Quais ações podem ser usadas para determinar se um host foi comprometido é está inundando o tráfego para a rede?

Só para si: Avaliação GRATUITA de 60 dias da maior biblioteca digital do mundo.

A família SlideShare acabou de crescer. Desfrute do acesso a milhões de ebooks, áudiolivros, revistas e muito mais a partir do Scribd.

Leia gratuitamente 60 dias

Cancele a qualquer momento.

Diagrama de um ataque DDoS. Observe como vários computadores estão atacando um único computador

Na computação , um ataque de negação de serviço ( ataque DoS ) é um ataque cibernético no qual o perpetrador busca tornar uma máquina ou recurso de rede indisponível para seus usuários pretendidos interrompendo temporariamente ou indefinidamente os serviços de um host conectado à Internet . A negação de serviço é normalmente realizada inundando a máquina ou recurso de destino com solicitações supérfluas na tentativa de sobrecarregar os sistemas e evitar que algumas ou todas as solicitações legítimas sejam atendidas. [1]

Em um ataque distribuído de negação de serviço ( ataque DDoS ), o tráfego de entrada que inunda a vítima se origina de muitas fontes diferentes. Isso efetivamente torna impossível parar o ataque simplesmente bloqueando uma única fonte.

Um ataque DoS ou DDoS é análogo a um grupo de pessoas aglomerando-se na porta de entrada de uma loja, dificultando a entrada de clientes legítimos, interrompendo assim o comércio.

Os criminosos que perpetram ataques DoS geralmente têm como alvo sites ou serviços hospedados em servidores da Web de alto perfil , como bancos ou gateways de pagamento com cartão de crédito . Vingança , chantagem [2] [3] [4] e ativismo [5] podem motivar esses ataques.

Panix , o terceiro ISP mais antigo do mundo, foi o alvo do que se pensa ser o primeiro ataque DoS. Em 6 de setembro de 1996, a Panix foi submetida a um ataque de inundação SYN que interrompeu seus serviços por vários dias enquanto os fornecedores de hardware, principalmente a Cisco, descobriam uma defesa adequada. [6]

Outra demonstração inicial de ataque DoS foi feita por Khan C. Smith em 1997 durante um evento DEF CON , interrompendo o acesso à Internet à Las Vegas Strip por mais de uma hora. O lançamento do código de amostra durante o evento levou ao ataque online da Sprint , EarthLink , E-Trade e outras grandes corporações no ano seguinte. [7]

Em 5 de março de 2018, um cliente não identificado da provedora de serviços com sede nos Estados Unidos Arbor Networks foi vítima do maior DDoS até aquela data, atingindo um pico de cerca de 1,7 terabits por segundo. [8] O recorde anterior havia sido estabelecido alguns dias antes, em 1º de março de 2018, quando o GitHub foi atingido por um ataque de 1,35 terabits por segundo. [9] Em fevereiro de 2020, Amazon Web Services experimentou um ataque com um volume máximo de 2,3 terabits por segundo. [10] [11]

Durante os protestos anti-extradição de Hong Kong em junho de 2019, o aplicativo de mensagens Telegram foi alvo de um ataque DDoS, com o objetivo de evitar que os manifestantes o usassem para coordenar movimentos. Os fundadores do Telegram afirmaram que este ataque parece ser de um "ator estatal" via endereços IP originários da China. [12]

Em 6 e 7 de setembro de 2019, a Wikipedia foi derrubada por um ataque DDoS na Alemanha e em algumas partes da Europa. Os usuários de mídia social, enquanto aguardavam a recuperação da Wikipedia, criaram uma " hashtag ", #WikipediaDown, no Twitter em um esforço para chamar a atenção do público. [13]

Ataques de negação de serviço são caracterizados por uma tentativa explícita de invasores de impedir o uso legítimo de um serviço. Existem duas formas gerais de ataques DoS: aqueles que causam falhas nos serviços e aqueles que inundam os serviços. Os ataques mais sérios são distribuídos. [14]

Um ataque de negação de serviço distribuído (DDoS) ocorre quando vários sistemas inundam a largura de banda ou os recursos de um sistema direcionado, geralmente um ou mais servidores da web. [14] Um ataque DDoS usa mais de um endereço IP exclusivo ou máquinas, geralmente de milhares de hosts infectados com malware. [15] [16] Um ataque distribuído de negação de serviço normalmente envolve mais do que cerca de 3-5 nós em redes diferentes; menos nós podem ser qualificados como um ataque DoS, mas não é um ataque DDoS. [17] [18]

Várias máquinas podem gerar mais tráfego de ataque do que uma máquina, várias máquinas de ataque são mais difíceis de desligar do que uma máquina de ataque e o comportamento de cada máquina de ataque pode ser mais furtivo, tornando mais difícil rastrear e encerrar. Como o tráfego de entrada que inunda a vítima se origina de fontes diferentes, pode ser impossível interromper o ataque simplesmente usando a filtragem de entrada . Também torna difícil distinguir o tráfego de usuário legítimo do tráfego de ataque quando espalhado por vários pontos de origem. Como alternativa ou aumento de um DDoS, os ataques podem envolver falsificação de endereços de remetente IP ( falsificação de endereço IP) complicando ainda mais a identificação e derrota do ataque. Essas vantagens do invasor desafiam os mecanismos de defesa. Por exemplo, simplesmente comprar mais largura de banda de entrada do que o volume atual do ataque pode não ajudar, porque o invasor pode simplesmente adicionar mais máquinas de ataque.

A escala dos ataques DDoS continuou a aumentar nos últimos anos, em 2016 ultrapassando um terabit por segundo . [19] [20] Alguns exemplos comuns de ataques DDoS são inundação UDP , inundação SYN e amplificação de DNS . [21] [22]

Um ataque DDoS na camada de aplicativo (às vezes chamado de ataque DDoS na camada 7 ) é uma forma de ataque DDoS em que os invasores têm como alvo os processos da camada de aplicativo . [23] [17] O ataque exerce excessivamente funções ou recursos específicos de um site com a intenção de desabilitar essas funções ou recursos. Esse ataque na camada de aplicativo é diferente de um ataque à rede inteira e é freqüentemente usado contra instituições financeiras para distrair o pessoal de TI e segurança das violações de segurança. [24] Em 2013, os ataques DDoS na camada de aplicativo representaram 20% de todos os ataques DDoS. [25] De acordo com pesquisa da Akamai Technologies, houve "51% mais ataques à camada de aplicativo" do quarto trimestre de 2013 ao quarto trimestre de 2014 e "16% mais" do terceiro trimestre de 2014 ao quarto trimestre de 2014. [26] Em novembro de 2017; Junade Ali, cientista da computação da Cloudflare observou que, embora os ataques em nível de rede continuem a ser de alta capacidade, eles ocorrem com menos frequência. Ali observa ainda que, embora os ataques no nível da rede estejam se tornando menos frequentes, os dados do Cloudflare demonstram que os ataques na camada de aplicativos ainda não mostram sinais de desaceleração. [27]

Camada de Aplicação

O modelo OSI (ISO / IEC 7498-1) é um modelo conceitual que caracteriza e padroniza as funções internas de um sistema de comunicação, particionando-o em camadas de abstração . O modelo é produto do projeto Open Systems Interconnection da International Organization for Standardization (ISO). O modelo agrupa funções de comunicação semelhantes em uma das sete camadas lógicas. Uma camada serve à camada acima dela e é servida pela camada abaixo dela. Por exemplo, uma camada que fornece comunicações sem erros em uma rede fornece o caminho de comunicação necessário para os aplicativos acima dela, enquanto chama a próxima camada inferior para enviar e receber pacotes que atravessam esse caminho.

No modelo OSI, a definição de sua camada de aplicativo é mais restrita em escopo do que geralmente é implementado. O modelo OSI define a camada de aplicativo como sendo a interface do usuário. A camada de aplicativo OSI é responsável por exibir dados e imagens para o usuário em um formato reconhecível por humanos e fazer a interface com a camada de apresentação abaixo dela. Em uma implementação, as camadas de aplicativo e apresentação são freqüentemente combinadas.

Método de ataque

Um ataque DDoS na camada de aplicativo é feito principalmente para fins específicos, incluindo a interrupção de transações e acesso a bancos de dados. Requer menos recursos do que os ataques da camada de rede, mas geralmente os acompanha. [28] Um ataque pode ser disfarçado para parecer tráfego legítimo, exceto que visa pacotes de aplicativos ou funções específicas. O ataque à camada de aplicativo pode interromper serviços como a recuperação de informações ou funções de pesquisa em um site. [25] É muito comum que invasores usem aplicativos pré-construídos e projetos de código aberto para executar o ataque. [ citação necessária ]

Um DoS persistente avançado (APDoS) está associado a uma ameaça persistente avançada e requer mitigação DDoS especializada . [29] Esses ataques podem persistir por semanas; o período contínuo mais longo observado até agora durou 38 dias. Este ataque envolveu aproximadamente 50+ petabits (50.000+ terabits) de tráfego malicioso. [30]

Os atacantes neste cenário podem alternar taticamente entre vários alvos para criar um desvio para evitar contra-medidas defensivas de DDoS, mas ao mesmo tempo, eventualmente, concentrando o impulso principal do ataque em uma única vítima. Nesse cenário, os invasores com acesso contínuo a vários recursos de rede muito poderosos são capazes de sustentar uma campanha prolongada, gerando níveis enormes de tráfego DDoS não amplificado.

