uma grande variedade de ferramentas e técnicas são usadas para lançar ataques DoS.Edit
o mais simples ataque dos depende principalmente da Força bruta, inundando o alvo com um fluxo esmagador de pacotes, supersaturando sua largura de banda de conexão ou esgotando os recursos do sistema do alvo. Enchentes saturadas de largura de banda dependem da capacidade do atacante para gerar o fluxo esmagador de pacotes. Uma forma comum de conseguir isso hoje é através de negação de serviço distribuída, empregando um botnet.,
Ferramentas de ataque edit
em casos como MyDoom e Slowloris as ferramentas estão incorporadas em malware e lançam seus ataques sem o conhecimento do proprietário do sistema. Stacheldraht é um exemplo clássico de uma ferramenta DDoS. Ele usa uma estrutura em camadas onde o atacante usa um programa cliente para se conectar a manipuladores que são sistemas comprometidos que emitem comandos para os agentes zumbis que, por sua vez, facilitam o ataque DDoS., Os agentes são comprometidos através dos manipuladores pelo atacante usando rotinas automatizadas para explorar vulnerabilidades em programas que aceitam conexões remotas rodando nos hosts remotos visados. Cada responsável pode controlar até mil agentes.
em outros casos, uma máquina pode se tornar parte de um ataque DDoS com o consentimento do proprietário, por exemplo, na operação vingança organizada pelo grupo anônimo. O canhão de íons de baixa órbita tem sido usado tipicamente desta forma., Junto com Canhão de íons de alta órbita uma grande variedade de ferramentas DDoS estão disponíveis hoje, incluindo versões pagas e livres, com diferentes recursos disponíveis. Há um mercado subterrâneo para estes em fóruns relacionados com hackers e canais de IRC.
Attacksedit
Application-layer attacks employ DoS-causing exploits and can cause server-running software to fill the disk space or consuse all available memory or CPU time., Ataques podem usar tipos específicos de pacotes ou pedidos de conexão para saturar recursos finitos, por exemplo, ocupando o número máximo de conexões abertas ou preenchendo o espaço em disco da vítima com logs. Um atacante com acesso ao computador da vítima pode atrasá-lo até que seja inutilizável ou derrubá-lo usando uma bomba de garfo. Outro tipo de ataque de nível de aplicação DoS é o XDOS (ou XML DoS) que pode ser controlado por aplicações web modernas firewalls (WAFs).,outro alvo de ataques de DDoS pode ser a produção de custos adicionais para o operador da aplicação, quando este usa recursos baseados em computação em nuvem. Neste caso, os recursos normalmente utilizados para aplicações estão ligados a um nível de qualidade de serviço (QoS) necessário (por exemplo, as respostas devem ser inferiores a 200 ms) e esta regra está geralmente ligada a software automatizado (por exemplo, Amazon CloudWatch) para obter mais recursos virtuais do fornecedor, a fim de satisfazer os níveis de QoS definidos para o aumento dos pedidos., O principal incentivo por trás de tais ataques pode ser o de levar o proprietário da aplicação a aumentar os níveis de elasticidade, a fim de lidar com o aumento do tráfego da aplicação, a fim de causar perdas financeiras ou forçá-los a se tornar menos competitivos.um ataque de banana é outro tipo particular de DoS. Envolve redirecionar as mensagens de saída do cliente de volta para o cliente, impedindo o acesso externo, bem como inundar o cliente com os pacotes enviados. Um ataque terrestre é deste tipo.,
Degradação de serviço attacksEdit
Pulsando zombies são computadores comprometidos que são direcionados para o lançamento intermitente e de curta duração inundações da vítima sites com a intenção de apenas retardar, em vez de bater nele. Este tipo de ataque, referido como degradação de serviço, pode ser mais difícil de detectar e pode perturbar e dificultar a ligação a sites por longos períodos de tempo, potencialmente causando mais perturbação geral do que um ataque de negação de serviço., A exposição de ataques de degradação de serviço é ainda mais complicada pela questão de discernir se o servidor está realmente sendo atacado ou está experimentando cargas de tráfego mais elevadas do que as normais legítimas.
