Articles

Attacco denial-of-service
Posted by admin

Una vasta gamma di strumenti e tecniche sono utilizzati per lanciare attacchi DoS.Edit

L’attacco DoS più semplice si basa principalmente sulla forza bruta, inondando il bersaglio con un flusso travolgente di pacchetti, sovrasaturando la larghezza di banda della connessione o esaurendo le risorse di sistema del bersaglio. Le inondazioni che saturano la larghezza di banda si basano sulla capacità dell’attaccante di generare il flusso travolgente di pacchetti. Un modo comune per raggiungere questo obiettivo oggi è tramite distributed denial-of-service, utilizzando una botnet.,

Attack toolsEdit

In casi come MyDoom e Slowloris gli strumenti sono incorporati nel malware e lanciano i loro attacchi all’insaputa del proprietario del sistema. Stacheldraht è un classico esempio di strumento DDoS. Utilizza una struttura a strati in cui l’attaccante utilizza un programma client per connettersi ai gestori che sono sistemi compromessi che emettono comandi agli agenti zombie che a loro volta facilitano l’attacco DDoS., Gli agenti vengono compromessi tramite i gestori dall’utente malintenzionato utilizzando routine automatizzate per sfruttare le vulnerabilità nei programmi che accettano connessioni remote in esecuzione sugli host remoti di destinazione. Ogni gestore può controllare fino a mille agenti.

In altri casi una macchina può diventare parte di un attacco DDoS con il consenso del proprietario, ad esempio, nell’Operazione Payback organizzata dal gruppo Anonymous. Il cannone a ioni a bassa orbita è stato tipicamente utilizzato in questo modo., Insieme a High Orbit Ion Cannon oggi sono disponibili un’ampia varietà di strumenti DDoS, incluse le versioni a pagamento e gratuite, con diverse funzionalità disponibili. C’è un mercato sotterraneo per questi in forum di hacker correlati e canali IRC.

Attacchi a livello applicativomodifica

Gli attacchi a livello applicativo impiegano exploit che causano DoS e possono far sì che il software in esecuzione sul server riempia lo spazio su disco o consumi tutta la memoria disponibile o il tempo della CPU., Gli attacchi possono utilizzare specifici tipi di pacchetti o richieste di connessione per saturare risorse finite, ad esempio occupando il numero massimo di connessioni aperte o riempiendo lo spazio su disco della vittima con i log. Un utente malintenzionato con accesso a livello di shell al computer di una vittima può rallentarlo fino a quando non è inutilizzabile o bloccarlo utilizzando una bomba a forcella. Un altro tipo di attacco DoS a livello di applicazione è XDoS (o XML DoS) che può essere controllato dai moderni firewall per applicazioni web (WAF).,

Un altro obiettivo degli attacchi DDoS potrebbe essere quello di produrre costi aggiuntivi per l’operatore dell’applicazione, quando quest’ultimo utilizza risorse basate sul cloud computing. In questo caso le risorse normalmente utilizzate dall’applicazione sono legate a un livello di qualità del servizio (QoS) necessario (ad esempio le risposte devono essere inferiori a 200 ms) e questa regola è solitamente collegata a software automatizzato (ad esempio Amazon CloudWatch) per raccogliere più risorse virtuali dal provider al fine di soddisfare i livelli di QoS definiti per le richieste aumentate., L’incentivo principale dietro tali attacchi può essere quello di guidare il proprietario dell’applicazione per aumentare i livelli di elasticità al fine di gestire l’aumento del traffico delle applicazioni, al fine di causare perdite finanziarie o costringerli a diventare meno competitivi.

Un attacco di banana è un altro particolare tipo di DoS. Comporta il reindirizzamento dei messaggi in uscita dal client sul client, impedendo l’accesso esterno e inondando il client con i pacchetti inviati. Un attacco TERRESTRE è di questo tipo.,

Attacchi di degradazione del servizioedit

Gli zombi pulsanti sono computer compromessi che sono diretti a lanciare inondazioni intermittenti e di breve durata di siti Web delle vittime con l’intento di rallentarlo semplicemente piuttosto che bloccarlo. Questo tipo di attacco, denominato degradazione del servizio, può essere più difficile da rilevare e può interrompere e ostacolare la connessione ai siti Web per periodi di tempo prolungati, causando potenzialmente più interruzioni generali di un attacco denial of service., L’esposizione agli attacchi di degradazione del servizio è ulteriormente complicata dalla questione di discernere se il server viene realmente attaccato o sta vivendo carichi di traffico legittimi superiori ai normali.