Os ataques APDoS são caracterizados por:

• reconhecimento avançado ( OSINT pré-ataque e varredura de isca extensa criada para evitar a detecção por longos períodos)
• execução tática (ataque com vítimas primárias e secundárias, mas o foco está no primário)
• motivação explícita (um jogo final calculado / meta de meta)
• grande capacidade de computação (acesso a poder de computador substancial e largura de banda de rede)
• ataques simultâneos de camada OSI multithread (ferramentas sofisticadas operando nas camadas 3 a 7)
• persistência por longos períodos (combinando todos os itens acima em um ataque coordenado e bem gerenciado em uma variedade de alvos). [31]

Alguns fornecedores oferecem os chamados serviços "inicializadores" ou "estressantes", que possuem interfaces simples baseadas na web e aceitam pagamentos pela web. Comercializados e promovidos como ferramentas de teste de estresse, eles podem ser usados ​​para realizar ataques de negação de serviço não autorizados e permitir que invasores tecnicamente não sofisticados acessem ferramentas de ataque sofisticadas. [32] Normalmente acionado por um botnet , o tráfego produzido por um consumidor estressante pode variar de 5 a 50 Gbit / s, o que pode, na maioria dos casos, negar ao usuário doméstico médio acesso à Internet. [33]

A Equipe de Prontidão de Emergência de Computadores dos Estados Unidos (US-CERT) identificou sintomas de um ataque de negação de serviço que incluem: [34]

• desempenho de rede excepcionalmente lento (abrindo arquivos ou acessando sites),
• indisponibilidade de um determinado site, ou
• incapacidade de acessar qualquer site.

O ataque DoS mais simples se baseia principalmente na força bruta, inundando o alvo com um fluxo avassalador de pacotes, saturando sua largura de banda de conexão ou esgotando os recursos do sistema do alvo. As inundações que saturam a largura de banda dependem da capacidade do invasor de gerar um fluxo avassalador de pacotes. Uma maneira comum de conseguir isso hoje é por meio de negação de serviço distribuída, empregando um botnet .

Em casos como MyDoom e Slowloris, as ferramentas são incorporadas ao malware e lançam seus ataques sem o conhecimento do proprietário do sistema. Stacheldraht é um exemplo clássico de ferramenta DDoS. Ele usa uma estrutura em camadas onde o invasor usa um programa cliente para se conectar a manipuladores que são sistemas comprometidos que emitem comandos para os agentes zumbis que, por sua vez, facilitam o ataque DDoS. Os agentes são comprometidos por meio de manipuladores pelo invasor usando rotinas automatizadas para explorar vulnerabilidades em programas que aceitam conexões remotas em execução nos hosts remotos visados. Cada manipulador pode controlar até mil agentes. [35]

Em outros casos, uma máquina pode se tornar parte de um ataque DDoS com o consentimento do proprietário, por exemplo, na Operação Payback organizada pelo grupo Anonymous . O Low Orbit Ion Cannon tem sido normalmente usado dessa forma. Junto com o High Orbit Ion Cannon, uma grande variedade de ferramentas DDoS estão disponíveis hoje, incluindo versões pagas e gratuitas, com diferentes recursos disponíveis. Existe um mercado clandestino para eles em fóruns relacionados a hackers e canais de IRC.

Os ataques da camada de aplicativos empregam explorações causadoras de DoS e podem fazer com que o software em execução no servidor preencha o espaço em disco ou consuma toda a memória disponível ou tempo de CPU . Os ataques podem usar tipos de pacotes específicos ou solicitações de conexão para saturar recursos finitos, por exemplo, ocupando o número máximo de conexões abertas ou preenchendo o espaço em disco da vítima com logs. Um invasor com acesso em nível de shell ao computador da vítima pode desacelerá-lo até que se torne inutilizável ou travá-lo usando uma bomba fork . Outro tipo de ataque DoS no nível do aplicativo é o XDoS (ou XML DoS), que pode ser controlado por modernos firewalls de aplicativos da Web (WAFs).

Outro alvo dos ataques DDoS pode ser gerar custos adicionais para o operador do aplicativo, quando este utiliza recursos baseados em computação em nuvem . Neste caso, normalmente os recursos usados ​​pelo aplicativo estão vinculados a um nível de qualidade de serviço (QoS) necessário (por exemplo, as respostas devem ser inferiores a 200 ms) e esta regra está geralmente ligada a um software automatizado (por exemplo, Amazon CloudWatch [36] ) para levantar mais recursos virtuais do provedor para atender aos níveis de QoS definidos para o aumento de solicitações. O principal incentivo por trás de tais ataques pode ser levar o proprietário do aplicativo a aumentar os níveis de elasticidade para lidar com o aumento do tráfego do aplicativo, a fim de causar perdas financeiras ou forçá-los a se tornarem menos competitivos.

Um ataque de banana é outro tipo particular de DoS. Envolve o redirecionamento das mensagens enviadas do cliente de volta para o cliente, evitando o acesso externo, bem como inundando o cliente com os pacotes enviados. Um ataque LAND é desse tipo.

Zumbis pulsantes são computadores comprometidos que são direcionados para iniciar inundações intermitentes e de curta duração nos sites das vítimas com a intenção de apenas desacelerá-los, em vez de travá-los. Esse tipo de ataque, conhecido como degradação de serviço , pode ser mais difícil de detectar e pode interromper e dificultar a conexão com sites por períodos prolongados de tempo, podendo causar mais interrupção geral do que um ataque de negação de serviço. [37] [38] A exposição de ataques de degradação de serviço é complicada ainda mais pela questão de discernir se o servidor está realmente sendo atacado ou se está enfrentando cargas de tráfego legítimo mais altas do que o normal. [39]

Malware pode carregar mecanismos de ataque DDoS; um dos exemplos mais conhecidos disso foi o MyDoom . Seu mecanismo DoS foi acionado em uma data e hora específicas. Esse tipo de DDoS envolveu a codificação do endereço IP de destino antes de liberar o malware e nenhuma interação adicional foi necessária para iniciar o ataque.

Um sistema também pode ser comprometido por um trojan contendo um agente zumbi . Os invasores também podem invadir sistemas usando ferramentas automatizadas que exploram falhas em programas que detectam conexões de hosts remotos. Este cenário diz respeito principalmente a sistemas que atuam como servidores na web. Stacheldraht é um exemplo clássico de ferramenta DDoS. Ele usa uma estrutura em camadas onde o invasor usa um programa cliente para se conectar aos manipuladores, que são sistemas comprometidos que emitem comandos para os agentes zumbis, o que, por sua vez, facilita o ataque DDoS. Os agentes são comprometidos por meio dos manipuladores pelo invasor. Cada manipulador pode controlar até mil agentes. [35]Em alguns casos, uma máquina pode se tornar parte de um ataque DDoS com o consentimento do proprietário, por exemplo, na Operação Payback , organizada pelo grupo Anonymous . Esses ataques podem usar diferentes tipos de pacotes de internet, como: TCP, UDP, ICMP etc.

Essas coleções de sistemas comprometidos são conhecidas como botnets . Ferramentas DDoS como Stacheldraht ainda usam métodos clássicos de ataque DoS centrados em spoofing e amplificação de IP, como ataques smurf e ataques fraggle (tipos de ataques de consumo de largura de banda). As inundações SYN (um ataque de falta de recursos) também podem ser usadas. As ferramentas mais recentes podem usar servidores DNS para fins de DoS. Ao contrário do mecanismo DDoS do MyDoom, os botnets podem ser voltados contra qualquer endereço IP. Os script kiddies os usam para negar a disponibilidade de sites conhecidos para usuários legítimos. [40] Atacantes mais sofisticados usam ferramentas DDoS para fins de extorsão - inclusive contra seus rivais de negócios. [41]

Ataques simples, como inundações de SYN, podem aparecer com uma ampla gama de endereços IP de origem, dando a aparência de um DoS bem distribuído. Esses ataques de inundação não exigem a conclusão do handshake TCP de três vias e tentam esgotar a fila SYN de destino ou a largura de banda do servidor. Como os endereços IP de origem podem ser facilmente falsificados, um ataque pode vir de um conjunto limitado de origens ou até mesmo se originar de um único host. Aprimoramentos de pilha, como cookies SYN, podem ser uma mitigação eficaz contra a saturação da fila SYN, mas não resolvem o esgotamento da largura de banda.

Se um invasor montar um ataque de um único host, ele será classificado como um ataque DoS. Na verdade, qualquer ataque contra a disponibilidade seria classificado como um ataque de negação de serviço. Por outro lado, se um invasor usa muitos sistemas para lançar ataques simultaneamente contra um host remoto, isso seria classificado como um ataque DDoS.