attackEdit
Malware pode carregar mecanismos de ataque DDoS; um dos exemplos mais conhecidos foi MyDoom. O seu mecanismo DoS foi activado numa data e hora específicas. Este tipo de DDoS envolveu o hardcoding do endereço IP alvo antes de liberar o malware e nenhuma interação adicional foi necessária para lançar o ataque.,
um sistema também pode ser comprometido com um troiano contendo um agente zumbi. Os atacantes também podem entrar em sistemas usando ferramentas automatizadas que exploram falhas em programas que escutam conexões de hosts remotos. Este cenário diz respeito principalmente aos sistemas que atuam como servidores na web. Stacheldraht é um exemplo clássico de uma ferramenta DDoS. Ele usa uma estrutura em camadas onde o atacante usa um programa cliente para se conectar a manipuladores, que são sistemas comprometidos que emitem comandos para os agentes zumbis, que por sua vez facilitam o ataque DDoS., Os agentes são comprometidos pelos manipuladores pelo atacante. Cada responsável pode controlar até mil agentes. Em alguns casos, uma máquina pode se tornar parte de um ataque DDoS com o consentimento do proprietário, por exemplo, na operação Payback, organizado pelo grupo anônimo. Estes ataques podem usar diferentes tipos de pacotes da internet, tais como: TCP, UDP, ICMP etc.estas coleções de sistemas comprometidos são conhecidas como botnets., Ferramentas DDoS como Stacheldraht ainda usam métodos clássicos de ataque dos centrados em spoofing IP e amplificação como ataques de smurf e ataques de fraggle (tipos de ataques de consumo de largura de banda). Inundações SYN (um ataque de fome de recursos) também pode ser usado. Ferramentas mais recentes podem usar servidores DNS para propósitos do DoS. Ao contrário do mecanismo DDoS de MyDoom, botnets podem ser virados contra qualquer endereço IP. Script kiddies usá-los para negar a disponibilidade de sites bem conhecidos para usuários legítimos. Agressores mais sofisticados usam ferramentas DDoS para fins de extorsão – inclusive contra seus rivais de negócios.,ataques simples como inundações de sins podem aparecer com uma ampla gama de endereços IP fonte, dando a aparência de um DoS bem distribuído. Estes ataques de inundação não requerem a conclusão do aperto de mão TCP de três vias e tentam esgotar a fila de destino SYN ou a largura de banda do servidor. Como os endereços IP de origem podem ser falsificados trivialmente, um ataque pode vir de um conjunto limitado de fontes, ou pode até ser originado de um único hospedeiro., Melhorias na pilha, tais como cookies syn podem ser uma mitigação eficaz contra a inundação da fila SYN, no entanto a exaustão completa da largura de banda pode exigir envolvimento.
Se um atacante monta um ataque a partir de um único hospedeiro, ele seria classificado como um ataque DoS. Na verdade, qualquer ataque contra a disponibilidade seria classificado como um ataque de negação de serviço. Por outro lado, se um atacante usa muitos sistemas para lançar ataques simultaneamente contra um host remoto, isso seria classificado como um ataque DDoS.,foi relatado que existem novos ataques a partir da internet de dispositivos (IoT) que estiveram envolvidos na negação de serviço attacks.In um ataque observado que foi feito atingiu um pico de cerca de 20.000 pedidos por segundo, que veio de cerca de 900 Câmeras de CCTV.a GCHQ do Reino Unido tem ferramentas construídas para DDoS, chamadas PREDATORS FACE e ROLLING THUNDER.
