Frage:
Kann ein DDoS-Angriff Informationen liefern?
KosugiNinja
2016-08-10 12:28:38 UTC
view on stackexchange narkive permalink

Kann ein DDoS-Angriff Informationen preisgeben oder zum Mounten eines Hacks verwendet werden? Mein Verständnis ist, dass der Sinn von DDoS oder DoS darin besteht, alle Ressourcen zu verbrauchen / den Server zu überlasten, was zum Absturz führt. Und das ist der einzige Grund, ein DDoS zu machen.

Ich habe gehört, dass DDoS zum Abrufen von Informationen verwendet wird. Ist das wahr oder völlig falsch?

Ein DoS-Angriff führt zu Randfällen (ein Absturz ist ein Fall, bei dem es sich nur um einen Randfall handelt), bei dem Informationen, die sonst nicht zugänglich sind, nicht angezeigt werden dürfen.
Dies ist theoretisch, aber wenn Sie einen Server ausführen, wird die Zeit, die für die Bearbeitung einer Anforderung benötigt wird, über ein Netzwerk messbar. Wenn Sie wissen, dass der Server das Kennwort Zeichen für Zeichen überprüft, können Sie feststellen, ob die ersten Zeichen des Kennworts, das Sie versucht habensind die richtige, weil der Server jetzt länger braucht, um zu antworten.
@Pierre.Sassoulas Hoffentlich verwendet der Server Vergleiche mit konstanter Zeit, um zu vermeiden, dass Informationen verloren gehen ... Moment, wen scherze ich?
Ja, theoretisch ... aber es könnte passieren :)
Sie sind nicht besorgt über die [australische Volkszählung 2016] (http://www.9news.com.au/national/2016/08/10/17/37/census-attack-sets-back-e-voting)Du?: P.
Da Ihre Frage nicht auf Remote-Angriffe beschränkt zu sein scheint: Zählt [MAC-Flooding] (https://en.wikipedia.org/wiki/MAC_flooding)?
Warum beschränken Sie dies auf DDoS?Die Frage scheint für DoS im Allgemeinen zu gelten.
Ja, es wird die Menge an Ressourcen angezeigt, über die der Server verfügt (ungefähr).
@Paparazzi DoS enthält andere, ausgefeiltere Angriffe als "Hämmern Sie den Server, bis er ausfällt" - zum Beispiel den Tod.Während es sicherlich möglich ist, genug Verkehr von einem Ort zu senden, um ihn zum Absturz zu bringen, macht das Sagen von "DDoS" deutlich, dass es sich um Brute-Force-Verkehr handelt.
@SomeoneSomewhere OK.Wenn es um Informationen geht, was ist der Zweck der Beschränkung auf DDoS?
@Paparazzi Wenn Sie alle Angriffe einbeziehen, die den Dienst verweigern, wird der Beitrag wahrscheinlich (zu Recht) geschlossen, weil er "zu breit" ist.
@SomeoneSomewhere Wirklich verteilt wäre der Unterschied, wenn man geschlossen wird?Ironischerweise geht es hier um Denial-of-Service.
DDoS wird im Allgemeinen als * ein spezifischer Angriff * betrachtet - Punkt viel Verkehr aus vielen Quellen auf einem Server.DoS ist eine große Klasse von Angriffen, die die Arbeit stoppen - es fragt: "Kann ich irgendetwas tun, das einen Dienst herunterfährt und mir Dinge erzählt?"Das ist eine riesige Menge an Informationen.
Elf antworten:
#1
+84
Rory Alsop
2016-08-10 14:43:46 UTC
view on stackexchange narkive permalink

Ein DDoS gibt einem Angreifer mit Sicherheit Informationen zu Antwortzeiten, Ladefähigkeit und Routing.

Es kann auch Informationen darüber geben, wie Vorfälle intern und extern behandelt werden und wie sie an den Angreifer gemeldet werden public.

Dies ist jedoch nicht die Hauptverwendung.

Im Allgemeinen sind die beiden Hauptgründe für DDoS:

  • einen Dienst in Anspruch nehmen oder Website offline
  • lenken von einem breiteren Angriff, Exploit oder Eindringen ab

Die erste ist bekannt, sehr beliebt und mit der einzigen Verteidigung relativ einfach durchzuführen Ein großer Angriff ist ein DDoS-Schadensbegrenzungsdienst mit hohem Volumen.