Foi relatado que há novos ataques de dispositivos da Internet das coisas (IoT) que estão envolvidos em ataques de negação de serviço. [42] Em um ataque observado, o pico foi de cerca de 20.000 solicitações por segundo, provenientes de cerca de 900 câmeras CCTV. [43]

O GCHQ do Reino Unido possui ferramentas criadas para DDoS, chamadas PREDATORS FACE e ROLLING THUNDER. [44]

Em 2015, botnets DDoS como o DD4BC ganharam destaque, tendo como alvo as instituições financeiras. [45] Os extorsionistas cibernéticos normalmente começam com um ataque de baixo nível e um aviso de que um ataque maior será realizado se o resgate não for pago em Bitcoin . [46] Especialistas em segurança recomendam sites direcionados para não pagar o resgate. Os invasores tendem a entrar em um esquema de extorsão estendido, uma vez que reconhecem que o alvo está pronto para pagar. [47]

Descoberto pela primeira vez em 2009, o ataque HTTP POST lento envia um cabeçalho HTTP POST completo e legítimo, que inclui um campo 'Comprimento do conteúdo' para especificar o tamanho do corpo da mensagem a seguir. No entanto, o invasor passa a enviar o corpo da mensagem real a uma taxa extremamente lenta (por exemplo, 1 byte / 110 segundos). Como toda a mensagem está correta e completa, o servidor de destino tentará obedecer ao campo 'Comprimento do conteúdo' do cabeçalho e aguardará que todo o corpo da mensagem seja transmitido, o que pode levar muito tempo. O invasor estabelece centenas ou mesmo milhares de tais conexões até que todos os recursos para as conexões de entrada no servidor (a vítima) sejam usados, tornando assim quaisquer outras conexões (incluindo legítimas) impossíveis até que todos os dados tenham sido enviados. É notável que, ao contrário de muitos outros ataques DDoS ou DDoS, que tentam subjugar o servidor sobrecarregando sua rede ou CPU,um ataque HTTP lento POST visa orecursos lógicos da vítima, o que significa que a vítima ainda teria largura de banda de rede e capacidade de processamento suficientes para operar. [48] Além disso, combinado com o fato de que o Apache irá, por padrão, aceitar solicitações de até 2 GB de tamanho, este ataque pode ser particularmente poderoso. Ataques HTTP POST lentos são difíceis de diferenciar de conexões legítimas e, portanto, podem contornar alguns sistemas de proteção. O OWASP , um projeto de segurança de aplicativos web de código aberto , lançou uma ferramenta para testar a segurança de servidores contra esse tipo de ataque. [49]

Um ataque Challenge Collapsar (CC) é um ataque em que as solicitações HTTP padrão são enviadas para um servidor web alvo com frequência, em que os Uniform Resource Identifiers (URIs) requerem complicados algoritmos demorados ou operações de banco de dados, a fim de exaurir os recursos do servidor da web de destino. [50] [51] [52]

Em 2004, um hacker chinês apelidado de KiKi inventou uma ferramenta de hacking para enviar esses tipos de solicitações para atacar um firewall NSFOCUS chamado "Collapsar" e, portanto, a ferramenta de hacking era conhecida como "Challenge Collapsar", ou CC para abreviar. Consequentemente, este tipo de ataque recebeu o nome de "ataque CC". [53]

Um ataque smurf depende de dispositivos de rede mal configurados que permitem que os pacotes sejam enviados a todos os hosts de computador em uma rede específica por meio do endereço de broadcast da rede, em vez de uma máquina específica. O invasor enviará um grande número de pacotes IP com o endereço de origem falsificado para parecer ser o endereço da vítima. A maioria dos dispositivos em uma rede responderá, por padrão, enviando uma resposta ao endereço IP de origem. Se o número de máquinas na rede que recebem e respondem a esses pacotes for muito grande, o computador da vítima será inundado com tráfego. Isso sobrecarrega o computador da vítima e pode até mesmo torná-lo inutilizável durante esse ataque. [54]

A inundação de ping é baseada no envio à vítima de um número esmagador de pacotes de ping , geralmente usando o comando "ping" de hosts do tipo Unix (o sinalizador -t em sistemas Windows é muito menos capaz de sobrecarregar um alvo, também o -l (tamanho ) o sinalizador não permite tamanho de pacote enviado maior que 65500 no Windows). É muito simples de iniciar, sendo o principal requisito o acesso a uma largura de banda maior do que a da vítima.

O ping da morte é baseado no envio à vítima de um pacote de ping malformado, o que levará a uma falha do sistema em um sistema vulnerável.

O ataque BlackNurse é um exemplo de ataque aproveitando os pacotes ICMP da Porta de Destino Inacessível necessários.

Um Nuke é um ataque de negação de serviço antiquado contra redes de computadores que consiste em pacotes ICMP fragmentados ou inválidos enviados ao destino, obtido usando um utilitário ping modificado para enviar repetidamente esses dados corrompidos, tornando o computador afetado mais lento até que ele chega a uma parada completa. [55]

Um exemplo específico de um ataque nuclear que ganhou algum destaque é o WinNuke , que explorou a vulnerabilidade no manipulador NetBIOS no Windows 95 . Uma sequência de dados fora de banda foi enviada para a porta TCP 139 da máquina da vítima, fazendo com que ela travasse e exibisse uma Tela Azul da Morte . [55]

Os invasores descobriram uma maneira de explorar uma série de bugs em servidores ponto a ponto para iniciar ataques DDoS. O mais agressivo desses ataques DDoS ponto a ponto explora o DC ++ . Com o ponto a ponto, não há botnet e o invasor não precisa se comunicar com os clientes que subverte. Em vez disso, o invasor atua como um "mestre das marionetes", instruindo os clientes de grandes hubs de compartilhamento de arquivos ponto a ponto a se desconectarem de sua rede ponto a ponto e se conectarem ao site da vítima. [56] [57] [58]

A negação de serviço permanente (PDoS), também conhecida vagamente como phlashing, [59] é um ataque que danifica tanto um sistema que requer a substituição ou reinstalação do hardware. [60] Ao contrário do ataque de negação de serviço distribuído, um ataque PDoS explora falhas de segurança que permitem a administração remota nas interfaces de gerenciamento do hardware da vítima, como roteadores, impressoras ou outro hardware de rede . O invasor usa essas vulnerabilidades para substituir o firmware de um dispositivo por uma imagem de firmware modificada, corrompida ou com defeito - um processo que, quando feito de forma legítima, é conhecido como flashing. Este, portanto, " tijolos"o dispositivo, tornando-o inutilizável para sua finalidade original até que possa ser reparado ou substituído.

O PDoS é um ataque direcionado a hardware puro que pode ser muito mais rápido e requer menos recursos do que usar um botnet ou um root / vserver em um ataque DDoS. Por causa desses recursos e do potencial e alta probabilidade de exploits de segurança em Network Enabled Embedded Devices (NEEDs), essa técnica chamou a atenção de várias comunidades de hackers. BrickerBot , uma peça de malware que visava dispositivos IoT, usava ataques PDoS para desabilitar seus alvos. [61]

PhlashDance é uma ferramenta criada por Rich Smith (um funcionário do Laboratório de Segurança de Sistemas da Hewlett-Packard) usada para detectar e demonstrar vulnerabilidades de PDoS na Conferência de Segurança Aplicada EUSecWest 2008 em Londres. [62]

Um ataque distribuído de negação de serviço pode envolver o envio de solicitações falsas de algum tipo para um grande número de computadores que responderão às solicitações. Usando falsificação de endereço de protocolo da Internet , o endereço de origem é definido como aquele da vítima alvo, o que significa que todas as respostas irão (e inundarão) o alvo. (Essa forma de ataque refletido às vezes é chamada de "DRDOS". [63] )

Ataques ICMP Echo Request ( ataque Smurf ) podem ser considerados uma forma de ataque refletido, já que os hosts de inundação enviam Echo Requests aos endereços de broadcast de redes mal configuradas, induzindo assim os hosts a enviar pacotes Echo Reply à vítima. Alguns primeiros programas DDoS implementaram uma forma distribuída desse ataque.

Ataques de amplificação são usados ​​para aumentar a largura de banda enviada à vítima. Isso normalmente é feito por meio de servidores DNS publicamente acessíveis que são usados ​​para causar congestionamento no sistema de destino usando o tráfego de resposta DNS. Muitos serviços podem ser explorados para atuar como refletores, alguns mais difíceis de bloquear do que outros. [64] US-CERT observou que diferentes serviços podem resultar em diferentes fatores de amplificação, conforme tabulado abaixo: [65]

Os ataques de amplificação de DNS envolvem um novo mecanismo que aumentou o efeito de amplificação, usando uma lista muito maior de servidores DNS do que a vista anteriormente. O processo normalmente envolve um invasor enviando uma solicitação de pesquisa de nome DNS para um servidor DNS público, falsificando o endereço IP de origem da vítima visada. O invasor tenta solicitar o máximo de informações possível, ampliando assim a resposta DNS que é enviada à vítima visada. Como o tamanho da solicitação é significativamente menor do que a resposta, o invasor pode facilmente aumentar a quantidade de tráfego direcionado ao alvo. [70] [71] SNMP e NTP também podem ser explorados como refletores em um ataque de amplificação.

Um exemplo de ataque DDoS amplificado por meio do Network Time Protocol (NTP) é por meio de um comando denominado monlist, que envia os detalhes dos últimos 600 hosts que solicitaram o horário do servidor NTP de volta ao solicitante. Uma pequena solicitação para este servidor de horário pode ser enviada usando um endereço IP de origem falsificado de alguma vítima, o que resulta em uma resposta 556,9 vezes o tamanho da solicitação enviada à vítima. Isso se amplifica ao usar botnets que enviam solicitações com a mesma origem de IP falsificado, o que resultará no envio de uma grande quantidade de dados para a vítima.

É muito difícil se defender contra esses tipos de ataques porque os dados de resposta vêm de servidores legítimos. Essas solicitações de ataque também são enviadas por meio de UDP, que não requer uma conexão com o servidor. Isso significa que o IP de origem não é verificado quando uma solicitação é recebida pelo servidor. Para conscientizar sobre essas vulnerabilidades, foram iniciadas campanhas dedicadas a encontrar vetores de amplificação que levaram as pessoas a consertar seus resolvers ou a desligá-los completamente.

Esse ataque funciona usando um worm para infectar centenas de milhares de dispositivos IoT na Internet. O worm se propaga por meio de redes e sistemas, assumindo o controle de dispositivos IoT mal protegidos, como termostatos, relógios habilitados para Wi-Fi e máquinas de lavar. [72] Quando o dispositivo se torna escravo, geralmente o proprietário ou usuário não terá indicação imediata. O próprio dispositivo IoT não é o alvo direto do ataque, ele é usado como parte de um ataque maior. [73] Esses dispositivos recentemente escravizados são chamados de escravos ou bots. Assim que o hacker adquirir o número desejado de bots, ele instrui os bots a tentar entrar em contato com um ISP. Em outubro de 2016, um botnet Mirai atacou Dyn, que é o ISP de sites como Twitter, Netflix, etc. [72]Assim que isso ocorreu, esses sites ficaram inacessíveis por várias horas. Esse tipo de ataque não é fisicamente prejudicial, mas certamente será caro para qualquer grande empresa de Internet que seja atacada.

