attacchi D.o.S.

[pippopallino]

Ciao, quando una rete/PC connesso in internet è sotto attacco D.o.S., se spengo il router/PC, quando lo riaccendo l'attacco si ripresenta tale e quale oppure lo spegnimento e riavvio può essere un sistema per interromperlo?
L'informazione mi serve perchè sto analizzando i dati di un tabulato dati dove si possono vedere dei picchi improvvisi di traffico, ognuno della durata di 1, 2 o 3 giorni, e devo capire se questi picchi di traffico possono essere interpretati come attacchi D.o.S.
Grazie a chiunque possa darmi una mano

[MatCap83]

Sicuramente spegnendo fisicamente la macchina presa di mira l'attacco viene interrotto. Dipende però se viene attaccato il router oppure il pc, e ovviamente deve essere spento il dispositivo attaccato. Mi spiego meglio. Se è stato effettuato un attacco DoS verso il router, spegnere il pc dietro di esso non ha senso. Un'altra cosa che posso dirti è che al riavvio del router difficilmente l'attacco DoS "ripartirà" subito, o meglio difficilmente l'attaccante (persona, worm, ...) sarà lì pronto ad attaccare nuovamente il dispositivo:

1- nel caso in cui l'attaccante sia una persona, dovrà analizzare il dispositivo, sapere che questo è stato riavviato, e nuovamente sfruttare un bug/vulnerabilità per portare a compimento ancora l'attacco;
2- nel caso di un attacco automatico, tipo un worm, l'attacco viene portato in maniera automatica, da un software che scandaglia la rete in cerca di bersagli vulnerabili. E' difficile che il bersaglio sia preso di mira subito una seconda volta.

L'obbiettivo di un attacco DoS poi solitamente è di rendere inattivo un router/server/pc, e non è solo un "picco di carico". Questo almeno è quello che so dalla mia esperienza ! Habanero potrà dirti di più...

ciao

[pippopallino]

Grazie mille per la risposta. Avrei ancora un paio di dubbi se non ti faccio perdere troppo tempo.
Sapresti anche dirmi se l'ipotetico traffico dati dell'attacco D.o.S. dovrebbe risultare sul tabulato della bolletta della vittima (che ha tariffa a volume) oppure no perchè dovrebbe essere unicamente addebitato all'attaccante ed eventuali vittime intermedie usate per bombardare la vittima finale?
Il profilo del traffico dati come dovrebbe essere durante l'attacco D.o.S.? Precisamente, sia il canale downlink che quello uplink dovrebbero risultare pieni? Ad esempio se ho una linea 640 kbps downlink e 128 kbps uplink dovrei aspettarmi dati ricevuti e trasmessi a quella velocità per tutta la durata dell'attacco?
Te lo chiedo perchè sul tabulato che ho tra le mani vedo che il canale downlink in quei momenti era decisamente saturo, mentre non così il canale uplink che rimeneva sempre un pò vuoto.

[Habanero]

Attacco D.o.S. significa paralizzare un sistema informatico rendendo impossibile fruire dei servizi che questo fornisce.
Metodi per fare questo ce ne sono tanti, alcuni implicano vulnerabilità in qualche parte del codice o della configurazione. La maggior parte non ne richiede la presenza...

Un attacco D.o.S è più spesso un attacco D.D.o.S ovvero un attacco distribuito. Questo significa che i pacchetti che intasano la tua rete non provengono dalla macchina del vero responsabile ma da una schiera di macchine zombie infette sotto il controllo dell'attaccante. In tal modo si ha il duplice scopo di moltiplicare la potenza di fuoco e di rimanere praticamente invisibili. Vista la semplicità con la quale è possibile nascondersi dietro questa armata, il rintracciamento del responsabile attraverso l'analisi dei log è di solito impossibile.

Durante l'attacco puoi certamente staccare dalla rete o spegnere il server il cui IP è sotto attacco. Come ti ha detto MatCap32 questo non toglie che una quantità massiccia di dati continuerà ad inondare il tuo router/gateway/firewall.
Se l'attaccante si rende conto che il server sotto attacco è stato messo offline potrebbe anche interrompere la sua azione, ma non è detto che ciò avvenga.
Riportare online il server significa essere nuovamente soggetti al DOS.

Che tipo di tabulato hai a disposizione?
Che tipo di macchina è stata sotto attacco? Qual è la topologia della rete?
Solo l'analisi del traffico potrebbe svelare il mistero.

Non capisco invece cosa tu ti intenda con "addebito in bolletta"... mi riferisco al tuo pm.

[pippopallino]

grazie per questi chiarimenti.

Volevo innazitutto chiederti conferma se ho capito bene: se, quando la vittima spegne le macchine, l'attaccante non interrompe l'azione, quando la vittima le riaccende sarà ancora bloccato fintantoche l'attaccante non interromperà l'attacco, giusto?

Devo chiarire che non si sa se ci sia stato o meno un attacco Dos. La questione riguarda una bolletta molto alta dovuta a picchi di traffico che si possono vedere sul tabulato in alcune giornate in cui peraltro l'utente lamentava blocchi/rallentamenti della rete. Devo capire se quei picchi possono essere stati provocati da un attacco DoS. Della rete so solo che c'era un router dato in comodato d'uso dall'operatore telefonico, 1 server e 5 PC.