Distributed DoS attackEdit

Il malware può trasportare meccanismi di attacco DDoS; uno degli esempi più noti di questo è stato MyDoom. Il suo meccanismo DoS è stato attivato in una data e ora specifica. Questo tipo di DDoS ha coinvolto hardcoding l’indirizzo IP di destinazione prima di rilasciare il malware e non è stata necessaria alcuna ulteriore interazione per lanciare l’attacco.,

Un sistema può anche essere compromesso con un trojan contenente un agente zombie. Gli aggressori possono anche penetrare nei sistemi utilizzando strumenti automatici che sfruttano i difetti nei programmi che ascoltano le connessioni da host remoti. Questo scenario riguarda principalmente i sistemi che agiscono come server sul web. Stacheldraht è un classico esempio di strumento DDoS. Utilizza una struttura a strati in cui l’attaccante utilizza un programma client per connettersi ai gestori, che sono sistemi compromessi che emettono comandi agli agenti zombie, che a loro volta facilitano l’attacco DDoS., Gli agenti sono compromessi tramite i gestori dall’attaccante. Ogni gestore può controllare fino a mille agenti. In alcuni casi una macchina può diventare parte di un attacco DDoS con il consenso del proprietario, ad esempio, in Operazione Payback, organizzata dal gruppo Anonymous. Questi attacchi possono utilizzare diversi tipi di pacchetti Internet come: TCP, UDP, ICMP ecc.

Queste raccolte di sistemi compromessi sono note come botnet., Gli strumenti DDoS come Stacheldraht usano ancora i classici metodi di attacco DoS centrati sullo spoofing e sull’amplificazione IP come gli attacchi smurf e gli attacchi fraggle (tipi di attacchi di consumo di larghezza di banda). SYN floods (un attacco di fame di risorse) può anche essere usato. Gli strumenti più recenti possono utilizzare i server DNS per scopi DoS. A differenza del meccanismo DDoS di MyDoom, le botnet possono essere rivolte contro qualsiasi indirizzo IP. Script kiddies li usano per negare la disponibilità di siti web ben noti agli utenti legittimi. Gli aggressori più sofisticati utilizzano strumenti DDoS a scopo di estorsione, anche contro i loro rivali commerciali.,

Attacchi semplici come SYN flood possono apparire con una vasta gamma di indirizzi IP di origine, dando l’aspetto di un DoS ben distribuito. Questi attacchi flood non richiedono il completamento dell’handshake a tre vie TCP e tentano di esaurire la coda SYN di destinazione o la larghezza di banda del server. Poiché gli indirizzi IP di origine possono essere falsificati banalmente, un attacco potrebbe provenire da un insieme limitato di fonti o potrebbe anche provenire da un singolo host., I miglioramenti dello stack come i cookie syn possono essere un’efficace mitigazione contro l’allagamento della coda SYN, tuttavia l’esaurimento completo della larghezza di banda può richiedere il coinvolgimento.

Se un utente malintenzionato monta un attacco da un singolo host, viene classificato come attacco DoS. In effetti, qualsiasi attacco contro la disponibilità sarebbe classificato come un attacco denial-of-service. D’altra parte, se un utente malintenzionato utilizza molti sistemi per lanciare contemporaneamente attacchi contro un host remoto, questo sarebbe classificato come un attacco DDoS.,

È stato segnalato che ci sono nuovi attacchi da dispositivi Internet of things (IoT) che sono stati coinvolti in denial of Service attacks.In un attacco notato che è stato fatto ha raggiunto il picco di circa 20.000 richieste al secondo provenienti da circa 900 telecamere a circuito chiuso.

GCHQ del Regno Unito ha strumenti costruiti per DDoS, chiamati PREDATORS FACE e ROLLING THUNDER.

