Recentemente, tenho recebido ataques ddos ao meu roteador. Para fins educacionais, quero saber como o invasor está descobrindo quando o meu roteador foi ddodo.
Eles disseram que estão fazendo algo a ver com ping? Alguém pode me dizer o que está fazendo e como verificar se os ddos deixaram minha internet offline?
networking
security
denial-of-service
Jag Sueon
fonte
fonte
Respostas:
Supondo que um roteador doméstico / pequeno escritório simples com conectividade decente (que parece ser o que você está descrevendo) - um DDoS instrui um grande número de sistemas a tentar sobrecarregar o roteador com tráfego. Assim, para detectar como é bem-sucedido, é possível ver como o seu roteador está respondendo.
Seu roteador provavelmente responde a (algumas variantes) de ping. O Ping funciona enviando um pacote de dados, aguardando uma resposta e cronometrando-o, portanto, é possível discernir aproximadamente o que está acontecendo com o roteador remoto - os seguintes resultados comuns seriam os quais podem ser tiradas conclusões:
O "Ping" também pode ser usado para atacar seu roteador - enviando pacotes aos quais o roteador responde pode cooptar a largura de banda de entrada e saída - dependendo do tipo (existem várias maneiras diferentes de executar pings), é possível enviar pacotes grandes e recupere-os, consumindo sua largura de banda.
fonte
A primeira coisa que você precisa para um ataque DDoS é fazer com que o roteador responda.
Se eles fizerem ping no seu endereço IP e o roteador disser: Ei, estou aqui, pingando você de volta, o invasor saberá que você existe.
Se eles inundarem sua conexão com tantos pacotes que seu roteador trava e enviarem um ping, o roteador não está respondendo, então o ping expira.
Se fosse uma situação da vida real, seria a seguinte:
Um atacante chega até você e diz: Ei, como vai? Você responde com alguma coisa. Pode ser "bom", "ok" ou o que for.
O atacante bate em você e diz: "Você quer que eu pare?" Se você responder com alguma coisa: "sim", por exemplo, o atacante sabe que você ainda está consciente. Eles continuam a vencê-lo até pensarem que você está inconsciente. Eles perguntam novamente e você não responde mais, eles sabem que atingiram a meta.
Então, basicamente, eles têm um método para verificar se o seu roteador está instalado e funcionando ou não. É possível que eles façam uma varredura de porta e, em vez de executar o ping diretamente no roteador com um pacote IMCP (solicitação de ping), eles podem executar ping em uma das portas e o roteador simplesmente retransmitirá esse pacote para um dos dispositivos atrás da rede. As portas 80 e 443 são portas comuns a serem abertas ou encaminhadas. Se o roteador travou, também não encaminhará portas.
Dito isso, os roteadores comerciais são muito inteligentes e podem detectar quando o tráfego deve ser um ataque DDoS. Se eles detectarem um, eles bloquearão o tráfego de entrada (ignorá-lo) que corresponda ao tipo de tráfego gerado para esse ataque DDoS. Para o atacante, parece que eles são bem-sucedidos quando realmente não são. Eles podem usar serviços como VPN para conectar-se a partir de um endereço IP diferente para testar se o IP de ataque foi bloqueado ou não.
Existem outros métodos para executar um ataque DDoS, mas para o escopo desta resposta a esta postagem, tudo que você precisa saber é que o método é o mesmo. Se o invasor puder fazer seu roteador responder, ele poderá testar se o ataque foi bem-sucedido ou não.
fonte