Cartes d'attaque World Live DDoS – Surveillance Live DDoS – Monter un serveur MineCraft
Alors tu lis les journaux? Vous savez qu'il y a eu cette attaque massive par DDoS (attaque d'amplification NTP) l'année dernière? Alors, qu'en est-il maintenant dans cette instance? Voulez-vous voir les cartes d'attaque DDoS en direct qui montrent les attaques DDoS en direct dans le monde entier?
Regarder dans Admiration les attaques DDoS multi gigabits qui se produisent dans le monde entier en ce moment !!! .. vraiment incroyable et effrayant. Interactions très intéressantes entre les Etats-Unis et la Chine.
Avec le temps, j'ajouterai plus de monitoring (il y en a un peu plus mais ils ne sont pas Live). Avant d’aller voir les cartes, examinons d’abord les bases.
Remarque: Ces mappages consomment énormément de ressources processeur et mémoire (RAM). Si vous êtes derrière un serveur proxy, les cartes NORSE ne fonctionneront pas. Vous aurez probablement besoin de Flash et Java sur vos machines Linux pour visualiser ces cartes en direct. J'ai édité les cartes pour vous permettre de visualiser sur n'importe quelle taille d'écran. (i.e. mobile ou grand écran LCD)
Sommaire
Qu'est-ce que le DDoS?
En informatique, une attaque par déni de service (DoS) ou par déni de service distribué (DDoS) est une tentative visant à rendre une machine ou une ressource réseau indisponible pour les utilisateurs auxquels elle est destinée.
Bien que les moyens, les motivations et les objectifs d’une attaque par déni de service varient, il s’agit généralement d’interrompre ou de suspendre temporairement ou indéfiniment les services d’un hôte connecté à Internet.
En guise de précision, les attaques par déni de service distribué (DDoS) sont envoyées par deux personnes ou plus, ou bots (voir botnet). Les attaques par déni de service (DoS) sont envoyées par une personne ou un système. En 2014, la fréquence des attaques DDoS reconnues avait atteint une moyenne de 28 par heure.
Les auteurs d'attaques DoS ciblent généralement des sites ou des services hébergés sur des serveurs Web de premier plan tels que des banques, des passerelles de paiement par carte de crédit et même des serveurs de noms racine.
Les menaces de déni de service sont également courantes dans les entreprises et sont parfois responsables d'attaques de sites Web.
Cette technique a maintenant été largement utilisée dans certains jeux, utilisée par les propriétaires de serveurs ou par des concurrents mécontents sur des jeux, tels que les serveurs Minecraft populaires des propriétaires de serveurs. Les attaques par déni de service sont de plus en plus utilisées comme une forme de résistance. Richard Stallman a déclaré que le DoS est une forme de "Internet Street Protests". Le terme est généralement utilisé en relation avec les réseaux informatiques, mais n'est pas limité à ce domaine; Par exemple, il est également utilisé en référence à la gestion des ressources de la CPU.
Une méthode d'attaque courante consiste à saturer la machine cible avec des demandes de communication externes, si bien qu'elle ne peut pas répondre au trafic légitime, ou répond tellement lentement qu'elle est rendue pratiquement indisponible. De telles attaques entraînent généralement une surcharge du serveur. En termes généraux, les attaques par déni de service sont mises en œuvre en obligeant le ou les ordinateurs ciblés à se réinitialiser, ou en consommant ses ressources, de sorte qu'il ne puisse plus fournir le service prévu, ou en obstruant le support de communication entre les utilisateurs visés et la victime. ne communique plus adéquatement.
Les attaques par déni de service sont considérées comme des violations de la politique d'utilisation correcte d'Internet par Internet Architecture Board et constituent également une violation des politiques d'utilisation acceptable de pratiquement tous les fournisseurs de services Internet. Ils constituent aussi couramment des violations des lois de chaque nation.
Quelques faits intéressants
- Selon TrendMicro Research 150 $ peut acheter une attaque DDoS d'une semaine sur le marché noir.
- Selon le rapport sur les menaces d’ATLAS mminerai que 2000 Les attaques quotidiennes par DDoS sont observées dans le monde entier par Arbor Networks.
- Selon Verisign / Merril Research wdans le monde entier 1/3 de tous les incidents de temps d'arrêt pour différents services en ligne sont attribués à des attaques DDoS.
