it-swarm.com.de

Kann ein DDoS-Angriff Informationen liefern?

Kann ein DDoS-Angriff Informationen enthüllen oder zum Mounten eines Hacks verwendet werden? Mein Verständnis ist, dass der Sinn von DDoS oder DoS darin besteht, alle Ressourcen zu verbrauchen/den Server zu überlasten, was zum Absturz führt. Und das ist der einzige Grund, ein DDoS zu machen.

Ich habe gehört, dass DDoS verwendet wird, um Informationen zu erhalten. Ist das wahr oder völlig falsch?

57
KosugiNinja

Ein DDoS gibt einem Angreifer mit Sicherheit Informationen zu Antwortzeiten, Ladefähigkeit und Routing.

Es kann auch Informationen darüber geben, wie Vorfälle intern und extern behandelt werden und wie sie der Öffentlichkeit gemeldet werden.

Dies ist jedoch nicht die Hauptverwendung.

Im Allgemeinen sind die beiden Hauptgründe für DDoS:

  • schalten Sie einen Dienst oder eine Website offline
  • von einem breiteren Angriff, Exploit oder Eindringen ablenken

Der erste ist bekannt, sehr beliebt und relativ einfach durchzuführen. Die einzige Verteidigung gegen einen großen Angriff ist ein DDoS-Minderungsdienst mit hohem Volumen.

Die zweite wird seltener verwendet, wird jedoch als Teil des Toolset eines Angreifers angesehen. Das Laden des Incident-Response-Teams kann es für sie schwieriger machen, ein Eindringen zu erkennen, den wahren Grund für den Angriff verbergen und Hinweise auf ein Eindringen in einer großen Anzahl von Protokolleinträgen aus dem DDoS verbergen.

84
Rory Alsop

Eine vollständige Antwort hängt vom Angriff ab und davon, was angegriffen wird. Ich werde sie also allgemein halten.

Ein DoS kann als Nebenwirkung Informationen verlieren. In früheren Zeiten wurden Switches in Netzwerken verwendet, um zu verhindern, dass Maschinen die Kommunikation zwischen zwei anderen Maschinen abhören. Aufgrund eines Designproblems können Sie es wieder in eine große Kollisionsdomäne verwandeln, indem Sie einen DoS-Angriff gegen den Switch starten, und Sie können jede Kommunikation erneut abhören. Erläuterung des Angriffs: Switches erfahren, welcher Computer an welchen Port angeschlossen ist. Wenn ein Computer ein Paket an einen anderen Computer sendet, sucht der Switch in seinem Speicher nach dem Port, an dem sich dieser Computer befindet, und leitet den Datenverkehr nur an diesen Port weiter. Eine Maschine an einem anderen Port würde den Verkehr nicht sehen. Ein Problem tritt auf, wenn sich mehr Computer im Netzwerk befinden, als in den Speicher des Switch passen würden. Häufige Verhaltensweisen sind:

  • Das würde den gesamten Verkehr an alle Ports senden
  • Der Schalter würde aufhören, neue Maschinen zu lernen
  • Der Schalter würde die ältesten Maschinen vergessen

Besonders häufig waren die ersten Typen. Ein Angreifer würde seine Maschine so tun lassen, als ob sich eine große Anzahl von Maschinen an diesem Port befinden würde, indem er sie mit Ankündigungssendungen macht.

Ein weiterer Angriff im Zusammenhang mit DoS ist ein Sicherheits-Downgrade-Angriff. Sie haben ein System bestehend aus 2 Subsystemen, A und B. B wird von A verwendet, um zusätzliche Sicherheitsüberprüfungen durchzuführen. Wenn B nicht rechtzeitig antwortet, überspringt A diese Prüfung und betrachtet sie als erfolgreich. Wenn der Angreifer System B ausführen kann, hat er ein einfacheres Spiel, da er nur die Sicherheitsüberprüfungen für System A bestehen muss. Einige Systeme sind auf diese Weise konzipiert, da die Verfügbarkeit von System A wichtig ist und niemand gedacht hat, dass ein Angreifer System B ausführen könnte oder akzeptieren würde das Risiko. Ich kann Ihnen nicht die Details eines tatsächlichen Angriffs nennen, aber einige Anti-Spam-Blacklists funktionieren auf diese Weise.