DDoS extorsionedit
em 2015, botnets DDoS como DD4BC cresceram em destaque, tendo como objetivo as instituições financeiras., Os ciber-extorsionistas normalmente começam com um ataque de baixo nível e um aviso de que um ataque maior será realizado se um resgate não for pago em Bitcoin. Especialistas em segurança recomendam sites específicos para não pagar o resgate. Os atacantes tendem a entrar em um esquema de extorsão estendido, uma vez que eles reconhecem que o alvo está pronto para pagar.
HTTP slow POST dos attackEdit
descoberto pela primeira vez em 2009, o HTTP slow POST attack envia um cabeçalho HTTP post completo e legítimo, que inclui um campo ‘Content-Length’ para indicar o tamanho do corpo da mensagem a seguir., No entanto, o atacante, em seguida, continua a enviar o corpo de mensagem real a uma taxa extremamente lenta (por exemplo, 1 byte/110 segundos). Devido a toda a mensagem estar correta e completa, o servidor alvo tentará obedecer o campo ‘Content-Length’ no cabeçalho, e esperar que todo o corpo da mensagem seja transmitido, o que pode demorar muito tempo., O atacante estabelece centenas ou mesmo milhares de conexões até que todos os recursos para conexões de entrada no servidor (a vítima) são usados, portanto, tornando quaisquer conexões mais (incluindo legítimas) impossíveis até que todos os dados tenham sido enviados. É notável que, ao contrário de muitos outros ataques DDoS ou DDoS, que tentam subjugar o servidor sobrecarregando sua rede ou CPU, um HTTP slow POST attack ataca os recursos lógicos da vítima, o que significa que a vítima ainda teria largura de banda de rede suficiente e poder de processamento para operar., Além disso, combinado com o fato de que o Apache, por padrão, aceitará pedidos até 2GB de tamanho, este ataque pode ser particularmente poderoso. Ataques de post lentos HTTP são difíceis de diferenciar de conexões legítimas e, portanto, são capazes de contornar alguns sistemas de proteção. O OWASP, um projeto de segurança de aplicações web de código aberto, lançou uma ferramenta para testar a segurança dos servidores contra este tipo de ataques.,
Desafio Collapsar (CC) attackEdit
Um Desafio Collapsar (CC) ataque é um ataque que o padrão de solicitações HTTP são enviados para um servidor web de destino com frequência, em que o Uniform Resource Identifiers (URIs) exigir complicado, demorado algoritmos ou operações de banco de dados, a fim de esgotar os recursos do servidor web de destino.
Em 2004, um hacker Chinês apelidado de KiKi inventou uma ferramenta de hacking para enviar estes tipos de pedidos para atacar um NSFOCUS firewall chamado “Collapsar”, e, portanto, a ferramenta de hacking era conhecido como o “Desafio Collapsar”, ou CC para breve., Consequentemente, este tipo de ataque recebeu o nome de “ataque CC”.
Internet Control Message Protocol (ICMP) floodEdit
a smurf attack baseia-se em dispositivos de rede mal configurados que permitem que pacotes sejam enviados para todos os computadores hosts de uma determinada rede através do endereço de difusão da rede, em vez de uma máquina específica. O atacante irá enviar grandes números de pacotes IP com o endereço de origem falsificado para parecer ser o endereço da vítima. A maioria dos dispositivos em uma rede irá, por padrão, responder a isso, enviando uma resposta para o endereço IP de origem., Se o número de máquinas na rede que recebem e respondem a estes pacotes for muito grande, o computador da vítima será inundado com tráfego. Isto sobrecarrega o computador da vítima e pode até torná-lo inutilizável durante esse ataque.
Ping flood é baseado no envio à vítima de um número esmagador de pacotes de ping, geralmente usando o comando “ping” de hosts tipo Unix (a bandeira-t nos sistemas Windows é muito menos capaz de esmagar um alvo, também a bandeira-l (tamanho) não permite o tamanho de pacote enviado maior que 65500 no Windows)., É muito simples de lançar, sendo o principal requisito o acesso a maior largura de banda do que a vítima.