Der zweite wird seltener verwendet, wird jedoch als Teil des Toolset eines Angreifers angesehen. Das Laden des Incident-Response-Teams kann es für sie schwieriger machen, ein Eindringen zu erkennen, den wahren Grund für den Angriff verbergen und Hinweise auf ein Eindringen in einer großen Anzahl von Protokolleinträgen aus dem DDoS verbergen.

Ich könnte mich leicht falsch erinnern oder der Fiktion zuschreiben, aber es scheint, als hätte ich gelesen, dass DDoS-Angriffe manchmal der Beginn des Knackens eines Systems sind.Zum Beispiel erzwingt DDoS einen Server, der einen Neustart erzwingt, und greift dann eine Schwachstelle an, bevor alle Dienste gestartet wurden.
Ich denke, das könnte theoretisch wahr sein - nicht sicher, wie es in der Praxis möglich ist :-)
@DeanMacGregor Theoretisch ja, aber praktisch ist es unwahrscheinlich.Jeder Load Balancer leitet nur zu einem vollständig gebooteten Knoten um, eine ausgefallene Firewall leitet nichts weiter usw. Wenn Sie einen einzelnen, schlecht konfigurierten Anwendungsserver haben, der ohne einen speziellen Filter (wie mod_security) nicht sicher ist, aber ohne diesen funktioniert,dann könnte es möglich sein, aber das ist wirklich ungewöhnlich.
@DeanMacGregor,, das in den Wild-West-Tagen des IRC populär war: Da die Authentifizierung lange nach der Entwicklung des Protokolls im IRC festgelegt wurde, waren Kanal- und Benutzernamen eine Frage von "Wer zuerst kommt, mahlt zuerst".Es gab eine Reihe von Angriffen, bei denen ein Server oder ein Benutzer offline geschaltet und dann eine Verbindung zu einem anderen Teil des Netzwerks hergestellt wurde, um die Verwendung des Namens zum ältesten zu machen.
@DeanMacGregor ja;Hier ist ein Bericht von jemandem, der ein Diskussionsforum gefunden hat. Anmelde-Cookies wurden mit einem schwachen Zufallszahlengenerator erstellt, der zum Zeitpunkt des Starts des Dienstes gesetzt wurde, und der den Server mit einem DoS zum Absturz brachte, um zu erfahren, wann er neu gestartet wurde und daher in der Lage istSagen Sie die Zufallszahlen voraus, die Login-Cookies schützen, und übernehmen Sie die Sitzungen anderer Personen: https://news.ycombinator.com/item?id=639976
Es kann in Kombination mit anderen Angriffen und Schwachstellen verwendet werden, um weitere Informationen zu erhalten.IP-Spoofing ist eine Möglichkeit, auf Informationen zuzugreifen, die für interne Benutzer gesichert sind.In den meisten Fällen muss die gefälschte IP deaktiviert werden, damit keine RCT mit der Meldung "Hey, diese Daten stammen nicht von mir" zurückgegeben wird.Das Deaktivieren würde durch eine Art DOS-Angriff erfolgen.
#2
+14
H. Idden
2016-08-10 19:35:58 UTC
view on stackexchange narkive permalink

Eine vollständige Antwort hängt vom Angriff und dem Angriff ab, daher werde ich sie allgemein halten.

Ein DoS kann Informationen als Nebeneffekt verlieren. In früheren Zeiten wurden Switches in Netzwerken verwendet, um zu verhindern, dass Maschinen die Kommunikation zwischen zwei anderen Maschinen abhören. Aufgrund eines Designproblems können Sie es wieder in eine große Kollisionsdomäne verwandeln, indem Sie einen DoS-Angriff gegen den Switch starten, und Sie können jede Kommunikation erneut abhören. Erläuterung des Angriffs: Switches erfahren, welcher Computer mit welchem ​​Port verbunden ist. Wenn ein Computer ein Paket an einen anderen Computer sendet, sucht der Switch in seinem Speicher nach dem Port, an dem sich dieser Computer befindet, und leitet den Datenverkehr nur an diesen Port weiter. Eine Maschine an einem anderen Port würde den Verkehr nicht sehen. Ein Problem tritt auf, wenn sich mehr Maschinen im Netzwerk befinden, als in den Speicher des Switch passen würden. Häufige Verhaltensweisen sind:

  • Der gesamte Datenverkehr wird an alle Ports gesendet.
  • Der Switch lernt keine neuen Maschinen mehr.
  • Der Switch vergisst die ältesten Maschinen

Besonders häufig war der erste Typ. Ein Angreifer ließ seine Maschine so tun, als ob sich eine große Anzahl von Maschinen an diesem Port befinden würde, indem er sie mit Ankündigungssendungen durchführte.

Ein weiterer Angriff im Zusammenhang mit DoS ist ein Sicherheits-Downgrade-Angriff. Sie haben ein System, das aus zwei Subsystemen besteht, A und B. B wird von A verwendet, um zusätzliche Sicherheitsüberprüfungen durchzuführen. Wenn B nicht rechtzeitig antwortet, überspringt A diese Prüfung und betrachtet sie als erfolgreich. Wenn der Angreifer System B ausführen kann, hat er ein einfacheres Spiel, da er nur die Sicherheitsüberprüfungen für System A bestehen muss. Einige Systeme sind auf diese Weise konzipiert, da die Verfügbarkeit von System A wichtig ist und niemand gedacht hat, dass ein Angreifer System B ausführen könnte oder akzeptieren würde das Risiko. Ich kann Ihnen nicht die Details eines tatsächlichen Angriffs mitteilen, aber einige Anti-Spam-Blacklists funktionieren auf diese Weise.

Es ist auch bekannt, dass einige fortgeschrittene Gruppen / Organisationen (D) DoS-Angriffe starten, um von ihrem tatsächlichen Angriff abzulenken, indem sie den Fokus des Sicherheitspersonals auf das Ziel des DDoS lenken oder den Angriffsverkehr zwischen dem DDoS-Verkehr verbergen.

Eine andere Option ist, dass Sie diese Menge an Verkehr benötigen, aber nicht (D) tun müssen. Beispielsweise erfordern einige Angriffe auf SSL genügend Pakete, um Informationen wiederherzustellen / zu bearbeiten. Hier wäre das DoS ein Nebeneffekt des Verkehrsaufkommens.

"In früheren Zeiten wurden Switches in Netzwerken verwendet, um zu verhindern, dass Maschinen die Kommunikation zwischen zwei anderen Maschinen abhören."- Ich würde hoffen, dass dies nicht die Absicht war, sondern nur ein etwas praktischer Nebeneffekt.Durch das Spoofing von MAC-Adressen können Sie auch die Kommunikation zwischen zwei anderen Computern abhören.
@immibis Sie haben Recht, aber viele haben nicht über MAC-Adress-Spoofing nachgedacht.Es war also ein verbreiteter Mythos, dass man ein Netzwerk nicht belauschen kann, wenn man einen Switch anstelle eines Hubs verwendet, und es wurde regelmäßig als Sicherheitsmaßnahme bezeichnet.Ähnlich wie ein Modem oder Subnetz aufgrund von NAT ein Firewall-Ersatz ist (IPv6 verfügt nicht über NAT und ermöglicht einen nicht-Firewall-Zugriff auf diese Geräte, oder UDP-Quellenspoofing ist bei den meisten NAT-Geräten möglich) oder es reicht aus, um Anführungszeichen zu umgehenDie Benutzereingabe auf Websites ist zwar sicher, ermöglicht jedoch weiterhin bestimmte SQL-Injection-Angriffe (warum nicht parametrisierte Abfragen verwenden?) oder XSS.
@H.Idden: Wenn Leute "lauschen" sagen, beziehen sie sich auf einen passiven Angriff.Der Schalter macht das unmöglich.Der Angriff wird nicht verhindert, erfordert jedoch jetzt eine aktive Komponente (was das Erkennen und Aufspüren des Täters zusätzlich erheblich erleichtert).
@BenVoigt Selbst wenn Sie mit genauem Wort Recht haben, würden die Leute die falschen Schlussfolgerungen daraus ziehen (dass ihr Netzwerk vor anderen sicher ist, die den Verkehr zwischen anderen Maschinen erfassen können).Bis heute haben nur Unternehmensnetzwerkgeräte (> 1000 $) Überwachungs- / Gegenmaßnahmen gegen MAC-Flooding-Angriffe.
#3
+10
pipe
2016-08-11 08:56:25 UTC
view on stackexchange narkive permalink