- Les pirates créent des réseaux d’ordinateurs infectés, appelés «réseaux de zombies», en propageant des logiciels malveillants par le biais de courriels, de sites Web et de médias sociaux. Une fois infectées, ces machines peuvent être contrôlées à distance, à l'insu de leurs propriétaires, et utilisées comme une armée pour lancer une attaque contre n'importe quelle cible. Certains réseaux de zombies ont des millions de machines.
- Les botnets peuvent générer d’énormes afflux de trafic pouvant submerger une cible. Ces inondations peuvent être générées de différentes manières, par exemple en envoyant plus de demandes de connexion qu'un serveur ne peut en gérer, ou en envoyant des ordinateurs à la victime, qui utilise d’énormes quantités de données aléatoires pour utiliser la bande passante de la cible. Certaines attaques sont si importantes qu’elles peuvent maximiser la capacité de câble international d’un pays.
- Des marchés en ligne spécialisés existent pour acheter et vendre des réseaux de zombies ou des attaques DDoS individuelles. Grâce à ces marchés souterrains, chacun peut payer une somme modique pour faire taire les sites Web avec lesquels il est en désaccord ou perturber les activités en ligne d’une organisation. Une attaque DDoS d’une semaine, capable de mettre une petite organisation hors ligne, peut coûter aussi peu que 150 USD.
Types d'attaques
Les attaques DDoS se présentent sous différentes formes, des Schtroumpfs aux Teardrops, en passant par Pings of Death. Vous trouverez ci-dessous des informations détaillées sur les types d’attaque et les méthodes d’amplification figurant sur la carte:
Classe d'attaque: Quatre catégories d'attaques courantes
Attaques de connexion TCP – Occupation de connexions
Celles-ci tentent d'utiliser toutes les connexions disponibles vers des périphériques d'infrastructure tels que des équilibreurs de charge, des pare-feu et des serveurs d'applications. Même les appareils capables de maintenir l'état sur des millions de connexions peuvent être détruits par ces attaques. Apprendre encore plus…
Attaques Volumétriques – Utilisation de la bande passante
Ceux-ci tentent de consommer la bande passante soit dans le réseau / service cible, soit entre le réseau / service cible et le reste de l'Internet. Ces attaques visent simplement à causer de la congestion. Apprendre encore plus…
Attaques par fragmentation – Morceaux de paquets
Ceux-ci envoient un flot de fragments TCP ou UDP à une victime, surchargeant sa capacité à ré-assembler les flux et réduisant considérablement les performances. Apprendre encore plus…
Attaques d'applications – Ciblage d'applications
Celles-ci tentent de submerger un aspect spécifique d'une application ou d'un service et peuvent être efficaces même avec très peu de machines attaquantes générant un faible taux de trafic (ce qui les rend difficiles à détecter et à atténuer). Apprendre encore plus…
Amplification: les attaques peuvent multiplier par deux le trafic qu'elles peuvent envoyer
Réflexion DNS – Petite requête, grande réponse
En forgeant l’adresse IP d’une victime, un attaquant peut envoyer de petites requêtes à un serveur DNS et lui demander d’envoyer une réponse volumineuse à la victime. Cela permet à l’attaquant d’amplifier jusqu’à 70 fois toutes les requêtes de son réseau de zombies, ce qui permet de surcharger plus facilement la cible. Apprendre encore plus…
Chargen Reflection – Flux de texte stables
La plupart des ordinateurs et des imprimantes connectés à Internet prennent en charge un service de test obsolète appelé Chargen, qui permet à une personne de demander à un périphérique de répondre avec un flux de caractères aléatoires. Chargen peut être utilisé pour amplifier des attaques similaires aux attaques DNS ci-dessus. En savoir plus…
Voici une liste de toutes les attaques possibles basées sur UDP que j'ai compilées dans mon précédent post
Liste de plus d'attaques d'amplification basées sur UDP
- QOTD
- BitTorrent
- Kad
- Protocole de réseau Quake
- Protocole Steam
La liste des protocoles connus et leurs facteurs d'amplification de la bande passante associés est donnée ci-dessous. US-CERT aimerait remercier Christian Rossow pour cette information.
