoS, per sua stessa definizione, è invadente.Il servizio viene negato.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...