Freigegebene Ressourcen identifizieren

Ein verteilter oder nicht verteilter Denial-of-Service-Angriff kann verwendet werden, um Computer, die Ressourcen gemeinsam nutzen, erfolgreich zu identifizieren. Wenn Sie einen Dienst hacken möchten, können Sie einen Angriff gegen ihn starten und gleichzeitig andere Dienste überwachen. Wenn diese ebenfalls verschwinden, werden sie wahrscheinlich auf demselben Computer gehostet. Diese anderen Dienste sind möglicherweise anfälliger für Hacking und können als "Brechstange" verwendet werden, um Zugriff auf den gewünschten Dienst zu erhalten.

Versteckte Dienste

Dies kann bei Verwendung verheerend sein gegen versteckte Dienste im Tor-Netzwerk. Wenn Sie Grund zu der Annahme haben, dass eine bestimmte Person einen versteckten Dienst hostet, können Sie dies testen, indem Sie einen Angriff auf einen offenen Dienst auf derselben Hardware oder in demselben Rechenzentrum starten. Wenn der versteckte Dienst ausfällt, haben Sie möglicherweise bestätigt, dass Ihre Vermutung korrekt ist und die Identität hinter dem versteckten Dienst gefährdet ist.

Jedes Mal, wenn Sie dies testen, erhalten Sie eine Probe ein falsches positives. Wenn Sie dies in zufälligen Abständen genügend oft tun, können Sie die Wahrscheinlichkeit erhöhen, richtig zu liegen.

#4
+3
coteyr
2016-08-13 00:47:17 UTC
view on stackexchange narkive permalink

Es ist möglich, einen DDOS-Angriff zu verwenden, um Informationen zu erhalten. Zusätzlich zu den Antworten von Rory Alsop und H. Idden, die sich darauf konzentrieren, Infrastrukturinformationen zu erhalten oder das Incident-Response-Team zu überlasten, damit andere Angriffe länger unentdeckt bleiben, gibt es einige andere Möglichkeiten.

Anwendungen automatisch skalieren - Wenn Sie mit einer Anwendungsplattform arbeiten, die einen DDOS-Angriff automatisch skaliert, wird möglicherweise die Tatsache verwendet, dass sie automatisch skaliert werden, um etwas zu tun. Dies müsste im Einklang mit einer anderen Art von Angriff oder Information stehen, aber die allgemeine Idee ist, dass Sie, wenn Sie genug wissen, um den "Neustart" -Prozess auszunutzen, DDOS verwenden könnten, um einen neuen Server online zu erzwingen, der den Neustartprozess durchlaufen würde und erlauben Ihren Exploit. Es ist wichtig zu beachten, dass dies zusätzlich zu einem bereits bestehenden Sicherheitsproblem auftritt. Es ist nur das Tool, mit dem der völlig andere Exploit online gestellt (oder vielleicht getestet) wird. Ein Beispiel, das ich mir vorstellen kann, ist ein Produktionsserver, der seine Codebasis in einem öffentlichen Github-Repo hostet. Wenn die Waage neuen Code in den Server zieht, wird er gestartet. Sie können diesem Github-Repo fehlerhaften Code hinzufügen (wenn dies nicht korrekt verwaltet wird), einen Neustart erzwingen und Ihren Exploit ausführen "Wer zuerst kommt, mahlt zuerst" in einem Teil ihres Prozesses. IRC (aus Kommentaren) ist ein Beispiel, aber es gibt andere. Jeder Dienst, der einem Benutzer bei einem First-Come-First-Served-Ansatz etwas reserviert, kann über DDOS genutzt werden. Entweder indem Sie alle Slots belegen, bis eine bestimmte Person ihre hat, oder indem Sie einen Neustart erzwingen und nach dem Neustart eine weitere Chance auf "Slots" erhalten. Diese sind ziemlich häufig, und obwohl ein Dienst, der dies zur Authentifizierung verwendet, etwas seltsam ist, ist dies nicht ungewöhnlich. Tatsächlich tun Lizenzdienste dies die ganze Zeit. Der erste Benutzer mit einer Lizenz von "ABC" ist der qualifizierte Benutzer von ABC. Wenn diese Daten nach einem Neustart verloren gehen, kann DDOS diesen Neustart verursachen und den Fuß in die Tür bekommen.