O ataque RUDY tem como alvo aplicativos da web por privação de sessões disponíveis no servidor da web. Muito parecido com o Slowloris , o RUDY mantém as sessões interrompidas usando transmissões POST sem fim e enviando um valor de cabeçalho de comprimento de conteúdo arbitrariamente grande.

Manipulando o tamanho máximo do segmento e o reconhecimento seletivo (SACK), ele pode ser usado por um par remoto para causar uma negação de serviço por um estouro de inteiro no kernel do Linux, causando até mesmo um pânico no Kernel . [74] Jonathan Looney descobriu CVE - 2019-11477 , CVE- 2019-11478 , CVE- 2019-11479 em 17 de junho de 2019. [75]

O ataque de megera é um ataque de negação de serviço ao Protocolo de Controle de Transmissão, em que o invasor emprega técnicas man-in-the-middle . Ele usa rajadas de tráfego sincronizadas curtas para interromper as conexões TCP no mesmo link, explorando uma fraqueza no mecanismo de tempo limite de retransmissão do TCP. [76]

Um ataque de leitura lenta envia solicitações legítimas da camada de aplicativo, mas lê as respostas muito lentamente, tentando esgotar o pool de conexão do servidor. Isso é obtido anunciando um número muito pequeno para o tamanho da janela de recepção TCP e, ao mesmo tempo, esvaziando o buffer de recepção TCP dos clientes lentamente, o que causa uma taxa de fluxo de dados muito baixa.

Um ataque DDoS sofisticado de baixa largura de banda é uma forma de DoS que usa menos tráfego e aumenta sua eficácia, visando um ponto fraco no design do sistema da vítima, ou seja, o invasor envia tráfego consistindo de solicitações complicadas ao sistema. [77] Essencialmente, um ataque DDoS sofisticado tem um custo menor devido ao uso de menos tráfego, é menor em tamanho tornando mais difícil de ser identificado e tem a capacidade de afetar sistemas protegidos por mecanismos de controle de fluxo. [77] [78]

Uma inundação de SYN ocorre quando um host envia uma inundação de pacotes TCP / SYN, geralmente com um endereço de remetente forjado. Cada um desses pacotes é tratado como uma solicitação de conexão, fazendo com que o servidor gere uma conexão semiaberta , enviando de volta um pacote TCP / SYN-ACK (reconhecimento) e esperando por um pacote em resposta do endereço do remetente (resposta a pacote ACK). No entanto, como o endereço do remetente é forjado, a resposta nunca chega. Essas conexões semiabertas saturam o número de conexões disponíveis que o servidor pode fazer, impedindo-o de responder a solicitações legítimas até o fim do ataque. [79]

Um ataque em forma de lágrima envolve o envio de fragmentos de IP mutilados com cargas úteis superdimensionadas e sobrepostas para a máquina de destino. Isso pode travar vários sistemas operacionais por causa de um bug em seu código de remontagem de fragmentação de TCP / IP . [80] Os sistemas operacionais Windows 3.1x , Windows 95 e Windows NT , bem como as versões do Linux anteriores às versões 2.0.32 e 2.1.63 são vulneráveis ​​a este ataque.

(Embora em setembro de 2009, uma vulnerabilidade no Windows Vista tenha sido chamada de "ataque em forma de lágrima", esse SMB2 tinha como alvo uma camada mais alta do que os pacotes TCP usados ​​por aquele teardrop). [81] [82]

Um dos campos em um cabeçalho IP é o campo “deslocamento do fragmento”, indicando a posição inicial, ou deslocamento, dos dados contidos em um pacote fragmentado em relação aos dados no pacote original. Se a soma do deslocamento e do tamanho de um pacote fragmentado diferir daquela do próximo pacote fragmentado, os pacotes se sobrepõem. Quando isso acontece, um servidor vulnerável a ataques de lágrima é incapaz de remontar os pacotes - resultando em uma condição de negação de serviço.

A voz sobre IP tornou a originação abusiva de um grande número de chamadas telefônicas de voz barata e prontamente automatizada, ao mesmo tempo que permite que as origens das chamadas sejam deturpadas por meio de falsificação de identificador de chamadas .

De acordo com o Federal Bureau of Investigation dos EUA , a negação de serviço de telefonia (TDoS) apareceu como parte de vários esquemas fraudulentos:

• Um golpista entra em contato com o banqueiro ou corretor da vítima, fazendo-se passar por ela para solicitar uma transferência de fundos. A tentativa do banqueiro de contatar a vítima para verificação da transferência falha, pois as linhas telefônicas da vítima estão sendo inundadas com milhares de chamadas falsas, tornando a vítima inacessível. [83]
• Um golpista entra em contato com consumidores com uma alegação falsa de cobrar um empréstimo do dia de pagamento pendente de milhares de dólares. Quando o consumidor se opõe, o golpista retalia inundando o empregador da vítima com milhares de chamadas automatizadas. Em alguns casos, o identificador de chamadas exibido é falsificado para se passar por policiais ou agências de aplicação da lei. [84]
• Um golpista contata consumidores com uma falsa solicitação de cobrança de dívidas e ameaça mandar a polícia; quando a vítima recua, o scammer inunda os números da polícia local com chamadas em que o identificador de chamadas é falsificado para exibir o número da vítima. A polícia logo chega à residência da vítima para tentar descobrir a origem das ligações.

A negação de serviço de telefonia pode existir mesmo sem telefonia pela Internet . No escândalo de congestionamento de telefones nas eleições de New Hampshire para o Senado de 2002 , os operadores de telemarketing foram usados ​​para inundar os oponentes políticos com chamadas falsas para congestionamentos de telefones no dia da eleição. A publicação generalizada de um número também pode inundá-lo com ligações suficientes para torná-lo inutilizável, como aconteceu por acidente em 1981 com vários + 1- código de área -867-5309 assinantes inundados por centenas de ligações mal discadas diariamente em resposta à música 867-5309 / Jenny .

O TDoS difere de outro assédio telefônico (como trotes e ligações obscenas ) pelo número de ligações originadas; ao ocupar linhas continuamente com chamadas automáticas repetidas, a vítima é impedida de fazer ou receber chamadas telefônicas de rotina e de emergência.

Explorações relacionadas incluem ataques de inundação de SMS e fax preto ou transmissão de loop de fax.

São necessários mais recursos do roteador para descartar um pacote com valor TTL de 1 ou menos do que para encaminhar um pacote com valor TTL mais alto. Quando um pacote é descartado devido à expiração do TTL, a CPU do roteador deve gerar e enviar uma resposta de tempo excedido ICMP . A geração de muitas dessas respostas pode sobrecarregar a CPU do roteador. [85]

Este ataque usa uma vulnerabilidade existente no protocolo Universal Plug and Play (UPnP) para contornar uma quantidade considerável dos métodos de defesa atuais e inundar a rede e os servidores de um alvo. O ataque é baseado em uma técnica de amplificação DNS, mas o mecanismo de ataque é um roteador UPnP que encaminha solicitações de uma fonte externa para outra, desconsiderando as regras de comportamento UPnP. Usar o roteador UPnP retorna os dados em uma porta UDP inesperada de um endereço IP falso, tornando mais difícil tomar uma ação simples para desligar a inundação de tráfego. De acordo com os pesquisadores da Imperva , a maneira mais eficaz de impedir esse ataque é as empresas travarem os roteadores UPnP. [86] [87]

Em 2014, foi descoberto que o SSDP estava sendo usado em ataques DDoS conhecidos como " ataque de reflexão SSDP com amplificação". Muitos dispositivos, incluindo alguns roteadores residenciais, têm uma vulnerabilidade no software UPnP que permite a um invasor obter respostas da porta número 1900 para um endereço de destino de sua escolha. Com um botnet de milhares de dispositivos, os atacantes podem gerar taxas de pacotes suficientes e ocupar largura de banda para saturar links, causando a negação de serviços. [88] [89] [90] A empresa de rede Cloudflare descreveu este ataque como o "Protocolo DDoS estupidamente simples". [91]

ARP spoofing é um ataque DoS comum que envolve uma vulnerabilidade no protocolo ARP que permite a um invasor associar seu endereço MAC ao endereço IP de outro computador ou gateway (como um roteador), fazendo com que o tráfego destinado ao IP autêntico original seja restabelecido - direcionado para o atacante, causando negação de serviço.

Respostas defensivas a ataques de negação de serviço normalmente envolvem o uso de uma combinação de detecção de ataques, classificação de tráfego e ferramentas de resposta, com o objetivo de bloquear o tráfego que eles identificam como ilegítimo e permitir o tráfego que eles identificam como legítimo. [92] Uma lista de ferramentas de prevenção e resposta é fornecida abaixo:

O hardware de front-end do aplicativo é um hardware inteligente colocado na rede antes que o tráfego alcance os servidores. Ele pode ser usado em redes em conjunto com roteadores e switches. O hardware de front-end do aplicativo analisa os pacotes de dados conforme eles entram no sistema e os identifica como prioritários, regulares ou perigosos. Existem mais de 25 fornecedores de gerenciamento de largura de banda .

Abordagens para ataques DDoS contra aplicativos baseados em nuvem podem ser baseadas em uma análise da camada de aplicativo, indicando se o tráfego em massa de entrada é legítimo e, portanto, desencadeando decisões de elasticidade sem as implicações econômicas de um ataque DDoS. [93] Essas abordagens baseiam-se principalmente em um caminho de valor identificado dentro do aplicativo e monitoram o andamento das solicitações nesse caminho, por meio de marcadores chamados Key Completion Indicators. [94]

Em essência, essas técnicas são métodos estatísticos de avaliação do comportamento das solicitações recebidas para detectar se algo incomum ou anormal está acontecendo.

