Skocz do zawartości

Nowy rodzaj ataku DDoS z wykorzystaniem serwerów MS SQL !


Rekomendowane odpowiedzi

                                   GsEbIKy.png

 

 

W niedawnym ataku na stronę WWW atakujący wykorzystał mało znaną właściwość serwerów MS SQL, pozwalającą na uzyskanie 22-krotnego wzmocnienia ataku. Podatnych serwerów może być około 700 tysięcy, zatem warto przyjrzeć się problemowi. Podstawowym narzędziem ataków DDoS jest wykorzystanie tzw. wzmocnienia (amplification). Polega ono na znalezieniu usług i serwerów, które po otrzymaniu krótkiego zapytania ze sfałszowanego adresu nadawcy prześlą na fałszywy adres dłuższą odpowiedź. Dzięki temu atakujący może np. wykorzystując łącze o przepustowości 100MB wygenerować atak o mocy 10 czy 100 razy większej, ukrywając jednocześnie swoją tożsamość.

 

Ciekawe pakiety :

 

W grudniu witryna WWW miasta Columbia padła ofiarą ataku DDoS. Atakujący wykorzystywał różne popularne techniki ataku takie jak wzmocnienie SSDP czy NTP. Części pakietów nie udało się jednak przypisać do żadnego znanego rodzaju ataku i poddano głębszej analizie. Wyglądały one tak:

 

ddos1-580x176.jpg

 

a tak wyglądała ich zawartość :

 

ddos2-580x525.jpg

 

 

Mamy więc pakiety UDP przychodzące na port 1434 i zawierające informacje o serwerach MS SQL. Jest to wynik działania usługi SQL Server Resolution Service, która w oparciu o SQL Server Resolution Protocol udziela klientowi informacji o konfiguracji serwera. Usługa ta jest aktywna na wszystkich serwerach MS SQL od wersji SQL Server 2000. Shodan wskazuje, że w sieci dostępne jest ponad 700 000 potencjalnie podatnych serwerów. Osiągane w ten sposób wzmocnienie ataku zależy od konfiguracji wykorzystywanego serwera, ale średnio można przyjąć, że wyniesie ok 22x. Przykładowy skrypt w Pythonie testujący podatność serwera:

import socket     HOST_IP = "192.168.1.1"     sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)     sock.connect((HOST_IP, 1434))     qry = bytes.fromhex('02')     sock.send(qry)     ans = sock.recv(5120)     print(ans)

Wyłączenie usługi na serwerze może nie być najlepszym rozwiązaniem, ponieważ może z niej korzystać cześć narzędzi bazodanowych. Znacznie lepiej jest trzy razy rozważyć sens umieszczania serwera MS SQL na publicznym adresie IP przy braku ograniczeń na ruch przychodzący i wychodzący. Autorzy ataków DDoS szybko przyswajają rynkowe nowinki, zatem możemy się spodziewać, że wkrótce do ataków NTP czy SSDP dołącza także ataki MC-SQLR. Administratorzy serwerów MS SQL – filtrujcie ruch lub chowajcie serwery w sieci wewnętrznej zanim dowiecie się, że były wykorzystane do ataku.

 

źródło : www.zaufanatrzeciastrona.pl

 

Odnośnik do komentarza

Zarejestruj się za darmo i naucz się zarabiać online!

  • Dostęp do darmowych poradników pokazujących krok po kroku jak zarabiać w Internecie
  • Sposoby zarabiania niepublikowane nigdzie indziej
  • Aktywna społeczność, która pomoże Ci rozwiązać problemy i doradzi
  • Profesjonalne treści na temat SEO, social media, afiliacji, kryptowalut, sztucznej inteligencji i wiele więcej!

Możesz w skrócie wytłumaczyć dlaczego IPv6 zakończy ataki ddos?

Jest o wiele wiele bardziej wykrywalne, zakończy się anonimowość w internecie i żadne VPS'y, TORY nie pomogą :)

 

Pozwolę Sobie skopiować pewien tekst z: http://www.dobreprogramy.pl/bipocich/IPv6-koniecznosc-a-prywatnosc-uzytkownika,24754.html

 

koleś bardzo ładnie to opisał :)

Przemyślenia odnośnie anonimowości

 

Wiem, że każdy wie/powie, no ok nie każdy wie o tym, że pomimo zmiennego IP dostawca i tak musi trzymać dane na temat tego komu o danej porze przydzielił określony adres IP. Ale kompletnie się to zmieni w wersji 6 (IPv6). Gdyż to w IP jest zaszyty nasz adres MAC. Załóżmy, że pan Xsiński korzysta w domu z internetu za pośrednictwem laptopa o adresie MAC: 00:0A:E6:3E:FD:E1 i został mu przydzielony prefiks w sieci domowej: prefiks1 zatem jego adres IP będzie wyglądał następująco: prefiks1:FFFE:000A:E63E:FDE1. Następnie nasz słynny Xsiński idzie do znajomego z laptopem i łączy się z jego lokalną siecią, gdzie zostaje mu przydzielony prefiks2, zatem jego IP będzie wyglądał następująco: prefiks2:FFFE:000A:E63E:FDE1. Kolejno nasz bohater jedzie z dziećmi do ekskluzywnej amerykańskiej restauracji McDonald's, gdzie nie może zabraknąć darmowego Hot Spota, z którego skorzysta jego słynny laptop i jak się domyślamy jego IP to: prefiks3:FFFE:000A:E63E:FDE1.Zatem o anonimowości nie ma kompletnie mowy i raczej nie było;pAle pojawiają się też inne zagrożenia, ale o tym kiedy indziej.