Protocole | Facteur d'amplification de la bande passante | Commandement Vulnérable |
DNS | 28 à 54 | voir: TA13-088A [1] |
NTP | 556,9 | voir: TA14-013A [2] |
SNMPv2 | 6.3 | Demande GetBulk |
NetBIOS | 3.8 | Résolution de noms |
SSDP | 30.8 | Demande de recherche |
CharGEN | 358,8 | Demande de génération de personnage |
QOTD | 140,3 | Demande de citation |
BitTorrent | 3.8 | Recherche de fichier |
Kad | 16.3 | Échange de liste de pairs |
Protocole de réseau Quake | 63,9 | Échange d'informations serveur |
Protocole Steam | 5.5 | Échange d'informations serveur |
Carte d'attaque numérique (par Google Research, Big Picture Team et Arbor)
Principales attaques DDoS quotidiennes dans le monde
Digital Attaque DDoS Maps est une visualisation de données en direct des attaques DDoS à travers le monde, construite grâce à une collaboration entre Google Ideas et Arbor Networks. L'outil présente des données de trafic d'attaques anonymes pour permettre aux utilisateurs d'explorer les tendances historiques et de trouver des rapports sur les pannes survenues un jour donné.
Lien vers la carte originale: http://www.digitalattackmap.com/
NORSE DDoS cartes d'attaque par Norse Corp
Intelligence obscure nordique
Toutes les secondes, Norse recueille et analyse des informations sur les menaces réelles provenant de darknets dans des centaines de sites répartis dans plus de 40 pays. Les attaques présentées sont basées sur un petit sous-ensemble de flux réels dirigés contre l’infrastructure nordique du pot de miel, ce qui représente les cyberattaques mondiales perpétrées par de mauvais acteurs. En un coup d'œil, on peut voir quels pays sont des agresseurs ou des cibles pour le moment, en utilisant quel type d'attaques (services-ports).
Planant sur la Origine de l'attaque, Cibles d'attaque, ou Types d'attaque mettra en évidence uniquement les attaques émanant de ce pays ou de ce port de service, respectivement. Si vous survolez une bulle sur la carte, seules les attaques de ce type et de cet emplacement seront mises en évidence. Presse s à bascule les tailles de table. Vous pouvez également minimiser les bulles.
Norse expose ses informations sur les menaces via des API haute performance, lisibles par une machine, sous différentes formes. Norse fournit également des produits et solutions qui aident les organisations à protéger et à atténuer les cyberattaques.
Lien vers la carte originale: http://map.norsecorp.com/#/
Conclusion
Pour protéger votre site Web, vous devez pouvoir bloquer ou absorber le trafic malveillant. Les webmasters peuvent parler à leur fournisseur d'hébergement de la protection contre les attaques DDoS. Ils peuvent également acheminer le trafic entrant via un service tiers réputé, qui fournit une mise en cache distribuée pour aider à filtrer le trafic malveillant, réduisant ainsi la charge sur les serveurs Web existants. La plupart de ces services nécessitent un abonnement payant, mais coûtent souvent moins cher que l'augmentation de la capacité de votre propre serveur pour faire face à une attaque DDoS.
Google Ideas a lancé une nouvelle initiative, Project Shield, visant à utiliser l’infrastructure de Google pour prendre en charge la libre expression en ligne en aidant des sites indépendants à limiter le trafic d’attaques par DDoS.
Grâce à la collaboration constante des nombreuses parties prenantes impliquées dans l'amélioration d'Internet, un certain nombre d'efforts peuvent aider à réduire la menace d'attaques DDoS.
Par exemple, il y a dix ans, le groupe de travail sur le réseau du groupe de travail sur l'ingénierie de l'Internet a publié le BCP 38 (également appelé RFC 2827), qui constitue un guide de bonnes pratiques permettant aux FAI et aux fournisseurs d'hébergement de filtrer les fausses adresses IP afin de réduire l'impact de l'activité de DDoS sur eux-mêmes et les autres. Malheureusement, de nombreux FAI n'ont toujours pas mis en œuvre ces meilleures pratiques, empêchant ainsi ses avantages d'être pleinement exploités par la communauté Internet au sens large.
Les attaques par déni de service (DDoS) peuvent être utilisées pour rendre d’importantes informations en ligne inaccessibles au monde. Les sites couvrant les élections sont abaissés pour influencer leurs résultats, les sites de médias sont attaqués pour censurer des histoires et les entreprises sont mises hors ligne par les concurrents à la recherche d'une longueur d'avance. Protéger l'accès à l'information est important pour Internet et important pour la liberté d'expression.
Commentaires
Laisser un commentaire