Uma analogia é com uma loja de departamentos tradicional onde os clientes gastam, em média, uma porcentagem conhecida de seu tempo em diferentes atividades, como pegar itens e examiná-los, colocá-los de volta, encher uma cesta, esperar para pagar, pagar , e indo embora. Essas atividades de alto nível correspondem aos indicadores-chave de conclusão em um serviço ou site e, uma vez que o comportamento normal é determinado, o comportamento anormal pode ser identificado. Se uma multidão de clientes chegasse à loja e passasse o tempo todo pegando e devolvendo os itens, mas nunca fizesse nenhuma compra, isso poderia ser sinalizado como um comportamento incomum.

A loja de departamentos pode tentar se ajustar aos períodos de alta atividade, trazendo uma reserva de funcionários a curto prazo. Mas se fizesse isso rotineiramente, se uma multidão começasse a aparecer, mas nunca comprasse nada, isso poderia arruinar a loja com os custos extras dos funcionários. Logo a loja identificaria a atividade da turba e reduziria o número de funcionários, reconhecendo que a turba não oferece lucro e não deve ser servida. Embora isso possa dificultar o atendimento de clientes legítimos durante a presença da multidão, salva a loja da ruína total.

No caso de serviços em nuvem elástica, em que uma carga de trabalho adicional enorme e anormal pode incorrer em cobranças significativas do provedor de serviço em nuvem, essa técnica pode ser usada para reduzir ou mesmo interromper a expansão da disponibilidade do servidor para proteger contra perdas econômicas.

Com o roteamento de buraco negro , todo o tráfego para o DNS ou endereço IP atacado é enviado para um "buraco negro" (interface nula ou um servidor inexistente). Para ser mais eficiente e evitar afetar a conectividade da rede, ele pode ser gerenciado pelo ISP. [95]

Um sumidouro de DNS roteia o tráfego para um endereço IP válido que analisa o tráfego e rejeita pacotes inválidos. Sinkholing não é eficiente para os ataques mais graves.

Os sistemas de prevenção de intrusão (IPS) são eficazes se os ataques tiverem assinaturas associadas a eles. No entanto, a tendência entre os ataques é ter conteúdo legítimo, mas com más intenções. Os sistemas de prevenção de intrusão que trabalham no reconhecimento de conteúdo não podem bloquear ataques DoS baseados em comportamento. [29]

Um IPS baseado em ASIC pode detectar e bloquear ataques de negação de serviço porque eles têm o poder de processamento e a granularidade para analisar os ataques e agir como um disjuntor de forma automatizada. [29]

Um IPS baseado em taxa (RBIPS) deve analisar o tráfego granularmente e monitorar continuamente o padrão de tráfego e determinar se há anomalia de tráfego. Ele deve permitir que o tráfego legítimo flua enquanto bloqueia o tráfego de ataque DoS. [96]

Mais focado no problema do que o IPS, um sistema de defesa DoS (DDS) pode bloquear ataques DoS baseados em conexão e aqueles com conteúdo legítimo, mas com más intenções. Um DDS também pode lidar com ataques de protocolo (como lágrima e ping da morte) e ataques baseados em taxa (como inundações de ICMP e inundações de SYN). O DDS tem um sistema desenvolvido especificamente que pode facilmente identificar e obstruir ataques de negação de serviço em uma velocidade maior do que um sistema baseado em software. [97]

No caso de um ataque simples, um firewall pode ter uma regra simples adicionada para negar todo o tráfego de entrada dos invasores, com base em protocolos, portas ou endereços IP de origem.

Ataques mais complexos, no entanto, serão difíceis de bloquear com regras simples: por exemplo, se houver um ataque em andamento na porta 80 (serviço da web), não é possível descartar todo o tráfego de entrada nesta porta porque isso impedirá que o servidor servindo tráfego legítimo. [98] Além disso, os firewalls podem estar muito profundos na hierarquia da rede, com os roteadores sendo adversamente afetados antes que o tráfego chegue ao firewall. Além disso, muitas ferramentas de segurança ainda não suportam IPv6 ou podem não estar configuradas corretamente, então os firewalls podem ser contornados durante os ataques. [99]

Semelhante aos switches, os roteadores têm alguma limitação de taxa e capacidade de ACL . Eles também são definidos manualmente. A maioria dos roteadores pode ser facilmente sobrecarregada por um ataque DoS. O Cisco IOS possui recursos opcionais que podem reduzir o impacto de inundações. [100]

A maioria dos switches tem algum limite de taxa e capacidade ACL . Alguns switches fornecem limitação de taxa automática e / ou de todo o sistema , modelagem de tráfego , vinculação atrasada ( splicing TCP ), inspeção profunda de pacotes e filtragem de Bogon (filtragem de IP falsa) para detectar e corrigir ataques DoS por meio de filtragem automática de taxa e failover e balanceamento de link WAN . [29] [ citação necessária ]

Esses esquemas funcionarão desde que os ataques DoS possam ser evitados com o uso deles. Por exemplo, a inundação de SYN pode ser evitada usando vinculação retardada ou splicing TCP. DoS baseado em conteúdo similar pode ser evitado usando a inspeção profunda de pacotes. Ataques originados de endereços escuros ou indo para endereços escuros podem ser evitados usando a filtragem bogon . A filtragem automática de taxa pode funcionar, desde que os limites de taxa definidos tenham sido definidos corretamente. O failover de link WAN funcionará desde que ambos os links tenham mecanismo de prevenção DoS / DDoS. [29] [ citação necessária ]

Todo o tráfego passa por uma "central de limpeza" ou uma "central de depuração" por meio de vários métodos, como proxies, túneis, conexões cruzadas digitais ou mesmo circuitos diretos, que separam o tráfego "ruim" (DDoS e também outros ataques comuns de Internet) e apenas envia tráfego bom para o servidor. O provedor precisa de conectividade central com a Internet para gerenciar esse tipo de serviço, a menos que estejam localizados nas mesmas instalações que a "central de limpeza" ou a "central de depuração". Os ataques DDoS podem sobrecarregar qualquer tipo de firewall de hardware, e a passagem de tráfego malicioso por redes grandes e maduras torna-se cada vez mais eficaz e economicamente sustentável contra DDoS. [101]

Por exemplo, em um ataque de reflexão SSDP; uma atenuação importante é bloquear o tráfego UDP de entrada na porta 1900 no firewall. [102]

Uma negação de serviço não intencional pode ocorrer quando um sistema acaba sendo negado, não devido a um ataque deliberado por um único indivíduo ou grupo de indivíduos, mas simplesmente devido a um aumento repentino e enorme na popularidade. Isso pode acontecer quando um site extremamente popular posta um link proeminente para um segundo site menos preparado, por exemplo, como parte de uma notícia. O resultado é que uma proporção significativa dos usuários regulares do site principal - potencialmente centenas de milhares de pessoas - clica nesse link no espaço de algumas horas, tendo o mesmo efeito no site de destino que um ataque DDoS. Um VIPDoS é o mesmo, mas especificamente quando o link foi postado por uma celebridade.

Quando Michael Jackson morreu em 2009, sites como o Google e o Twitter ficaram mais lentos ou até mesmo travaram. [103] Os servidores de muitos sites pensaram que as solicitações eram de um vírus ou spyware tentando causar um ataque de negação de serviço, avisando aos usuários que suas consultas pareciam "solicitações automatizadas de um vírus de computador ou aplicativo de spyware". [104]

Sites de notícias e sites de links - sites cuja função principal é fornecer links para conteúdo interessante em outros lugares da Internet - são os mais prováveis ​​de causar esse fenômeno. O exemplo canônico é o efeito Slashdot ao receber tráfego do Slashdot . É também conhecido como "o abraço da morte no Reddit " e "o efeito Digg ".

Os roteadores também são conhecidos por criar ataques DoS não intencionais, já que os roteadores D-Link e Netgear sobrecarregaram os servidores NTP inundando os servidores NTP sem respeitar as restrições de tipos de cliente ou limitações geográficas.

Negações de serviço não intencionais semelhantes também podem ocorrer por meio de outras mídias, por exemplo, quando um URL é mencionado na televisão. Se um servidor estiver sendo indexado pelo Google ou outro mecanismo de pesquisa durante os períodos de pico de atividade, ou não tiver muita largura de banda disponível durante a indexação, ele também pode sofrer os efeitos de um ataque DoS. [29] [ falha na verificação ] [ citação necessária ]

Ações legais foram tomadas em pelo menos um desses casos. Em 2006, a Universal Tube & Rollform Equipment Corporation processou o YouTube : um grande número de possíveis usuários do YouTube.com acidentalmente digitou o URL da empresa de tubos, utube.com. Como resultado, a empresa de tubos acabou tendo que gastar grandes quantias de dinheiro para atualizar sua largura de banda. [105] A empresa parece ter tirado vantagem da situação, com utube.com agora contendo anúncios para receita de publicidade.

Em março de 2014, após o desaparecimento do voo 370 da Malaysia Airlines , a DigitalGlobe lançou um serviço de crowdsourcing no qual os usuários podiam ajudar a procurar o jato desaparecido em imagens de satélite. A resposta sobrecarregou os servidores da empresa. [106]

Uma negação de serviço não intencional também pode resultar de um evento pré-agendado criado pelo próprio site, como foi o caso do Censo na Austrália em 2016. [107] Isso pode ser causado quando um servidor fornece algum serviço em um momento específico. Este pode ser o site de uma universidade definindo as notas a serem disponibilizadas, resultando em muito mais solicitações de login naquele momento do que em qualquer outro.