Sicherheitslücken beim Start - Ich habe einige Male gesehen, dass ein Serverstart dazu führte, dass Dienste für alle Fälle "eingeschaltet" blieben. Lassen Sie beispielsweise SSH-Kennwörter nach dem Neustart aktiviert und deaktivieren Sie sie nach einigen Stunden, falls wir einen Notfallzugriff benötigen. Oder FTP ist nach dem Neustart 30 Minuten lang eingeschaltet. Dies ist bei Netzwerkgeräten häufiger der Fall. Dinge wie "unsicherer WLAN-Zugang für die ersten 2 Minuten" oder "alles kann 2 Minuten lang alles hochladen". Normalerweise ist dies Teil eines Upgrade- / Update-Mechanismus. Beispielsweise kann ein Cisco-Router alle TFTP-Daten akzeptieren, die er nach dem Neustart findet. Einige Computer warten beim Neustart auf JEDEN Netboot-Server. DDOS kann den Neustart starten und Ihrem "schlechten Code" einen Einstieg ermöglichen.

Im Wesentlichen kann ein DDOS selbst einige Dinge sagen, aber normalerweise nur Dinge, die für sich genommen nutzlos sind. Ein DDOS in Verbindung mit anderen Angriffsmethoden kann äußerst effektiv sein.

Hinweis Die hier verwendeten Methoden würden in einem Labor funktionieren, aber es gibt niedrig hängende Früchte für ein Sicherheitsteam (oder sogar) nur reguläre IT). Während sie in freier Wildbahn existieren, müsste ein Angreifer Zugang zu Interna haben, der weit über das von jemandem hinausgeht, der gerade ein DDOS macht.

#5
+2
John Smith
2016-08-10 20:24:04 UTC
view on stackexchange narkive permalink

Ein Beispiel aus der Praxis ist Steam. Sie erlebten am Weihnachtstag einen DoS-Angriff. Als Reaktion darauf haben sie die Caching-Regeln des Steam-Dienstes geändert, sodass Kunden weiterhin auf die Store-Seite zugreifen können. Leider kam es zu einem Konfigurationsfehler, der manchmal dazu führte, dass Benutzer die persönlichen Informationen anderer Benutzer sahen.

Systeme haben manchmal ein unerwartetes Verhalten unter hoher Systemlast, was zu Sicherheitslücken führen kann. Es ist eine Möglichkeit für Hacker, dies auszunutzen, aber sie können dies wahrscheinlich nicht planen, und der Exploit ist wahrscheinlich unvorhersehbar. Sie müssen sich auch damit auseinandersetzen, dass der Server aufgrund der hohen Auslastung wahrscheinlich nur langsam reagiert.

#6
+2
Dennis Jaheruddin
2016-08-11 18:28:00 UTC
view on stackexchange narkive permalink

Ein DDOS-Angriff könnte eine Sicherheitsanfälligkeit ausnutzen.

Theoretisch könnte ein DDOS-Angriff nicht nur von einem Exploit ablenken, wie in einer anderen Antwort erwähnt, sondern auch mit einem kombiniert werden.

Betrachten Sie den Heartbleed-Fehler, der Informationen zurückgab, wenn ein Server auf eine bestimmte Weise kontaktiert wurde.

Sie können die vom Server erhaltenen Informationen erhöhen, indem Sie den Server bei einem DDOS-Angriff kontaktieren und Sammeln der Informationen, die auf diese Weise veröffentlicht wurden.

