Verificando se um roteador está online ou offline?

0

Recentemente, tenho recebido ataques ddos ​​ao meu roteador. Para fins educacionais, quero saber como o invasor está descobrindo quando o meu roteador foi ddodo.

Eles disseram que estão fazendo algo a ver com ping? Alguém pode me dizer o que está fazendo e como verificar se os ddos ​​deixaram minha internet offline?

Jag Sueon
fonte
11
Você está usando um roteador doméstico ou em um escritório?
Biswapriyo 29/10

Respostas:

0

Supondo que um roteador doméstico / pequeno escritório simples com conectividade decente (que parece ser o que você está descrevendo) - um DDoS instrui um grande número de sistemas a tentar sobrecarregar o roteador com tráfego. Assim, para detectar como é bem-sucedido, é possível ver como o seu roteador está respondendo.

Seu roteador provavelmente responde a (algumas variantes) de ping. O Ping funciona enviando um pacote de dados, aguardando uma resposta e cronometrando-o, portanto, é possível discernir aproximadamente o que está acontecendo com o roteador remoto - os seguintes resultados comuns seriam os quais podem ser tiradas conclusões:

  • O roteador para de responder a todos os pings (foi desativado)
  • O roteador responde a alguns pings, mas muitos pacotes descartados (o roteador é inundado com muito tráfego ou é incapaz de processar pacotes, resultando em lento - desempenho provavelmente inutilizável - sucesso parcial!)
  • As latências dos pacotes estão variando bastante (o link está ficando inundado, portanto as coisas estão indo devagar para as pessoas que o usam).

O "Ping" também pode ser usado para atacar seu roteador - enviando pacotes aos quais o roteador responde pode cooptar a largura de banda de entrada e saída - dependendo do tipo (existem várias maneiras diferentes de executar pings), é possível enviar pacotes grandes e recupere-os, consumindo sua largura de banda.

davidgo
fonte
-1

A primeira coisa que você precisa para um ataque DDoS é fazer com que o roteador responda.

Se eles fizerem ping no seu endereço IP e o roteador disser: Ei, estou aqui, pingando você de volta, o invasor saberá que você existe.

Se eles inundarem sua conexão com tantos pacotes que seu roteador trava e enviarem um ping, o roteador não está respondendo, então o ping expira.

Se fosse uma situação da vida real, seria a seguinte:

Um atacante chega até você e diz: Ei, como vai? Você responde com alguma coisa. Pode ser "bom", "ok" ou o que for.

O atacante bate em você e diz: "Você quer que eu pare?" Se você responder com alguma coisa: "sim", por exemplo, o atacante sabe que você ainda está consciente. Eles continuam a vencê-lo até pensarem que você está inconsciente. Eles perguntam novamente e você não responde mais, eles sabem que atingiram a meta.

Então, basicamente, eles têm um método para verificar se o seu roteador está instalado e funcionando ou não. É possível que eles façam uma varredura de porta e, em vez de executar o ping diretamente no roteador com um pacote IMCP (solicitação de ping), eles podem executar ping em uma das portas e o roteador simplesmente retransmitirá esse pacote para um dos dispositivos atrás da rede. As portas 80 e 443 são portas comuns a serem abertas ou encaminhadas. Se o roteador travou, também não encaminhará portas.

Dito isso, os roteadores comerciais são muito inteligentes e podem detectar quando o tráfego deve ser um ataque DDoS. Se eles detectarem um, eles bloquearão o tráfego de entrada (ignorá-lo) que corresponda ao tipo de tráfego gerado para esse ataque DDoS. Para o atacante, parece que eles são bem-sucedidos quando realmente não são. Eles podem usar serviços como VPN para conectar-se a partir de um endereço IP diferente para testar se o IP de ataque foi bloqueado ou não.

Existem outros métodos para executar um ataque DDoS, mas para o escopo desta resposta a esta postagem, tudo que você precisa saber é que o método é o mesmo. Se o invasor puder fazer seu roteador responder, ele poderá testar se o ataque foi bem-sucedido ou não.

LPChip
fonte
Pequenos esclarecimentos: Embora o bloqueio do tráfego de entrada de um endereço IP seja simples em um ataque de DoS, o DoS Distribuído vem de vários IPs, o que dificulta a detecção e o bloqueio.
Robbie W.
@RobbieW. true, mas você está falando de um roteador de datacenter, não de um roteador doméstico. Mas vou editar a resposta de acordo. Eu apenas senti que estava um pouco fora de tópico, porque a pergunta é: como um invasor sabe se o ataque funcionou, não como um DDoS funciona.
LPChip
Além disso, alguém pode explicar o voto negativo?
LPChip