Es ist auch bekannt, dass einige fortgeschrittene Gruppen/Organisationen (D) DoS-Angriffe starten, um von ihrem tatsächlichen Angriff abzulenken, indem sie den Fokus des Sicherheitspersonals auf das Ziel des DDoS lenken oder den Angriffsverkehr zwischen dem DDoS-Verkehr verbergen.

Eine andere Option ist, dass Sie diese Menge an Verkehr benötigen, aber nicht (D) tun müssen. Beispielsweise erfordern einige Angriffe auf SSL genügend Pakete, um Informationen wiederherzustellen/zu manipulieren. Hier wäre das DoS ein Nebeneffekt des Verkehrsaufkommens.

14
H. Idden

Identifizieren Sie gemeinsam genutzte Ressourcen

Ein Denial-of-Service-Angriff , verteilt oder nicht, kann verwendet werden, um Computer, die Ressourcen gemeinsam nutzen, erfolgreich zu identifizieren. Wenn Sie einen Dienst hacken möchten, können Sie einen Angriff gegen ihn starten und gleichzeitig andere Dienste überwachen. Wenn diese ebenfalls verschwinden, werden sie wahrscheinlich auf demselben Computer gehostet. Diese anderen Dienste sind möglicherweise anfälliger für Hacking und können als "Brechstange" verwendet werden, um Zugriff auf den gewünschten Dienst zu erhalten.

Versteckte Dienste

Dies kann verheerend sein, wenn es gegen versteckte Dienste im Tor-Netzwerk verwendet wird. Wenn Sie Grund zu der Annahme haben, dass eine bestimmte Person einen versteckten Dienst hostet, können Sie dies testen, indem Sie einen Angriff auf einen offenen Dienst auf derselben Hardware oder in demselben Rechenzentrum starten. Wenn der versteckte Dienst ausfällt, haben Sie möglicherweise bestätigt, dass Ihre Vermutung korrekt ist, und die Identität hinter dem versteckten Dienst wurde gefährdet.

Jedes Mal, wenn Sie dies testen, erhalten Sie eine Probe, die möglicherweise falsch positiv ist. Wenn Sie dies in zufälligen Abständen genügend oft tun, können Sie die Wahrscheinlichkeit erhöhen, richtig zu liegen.

10
pipe

Es ist möglich, einen DDOS-Angriff zu verwenden, um Informationen zu erhalten. Zusätzlich zu den Antworten von Rory Alsop und H. Idden, die sich darauf konzentrieren, Infrastrukturinformationen zu erhalten oder das Incident-Response-Team zu überlasten, damit andere Angriffe länger unentdeckt bleiben, gibt es einige andere Möglichkeiten.

Anwendungen automatisch skalieren - Wenn Sie mit einer Anwendungsplattform arbeiten, die einen DDOS-Angriff automatisch skaliert, wird möglicherweise die Tatsache verwendet, dass sie automatisch skaliert werden, um etwas zu tun. Dies müsste im Einklang mit einer anderen Art von Angriff oder Information stehen, aber die allgemeine Idee ist, dass Sie, wenn Sie genug wissen, um den "Neustart" -Prozess auszunutzen, DDOS verwenden könnten, um einen neuen Server online zu zwingen, der den Neustartprozess durchlaufen würde und erlauben Ihren Exploit. Es ist wichtig zu beachten, dass dies zusätzlich zu einem bereits bestehenden Sicherheitsproblem auftritt. Es ist nur das Tool, mit dem der völlig andere Exploit online gestellt (oder vielleicht getestet) wird. Ein Beispiel, das ich mir vorstellen kann, ist ein Produktionsserver, der seine Codebasis in einem öffentlichen Github-Repo hostet. Wenn die Waage neuen Code in den Server zieht, wird er gestartet. Sie könnten diesem Github-Repo schlechten Code hinzufügen (wenn dies nicht korrekt verwaltet wird), einen Neustart erzwingen und Ihren Exploit ausführen.

