DNS reflexión dns reflexión ddos
¿Entiendes qué es un ataque al servidor DNS? ¿Cómo prevenir estos ataques?
Ataques DDOS utilizando servidores DNS
El proceso normal de consultas recursivas al servidor DNS se puede utilizar como ataque DDOS. Suponiendo que el atacante conoce la dirección IP de la máquina comprometida, utilizará esa dirección como dirección de origen para enviar el comando de análisis. Por lo tanto, cuando se consulta recursivamente a un servidor DNS, el servidor DNS responde al usuario original, la víctima. Luego, si el atacante controla suficientes pollos de engorde para repetir la operación anterior, la víctima estará sujeta a un ataque DDOS del mensaje de respuesta del servidor DNS.
El atacante tiene una parvada de pollos de engorde lo suficientemente grande como para paralizar la red atacada hasta el punto de interrumpirla. Un desafío importante en los ataques a servidores DNS es que el atacante no se comunica directamente con el host atacado, ocultando así sus huellas y dificultando a la víctima rastrear el ataque original.
Infección de caché de DNS
Un atacante utiliza solicitudes de DNS para colocar datos en la caché de un servidor DNS vulnerable. Cuando el cliente realiza acceso DNS, esta información almacenada en caché se devolverá al usuario, guiando así el acceso del usuario al nombre de dominio normal a un caballo de Troya o a una página de phishing establecida por el intruso, u obteniendo la contraseña del usuario a través de correos electrónicos falsificados y otros servidores. servicios de información, causando que los clientes sufran más daños.
Secuestro de información DNS
El sistema TCP/IP evita la inserción de datos suplantadores a través de números de serie y otros métodos, pero un intruso que monitoree la conversación entre el cliente y el servidor DNS puede adivina la respuesta del servidor a la ID de consulta DNS del cliente. El atacante engaña al cliente para que visite un sitio web malicioso enviando una respuesta falsa al usuario antes de que lo haga el servidor DNS. Supongamos que se intercepta el paquete DNS de la solicitud de resolución de nombre de dominio enviada al servidor de nombres de dominio y luego se devuelve una dirección IP falsa al solicitante como información de respuesta de acuerdo con la intención del interceptor. Luego, el solicitante original accede a esa dirección IP falsa como el nombre de dominio que solicitó y, por lo tanto, es engañado para que se conecte al nombre de dominio deseado en otro lugar.
Redirección de DNS
El atacante redirige las consultas de nombres DNS a un servidor DNS malicioso y la resolución del nombre de dominio secuestrado está controlada por el atacante.
Suplantación de ARP
La suplantación de ARP se logra falsificando direcciones IP y direcciones MAC. Puede generar una gran cantidad de tráfico ARP en la red y bloquear la red. El envío continuo de paquetes de respuesta ARP falsificados puede cambiar las entradas IP-MAC en la caché ARP del host de destino, lo que provoca interrupciones en la red o ataques de intermediario. Los ataques ARP ocurren principalmente en LAN. Las computadoras infectadas con virus ARP intentarán interceptar las comunicaciones de otras computadoras en la red mediante "suplantación de ARP", provocando fallas de comunicación en otras computadoras en la red.
La suplantación de ARP generalmente se realiza en la red local del usuario, lo que hace que el usuario acceda al nombre de dominio incorrecto. Si la sala de ordenadores IDC también es invadida por un virus ARP, el atacante también puede utilizar paquetes ARP para suprimir hosts normales o suprimir servidores DNS para dirigir el acceso al punto equivocado.
Secuestro local
Los sistemas informáticos locales infectados por troyanos o software fraudulento también pueden tener acceso anormal a ciertos nombres de dominio. Como acceder a sitios web troyanos o de phishing, no poder acceder, etc. Los métodos de secuestro de DNS local incluyen la manipulación de archivos host, el secuestro de DNS local, la inyección de cadena SPI, complementos BHO, etc.
¿Qué es ddos?
El nombre completo de DOS es Denegación de Servicio Distribuido (Denegación de Servicio Distribuido), comúnmente conocido como ataque de inundación. Muchas fuentes de ataques DOS atacan conjuntamente un servidor para formar un ataque DDOS que se remonta a 1996. Comenzó a aparecer con frecuencia en China en 2002 y comenzó a tomar forma en 2003.
--Lo anterior está citado de la Wikipedia interactiva
El ataque DDoS es un tipo de ataque desarrollado sobre la base del ataque DoS tradicional.
Un solo ataque DoS generalmente adopta un enfoque uno a uno, y su efecto es obvio cuando el objetivo del ataque tiene una velocidad de CPU baja, memoria pequeña o ancho de banda de red bajo y otros indicadores de rendimiento.
Con el desarrollo de la tecnología informática y de redes, la potencia de procesamiento de las computadoras ha aumentado rápidamente, la memoria ha aumentado considerablemente y han surgido redes de nivel gigabit, lo que dificulta los ataques DoS: el objetivo del ataque La "capacidad de digestión" de paquetes de datos maliciosos se ha mejorado enormemente.
Por ejemplo, su software de ataque puede enviar 3000 paquetes por segundo, pero mi host y el ancho de banda de mi red pueden manejar 10000 paquetes por segundo, lo que hace que el ataque sea ineficaz.
Aquí es donde entran en juego los ataques de denegación de servicio distribuido (DDoS). Si comprende los ataques DoS, descubrirá que son muy simples.
Si la potencia de procesamiento de las computadoras y las redes aumenta en un factor de 10 y los ataques que utilizan un atacante ya no son efectivos, ¿qué pasa con los ataques que utilizan 10 atacantes simultáneamente? ¿Qué pasa con el uso de 100 atacantes? DDoS utiliza más máquinas títeres para lanzar ataques y atacar a las víctimas a una escala sin precedentes.