Ti riporto sotto questo messaggio uno stralcio di tabulato che sto analizzando (provo anche ad allegarlo in formato completo), dove considerando la velocità della linea (che era 640kbps downlink e 128kbps uplink) vedo che il canale uplink è sempre meno saturo del canale downlink (lo evinco dal rapporto byte trasmessi su byte ricevuti, rapporto che è molto più basso del rapporto tra le velocità teoriche della linea 128/640). Non so se il fatto che fosse saturo solo il canale download e non quello upload possa essere un elemento per escludere che si sia trattato di atacco DoS... Un'altra cosa che noto è il rapporto tra byte_OUT trasmessi e byte_IN ricevuti è molto fluttuante, non so se anche questo possa essere un elemento per escludere l'attacco DoS perchè tutte le volte che si ripresentano questi picchi di traffico vi sono appuinto delle differenze in tale rapporto... (considera che il consumo di banda per altri motivi, e-mail e altro era pressochè irrilevante e non poteva essere il motivo per cui tale rapporto cambia ogni volta che si ripresentano picchi di traffico)
Le mie sono considerazioni molto qualitative.
Se riesci a notare qualche elemento che possa mettermi sulla strada giusta per capire se possa o meno essersi trattato di attacco DoS te ne sono molto grato.

Per quanto riguarda l'addebito in bolletta, quell'utente pagava una tariffa di 0,0516€/Mbyte per le comunicazioni dati su internet. Ora, la grana nasce perchè è lui che dovrebbe aver pagato quei picchi di traffico alla tariffa qui indicata. Mi chiedevo quindi se il fatto che quei picchi di traffico compaiano nel suo tabulato esclude che possa essersi trattato di attacco DoS, o meglio: in caso di attacco DoS il traffico che viene indirizzato contro la vittima (che non ha una tariffa flat) chi lo paga: gli zombie oppure la vittima? Se gli zombie, il fatto che il traffico compaia sul tabulato della vittima può escludere l'ipotesi dell'attacco DoS?

Grazie mille per l'aiuto

data Mbyte In Mbyte Out rapporto Mbyte out/Mbyte in
26/12/2002 3.621 226 6,24%
27/12/2002 2.916 185 6,34%
02/01/2003 795 60 7,55%
03/01/2003 4.463 90 2,02%
04/01/2003 118 133 112,71%
10/01/2003 4.326 122 2,82%
11/01/2003 2.830 237 8,37%
12/01/2003 5.980 409 6,84%
13/01/2003 3.869 150 3,88%

[Habanero]

Sinceramente sono un po' perplesso... al giorno d'oggi la quasi totalità delle connessioni ha tariffa fissa... non capisco che tipo di contratto possa avere questa persona.
Al 99,99% né attaccante, né eventuali zombie pagano qualcosa... pagherebbero solo se anch'essi avessero una tariffazione a traffico.
Al giorno d'oggi avere una connessione always on con tariffazione a traffico mi sembra una soluzione folle dal punto di vista del portafoglio.

In ogni caso.... il server fornisce servizi all'esterno o è ad uso prettamente interno?

Sinceramente più che ad un attacco D.o.S., che sono piuttosto rari nei confronti di reti che non espongano servizi, la prima cosa a cui avrei pensato è una infezione su una delle macchine interne.
Io verificherei accuratamente lo stato di salute delle macchine ed eventualmente provvederei ad una bella disinfezione.
L'ipotesi di attacco DoS mi sembra alquanto remota e improbabile... 6GB al giorno non riescono a generare nessun tipo di attacco di tal genere su una moderna connessione.

[pippopallino]

Grazie degli utili consigli,
a presto

[pippopallino]

Scusatemi, potete per favore spiegarmi qualcosa in più dell'attacco worm? Il software che scandaglia la rete dove risiede e c'è qualcuno a monte che lo usa? Lo scopo del software immagino è infettare i computer connessi alla rete con difese deboli: ma una volta infettato il computer che cosa gli capita? E soprattutto questo tipo di attacco worm può dar luogo ad un bombardamento di dati che vengono trasmessi verso il computer infettato in modo da saturargli il canale in download? O meglio non è che lo scopo è quello di trovare quanti più "computer deboli" in rete per poi utilizzarli tutti insieme per bombardare un terzo con il traffico dati generato da ogni computer debole infettato?
Scusatemi se faccio domande banali ma non conosco molto la materia.

[MatCap83]

Originariamente inviato da pippopallino
Scusatemi, potete per favore spiegarmi qualcosa in più dell'attacco worm? [...]

Un worm è fondamentalmente un virus che attacca un sistema e che cerca di propagarsi a quanti più sistemi possibile. Quello che invece viene definito "virus" attacca solamente il sistema infettato e non si propaga. Dunque, un worm può essere creato con l'intenzione di effettuare un attacco DoS, e dopo essere immesso in rete dall'attaccante si propagherà più o meno intensamente a seconda della sua efficacia (ad esempio tramite eMule). Quello che succede nel sistema della vittima dipende ovviamente dal tipo di worm, ci sono quelli quasi banali che sono stati creati per puro divertimento, quelli che paralizzano il sistema, e quelli creati specificatamente per apportare attacchi DoS (in questo caso rientrano nella sotto-categoria Distributed DoS che già ha citato Habanero).