Wer zuerst kommt, mahlt zuerst - Es gibt einige Anwendungen, die in einem Teil ihres Prozesses "Wer zuerst kommt, mahlt zuerst" sind. IRC (aus Kommentaren) ist ein Beispiel, aber es gibt noch andere. Jeder Dienst, der einem Benutzer bei einem First-Come-First-Served-Ansatz etwas reserviert, kann über DDOS ausgenutzt werden Slots, bis eine bestimmte Person ihnen gehört, oder indem sie nach dem Neustart einen Neustart erzwingen und eine weitere Chance auf "Slots" erhalten. Diese sind ziemlich häufig, und obwohl ein Dienst, der dies zur Authentifizierung verwendet, etwas seltsam ist, ist dies nicht ungewöhnlich Die Lizenzierungsdienste tun dies ständig. Der erste Benutzer mit der Lizenz "ABC" ist der qualifizierte Benutzer von ABC. Wenn diese Daten nach einem Neustart verloren gehen, kann DDOS diesen Neustart verursachen und den Fuß in die Tür bekommen.

Startup Vulnerabilities - Ich habe einige Male gesehen, dass ein Server-Boot dazu führte, dass Dienste für alle Fälle "eingeschaltet" blieben. Lassen Sie beispielsweise SSH-Kennwörter nach dem Neustart aktiviert und deaktivieren Sie sie nach einigen Stunden, falls wir einen Notfallzugriff benötigen. Oder FTP ist nach dem Neustart 30 Minuten lang eingeschaltet. Dies ist bei Netzwerkgeräten häufiger der Fall. Dinge wie "unsicherer WLAN-Zugang für die ersten 2 Minuten" oder "alles kann 2 Minuten lang alles hochladen". Normalerweise ist dies Teil eines Upgrade-/Update-Mechanismus. Beispielsweise kann ein Cisco-Router alle TFTP-Daten akzeptieren, die er nach dem Neustart findet. Einige Computer warten beim Neustart auf JEDEN Netboot-Server. DDOS kann den Neustart starten und Ihrem "schlechten Code" einen Einstieg ermöglichen.

Im Wesentlichen kann ein DDOS selbst einige Dinge sagen, aber normalerweise nur Dinge, die für sich genommen nutzlos sind. Ein DDOS in Verbindung mit anderen Angriffsvektoren kann äußerst effektiv sein.

Hinweis Die hier verwendeten Methoden würden in einem Labor funktionieren, aber es gibt niedrig hängende Früchte für ein Sicherheitsteam (oder sogar nur normale IT). Während sie in freier Wildbahn existieren, müsste ein Angreifer Zugang zu Interna haben, der weit über das von jemandem hinausgeht, der gerade ein DDOS macht.

3
coteyr

Ein reales Beispiel dafür ist Steam. Sie erlebten am Weihnachtstag einen DoS-Angriff. Als Reaktion darauf haben sie die Caching-Regeln des Steam-Dienstes geändert, sodass Kunden weiterhin auf die Store-Seite zugreifen können. Leider haben sie einen Konfigurationsfehler gemacht, der manchmal dazu führte, dass Benutzer die persönlichen Informationen anderer Benutzer sahen.

Systeme haben manchmal ein unerwartetes Verhalten unter hoher Systemlast, was zu Sicherheitslücken führen kann. Es ist eine Möglichkeit für Hacker, dies auszunutzen, aber sie können dies wahrscheinlich nicht planen, und der Exploit ist wahrscheinlich unvorhersehbar. Sie müssen sich auch damit auseinandersetzen, dass der Server aufgrund der hohen Auslastung wahrscheinlich nur langsam reagiert.

