Cómo rastrear atacantes DDOS .
Cuando un sistema ataca un sistema DDOS, todas las direcciones IP detectadas pertenecen a las máquinas de las víctimas, excepto la IP del atacante. Para el CERT es muy difícil detectar al atacante y quién controla los bots.
La pregunta es ¿cómo podemos detectar la dirección IP del atacante?
- ¿Cuáles son las infracciones de seguridad de TI más famosas en la historia reciente?
- ¿Qué software antivirus usa la NSA?
- Cómo establecer una empresa de seguridad cibernética
- Quiero hacer proyecto en seguridad de la información. ¿Cuáles son algunos buenos temas?
- Ingeniería de software: ¿cómo podría Snapchat haber evitado la fuga de datos a través de una arquitectura o diseño de aplicaciones más seguro?
Antes de responder la pregunta, debemos saber que existen dos técnicas para controlar los bots, y para cada técnica también hay técnicas para detectar al atacante.
Vamos a saber qué usan los atacantes para controlar los bots para hacer un ataque DDOS
La primera técnica es la botnet del servidor cliente
Este tipo de botnet funciona como troyanos, hay cliente y servidor. El atacante utiliza el cliente para crear su propia botnet y controlar los bots. El botnet (servidor) es un archivo que el pirata informático lo inyecta en las computadoras de las víctimas. La conexión entre el cliente y el servidor se logra mediante la inclusión en cualquier puerto para crear la conexión. el hacker realiza un ataque enviando comandos a los servidores “botnets” para iniciar el ataque DDOS. Tenemos tres partes de conexión entre el atacante, las víctimas y el objetivo. no podemos llegar al atacante directamente desde el objetivo como ejemplo “el objetivo es el sitio web: www.target.com”. El rastreo en este caso debe hacerse por dos pasos.
1-Recopila las direcciones IP de los bots que realizan un ataque DDOS e intenta atrapar cualquier máquina que contenga bot.
2-haz un forense con la máquina detectada que el hacker está conectando a ella. Podemos detectar la dirección IP del atacante fácilmente.
Si un atacante está usando proxy, este es otro caso para evitar este problema.
La segunda técnica es el cliente HTTP
Aquí el atacante es más indetectable que “botnet de servidor cliente”. El atacante en este tipo usa un servidor web para controlar bots como botnet de Zeus y vertix. Podemos detectar el servidor web que el atacante controla a los bots. Al detectar el servidor web podemos detectar al atacante, pero es muy difícil, porque los atacantes generalmente usan servidores web que no se han registrado por sus nombres, o piratearon http web: //servers.in Conclusión después de detectar víctimas en cualquier ataque DDOS, el siguiente paso e-forensic en la máquina de víctimas nos lleva al atacante.
¿Para saber mas?
¿Cómo rastrear un ataque DDOS?