Ping da morte é baseado no envio à vítima de um pacote de ping malformado, o que levará a um colapso do sistema em um sistema vulnerável.
o ataque BlackNurse é um exemplo de um ataque aproveitando-se da porta de destino necessária pacotes ICMP inalcançáveis.,
NukeEdit
Um Nuke é um antiquado de negação de serviço ataque contra redes de computadores consiste fragmentado ou não inválido pacotes ICMP enviadas para o destino, conseguida através de uma modificação utilitário ping para enviar repetidamente este corromper os dados, retardando assim o computador afetado, até parar por completo.
um exemplo específico de um ataque nuclear que ganhou alguma proeminência é o WinNuke, que explorou a vulnerabilidade no manipulador NetBIOS no Windows 95., Uma sequência de dados fora de banda foi enviada para a porta tcp 139 da máquina da vítima, fazendo com que ela fechasse e exibisse uma tela azul de morte.
Attacksedit
Attackers encontraram uma forma de explorar um número de erros em servidores peer-to-peer para iniciar ataques DDoS. O mais agressivo destes ataques peer-to-peer-DDoS explora o DC++. Com peer-to-peer não há botnet e o atacante não tem que se comunicar com os clientes que subverte., Em vez disso, o atacante age como um “puppet master”, instruindo os clientes de grandes centros de compartilhamento de arquivos peer-to-peer para se desligarem de sua rede peer-to-peer e se conectarem ao site da vítima.
permanente negation-of-service attacksEdit
permanente denial-of-service (DOP), também conhecido vagamente como phlashing, é um ataque que danifica um sistema tão mal que requer substituição ou reinstalação de hardware., Ao contrário do ataque de negação de serviço distribuído, um ataque DOP explora falhas de segurança que permitem a administração remota nas interfaces de gerenciamento do hardware da vítima, tais como roteadores, impressoras ou outro hardware de rede. O atacante usa essas vulnerabilidades para substituir o firmware de um dispositivo por uma imagem de firmware modificada, corrupta ou defeituosa—um processo que quando feito legitimamente é conhecido como flashing. Isto, portanto, “Tijolos” o dispositivo, tornando-o inutilizável para a sua finalidade original até que possa ser reparado ou substituído.,
o PDS é um ataque alvo de hardware puro que pode ser muito mais rápido e requer menos recursos do que usar um botnet ou um root/vserver em um ataque DDoS. Devido a essas características, e a potencial e alta probabilidade de exploração de segurança em dispositivos incorporados em rede ativados (necessidades), esta técnica veio à atenção de numerosas comunidades de hackers. BrickerBot, um pedaço de malware que visava dispositivos IoT, usou ataques de DOP para desativar seus alvos.,PhlashDance é uma ferramenta criada por Rich Smith (um empregado do Laboratório de segurança de sistemas da Hewlett-Packard) usada para detectar e demonstrar vulnerabilidades DOP na Conferência de segurança aplicada EUSecWest de 2008 em Londres.
attackEdit Reflected / spoofed attackEdit
um ataque distribuído de negação de serviço pode envolver o envio de Pedidos falsificados de algum tipo para um grande número de computadores que irão responder aos pedidos. Usando o endereço de Protocolo de Internet spoofing, o endereço de origem é definido para o da vítima alvo, o que significa que todas as respostas vão para (e flood) o alvo., (Esta forma de ataque refletida é às vezes chamada de DRDOS.)