DDoS extortionEdit

Nel 2015, le botnet DDoS come DD4BC sono cresciute di rilievo, prendendo di mira le istituzioni finanziarie., I cyber-estorsori in genere iniziano con un attacco di basso livello e un avvertimento che verrà effettuato un attacco più grande se un riscatto non viene pagato in Bitcoin. Gli esperti di sicurezza raccomandano siti web mirati a non pagare il riscatto. Gli aggressori tendono ad entrare in uno schema di estorsione esteso una volta che riconoscono che l’obiettivo è pronto a pagare.

HTTP slow POST DoS attackEdit

Scoperto per la prima volta nel 2009, l’attacco HTTP slow POST invia un’intestazione HTTP POST completa e legittima, che include un campo “Content-Length” per specificare la dimensione del corpo del messaggio da seguire., Tuttavia, l’attaccante procede quindi a inviare il corpo del messaggio effettivo a una velocità estremamente lenta (ad esempio 1 byte/110 secondi). Poiché l’intero messaggio è corretto e completo, il server di destinazione tenterà di obbedire al campo “Lunghezza contenuto” nell’intestazione e attenderà la trasmissione dell’intero corpo del messaggio, il che può richiedere molto tempo., L’attaccante stabilisce centinaia o addirittura migliaia di tali connessioni fino a quando tutte le risorse per le connessioni in entrata sul server (la vittima) vengono esaurite, rendendo quindi impossibili ulteriori connessioni (comprese quelle legittime) fino a quando tutti i dati non sono stati inviati. È notevole che a differenza di molti altri attacchi DDoS o DDoS, che cercano di sottomettere il server sovraccaricando la sua rete o CPU, un attacco HTTP slow POST prende di mira le risorse logiche della vittima, il che significa che la vittima avrebbe ancora abbastanza larghezza di banda di rete e potenza di elaborazione per operare., Inoltre, combinato con il fatto che Apache, per impostazione predefinita, accetta richieste fino a 2 GB di dimensione, questo attacco può essere particolarmente potente. Gli attacchi HTTP slow POST sono difficili da differenziare dalle connessioni legittime e sono quindi in grado di bypassare alcuni sistemi di protezione. OWASP, un progetto di sicurezza delle applicazioni web open source, ha rilasciato uno strumento per testare la sicurezza dei server contro questo tipo di attacchi.,

Challenge Collapsar (CC) attackEdit

Un Challenge Collapsar (CC) attack è un attacco che le richieste HTTP standard vengono inviate frequentemente a un server Web mirato, in cui gli Uniform Resource Identifiers (URI) richiedono complicati algoritmi o operazioni di database che richiedono molto tempo, al fine di esaurire le risorse del server Web mirato.

Nel 2004, un hacker cinese soprannominato KiKi ha inventato uno strumento di hacking per inviare questo tipo di richieste per attaccare un firewall NSFOCUS chiamato “Collapsar”, e quindi lo strumento di hacking era noto come “Challenge Collapsar”, o CC in breve., Di conseguenza, questo tipo di attacco ha preso il nome di “attacco CC”.

Internet Control Message Protocol (ICMP) floodEdit

Un attacco smurf si basa su dispositivi di rete configurati in modo errato che consentono l’invio di pacchetti a tutti gli host di computer su una particolare rete tramite l’indirizzo di trasmissione della rete, piuttosto che una macchina specifica. L’attaccante invierà un gran numero di pacchetti IP con l’indirizzo di origine simulato per sembrare l’indirizzo della vittima. La maggior parte dei dispositivi su una rete, per impostazione predefinita, risponderà a questo inviando una risposta all’indirizzo IP di origine., Se il numero di macchine sulla rete che ricevono e rispondono a questi pacchetti è molto grande, il computer della vittima sarà inondato di traffico. Questo sovraccarica il computer vittima e può anche renderlo inutilizzabile durante tale attacco.

Ping flood si basa sull’invio alla vittima di un numero schiacciante di pacchetti ping, di solito utilizzando il comando “ping” da host Unix-like (il flag-t sui sistemi Windows è molto meno in grado di sopraffare un target, anche il flag-l (size) non consente la dimensione del pacchetto inviato maggiore di 65500 in Windows)., È molto semplice da lanciare, il requisito principale è l’accesso a una larghezza di banda maggiore rispetto alla vittima.

