Добро пожаловать обратно, мои начинающие кибервоины!
В начале кибервойны между Россией и Украиной организация Hackers-Arise, украинские ИТ-подразделения и более 17 000 хакеров по всему миру (это российская оценка, мы полагаем, что она значительно выше) поставили перед собой задачу сделать цифровые активы России недоступными. Таким образом, Россия не смогла бы общаться через свои веб-сайты, управлять своими военными или вести коммерческие операции. Мы атаковали следующие сайты в России. Это пример классической DDoS-атаки.
Одним из наших немного отличающихся решений стало использование UDP-пакетов вместо TCP-пакетов. Как мы увидим далее, UDP-атаки могут быть гораздо эффективнее DDoS-атак. По данным компаний, занимающихся защитой от DDoS-атак, таких как Radware и Akamai, это был самый распространённый тип DDoS-атак в 2023 году, на который пришлось почти 2/3 всех атак.
Атака UDP-флудом — это тип атаки типа «распределенный отказ в обслуживании» (DDoS), при которой злоумышленник перегружает целевой сервер пакетами протокола пользовательских датаграмм (UDP). Целью атаки является либо истощение сетевых ресурсов до такой степени, что целевой сервер больше не сможет обрабатывать легитимный трафик, либо использование уязвимостей в протоколе UDP, чтобы заставить сервер ответить ещё большим объёмом трафика, усиливая атаку.
Вот немного более подробно о том, как это работает и каково его влияние:
Понимание UDP
Мы можем повторить эту атаку с помощью нашего надежного Kali и инструмента, известного как инструмент «создания пакетов» за его универсальность, hping3 .
Шаг №1: Как работает hping3
hping3 — это великолепный и простой инструмент для сканирования сетей и портов. Одно из его преимуществ — способность создавать практически любые типы пакетов. Большинство технологий, взаимодействующих с Интернетом, создают стандартные пакеты, соответствующие документам RFC, регулирующим работу Интернета. Как хакеры, мы не ограничены этими документами RFC.
Способность hping3 создавать практически любые типы пакетов может быть особенно полезна при организации атак, направленных на обход систем безопасности, таких как системы обнаружения вторжений (IDS) и межсетевые экраны. Кроме того, он может быть отличным средством для DDoS-атак.
Начнем с просмотра экрана справки для hping3.
kali > hping3 -h
Шаг №2: Стандартное сканирование портов
Начнём со стандартного сканирования портов с помощью hping3. Как и nmap, hping3 может определить, открыт ли порт на целевом сервере, но результаты немного сложнее интерпретировать.
Мы можем выполнить сканирование портов с помощью hping3, просто используя опцию -S и IP-адрес цели, например:
Кали > sudo hping3 -S 192.168.107.150
Обратите внимание, что hping3 без дополнительных опций просто сканирует порт 0 (sport=0), и целевой ответ — flags=RA. Когда пакет отвечает флагом R (сброс), это означает, что порт закрыт.
Чтобы просканировать определенный порт с помощью hping3, можно добавить к команде сканирования параметр -p и номер порта, например, -p 80.
Кали > sudo hping3 -S 192.168.107.150 -p 80
Шаг №3: UDP-флуд с фрагментированными пакетами и поддельным IP-адресом
Теперь, чтобы использовать hping3 как эффективный инструмент DDoS-атак, нам нужно отправить поток фрагментированных UDP-пакетов с поддельного IP-адреса. Мы сделаем это с помощью следующей команды:
kali> sudo hping3 -S –udp –flood -f –spoof 192.168.107.101 192.168.107.152
Где:
hping3 — это команда
Опция -S означает сканирование
–udp означает отправку UDP-пакетов
опция -f означает фрагментацию пакетов
–spoof означает использование следующего IP-адреса в качестве IP-адреса отправителя
Краткое содержание
Несмотря на многолетний прогресс в области защиты от DDoS-атак, такой простой инструмент, как hping3, при наличии определённого опыта и знаний всё ещё может оказывать разрушительное воздействие на доступность веб-сайтов и сервисов. Когда такой инструмент, как hping3, используется на тысячах, а то и миллионах устройств Интернета вещей и нацелен на один IP-адрес, мало что можно сделать, чтобы предотвратить его разрушительные последствия.
В начале кибервойны между Россией и Украиной организация Hackers-Arise, украинские ИТ-подразделения и более 17 000 хакеров по всему миру (это российская оценка, мы полагаем, что она значительно выше) поставили перед собой задачу сделать цифровые активы России недоступными. Таким образом, Россия не смогла бы общаться через свои веб-сайты, управлять своими военными или вести коммерческие операции. Мы атаковали следующие сайты в России. Это пример классической DDoS-атаки.
Одним из наших немного отличающихся решений стало использование UDP-пакетов вместо TCP-пакетов. Как мы увидим далее, UDP-атаки могут быть гораздо эффективнее DDoS-атак. По данным компаний, занимающихся защитой от DDoS-атак, таких как Radware и Akamai, это был самый распространённый тип DDoS-атак в 2023 году, на который пришлось почти 2/3 всех атак.
Атака UDP-флудом — это тип атаки типа «распределенный отказ в обслуживании» (DDoS), при которой злоумышленник перегружает целевой сервер пакетами протокола пользовательских датаграмм (UDP). Целью атаки является либо истощение сетевых ресурсов до такой степени, что целевой сервер больше не сможет обрабатывать легитимный трафик, либо использование уязвимостей в протоколе UDP, чтобы заставить сервер ответить ещё большим объёмом трафика, усиливая атаку.
Вот немного более подробно о том, как это работает и каково его влияние:
Понимание UDP
- Характеристики UDP : UDP — это протокол без установления соединения, то есть не требующий подтверждения соединения перед отправкой данных. Это делает UDP быстрее TCP (Transmission Control Protocol), но менее надёжным с точки зрения обеспечения целостности и доставки данных.
- Отсутствие проверки соединения : поскольку в UDP нет проверки соединения, злоумышленник может отправлять пакеты на случайные порты целевого сервера с поддельным IP-адресом (исходный IP-адрес поддельный).
- Большой объем запросов : злоумышленник отправляет большое количество UDP-пакетов на случайные порты целевого сервера.
- Ответы сервера : для каждого пакета сервер проверяет наличие приложения, прослушивающего этот порт. Если приложение не найдено, сервер отвечает пакетом «Destination Unreachable».
- Перегрузка сети : поток входящих UDP-пакетов и исходящих ответов «адресат недоступен» может перегрузить пропускную способность сети и ресурсы сервера, сделав его неспособным обрабатывать законные запросы.
- Усиление : некоторые атаки типа UDP-флуд используют методы усиления, когда злоумышленник отправляет пакет на сторонний сервер (например, DNS-сервер), подделывая IP-адрес отправителя под IP-адрес жертвы. Затем сторонний сервер отправляет жертве большой ответ, увеличивая объём данных, направляемых цели.
Мы можем повторить эту атаку с помощью нашего надежного Kali и инструмента, известного как инструмент «создания пакетов» за его универсальность, hping3 .
Шаг №1: Как работает hping3
hping3 — это великолепный и простой инструмент для сканирования сетей и портов. Одно из его преимуществ — способность создавать практически любые типы пакетов. Большинство технологий, взаимодействующих с Интернетом, создают стандартные пакеты, соответствующие документам RFC, регулирующим работу Интернета. Как хакеры, мы не ограничены этими документами RFC.
Способность hping3 создавать практически любые типы пакетов может быть особенно полезна при организации атак, направленных на обход систем безопасности, таких как системы обнаружения вторжений (IDS) и межсетевые экраны. Кроме того, он может быть отличным средством для DDoS-атак.
Начнем с просмотра экрана справки для hping3.
kali > hping3 -h
Шаг №2: Стандартное сканирование портов
Начнём со стандартного сканирования портов с помощью hping3. Как и nmap, hping3 может определить, открыт ли порт на целевом сервере, но результаты немного сложнее интерпретировать.
Мы можем выполнить сканирование портов с помощью hping3, просто используя опцию -S и IP-адрес цели, например:
Кали > sudo hping3 -S 192.168.107.150
Обратите внимание, что hping3 без дополнительных опций просто сканирует порт 0 (sport=0), и целевой ответ — flags=RA. Когда пакет отвечает флагом R (сброс), это означает, что порт закрыт.
Чтобы просканировать определенный порт с помощью hping3, можно добавить к команде сканирования параметр -p и номер порта, например, -p 80.
Кали > sudo hping3 -S 192.168.107.150 -p 80
Шаг №3: UDP-флуд с фрагментированными пакетами и поддельным IP-адресом
Теперь, чтобы использовать hping3 как эффективный инструмент DDoS-атак, нам нужно отправить поток фрагментированных UDP-пакетов с поддельного IP-адреса. Мы сделаем это с помощью следующей команды:
kali> sudo hping3 -S –udp –flood -f –spoof 192.168.107.101 192.168.107.152
Где:
hping3 — это команда
Опция -S означает сканирование
–udp означает отправку UDP-пакетов
опция -f означает фрагментацию пакетов
–spoof означает использование следующего IP-адреса в качестве IP-адреса отправителя
Краткое содержание
Несмотря на многолетний прогресс в области защиты от DDoS-атак, такой простой инструмент, как hping3, при наличии определённого опыта и знаний всё ещё может оказывать разрушительное воздействие на доступность веб-сайтов и сервисов. Когда такой инструмент, как hping3, используется на тысячах, а то и миллионах устройств Интернета вещей и нацелен на один IP-адрес, мало что можно сделать, чтобы предотвратить его разрушительные последствия.