ICMP echo Request attacks (Smurf attack) can be considered one form of reflected attack, as the flood hosts send Echo Requests to the broadcast addresses of mis-configured networks, thereby atticing hosts to send Echo Reply packets to the victim. Alguns dos primeiros programas DDoS implementaram uma forma distribuída deste ataque.
amplificationedit
Amplification attacks are used to magnify the bandwidth that is sent to a victim., Isto é tipicamente feito através de servidores DNS acessíveis ao público que são usados para causar congestionamento no sistema alvo usando tráfego de resposta DNS. Muitos serviços podem ser explorados para atuar como Refletores, alguns mais difíceis de bloquear do que outros. US-CERT observou que diferentes serviços podem resultar em diferentes fatores de amplificação, como tabulado abaixo:
DNS ataques de amplificação envolvem um novo mecanismo que aumentou o efeito de amplificação, usando uma lista muito maior de servidores DNS do que visto anteriormente., O processo normalmente envolve um atacante enviando um nome DNS procurar pedido para um servidor DNS público, falsificando o endereço IP fonte da vítima alvo. O atacante tenta solicitar o máximo de informações possível, amplificando assim a resposta DNS que é enviada para a vítima-alvo. Uma vez que o tamanho do pedido é significativamente menor do que a resposta, o atacante é facilmente capaz de aumentar a quantidade de tráfego direcionado para o alvo. SNMP e NTP também podem ser explorados como refletores em um ataque de amplificação.,
um exemplo de um ataque DDoS amplificado através do Protocolo de tempo de rede (NTP) é através de um comando chamado monlist, que envia os detalhes dos últimos 600 hosts que pediram o tempo do servidor NTP de volta para o solicitante. Um pequeno pedido para este servidor de tempo pode ser enviado usando um endereço IP falsificado de origem de alguma vítima, o que resulta em uma resposta 556,9 vezes o tamanho do pedido sendo enviado para a vítima., Isto torna-se amplificado ao usar botnets que todos enviam pedidos com a mesma fonte IP falsificada, o que resultará em uma grande quantidade de dados sendo enviados de volta para a vítima.
é muito difícil defender-se contra estes tipos de ataques porque os dados de resposta vêm de servidores legítimos. Estes pedidos de ataque também são enviados através do UDP, que não requer uma conexão ao servidor. Isto significa que o IP de origem não é verificado quando uma solicitação é recebida pelo servidor., A fim de sensibilizar para estas vulnerabilidades, foram iniciadas campanhas que se dedicam a encontrar vectores de amplificação que levaram as pessoas a reparar os seus resolvedores ou a encerrar completamente os resolvers.
Mirai botnetEdit
este ataque funciona usando um worm para infectar centenas de milhares de dispositivos IoT através da internet. O worm propaga-se através de redes e sistemas que tomam o controle de dispositivos de IoT mal protegidos, tais como termóstatos, relógios Wi-Fi ativados e máquinas de lavar roupa., Quando o dispositivo se torna escravizado, geralmente o proprietário ou usuário não terá nenhuma indicação imediata. O dispositivo IoT em si não é o alvo direto do ataque, é usado como parte de um ataque maior. Estes dispositivos recém-escravizados são chamados escravos ou bots. Uma vez que o hacker adquiriu o número desejado de bots, eles instruem os bots para tentar entrar em contato com um ISP. Em outubro de 2016, Um Mirai botnet atacou a Dyn, que é o ISP para sites como Twitter, Netflix, etc. Assim que isso ocorreu, esses sites foram todos inacessíveis por várias horas., Este tipo de ataque não é fisicamente prejudicial, mas certamente será caro para quaisquer grandes empresas de internet que são atacados.R-U-morto-ainda? (RUDY)Edit
RUDY attack target Web applications by starvation of available sessions on the web server. Tal como o Slowloris, RUDY mantém as sessões paradas usando transmissões POST intermináveis e enviando um valor de cabeçalho arbitrariamente grande de tamanho de conteúdo.,
SACK PanicEdit
manipulando o tamanho máximo do segmento e o reconhecimento seletivo (SACK) ele pode ser usado por um servidor remoto para causar uma negação de serviço por um fluxo inteiro no kernel Linux, causando até mesmo um pânico no Kernel. Jonathan Looney descobriu CVE-2019-11477, CVE-2019-11478, CVE-2019-11479 em 17 de junho de 2019.