Ping of death si basa sull’invio alla vittima di un pacchetto ping malformato, che porterà a un crash di sistema su un sistema vulnerabile.

L’attacco BlackNurse è un esempio di attacco che sfrutta la porta di destinazione richiesta Pacchetti ICMP Irraggiungibili.,

NukeEdit

Un Nuke è un vecchio attacco denial-of-service contro reti di computer costituite da pacchetti ICMP frammentati o altrimenti non validi inviati al bersaglio, ottenuto utilizzando un’utilità ping modificata per inviare ripetutamente questi dati corrotti, rallentando così il computer interessato fino a quando non si arresta completamente.

Un esempio specifico di un attacco nucleare che ha guadagnato una certa importanza è il WinNuke, che ha sfruttato la vulnerabilità nel gestore NetBIOS in Windows 95., Una stringa di dati fuori banda è stata inviata alla porta TCP 139 della macchina della vittima, causando il blocco e la visualizzazione di una schermata blu della morte.

Attacchi peer-to-peer

Articolo principale: Direct Connect (protocollo) § Direct Connect utilizzato per attacchi DDoS

Gli aggressori hanno trovato un modo per sfruttare una serie di bug nei server peer-to-peer per avviare attacchi DDoS. Il più aggressivo di questi attacchi peer-to-peer-DDoS sfrutta DC++. Con peer-to-peer non esiste una botnet e l’attaccante non deve comunicare con i client che sovverte., Invece, l’attaccante agisce come un” burattinaio”, istruendo i clienti di grandi hub di condivisione file peer-to-peer a disconnettersi dalla propria rete peer-to-peer e connettersi al sito web della vittima.

Permanent denial-of-service attacksEdit

Permanent denial-of-service (PDoS), noto anche liberamente come phlashing, è un attacco che danneggia un sistema così male che richiede la sostituzione o la reinstallazione dell’hardware., A differenza dell’attacco distributed denial-of-service, un attacco PDoS sfrutta falle di sicurezza che consentono l’amministrazione remota sulle interfacce di gestione dell’hardware della vittima, come router, stampanti o altro hardware di rete. L’utente malintenzionato utilizza queste vulnerabilità per sostituire il firmware di un dispositivo con un’immagine firmware modificata, corrotta o difettosa, un processo che quando viene eseguito legittimamente è noto come lampeggiante. Questo quindi “mattoni” il dispositivo, rendendolo inutilizzabile per il suo scopo originale fino a quando non può essere riparato o sostituito.,

Il PDoS è un attacco mirato hardware puro che può essere molto più veloce e richiede meno risorse rispetto all’utilizzo di una botnet o di un root / vserver in un attacco DDoS. A causa di queste caratteristiche, e il potenziale e l’alta probabilità di exploit di sicurezza su dispositivi embedded abilitati alla rete (esigenze), questa tecnica è venuto all’attenzione di numerose comunità di hacking. BrickerBot, un malware che ha preso di mira i dispositivi IoT, ha utilizzato gli attacchi PDoS per disabilitare i suoi obiettivi.,

PhlashDance è uno strumento creato da Rich Smith (un dipendente del Systems Security Lab di Hewlett-Packard) utilizzato per rilevare e dimostrare le vulnerabilità PDoS alla Eusecwest Applied Security Conference 2008 a Londra.

Attacco riflesso/spoofededit

Un attacco distributed denial-of-service può comportare l’invio di richieste contraffatte di qualche tipo a un numero molto elevato di computer che risponderanno alle richieste. Utilizzando Internet Protocol address spoofing, l’indirizzo di origine è impostato su quello della vittima mirata, il che significa che tutte le risposte andranno (e inonderanno) il bersaglio., (Questa forma di attacco riflessa è talvolta chiamata “DRDOS”.)

Gli attacchi ICMP Echo Request (Smurf attack) possono essere considerati una forma di attacco riflesso, poiché gli host flooding inviano richieste Echo agli indirizzi broadcast di reti mal configurate, invogliando così gli host a inviare pacchetti Echo Reply alla vittima. Alcuni primi programmi DDoS implementarono una forma distribuita di questo attacco.