Na segurança da rede de computadores, o retroespalhamento é um efeito colateral de um ataque de negação de serviço falsificado. Nesse tipo de ataque, o invasor falsifica (ou falsifica) o endereço de origem nos pacotes IP enviados à vítima. Em geral, a máquina da vítima não consegue distinguir entre os pacotes falsificados e os pacotes legítimos, portanto, a vítima responde aos pacotes falsificados como faria normalmente. Esses pacotes de resposta são conhecidos como retroespalhamento. [108]

Se o invasor estiver falsificando endereços de origem aleatoriamente, os pacotes de resposta de retroespalhamento da vítima serão enviados de volta para destinos aleatórios. Este efeito pode ser usado por telescópios de rede como evidência indireta de tais ataques.

O termo "análise de retroespalhamento" refere-se à observação de pacotes de retroespalhamento que chegam a uma parte estatisticamente significativa do espaço de endereço IP para determinar as características dos ataques DoS e das vítimas.

Muitas jurisdições têm leis segundo as quais os ataques de negação de serviço são ilegais.

• Nos Estados Unidos, os ataques de negação de serviço podem ser considerados um crime federal de acordo com a Lei de Fraude e Abuso de Computador, com penalidades que incluem anos de prisão. [110] A Seção de Crimes Informáticos e Propriedade Intelectual do Departamento de Justiça dos EUA trata de casos de DoS e DDoS. Em um exemplo, em julho de 2019, Austin Thompson, também conhecido como DerpTrolling, foi condenado a 27 meses de prisão e $ 95.000 de restituição por um tribunal federal por conduzir vários ataques DDoS em grandes empresas de videogame, interrompendo seus sistemas de horas a dias. [111] [112]
• Nos países europeus , cometer ataques criminosos de negação de serviço pode, no mínimo, levar à prisão. [113] O Reino Unido é incomum por proibir especificamente ataques de negação de serviço e definir uma pena máxima de 10 anos de prisão com a Lei de Polícia e Justiça de 2006 , que alterou a Seção 3 da Lei de Uso Indevido de Computador de 1990 . [114]
• Em janeiro de 2019, a Europol anunciou que "ações estão em andamento em todo o mundo para rastrear os usuários" do Webstresser.org, um antigo mercado de DDoS que foi encerrado em abril de 2018 como parte da Operação Power Off. [115] A Europol disse que a polícia do Reino Unido estava conduzindo uma série de "operações ao vivo" visando mais de 250 usuários do Webstresser e outros serviços DDoS. [116]

Em 7 de janeiro de 2013, o Anonymous postou uma petição no site whitehouse.gov pedindo que o DDoS fosse reconhecido como uma forma legal de protesto semelhante aos protestos do Occupy , alegando que a semelhança de propósito de ambos é a mesma. [117]

• Ataque DDoS na camada de aplicativo
• BASHLITE
• Ataque de bilhões de risos  - Ataque de negação de serviço em analisadores XML, explorando a expansão da entidade
• Botnet  - coleção de dispositivos comprometidos conectados à Internet controlados por terceiros
• Blaster (worm de computador)
• Dendroid (malware)
• Bomba  bifurcada - Ataque de negação de serviço em que um processo se replica continuamente para esgotar os recursos disponíveis do sistema, desacelerando ou travando o sistema devido à falta de recursos
• Canhão de íons de alta órbita  - ferramenta de ataque de negação de serviço (HOIC)
• DDoS hit-and-run
• Espionagem industrial  - Uso de espionagem para fins comerciais em vez de segurança
• Loop infinito  - idioma de programação
• Sistema de detecção de intrusão  - Um dispositivo ou aplicativo de software que monitora uma rede ou sistemas em busca de atividades maliciosas
• Low Orbit Ion Cannon  - Teste de estresse de rede de código aberto e aplicativo de ataque de negação de serviço (LOIC)
• Ataque de ameaça mista
• Sistema de detecção de intrusão de rede
• Ciberataque Dyn de 2016  - ciberataque de 2016 na Europa e América do Norte
• Terrorismo de papel
• Project Shield
• ReDoS
• Ataque de exaustão de recursos
• SlowDroid
• Slowloris (segurança de computador)
• UDP Unicorn
• Sit-in virtual
• Shell da web  - ameaça à segurança da web que permite acesso remoto a um servidor da web
• Radio jamming  - interferência com comunicações sem fio autorizadas
• Ataque de negação de serviço XML
• Xor DDoS  - malware Trojan Linux com recursos de rootkit
• Zemra
• Zombie (computação)  - Computador conectado à rede que foi comprometido e é usado para tarefas maliciosas sem que o proprietário saiba