2
John Smith

Ein DDOS-Angriff kann eine Sicherheitsanfälligkeit ausnutzen

Theoretisch könnte ein DDOS-Angriff nicht nur von einem Exploit ablenken, wie in einer anderen Antwort erwähnt, sondern auch mit einem kombiniert werden.

Betrachten Sie den Heartbleed-Fehler , der Informationen zurückgibt, wenn ein Server auf eine bestimmte Weise kontaktiert wurde.

Man könnte die vom Server gewonnenen Informationen erhöhen, indem man den Server bei einem DDOS-Angriff kontaktiert und die auf diese Weise freigegebenen Informationen sammelt.

2

Erzwingen der Server-Startzeit

Eine Sache, die in den Kommentaren tangential erwähnt, aber in keiner der anderen sehr guten Antworten angesprochen wurde, ist, dass es gelegentlich nützlich sein kann, zu wissen, wann eine Anwendung/ein Server hochgefahren wurde. Zum Beispiel verwenden bestimmte schrecklich unsichere Zufallszahlengeneratoren (die niemals für sicherheitsrelevante Aufgaben verwendet werden sollten, aber immer wieder verwendet werden) die Systemzeit als "zufälligen" Startwert.

In diesem Fall ist es ziemlich trivial, den Startwert zu finden und den RNG-Status neu zu erstellen, um zukünftige Token vorherzusagen, wenn Sie ableiten können, wann das RNG ausgesät wurde (vorzugsweise innerhalb weniger Minuten Genauigkeit) und einige Beispiele für die Generatorleistung haben . Normalerweise sollte ein Server seine Startzeit nicht offenlegen (obwohl dies immer wieder der Fall ist). Wenn jedoch ein DDoS-Angriff verwendet werden kann, um einen Neustart des Servers zu erzwingen, haben Sie Kenntnisse über die Startzeit des Servers.

Dies kann zu einer Vielzahl von tokenbasierten Angriffen wie Sitzungsentführungen führen.

1
Aurand

Was ist mit einem Timing-Angriff? Dies wurde als mögliche Sicherheitslücke in Java , Python , wahrscheinlich vielen anderen, diskutiert und scheint tatsächlich ein DOS-Angriff zu sein.

Wenn verschiedene Bibliotheken auf Gleichheit prüfen, bereiten sie im Allgemeinen Byte für Byte vor und vergleichen und geben false zurück, wenn sie nicht übereinstimmen. Wenn so etwas zum Überprüfen von Kennwort/Cookie verwendet wird, können sie theoretisch die längste Anforderung zeitlich festlegen und davon ausgehen, dass sie durch den Vergleich weiter fortgeschritten ist .

0
NoBugs

Es kann behoben werden, aber ich weiß, dass in den frühen Tagen der Gruppenrichtlinie ein Exploit darin bestand, den Gruppenrichtlinienserver zu überlasten, und in einigen Konfigurationen wurde die lokale Richtlinie angewendet. Daher würden wir die lokale Richtlinie als minimal konfigurieren. Sie können die Verweigerung nur als Ausnutzung der reduzierten Berechtigung für Serverrichtlinien verwenden. Ich weiß, dass ich nicht alle Begriffe korrekt habe - es ist eine Weile her, seit ich Gruppenrichtlinienadministration durchgeführt habe.

Angenommen, Sie haben einen Router kompromittiert, aber dieser Router hat nicht den gewünschten Datenverkehr erhalten. Sie könnten ein DoS auf einem guten Router durchführen, um hoffentlich Datenverkehr zum Hack-Router zu erhalten.

0
paparazzo

Ich gehe davon aus, dass DoS-Angriffe zusammen mit Exploits unter Race-Bedingungen verwendet werden können. Wenn der Server stark ausgelastet ist, ist der Exploit einfacher zu verwenden.

DoS-Angriffe allein können jedoch einige Informationen liefern, wie in früheren Antworten gezeigt wurde - über Routing, Reaktionszeit und interne Vorfallbehandlung.

0
Alex Bodnya