AmplificationEdit

Gli attacchi di amplificazione vengono utilizzati per ingrandire la larghezza di banda inviata a una vittima., Questo viene in genere fatto attraverso server DNS accessibili pubblicamente che vengono utilizzati per causare congestione sul sistema di destinazione utilizzando il traffico di risposta DNS. Molti servizi possono essere sfruttati per agire come riflettori, alcuni più difficili da bloccare rispetto ad altri. US-CERT ha osservato che diversi servizi possono causare diversi fattori di amplificazione, come riportato di seguito:

Gli attacchi di amplificazione DNS comportano un nuovo meccanismo che aumenta l’effetto di amplificazione, utilizzando un elenco di server DNS molto più ampio di quanto visto in precedenza., Il processo comporta in genere un utente malintenzionato che invia una richiesta di ricerca nome DNS a un server DNS pubblico, spoofing l’indirizzo IP di origine della vittima di destinazione. L’attaccante cerca di richiedere quante più informazioni possibili, amplificando così la risposta DNS che viene inviata alla vittima mirata. Poiché la dimensione della richiesta è significativamente inferiore alla risposta, l’attaccante è facilmente in grado di aumentare la quantità di traffico diretto al bersaglio. SNMP e NTP possono anche essere sfruttati come riflettore in un attacco di amplificazione.,

Un esempio di attacco DDoS amplificato attraverso il Network Time Protocol (NTP) è attraverso un comando chiamato monlist, che invia i dettagli degli ultimi 600 host che hanno richiesto l’ora dal server NTP al richiedente. Una piccola richiesta a questo time server può essere inviata utilizzando un indirizzo IP di origine contraffatto di una vittima, che si traduce in una risposta 556,9 volte la dimensione della richiesta inviata alla vittima., Questo viene amplificato quando si utilizzano botnet che inviano tutte le richieste con la stessa origine IP falsificata, che si tradurrà in una massiccia quantità di dati inviati di nuovo alla vittima.

È molto difficile difendersi da questi tipi di attacchi perché i dati di risposta provengono da server legittimi. Queste richieste di attacco vengono inviate anche tramite UDP, che non richiede una connessione al server. Ciò significa che l’IP di origine non viene verificato quando viene ricevuta una richiesta dal server., Al fine di portare consapevolezza di queste vulnerabilità, sono state avviate campagne dedicate alla ricerca di vettori di amplificazione che hanno portato le persone a fissare i loro resolver o ad arrestare completamente i resolver.

Mirai botnetEdit

Questo attacco funziona utilizzando un worm per infettare centinaia di migliaia di dispositivi IoT su Internet. Il worm si propaga attraverso reti e sistemi prendendo il controllo di dispositivi IoT scarsamente protetti come termostati, orologi abilitati Wi-Fi e lavatrici., Quando il dispositivo diventa schiavo di solito il proprietario o l’utente non avrà alcuna indicazione immediata. Il dispositivo IoT stesso non è il bersaglio diretto dell’attacco, viene utilizzato come parte di un attacco più grande. Questi dispositivi appena schiavizzati sono chiamati schiavi o bot. Una volta che l’hacker ha acquisito il numero desiderato di bot, istruiscono i bot per cercare di contattare un ISP. Nell’ottobre 2016, una botnet Mirai ha attaccato Dyn che è l’ISP per siti come Twitter, Netflix, ecc. Non appena questo si è verificato, questi siti web erano tutti irraggiungibili per diverse ore., Questo tipo di attacco non è fisicamente dannoso, ma sarà certamente costoso per tutte le grandi aziende internet che vengono attaccati.

R-U-Morto-Ancora? (RUDY)Modifica

L’attacco RUDY si rivolge alle applicazioni Web per fame di sessioni disponibili sul server Web. Proprio come Slowloris, RUDY mantiene le sessioni all’arresto usando trasmissioni POST senza fine e inviando un valore di intestazione arbitrariamente di lunghezza del contenuto.,

SACK PanicEdit

Manipolare la dimensione massima del segmento e il riconoscimento selettivo (SACK) può essere usato da un peer remoto per causare un denial of service da un overflow intero nel kernel Linux, causando anche un Kernel panic. Jonathan Looney ha scoperto CVE-2019-11477, CVE-2019-11478, CVE-2019-11479 il 17 giugno 2019.