A wy co o tym myślicie, może gdzieś się pomyliłem? 

Odnośnik do komentarza

 

Wiesz jak działa Tor? Relaye nie muszą być chronione. Powiem Ci, że dojść do IPv4 będzie tak samo łatwo jak do IPv6. Ktoś musiał sprzedać dany adres IP i ktoś musi go gdzieś hostować na serwerze. Można z łatwością sprawdzić w jakiej serwerowni stoi. Nakaz i przejmujesz serwer.

Z IPv6 masz tak samo. MAC daje Ci tylko unikalny identyfikator hardware'u, który niezbyt Ci pomoże w wyszukiwaniu serwera.

 

Jakby ktoś chciał, to mógłby przejmować relaye, ale nic mu to nie da, bo cały ruch jest zaszyfrowany i tylko użytkownik końcowy wie jak go odzyskać.

 

Jedynym sposobem na złamanie Tora (złamaniem, więć nie szukanie osób które się łączyły wtedy do sieci), to wypuszczenie własnych relayów i liczenie, że cały ruch przejdzie przez ich relaye.

Więc IPv6 z IPv4 w Torze nie robi różnicy.

Odnośnik do komentarza

 

[*]Wymuszenie ruchu z ukrytą siecią przez protokół IPv6 poza strefę działania służb. W przypadku brokera IPv6, który szyfruje ruch, fakt korzystania z anonimowej sieci jest praktycznie niemożliwy do wykrycia. W przypadku tunelowanego ruchu IPv6 (6in4) dostawca musi podjąć dodatkowe środki celem ustalenia rodzaju ruchu.

Tak czy siak... TOR to najgorsze gówno.. lepiej kupić Sobie maszynę w Korei i mieć wyjebke... tam sygnał mundurowych nie dotrze ;)

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Polecana zawartość

    • Poradnik podatkowy - jak rozliczać się z pieniędzy zarobionych przez Internet bez DG?
      Zarabianie w Internecie wiąże się z koniecznością płacenia podatków - a rozliczanie się z urzędem skarbowym nie jest jednoznaczne i proste. Prawo podatkowe w Polsce jest nieujednolicone - co oznacza, że każdy urząd skarbowy może mieć inne interpretacje. Sprawdź jak się za to zabrać!
        • Lubię to!
        • Super
      • 12 odpowiedzi
    • JDG - Jak zarejestrować, rozliczać i prowadzić działalność gospodarczą w Polsce
      Jednoosobowa działalność gospodarcza (JDG) to najprostsza forma prowadzenia działalności gospodarczej w Polsce. Jest to działalność prowadzona przez jedną osobę fizyczną na własne nazwisko i na własne ryzyko. Jednak mimo, że nazywa się jednoosobowa - daje jednak możliwość zatrudniania pracowników. Takich firm jest zarejestrowanych w Polsce zdecydowanie najwięcej. Sprawdź jak zarejestrować, rozliczać i prowadzić własną JDG!
        • Super
      • 3 odpowiedzi
    • Inwestowanie w obligacje detaliczne skarbu państwa - od podstaw!
      Sprawdź jak inwestować w obligacje skarbowe - krok po kroku! Detaliczne obligacje skarbowe to rodzaj obligacji emitowanych przez Państwo, które są oferowane indywidualnym inwestorom, takim jak osoby fizyczne, a nie instytucjom finansowym.

      Są to instrumenty dłużne, nienotowane na żadnym rynku, co oznacza że kupując taką obligację, w praktyce pożyczasz pieniądze państwu na określony czas, a w zamian otrzymujesz odsetki. Można więc powiedzieć że obligacje są indywidualną pożyczką na określony % dla Skarbu Państwa. Państwo odda Ci więcej niż od Ciebie pożyczyło.
        • Super
      • 7 odpowiedzi
    • Jak pozyskiwać i zarabiać na poleconych dzięki make-cash.pl
      W tym poradniku przedstawiam możliwości dostępne dla każdego użytkownika. Dowiesz się jak efektywnie wykorzystać forum do zbierania poleconych i budowania dodatkowych zysków.

      Make-cash.pl to miejsce, gdzie ludzie dzielą się swoimi doświadczeniami, poszukują porad i rekomendacji, a także nawiązują wartościowe kontakty. Codziennie odwiedza nas minimum 2000 unikalnych osób, które są zainteresowane zarabianiem przez Internet - a to ogromny potencjał, z którego może korzystać nie tylko administracja - ale każdy użytkownik forum !
        • Super
      • 2 odpowiedzi
    • Jak pisać treści na stronę internetową z wykorzystaniem AI
      Tworzenie treści od podstaw może być procesem czasochłonnym. Istnieje wiele mniejszych kroków, o których należy pomyśleć w drodze do stworzenia atrakcyjnych treści, takich jak badanie rynku, SEO i redagowanie tekstu, a to tylko początek. Jednak nie musisz zaczynać od zera, gdy istnieją narzędzia AI, które mogą pomóc w tworzeniu wysokiej jakości treści. 
        • Dzięki!
        • Super
      • 13 odpowiedzi
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Ta strona korzysta z ciasteczek, aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie z witryny oznacza zgodę na ich wykorzystanie. Polityka prywatności .