Shrew attackEdit
the shrew attack is a denial-of-service attack on the Transmission Control Protocol where the attacker employs man-in-the-middle techniques., Ele usa pequenas rajadas sincronizadas de tráfego para interromper as conexões TCP no mesmo link, explorando uma fraqueza no mecanismo de re-transmissão do TCP.
attackEdit de leitura lenta
um ataque de leitura lenta envia pedidos legítimos de camada de aplicação, mas lê respostas muito lentamente, assim tentando esgotar o conjunto de conexão do servidor. Ele é alcançado através da publicidade de um número muito pequeno para o tamanho Da Janela de recepção TCP, e ao mesmo tempo esvaziando os clientes’ TCP receber buffer lentamente, o que causa uma taxa de fluxo de dados muito baixa.,
Sofisticados de baixa largura de banda ataques Distribuídos de Negação de Serviço AttackEdit
Um sofisticado de baixa largura de banda ataque DDoS é um formulário do Ms-dos, que usa menos tráfego e aumenta a sua eficácia, visando ao ponto fraco da vítima, projeto do sistema, i.e., o invasor envia tráfego consiste complicado pedidos para o sistema. Essencialmente, um ataque DDoS sofisticado é menor em custo devido ao seu uso de menos tráfego, é menor em tamanho tornando mais difícil de identificar, e tem a capacidade de ferir sistemas que são protegidos por mecanismos de controle de fluxo.,
(s) syn floodEdit
uma inundação SYN ocorre quando uma máquina envia uma inundação de pacotes TCP/SYN, muitas vezes com um endereço de remetente falsificado. Cada um destes pacotes é tratado como um pedido de conexão, fazendo com que o servidor desova uma conexão meio-aberta, enviando de volta um pacote TCP/SYN-ACK (acusar a recepção), e esperando por um pacote em resposta do endereço do remetente (resposta ao pacote ACK). No entanto, como o endereço do remetente é falsificado, a resposta nunca vem., Estas conexões meio-abertas saturam o número de conexões disponíveis que o servidor pode fazer, impedindo-o de responder a pedidos legítimos até depois do ataque terminar.
Teardrop attacksEdit
a teardrop attack involves sending mangled IP fragments with oversized payloads to the target machine. Isto pode colidir com vários sistemas operacionais por causa de um bug em seu código de re-montagem de fragmentação TCP/IP. Sistemas operacionais Windows 3.1 x, Windows 95 e Windows NT, bem como versões do Linux antes das versões 2.0.32 e 2.1.63 são vulneráveis a este ataque.,
(embora em setembro de 2009, uma vulnerabilidade no Windows Vista foi referido como um” ataque lágrima”, este SMB2 alvo que é uma camada mais alta do que os pacotes TCP que teardrop usado).
Um dos campos de um cabeçalho IP é o campo “deslocamento de fragmentos”, indicando a posição inicial, ou deslocamento, dos dados contidos em um pacote fragmentado em relação aos dados do pacote original. Se a soma do deslocamento e tamanho de um pacote fragmentado difere do do próximo pacote fragmentado, os pacotes se sobrepõem., Quando isso acontece, um servidor vulnerável a ataques de lágrima é incapaz de remontar os pacotes – resultando em uma condição de negação de serviço.