Shrew attackEdit

L’attacco shrew è un attacco denial-of-service al protocollo di controllo della trasmissione in cui l’attaccante impiega tecniche man-in-the-middle., Utilizza brevi raffiche sincronizzate di traffico per interrompere le connessioni TCP sullo stesso collegamento, sfruttando una debolezza nel meccanismo di timeout di ritrasmissione di TCP.

Attacco di lettura lentamodifica

Un attacco di lettura lenta invia richieste legittime a livello di applicazione, ma legge le risposte molto lentamente, cercando così di esaurire il pool di connessioni del server. Si ottiene pubblicizzando un numero molto piccolo per la dimensione della finestra di ricezione TCP e allo stesso tempo svuotando lentamente il buffer di ricezione TCP dei client, il che causa una portata di dati molto bassa.,

Sofisticato attacco Distributed Denial-of-Service a bassa larghezza di banda

Un sofisticato attacco DDoS a bassa larghezza di banda è una forma di DoS che utilizza meno traffico e aumenta la loro efficacia puntando a un punto debole nella progettazione del sistema della vittima, cioè, l’attaccante invia traffico costituito da richieste complicate al sistema. In sostanza, un sofisticato attacco DDoS è più basso nel costo a causa del suo utilizzo di meno traffico, è più piccolo nelle dimensioni che lo rende più difficile da identificare, e ha la capacità di danneggiare i sistemi che sono protetti da meccanismi di controllo del flusso.,

(S)SYN floodEdit

Vedi anche: SYN flood

Un SYN flood si verifica quando un host invia un flood di pacchetti TCP / SYN, spesso con un indirizzo mittente falsificato. Ognuno di questi pacchetti viene gestito come una richiesta di connessione, causando al server di generare una connessione semiaperta, inviando un pacchetto TCP / SYN-ACK (Acknowledge) e in attesa di un pacchetto in risposta dall’indirizzo del mittente (risposta al pacchetto ACK). Tuttavia, poiché l’indirizzo del mittente è falsificato, la risposta non arriva mai., Queste connessioni semiaperte saturano il numero di connessioni disponibili che il server può effettuare, impedendogli di rispondere alle richieste legittime fino a dopo la fine dell’attacco.

Teardrop attacksEdit

Un attacco a goccia comporta l’invio di frammenti IP mutilati con payload sovrapposti e sovradimensionati alla macchina bersaglio. Questo può mandare in crash vari sistemi operativi a causa di un bug nel loro codice di ri-assemblaggio della frammentazione TCP/IP. I sistemi operativi Windows 3.1 x, Windows 95 e Windows NT, così come le versioni di Linux precedenti alle versioni 2.0.32 e 2.1.63 sono vulnerabili a questo attacco.,

(Anche se nel settembre 2009, una vulnerabilità in Windows Vista è stato indicato come un “attacco a goccia”, questo mirato SMB2 che è un livello superiore rispetto ai pacchetti TCP che teardrop utilizzato).

Uno dei campi in un’intestazione IP è il campo “framment offset”, che indica la posizione di partenza, o offset, dei dati contenuti in un pacchetto frammentato rispetto ai dati nel pacchetto originale. Se la somma dell’offset e della dimensione di un pacchetto frammentato differisce da quella del pacchetto frammentato successivo, i pacchetti si sovrappongono., Quando ciò accade, un server vulnerabile agli attacchi a goccia non è in grado di riassemblare i pacchetti, determinando una condizione di denial – of-service.