#7
+1
Aurand
2016-08-13 23:25:34 UTC
view on stackexchange narkive permalink

Erzwingen der Serverstartzeit

Eine Sache, die in den Kommentaren tangential erwähnt, aber in keiner der anderen sehr guten Antworten angesprochen wurde, ist, dass dies gelegentlich der Fall sein kann nützlich, um zu wissen, wann eine Anwendung / ein Server gestartet wurde. Zum Beispiel verwenden bestimmte schrecklich unsichere Zufallszahlengeneratoren (die niemals für sicherheitsrelevante Aufgaben verwendet werden sollten, aber immer wieder verwendet werden) die Systemzeit als "zufälligen" Startwert.

Dies ist der Wenn Sie ableiten können, wann das RNG ausgesät wurde (vorzugsweise innerhalb weniger Minuten Genauigkeit) und einige Beispiele für die Generatorleistung haben, ist es ziemlich trivial, das Seed zu finden und den RNG-Status neu zu erstellen, um zukünftige Token vorherzusagen. Normalerweise sollte ein Server seine Startzeit nicht offenlegen (obwohl dies immer wieder der Fall ist). Wenn jedoch ein DDoS-Angriff verwendet werden kann, um einen Neustart des Servers zu erzwingen, haben Sie Kenntnisse über die Startzeit des Servers.

Dies kann zu einer Vielzahl von tokenbasierten Angriffen wie Sitzungsentführungen führen.

#8
  0
paparazzo
2016-08-11 23:27:05 UTC
view on stackexchange narkive permalink

Es kann behoben werden, aber ich weiß, dass in den frühen Tagen der Gruppenrichtlinie ein Exploit darin bestand, den Gruppenrichtlinienserver zu überlasten, und in einigen Konfigurationen wurde die lokale Richtlinie angewendet. Daher würden wir die lokale Richtlinie als minimal konfigurieren. Sie können die Verweigerung nur als Ausnutzung der reduzierten Berechtigung für Serverrichtlinien verwenden. Ich weiß, dass ich nicht alle Begriffe korrekt habe - es ist eine Weile her, seit ich Gruppenrichtlinienadministration durchgeführt habe.

Angenommen, Sie haben einen Router kompromittiert, aber dieser Router hat nicht den gewünschten Datenverkehr erhalten. Sie könnten ein DoS auf einem guten Router durchführen, um hoffentlich Datenverkehr zum Hack-Router zu leiten.

#9
  0
Alex Bodnya
2016-08-14 12:29:01 UTC
view on stackexchange narkive permalink

Ich gehe davon aus, dass DoS-Angriffe zusammen mit Exploits unter Race-Bedingungen verwendet werden können. Wenn der Server stark ausgelastet ist, ist der Exploit einfacher zu verwenden.

DoS-Angriffe allein können jedoch einige Informationen liefern, wie in früheren Antworten gezeigt wurde - über Routing, Reaktionszeit und interne Vorfallbehandlung.

#10
  0
NoBugs
2016-08-15 12:25:14 UTC
view on stackexchange narkive permalink

Was ist mit einem Timing-Angriff? Dies wurde als mögliche Sicherheitslücke in Java, Python, wahrscheinlich vielen anderen, diskutiert und scheint tatsächlich ein DOS-Angriff zu sein.

Wann Verschiedene Bibliotheken prüfen auf Gleichheit, im Allgemeinen bereiten sie Byte für Byte vor und vergleichen, geben false zurück, wenn sie nicht übereinstimmen. Wenn so etwas zum Überprüfen von Kennwort / Cookie verwendet wird, können sie theoretisch die längste Anforderung zeitlich festlegen und davon ausgehen, dass sie durch den Vergleich weiter fortgeschritten ist.

#11
-3
user6698139
2016-08-11 01:16:10 UTC
view on stackexchange narkive permalink

Es ist normalerweise nicht unglaublich aufdringlich. Dies hängt von den offenen Ports und den gesendeten Paketen ab. DDoS kann von Personen stammen, die die Details und Datenbanken Ihres Servers brutal erzwingen, insbesondere über LAN, und in einigen Fällen einen diskreten Bruteforce-Angriff implizieren. Ein typischer Webserver ist schwer zu hacken, ich hoste Web und für Videospiele. Fragen Sie einen Fachmann, oder ich würde annehmen, dass es sich um eine unvermeidbare Sicherheitslücke handelt.

DDoS ist per Definition aufdringlich.Service wird abgelehnt.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...