1. ^ "Compreendendo ataques de negação de serviço" . US-CERT. 6 de fevereiro de 2013 . Retirado em 26 de maio de 2016 .
2. ^ Prince, Matthew (25 de abril de 2016). "Ameaças de DDoS vazias: Conheça o coletivo da Armada" . CloudFlare . Retirado em 18 de maio de 2016 .
3. ^ "Presidente da Brand.com Mike Zammuto revela tentativa de chantagem" . 5 de março de 2014. Arquivado do original em 11 de março de 2014.
4. ^ "Mike Zammuto da Brand.com discute extorsão em Meetup.com" . 5 de março de 2014. Arquivado do original em 13 de maio de 2014.
5. ^ "A filosofia do anônimo" . Radicalphilosophy.com. 17-12-2010 . Retirado 2013-09-10 .
6. ^ "Ataques distribuídos de negação de serviço - The Internet Protocol Journal - Volume 7, Número 4" . Cisco . Arquivado do original em 26/08/2019 . Recuperado em 26/08/2019 .
7. ^ Smith, Steve. “5 Botnets Famosos que mantiveram a Internet refém” . tqaweekly . Recuperado em 20 de novembro de 2014 .
8. ^ Goodin, Dan (5 de março de 2018). "O provedor de serviços dos EUA sobrevive ao maior DDoS registrado na história" . Ars Technica . Retirado em 6 de março de 2018 .
9. ^ Ranger, Steve. "GitHub foi atingido com o maior ataque DDoS já visto | ZDNet" . ZDNet . Página visitada em 14/10/2018 .
10. ^ "Amazon 'impede o maior ataque cibernético DDoS ' " . BBC News . 18 de junho de 2020 . Recuperado em 11 de novembro de 2020 .
11. ^ Pinho, Mario (29 de maio de 2020). "O relatório AWS Shield Threat Landscape agora está disponível" . Blog de segurança da AWS . Recuperado em 11 de novembro de 2020 .
12. ^ Marvin, Rob (13/06/2019). "Telegrama de ataque de DDoS chinês durante protestos em Hong Kong" . Página visitada em 07-09-2019 .
13. ^ Cavanagh, Michaela (07/09/2019). " ' Ataque malicioso ' coloca a Wikipedia offline na Alemanha" . Deutsche Welle . Página visitada em 07-09-2019 .
14. ^ a b Taghavi Zargar, Saman (novembro de 2013). "Uma pesquisa de mecanismos de defesa contra ataques de inundação de negação de serviço distribuída (DDoS)" (PDF) . PESQUISAS E TUTORIAIS DE COMUNICAÇÕES DO IEEE. pp. 2046–2069 . Página visitada em 07-03-2014 .
15. ^ Khalifeh, Soltanian, Mohammad Reza (2015-11-10). Métodos teóricos e experimentais de defesa contra ataques DDoS . Amiri, Iraj Sadegh, 1977-. Waltham, MA. ISBN 978-0128053997. OCLC  930795667 .
16. ^ "Seu site foi mordido por um zumbi?" . Cloudbric. 3 de agosto de 2015 . Retirado em 15 de setembro de 2015 .
17. ^ a b "Ataques DDoS da camada sete". Instituto Infosec .
18. ^ Raghavan, SV (2011). Uma investigação sobre a detecção e mitigação de ataques de negação de serviço (DoS) . Springer. ISBN 9788132202776.
19. ^ Goodin, Dan (28 de setembro de 2016). "DDoS recorde supostamente entregue por> 145 mil câmeras hackeadas" . Ars Technica . Arquivado do original em 2 de outubro de 2016.
20. ^ Khandelwal, Swati (26 de setembro de 2016). "O maior ataque DDoS de 1 Tbps do mundo lançado a partir de 152.000 dispositivos inteligentes hackeados" . The Hacker News. Arquivado do original em 30 de setembro de 2016.
21. ^ Kumar, Bhattacharyya, Dhruba; Kalita, Jugal Kumar (27/04/2016). Ataques DDoS: evolução, detecção, prevenção, reação e tolerância . Boca Raton, FL. ISBN 9781498729659. OCLC  948286117 .
22. ^ "Imperva, Global DDoS Threat Landscape, 2019 Report" (PDF) . Imperva.com . Imperva . Página visitada em 4 de maio de 2020 .
23. ^ Lee, Newton (2013). Contraterrorismo e cibersegurança: Conscientização total da informação . Springer. ISBN 9781461472056.
24. ^ "Gartner afirma que 25 por cento dos ataques de negação de serviços distribuídos em 2013 serão baseados em aplicativos" . Gartner . 21 de fevereiro de 2013 . Retirado em 28 de janeiro de 2014 .
25. ^ a b Ginovsky, John (27 de janeiro de 2014). "O que você deve saber sobre o agravamento dos ataques DDoS" . ABA Banking Journal . Arquivado do original em 09/02/2014.
26. ^ "Q4 2014 State of the Internet - Security Report: Numbers - The Akamai Blog" . blogs.akamai.com .
27. ^ Ali, Junade (23 de novembro de 2017). "O novo cenário de DDoS" . Cloudflare Blog .
28. ^ Higgins, Kelly Jackson (17 de outubro de 2013). "Ataque DDoS usou navegador 'sem cabeça' em cerco de 150 horas" . Dark Reading . InformationWeek. Arquivado do original em 22 de janeiro de 2014 . Retirado em 28 de janeiro de 2014 .
29. ^ a b c d e f Kiyuna e Conyers (2015). Livro de fontes da guerra cibernética . ISBN 978-1329063945.
30. ^ Ilascu, Ionut (21 de agosto de 2014). "Cerco de DDoS com 38 dias de duração chega a mais de 50 petabits no trânsito ruim" . Softpedia News . Retirado em 29 de julho de 2018 .
31. ^ Gold, Steve (21 de agosto de 2014). "Empresa de videogames atingida por ataque DDoS de 38 dias" . SC Magazine UK . Arquivado do original em 01/02/2017 . Retirado em 4 de fevereiro de 2016 .
32. ^ Krebs, Brian (15 de agosto de 2015). "Teste de estresse dos serviços do Booter, financeiramente" . Krebs sobre segurança . Recuperado 09-09-2016 .
33. ^ Mubarakali, Azath; Srinivasan, Karthik; Mukhalid, Reham; Jaganathan, Subash CB; Marina, Ninoslav (2020-01-26). "Desafios de segurança na internet das coisas: detecção distribuída de ataques de negação de serviço usando sistemas especialistas baseados em máquinas de vetores de suporte" . Inteligência computacional . 36 (4): 1580–1592. doi : 10.1111 / coin.12293 . ISSN 0824-7935 . 
34. ^ McDowell, Mindi (4 de novembro de 2009). "Dica de segurança cibernética ST04-015 - Compreendendo ataques de negação de serviço" . Equipe de Prontidão para Emergências de Computadores dos Estados Unidos . Arquivado do original em 04/11/2013 . Recuperado em 11 de dezembro de 2013 .
35. ^ a b Dittrich, David (31 de dezembro de 1999). "A ferramenta de ataque distribuído de negação de serviço" stacheldraht " . Universidade de Washington. Arquivado do original em 16/08/2000 . Página visitada em 2013-12-11 .
36. ^ "Amazon CloudWatch" . Amazon Web Services, Inc .
37. ^ Enciclopédia da tecnologia da informação . Editores e distribuidores da Atlantic. 2007. p. 397. ISBN 978-81-269-0752-6.
38. ^ Schwabach, Aaron (2006). Internet e o Direito . ABC-CLIO. p. 325. ISBN 978-1-85109-731-9.
39. ^ Lu, Xicheng; Wei Zhao (2005). Rede e computação móvel . Birkhäuser. p. 424. ISBN 978-3-540-28102-3.
40. ^ Boyle, Phillip (2000). "SANS Institute - Perguntas frequentes sobre detecção de intrusão: Ferramentas distribuídas de ataque de negação de serviço: n / a" . SANS Institute. Arquivado do original em 15/05/2008 . Página visitada em 2008-05-02 .
41. ^ Leyden, John (2004-09-23). "Empresa de cartão de crédito dos EUA luta contra ataque DDoS" . The Register . Página visitada em 2011-12-02 .
42. ^ Swati Khandelwal (23 de outubro de 2015). "Hacking CCTV Camera to Launch DDoS Attacks" . The Hacker News .
43. ^ Zeifman, Igal; Gayer, Ofer; Wilder, Or (21 de outubro de 2015). "Botnet CCTV DDoS em nosso próprio quintal" . incapsula.com .
44. ^ Glenn Greenwald (15/07/2014). "HACKING ONLINE POLLS E OUTRAS FORMAS DE ESPIÕES BRITÂNICOS PROCURAM CONTROLAR A INTERNET" . The Intercept_ . Página visitada em 2015-12-25 .
45. ^ "Quem está por trás dos ataques DDoS e como você pode proteger seu site?" . Cloudbric. 10 de setembro de 2015 . Retirado em 15 de setembro de 2015 .
46. ^ Solon, Olivia (9 de setembro de 2015). "Ciber extorcionistas visando o setor financeiro estão exigindo resgates de bitcoin" . Bloomberg . Retirado em 15 de setembro de 2015 .
47. ^ Greenberg, Adam (14 de setembro de 2015). "Akamai alerta sobre aumento da atividade do grupo de extorsão DDoS" . SC Magazine . Retirado em 15 de setembro de 2015 .
48. ^ "Plano OWASP - Strawman - Layer_7_DDOS.pdf" (PDF) . Abra o projeto de segurança de aplicativos da Web . 18 de março de 2014 . Retirado em 18 de março de 2014 .
49. ^ "Ferramenta de postagem de HTTP OWASP" . Arquivado do original em 21/12/2010.
50. ^ "O que é um ataque CC?" . HUAWEI CLOUD-Grow With Intelligence . Arquivado do original em 05/03/2019 . Página visitada em 05/03/2019 .
51. ^ 刘鹏; 郭 洋. "Método, dispositivo e sistema de defesa de ataque CC (desafio collapsar)" . Patentes do Google . Arquivado do original em 05/03/2019 . Página visitada em 05/03/2018 .
52. ^ 曾宪 力; 史 伟; 关 志 来; 彭国柱. "Dispositivo e método de proteção contra ataques CC (Challenge Collapsar)" . Patentes do Google . Arquivado do original em 05/03/2019 . Página visitada em 05/03/2018 .
53. ^ "史上 最 臭名昭著 的 黑客 工具 CC 的 前世 今生" . NetEase (em chinês). 驱动 中国 网 (北京). 24/07/2014. Arquivado do original em 05/03/2019 . Página visitada em 05/03/2019 .
54. ^ "Tipos de ataques DDoS" . Recursos distribuídos de ataques de negação de serviço (DDoS), Pervasive Technology Labs na Indiana University . Laboratório de gerenciamento avançado de rede (ANML). 3 de dezembro de 2009. Arquivado do original em 14/09/2010 . Recuperado em 11 de dezembro de 2013 .
55. ^ a b "O que é um Nuke? | Radware - DDoSPedia" . security.radware.com . Recuperado em 16/09/2019 .
56. ^ Paul Sop (maio de 2007). "Alerta de ataque de negação de serviço distribuído da Prolexic" . Prolexic Technologies Inc . Prolexic Technologies Inc. Arquivado do original em 03/08/2007 . Página visitada em 2007-08-22 .
57. ^ Robert Lemos (maio de 2007). "Redes ponto a ponto cooptadas para ataques DOS" . SecurityFocus . Página visitada em 2007-08-22 .
58. ^ Fredrik Ullner (maio de 2007). "Negando ataques distribuídos" . DC ++: Apenas esses caras, você sabe? . Página visitada em 2007-08-22 .
59. ^ Leyden, John (2008-05-21). "Ataque Phlashing destrói os sistemas embarcados" . The Register . Página visitada em 2009-03-07 .
60. ^ Jackson Higgins, Kelly (19 de maio de 2008). "Hardware de sabotagem de ataque de negação de serviço permanente" . Dark Reading. Arquivado do original em 8 de dezembro de 2008.
61. ^ " " BrickerBot "resulta em DOP Ataque" . Radware . Radware. 4 de maio de 2017 . Recuperado em 22 de janeiro de 2019 .
62. ^ "Conferência de segurança aplicada EUSecWest: Londres, Reino Unido" EUSecWest. 2008. Arquivado do original em 01/02/2009.
63. ^ Rossow, Christian (fevereiro de 2014). "Amplification Hell: Revisiting Network Protocols for DDoS Abuse" (PDF) . Sociedade da Internet. Arquivado do original (PDF) em 4 de março de 2016 . Retirado em 4 de fevereiro de 2016 .
64. ^ Paxson, Vern (2001). "Uma análise do uso de refletores para ataques de negação de serviço distribuídos" . ICIR.org.
65. ^ "Alerta (TA14-017A) Ataques de amplificação baseados em UDP" . US-CERT. 8 de julho de 2014 . Página visitada em 08/07/2014 .
66. ^ "Notas de versão do Memcached 1.5.6" . 27/02/2018 . Retirado em 3 de março de 2018 .
67. ^ "DRDoS / Ataque de amplificação usando o comando ntpdc monlist" . support.ntp.org. 24-04-2010 . Página visitada em 2014-04-13 .
68. ^ van Rijswijk-Deij, Roland (2014). "DNSSEC e seu potencial para ataques DDoS". DNSSEC e seu potencial para ataques DDoS - um estudo de medição abrangente . ACM Press. pp. 449-460. doi : 10.1145 / 2663716.2663731 . ISBN 9781450332132.
69. ^ Adamsky, Florian (2015). "Compartilhamento de arquivos P2P no inferno: explorando vulnerabilidades de BitTorrent para lançar ataques DoS reflexivos distribuídos" .
70. ^ Vaughn, Randal; Evron, Gadi (2006). "Ataques de amplificação de DNS" (PDF) . ISOTF. Arquivado do original (PDF) em 14/12/2010.
71. ^ "Alerta (TA13-088A) Ataques de amplificação de DNS" . US-CERT. 8 de julho de 2013 . Retirado 2013-07-17 .
72. ^ a b Kolias, Constantinos; Kambourakis, Georgios; Stavrou, Angelos; Voas, Jeffrey (2017). "DDoS na IoT: Mirai e outros botnets". Computador . 50 (7): 80–84. doi : 10.1109 / MC.2017.201 .
73. ^ Kuzmanovic, Aleksandar; Knightly, Edward W. (25/08/2003). Ataques de negação de serviço direcionados a TCP de baixa taxa: a megera contra os ratos e elefantes . ACM. pp. 75–86. CiteSeerX 10.1.1.307.4107 . doi : 10.1145 / 863955.863966 . ISBN  978-1581137354.
74. ^ "SACK Panic e outros problemas de negação de serviço do TCP" . Ubuntu Wiki . 17 de junho de 2019. Arquivado do original em 19 de junho de 2019 . Página visitada em 21 de junho de 2019 .
75. ^ "CVE-2019-11479" . CVE . Arquivado do original em 21 de junho de 2019 . Página visitada em 21 de junho de 2019 .
76. ^ Yu Chen; Kai Hwang; Yu-Kwong Kwok (2005). "Filtragem de ataques DDoS de megera no domínio da frequência". 30º Aniversário da Conferência IEEE sobre Redes de Computadores Locais (LCN'05) l . pp. 8 pp. doi : 10.1109 / LCN.2005.70 . ISBN 978-0-7695-2421-4.
77. ^ a b Ben-Porat, U .; Bremler-Barr, A .; Levy, H. (01/05/2013). "Vulnerabilidade dos mecanismos de rede a ataques DDoS sofisticados". Transações IEEE em computadores . 62 (5): 1031–1043. doi : 10.1109 / TC.2012.49 . ISSN 0018-9340 . 
78. ^ orbitalsatelite. "Teste HTTP lento" . SourceForge .
79. ^ "Ataques de inundação de TCP SYN e atenuações comuns" . Tools.ietf.org . Agosto de 2007. RFC 4987 . Página visitada em 2011-12-02 . 
80. ^ "CERT Advisory CA-1997-28 IP Denial-of-Service Attacks" . CERT. 1998 . Recuperado em 18 de julho de 2014 .
81. ^ "Windows 7, Vista exposto a 'ataque de lágrima ' " . ZDNet . 8 de setembro de 2009 . Página visitada em 2013-12-11 .
82. ^ "Comunicado de Segurança da Microsoft (975497): Vulnerabilidades no SMB podem permitir a execução remota de código" . Microsoft.com. 8 de setembro de 2009 . Página visitada em 2011-12-02 .
83. ^ "FBI - Chamadas telefônicas falsas distraem os consumidores do roubo genuíno" . FBI.gov. 11/05/2010 . Retirado 2013-09-10 .
84. ^ "Internet Crime Complaint Center's (IC3) Scam Alerts, 7 de janeiro de 2013" . IC3.gov . 07/01/2013 . Retirado 2013-09-10 .
85. ^ "Identificação e mitigação de ataque de expiração TTL" . Cisco Systems . Página visitada em 24/05/2019 .
86. ^ "Novo método de ataque DDoS alavanca UPnP" . Dark Reading . Página visitada em 29/05/2018 .
87. ^ "Novo método de ataque DDoS exige uma nova abordagem para mitigação de ataques de amplificação - Blog | Imperva" . Blog | Imperva . 14/05/2018 . Página visitada em 29/05/2018 .
88. ^ Guia para ataques DDoS, página 8
89. ^ "Ataques de amplificação baseados em UDP" .
90. ^ SSDP gera 100 Gbps DDoS
91. ^ "O protocolo DDoS estupidamente simples (SSDP) gera DDoS de 100 Gbps" . O Blog Cloudflare . 28/06/2017 . Página visitada em 2013-10-13 .
92. ^ Loukas, G .; Oke, G. (setembro de 2010) [agosto de 2009]. "Proteção contra ataques de negação de serviço: uma pesquisa" (PDF) . Comput. J. 53 (7): 1020–1037. doi : 10.1093 / comjnl / bxp078 . Arquivado do original (PDF) em 24/03/2012 . Retirado 2015-12-02 .
93. ^ Alqahtani, S .; Gamble, RF (1 de janeiro de 2015). Ataques DDoS em nuvens de serviço . 2015 48ª Conferência Internacional do Havaí sobre Ciências do Sistema (HICSS) . pp. 5331–5340. doi : 10.1109 / HICSS.2015.627 . ISBN 978-1-4799-7367-5.
94. ^ Kousiouris, George (2014). "PRINCIPAIS INDICADORES DE CONCLUSÃO: minimizando o efeito de ataques DoS em aplicativos elásticos baseados em nuvem com base em pontos de verificação de cadeia de markov em nível de aplicativo". Conferência CLOSER . doi : 10.5220 / 0004963006220628 .
95. ^ Patrikakis, C .; Masikos, M .; Zouraraki, O. (dezembro de 2004). "Ataques distribuídos de negação de serviço" . The Internet Protocol Journal . 7 (4): 13–35.
96. ^ Abante, Carl (2 de março de 2013). "Relacionamento entre Firewalls e Proteção contra DDoS" . Sabedoria do comércio eletrônico . Página visitada em 2013-05-24 .[ duvidoso - discutir ]
97. ^ Popeskic, Valter. "Como prevenir ou parar ataques DoS?" .
98. ^ Froutan, Paul (24 de junho de 2004). "Como se defender contra ataques DDoS" . Computerworld . Recuperado em 15 de maio de 2010 .
99. ^ "Os ciber preocupações vulnerabilidade de segurança disparar" . ComputerWeekly.com . Página visitada em 13/08/2018 .
100. ^ Suzen, Mehmet. "Algumas dicas de IoS para serviços de Internet (provedores)" (PDF) . Arquivado do original (PDF) em 10/09/2008.
101. ^ "Mitigação de DDoS por meio de centros de limpeza regionais (janeiro de 2004)" (PDF) . SprintLabs.com . Sprint ATL Research. Arquivado do original (PDF) em 21/09/2008 . Página visitada em 2011-12-02 .
102. ^ Ataque SSDP DDoS
103. ^ Shiels, Maggie (2009-06-26). "Web fica mais lento após a morte de Jackson" . BBC News .
104. ^ "Lamentamos. Erro de consulta automatizada" . Fóruns de produto do Google ›Fórum de pesquisa do Google . 20 de outubro de 2009 . Página visitada em 11/02/2012 .
105. ^ "YouTube processado por site semelhante" . BBC News . 02-11-2006.
106. ^ Bill Chappell (12 de março de 2014). "Pessoas sobrecarregam o site, na esperança de ajudar na busca por um jato perdido" . NPR . Retirado em 4 de fevereiro de 2016 .
107. ^ Palmer, Daniel (19 de agosto de 2016). "Os especialistas lançam dúvidas sobre as alegações de DDoS do Censo" . Delimitador . Página visitada em 31 de janeiro de 2018 .
108. ^ "Backscatter Analysis (2001)" . Animações (vídeo). Associação Cooperativa para Análise de Dados da Internet . Recuperado em 11 de dezembro de 2013 .
109. ^ "FBI apreende 15 sites de DDoS para aluguel" . Kotaku . 6 de janeiro de 2019.
110. ^ "Código dos Estados Unidos: Título 18,1030. Fraude e atividade relacionada em conexão com computadores | Escritório de Impressão do Governo" . gpo.gov. 25/10/2002 . Recuperado em 15/01/2014 .
111. ^ "Homem de Utah condenado por crime de invasão de computador" . 02/07/2019. Arquivado do original em 10/07/2019.
112. ^ Smolaks, Max (04/07/2019). "Get rekt: Two years in clink for game DDoS pirralho DerpTrolling" . The Register . Página visitada em 27/09/2019 .Austin Thompson, também conhecido como DerpTrolling, que ganhou destaque em 2013 ao lançar ataques de negação de serviço distribuído (DDoS) contra grandes empresas de videogame, foi condenado a 27 meses de prisão por um tribunal federal. Thompson, um residente de Utah, também terá que pagar US $ 95.000 para a Daybreak Games, que era propriedade da Sony quando sofreu nas mãos da DerpTrolling. Entre dezembro de 2013 e janeiro de 2014, Thompson também derrubou o Steam da Valve - a maior plataforma de distribuição digital para jogos de PC - bem como o serviço Origin da Electronic Arts e BattleNet da Blizzard. A interrupção durou de horas a dias.
113. ^ "Ação internacional contra o grupo cibercriminoso de DD4BC" . EUROPOL . 12 de janeiro de 2016.
114. ^ "Computer Misuse Act 1990" . Legislação.gov.uk - Arquivos Nacionais do Reino Unido . 10 de janeiro de 2008.
115. ^ "Redação" . Europol . Página visitada em 29 de janeiro de 2019 .
116. ^ "Autoridades em todo o mundo perseguindo usuários do maior site de DDoS de aluguel" . Europol . Página visitada em 29 de janeiro de 2019 .
117. ^ "Petição DDoS anônima: Chamadas de grupo na casa branca para reconhecer a negação de serviço distribuída como o protesto" . HuffingtonPost.com. 12/01/2013.