Telephony Denial-of-service (TDoS)Edit

Voice over IP ha reso l’origine abusiva di un gran numero di chiamate vocali telefoniche poco costose e prontamente automatizzate, consentendo al contempo di travisare le origini delle chiamate attraverso lo spoofing dell’ID chiamante.,

Secondo l’US Federal Bureau of Investigation, telephony Denial-of-service (TDoS) è apparso come parte di vari schemi fraudolenti:

  • Un truffatore contatta il banchiere o il broker della vittima, impersonando la vittima per richiedere un trasferimento di fondi. Il tentativo del banchiere di contattare la vittima per la verifica del trasferimento fallisce poiché le linee telefoniche della vittima vengono inondate da migliaia di chiamate fasulle, rendendo la vittima irraggiungibile.
  • Un truffatore contatta i consumatori con una pretesa fasulla per raccogliere un prestito di giorno di paga eccezionale per migliaia di dollari., Quando il consumatore si oppone, il truffatore si vendica inondando datore di lavoro della vittima con migliaia di chiamate automatizzate. In alcuni casi, l’ID chiamante visualizzato viene falsificato per impersonare la polizia o le forze dell’ordine.
  • Un truffatore contatta i consumatori con una richiesta di recupero crediti fasulla e minaccia di inviare la polizia; quando la vittima esita, il truffatore inonda i numeri della polizia locale con chiamate su cui l’ID chiamante viene falsificato per visualizzare il numero della vittima. La polizia arriva presto alla residenza della vittima cercando di trovare l’origine delle chiamate.,

La telefonia denial-of-service può esistere anche senza la telefonia via Internet. Nel 2002 New Hampshire Senato elezione telefono jamming scandalo, telemarketing sono stati utilizzati per inondare gli avversari politici con chiamate spurie a banche telefono marmellata il giorno delle elezioni. La pubblicazione diffusa di un numero può anche inondarlo di chiamate sufficienti a renderlo inutilizzabile, come accadde per caso nel 1981 con più abbonati +1-prefisso-867-5309 inondati da centinaia di chiamate errate al giorno in risposta alla canzone 867-5309/Jenny.,

Il TDoS differisce da altre molestie telefoniche (come chiamate scherzose e telefonate oscene) per il numero di chiamate originate; occupando continuamente le linee con chiamate automatiche ripetute, alla vittima viene impedito di effettuare o ricevere chiamate telefoniche di routine e di emergenza.

Exploit correlati includono gli attacchi SMS flooding e fax nero o trasmissione loop fax.

TTL expiry attackEdit

Ci vogliono più risorse del router per rilasciare un pacchetto con un valore TTL di 1 o meno di quanto non faccia per inoltrare un pacchetto con un valore TTL più alto., Quando un pacchetto viene rilasciato a causa della scadenza TTL, la CPU del router deve generare e inviare una risposta ICMP time exceeded. La generazione di molte di queste risposte può sovraccaricare la CPU del router.

UPnP attackEdit

Questo attacco utilizza una vulnerabilità esistente nel protocollo Universal Plug and Play (UPnP) per aggirare una notevole quantità degli attuali metodi di difesa e inondare la rete e i server di un bersaglio. L’attacco si basa su una tecnica di amplificazione DNS, ma il meccanismo di attacco è un router UPnP che inoltra le richieste da una sorgente esterna a un’altra ignorando le regole di comportamento UPnP., Utilizzando il router UPnP restituisce i dati su una porta UDP inattesa da un indirizzo IP fasullo, rendendo più difficile intraprendere semplici azioni per arrestare il flusso di traffico. Secondo i ricercatori Imperva, il modo più efficace per fermare questo attacco è per le aziende di bloccare i router UPnP.

SSDP reflection attackEdit

Nel 2014 è stato scoperto che SSDP veniva utilizzato in attacchi DDoS noti come “SSDP reflection attack with amplification”., Molti dispositivi, tra cui alcuni router residenziali, hanno una vulnerabilità nel software UPnP che consente a un utente malintenzionato di ottenere risposte dal numero di porta 1900 a un indirizzo di destinazione di loro scelta. Con una botnet di migliaia di dispositivi, gli aggressori possono generare velocità di pacchetto sufficienti e occupare larghezza di banda per saturare i collegamenti, causando la negazione dei servizi. La società di rete Cloudflare ha descritto questo attacco come il “protocollo DDoS stupidamente semplice”.,

ARP spoofingEdit

ARP spoofing è un attacco DoS comune che comporta una vulnerabilità nel protocollo ARP che consente a un utente malintenzionato di associare il proprio indirizzo mac all’indirizzo IP di un altro computer o gateway (come un router), causando il traffico destinato all’IP originale autentico da reindirizzare a quello dell’utente malintenzionato, causando

Leave A Comment