Telephony denial-of-service (TDoS)Edit
Voice over IP has made abusive origination of large numbers of telephone voice calls inexpensive and readily automatic while permitting call origins to be misrepresented through caller ID spoofing.,de acordo com o Federal Bureau of Investigation dos EUA, telefonia negação de serviço (TDoS) apareceu como parte de vários esquemas fraudulentos:
- um scammer contata o banqueiro ou corretor da vítima, personificando a vítima para solicitar uma transferência de fundos. A tentativa do banqueiro de contactar a vítima para verificar a transferência falha, uma vez que as linhas telefónicas da vítima estão a ser inundadas com milhares de chamadas falsas, tornando a vítima inacessível. um scammer contacta os consumidores com uma falsa reivindicação de cobrar um empréstimo pendente de pagamento por milhares de dólares., Quando o consumidor se opõe, o golpista retalia inundando o empregador da vítima com milhares de chamadas automáticas. Em alguns casos, o identificador de chamada exibido é falsificado para se fazer passar por policiais ou agências de aplicação da lei. um scammer contacta os consumidores com uma falsa demanda de cobrança de dívida e ameaça enviar a polícia; quando a vítima se recusa, o scammer inunda os números da polícia local com chamadas em que o identificador de chamada é falsificado para exibir o número da vítima. A polícia logo chega à residência da vítima tentando encontrar a origem das chamadas.,
telefonia negação de serviço pode existir mesmo sem telefonia pela Internet. Em 2002, o escândalo de interferência telefônica no Senado de New Hampshire, telemarketers foram usados para inundar adversários políticos com chamadas espúrias para bloquear os bancos telefônicos no Dia das eleições. Publicação generalizada de um número também pode inundá-lo com suficiente chamadas para torná-lo inutilizável, como aconteceu por acaso, em 1981, com vários +1-código de área-867-5309 assinantes inundados por centenas de misdialed chamadas diárias em resposta à canção 867-5309/Jenny.,o número de chamadas originadas é diferente de outros tipos de assédio telefónico (como partidas e chamadas telefónicas obscenas); ao ocupar continuamente linhas com chamadas automáticas repetidas, a vítima é impedida de efectuar ou receber chamadas telefónicas de rotina e de emergência.as façanhas relacionadas incluem ataques de inundações por SMS e transmissão de fax preto ou de laço de fax.
TTL expiry attackEdit
it takes more router resources to drop a packet with a TTL value of 1 or less than it does to forward a packet with higher TTL value., Quando um pacote é descartado devido à expiração de TTL, a CPU do roteador deve gerar e enviar uma resposta de tempo de ICMP excedido. Gerar muitas dessas respostas pode sobrecarregar a CPU do roteador.
UPnP attackEdit
this attack uses an existing vulnerability in Universal Plug and Play (UPnP) protocol to get around a considerable amount of the present defense methods and flood a target’s network and servers. O ataque é baseado em uma técnica de amplificação DNS, mas o mecanismo de ataque é um roteador UPnP que encaminha os pedidos de uma fonte externa para outra ignorando as regras de comportamento UPnP., Usando o roteador UPnP retorna os dados em uma porta UDP inesperada de um endereço IP falso, tornando mais difícil tomar uma ação simples para desligar o fluxo de tráfego. De acordo com os pesquisadores da Imperva, a maneira mais eficaz de parar este ataque é para as empresas fecharem roteadores UPnP.
SSDP reflection attackEdit
In 2014 it was discovered that SSDP was being used in DDoS attacks known as an “SSDP reflection attack with amplification”., Muitos dispositivos, incluindo alguns roteadores residenciais, têm uma vulnerabilidade no Software UPnP que permite que um atacante obtenha respostas da porta número 1900 para um endereço de destino de sua escolha. Com uma botnet de milhares de dispositivos, os atacantes podem gerar taxas de pacotes suficientes e ocupar largura de banda para saturar links, causando a negação de serviços. A empresa de rede Cloudflare descreveu este ataque como o “protocolo DDoS estupidamente simples”.,
ARP spoofingEdit
ARP spoofing é comum um ataque de DoS, que envolve uma vulnerabilidade no protocolo ARP permite que um invasor para associar o seu endereço mac para o endereço IP de outro computador ou gateway (como um roteador), fazendo com que o tráfego destinado a original autêntico IP para ser re-encaminhado para a o do atacante, causando uma negação de serviço.