Che cos’è un attacco DoS e come farne uno

Autore: DAVIDE PALMIERI

DoS

Un attacco Denial of Service (DoS), ovvero un attacco in cui si nega un servizio nel campo della cyber security o meglio ancora della sicurezza informatica indica un malfunzionamento dovuto ad un attacco informatico in cui si fanno esaurire le risorse di un sistema informatico che fornisce un servizio ai client, ad esempio un sito web su un web server, fino a renderlo non più in grado di erogare il servizio ai client richiedenti.                                                         In pratica l’hacker invia un sacco di richieste, che possono essere HTTP, TCP oppure DNS, ma può anche inviare pacchetti Ping, IP, ICMP, IGMP e UDP.

 

Esempio DoS

Nel caso non aveste ancora capito che cos’è un attacco DoS, un esempio comune lo troviamo al supermercato, ci sono solo tre casse aperte e tutti i clienti si dirigono verso di una credendo che sia la più veloce e sveglia, una sola cassiera non riesce a gestire tutti i clienti di un supermercato e in base alla sua resistenza fisica e mentale dopo qualche mezz’ora avrà una crisi di nervi proprio come quando il sito è down e non riuscirà a gestire nessun cliente per minimo un’ora o più.

 

Questa tipologia di attacco da anni è considerata una cosa da “lamer” in quanto non richiede una grande conoscenza del mondo dell’Hacking e dopo aver settato il tool il gioco è fatto, però se bisogna essere sinceri in molte Op di Anonymous questi attacchi sono ancora molto utilizzati dato che negando l’accesso al sito agli utenti, il sito non può guadagnare con le visualizzazioni degli ads e l’utente impaurito potrebbe non visitare più quel sito dimezzando pian piano anche i guadagni del sito in questione ma anche gli hacker li utilizzano ancora per non lasciare alcuna traccia dopo aver violato il sito.

Prima di arrivare alla parte pratica voi vi starete sicuramente chiedendo:”Ma come faccio a capire se un sito può essere dossato?”

Diciamo che non esistono siti al 100% dossabili (a meno che non siano siti proprio penosi), l’hacker prima di entrare in azione controlla il ping del sito in questione, cerca di capire l’hosting del sito in modo da riuscire a farsi un’idea del server vittima ,ma sopratutto cerca di capire quale web server potrebbe trovarsi davanti e il sistema operativo del server; diciamo che sono siti dossabili al 55% tutti quelli che hanno un ping che oscilla tra i 50 ms e i 150 ms (Il ping alto non è provocato unicamente da una connessione non molto veloce, ma molte volte i server possono essere connessi anche a 80Gbit/s ma magari avere un ping alto a causa dell’hardware non molto potente.), un web server obsoleto e magari anche un gran numero di visitatori costanti che affaticano molto il server.

DDoS e DRDoS che cosa sono?

DoS

Un attacco DDoS (Distribuited Denial of Service) avviene nello stesso e identico modo in cui avviene un attacco DoS e ha il suo stesso funzionamento, semplicemente l’hacker magari insieme al suo team attacca un sito distribuendo l’attacco e rendendosi meno tracciabile oppure può anche servirsi di una botnet, dove dai PC di malcapitati proprio come degli zombies radiocomandati lui li controlla da remoto ed esegue questo tipo di attacco.     Diciamo che nel 99% dei casi questi attacchi sono molto più potenti e hanno una maggiore forza distruttiva infatti “L’union fait la force”.

In un attacco DRDoS (Distributed Reflected Denial of Service) il computer attaccante produce delle richieste di connessione verso server con connessioni di rete molto veloci utilizzando come indirizzo di provenienza non il proprio bensì quello del bersaglio dell’attacco. In questo modo i server risponderanno affermativamente alla richiesta di connessione non all’attaccante ma al bersaglio dell’attacco. Grazie all’effetto moltiplicatore dato dalle ritrasmissioni dei server contattati, che a fronte della mancanza di risposta da parte del bersaglio dell’attacco (apparentemente l’iniziatore della connessione) provvederanno a ritrasmettere (fino a 3 volte solitamente) il pacchetto immaginandolo disperso, si entrerà così in un gito che vedrà rapidamente esaurirsi le risorse del bersaglio. Ma questo attacco è subdolo dato che filtrando le risposte del server l’attacco non avrà alcun effetto.

Il mio PC è in grado di eseguirlo?

Diciamo che per eseguire un attacco DoS e portarlo a termine basta un PC con una CPU da almeno 1.8 GHz e una GPU con un clock massimo di 400 MHz, poi è ovvio che più core e più threads ha la CPU, una GPU da almeno 1GHz, una connessione almeno da 50 Mb/s e tanti altri fattori vi porteranno a dossare siti più velocemente.  Se poi diventa un’abitudine e non volete buttare via la mobo del vostro PC perchè si è bruciata vi conviene comprare un PC almeno medio gamma.

Tool e ulteriori spiegazioni

Un attacco DoS può essere eseguito da qualsiasi ambiente, addirittura anche da uno smartphone Android!  Diciamo che con il passare degli anni si utilizzano sempre di più tool che inviano richieste HTTP e sempre di meno quelli che inviano pacchetti Ping ecc…  Qui sotto ve ne posterò qualcuno e commenterò per voi ogni tool linkato però vi avverto che non tutti i tool sono disponibili per tutti gli ambienti.

Torshammer è un più che ottimo tool che vi permetterà di eseguire attacchi DoS in anonimato sotto rete Tor e in più con richieste HTTP. I threads utilizzati sono in media tra i 128 e i 256 e infine il tool è scritto in Python.

SlowLoris è un buon tool disponibile come Torshammer sia per Linux e Windows, ha la capacità di occupare le risorse di un server anche con una connessione non molto veloce da parte dell’attaccante.Il tool prova a mantenere le connessioni aperte ad un server web con l’obiettivo di trattenerle aperte il più a lungo possibile. Fa questo, aprendo le connessioni al server web obiettivo e inviandogli richieste parziali, inviando intestazioni HTTP, senza mai completare la richiesta. I server attaccati terranno così le connessioni aperte, riempiendo il loro numero di connessioni disponibili, infine negando ulteriori tentativi di connessione dai client.                                                           Un esperto di cyber security limitando le richieste HTTP di ogni indirizzo IP può neutralizzare l’attacco oppure semplicemente aggiornando il web server Apache almeno alla versione 2.2 che ha il modulo mod_reqtimeout che rende l’attacco di SlowLoris inefficace.

Lamer Zone

XOIC    LOIC   HOIC

Purtroppo non posso linkarvi tool molto più potenti in quanto non voglio scatenare una nuova World Wide Web War ma anche perchè un buon hacker ottiene i tool dai suoi colleghi oppure li scrive lui, questa guida è stata scritta a scopo educativo nè io e nemmeno il team di TechnoBlitz ci assumiamo alcuna responsabilità e l’ultimo consiglio che vi do è che se proprio dovete utilizzare questi tool che comunque se non vengono utilizzati sul proprio sito si rischia di essere denunciati e una volta finito il processo anche i domiciliari se vi va bene quindi utilizzateli con cauzione. Dal sito di Norse potrete vedere in live tutti gli attacchi informatici in corso, tra cui anche attacchi DDoS o semplicemente DoS.

Autore: DAVIDE PALMIERI

Breaking News

Ultimi Articoli: