DDOS

DDOS ToC

Ataques DDOS

1 - Killar o link do servidor, o link é a conexão o quanto de upload o server suporta o importante nesse caso é o upload da maquina e o processamento.

2 - É o método mais eficiente é killar o serviço do servidor , neste caso o que se faz é limitar o numero de threads de processos que o servidor suporta ao mesmo tempo

Anti-ddos

if (um ip conectar x vezes em x segundos com a mesma requisacao) intuam BLOQUEIA

if (um ip conectar x vezes em x segundos) intuam BLOQUEIA

Com servico anti-ddos é mais complicado, somente com botnet se consegue derrubar porque com anti-ddos o que é valido são IPs diferentes atacando para burlar os filtros, tentando simular um browser normal.
ICMP, SYN sao protocolos que geralmente são usados pra completar um outro protocolo.
Por exemplo: SYN para completar o TCP o ICMP para completar outro protocolo e assim por diante, se vc mantar muitos SYN e ICMP que não consigam autenticar será analisado o trafego TCP ou UDP e será identificado como um ataque ddos. Se mandar em X tempo X TCP/UDP bloqueia.
Pois são comportamentos atipicos.
Para burlar o básico seria utilizar uma botnet que envia uma requisacao a cada 10 ou 15 segundos pois o anti-ddos acreditaram que é uma pessoa utilizando e não filtrará apenas um ser humano analisando conseguiria filtrar.
O filtro na realidade é so um proxy, ele coloca o IP dele na frente e de lá manda pro seu servidor é cara pagar anti-ddos e um servidor forte o que significa que mesmo que o servidor continue online ele terá usado tanto Gigas de dados com o ataque que o dono terá que pagar uma fortuna. Caso você consiga o ip real fará um bypass no filtro anti-ddos portanto é sempre importante fazer um mapeamento detalhado.

Killar o link do servidor

T50 e G3M

Para esse método é necessário um UPLOAD forte para conseguir enviar muitos dados de uma vez.
É o pior método pois são ataqueas mais diretos, serão milhares de requisões por segundo do mesmo IP os filtros anti-ddos pegam fácil utilizando a regra de x tempo x requisição.
Ex: Faço um FOR de 1 a 1000 com uma maquina parruda que consiga enviar todos ao mesmo tempo estaria enviando 1Gb de uma vez ou 500Mb a cada segundo sem entrar em fila, o servidor atacado terá problemas pois ele necessitará de um link que consiga receber e processar no seu sistema todos esses pacotes de uma vez.
Apenas com muitas maquinas em sua posse você consegue atingir o objetivo.

Killar o serviço do servidor

 Slowloris

Para esse método é necessário estudar uma forma que ocupe ao máximo o servidor.
ex: Procurar um arquivo muito grande no site ou imagens e então mandar tua botnet conectar de 15 em 15 segundos ou de 10 em 10 por ae o filtro não detectará como ataque porque esta conectando com intervalos longos ae vai pensar que é um browser.
O segredo é pegar uma parte do site que fica mais ocupado, se ele suportar 200 ou 1000 conexoes ao mesmo tempo é só ter varias maquinas que vc detona.
IP diferente é mais forte do que uma maquina com muito link e parruda.

ex: Um servidor apache, não importa se o servidor tem hardware ou conexao top se o apache só suportar ex: 1000 conexoes ao mesmo tempo.