• Ethan Zuckerman; Hal Roberts; Ryan McGrady; Jillian York; John Palfrey (dezembro de 2011). "Ataques distribuídos de negação de serviço contra mídia independente e sites de direitos humanos" (PDF) . O Centro Berkman para Internet e Sociedade da Universidade de Harvard. Arquivado do original (PDF) em 26/02/2011 . Página visitada em 2011-03-02 .
• "Relatórios de mídia pública DDOS" . Harvard. Arquivado do original em 25/12/2010.
• PC World - Ataques DDoS na camada de aplicativo estão se tornando cada vez mais sofisticados

•  Considerações sobre negação de serviço da Internet RFC 4732
• Relatório sobre o estado da segurança da Internet da Akamai - Estatísticas trimestrais de segurança e tendências da Internet
• W3C As Perguntas Frequentes sobre Segurança na World Wide Web
• cert.org Guia do CERT para ataques DoS. (documento histórico)
• ATLAS Summary Report - Relatório global em tempo real de ataques DDoS.
• Canhão de íons de baixa órbita - a conhecida ferramenta de teste de tensão de rede
• Canhão de íons de alta órbita - um inundador HTTP simples
• LOIC SLOW, uma tentativa de trazer ferramentas SlowLoris e Slow Network para o LOIC

Quais ações podem ser usadas para determinar se um host foi comprometido e está inundando o tráfego para a rede?

Que técnica de segurança pode fornecer acesso seguro a um servidor localizado em um pequeno escritório?

Qual dos itens abaixo é um exemplo de engenharia social?