Refuzul de serviciu

Schema DDoS

Refuzul de serviciu (în italiană literal refuzul de serviciu prescurtat în DoS ), în domeniul securității IT , indică o defecțiune datorată unui atac computerizat în care resursele unui sistem informatic care furnizează un serviciu clienților sunt epuizate în mod deliberat, de exemplu un site web pe un server web , până când acesta nu mai este în măsură să furnizeze serviciul clienților care solicită. ^[1] ^[2]

Într-un refuz de serviciu distribuit (Refuz de serviciu distribuit), traficul de date primite care inundă victima provine din mai multe surse diferite. Exemplul analogic este acela al unui grup de oameni care se înghesuie pe ușa din față sau poarta unui magazin sau a unei companii și care nu permite părților legitime să intre în magazin sau în afaceri, perturbând operațiunile normale. Acest lucru face imposibilă oprirea atacului prin simpla blocare a unei singure surse.

În plus față de sensul primordial al refuzului de serviciu ca acțiune deliberată, poate fi denumită acțiune accidentală, de exemplu în urma unei configurații incorecte, ^[3] ^[4] sau ca în cazul efectului Slashdot . ^[5]

Istorie

Unele mărturii arată că prima demonstrație de atac DoS a fost făcută de Khan C. Smith în 1997 în timpul unui eveniment DEF CON care a întrerupt accesul la internet la Las Vegas Strip pentru mai mult de o oră. Eliberarea eșantionului de cod la eveniment a dus la atacul online de către Sprint , EarthLink , E-Trade și alte companii mari în anul următor. ^[6]

Descriere

Atacurile sunt de obicei efectuate prin trimiterea multor pachete de cereri, de obicei către un server web , FTP sau de e-mail, saturându-i resursele și făcând acest sistem „instabil” și indisponibil pentru ceilalți utilizatori. Orice sistem conectat la Internet și care furnizează servicii de rețea bazate pe TCP este, prin urmare, supus riscului de atacuri DoS. Inițial acest tip de atac a fost efectuat de „ crackers ”, ca gest de disidență etică împotriva site-urilor și instituțiilor comerciale.

Atacurile DoS au conotația mult mai „criminală” de a împiedica utilizatorii rețelei să acceseze site-urile web care sunt victime ale atacului. Pentru a face atacul mai eficient, sunt utilizate multe computere necunoscute, numite zombi , pe care a fost inoculat anterior un program creat special pentru atacuri DoS și care este activat de o comandă venită de la crackerul creator. Dacă programul rău intenționat s-a răspândit pe multe computere, se poate întâmpla ca mii de PC-uri piratate de un cracker sau de o botnet , în mod inconștient și în același moment, să producă un flux de date irepresionabil care va copleși chiar și cele mai capabile legături ale site-ului țintă ca o avalanșă.

Nu numai sistemele de servere pot fi victime ale unui atac DoS, ci și utilizatorii și clienții simpli, deși aceste atacuri sunt mult mai puțin frecvente și nu prezintă niciun interes pentru așa-numitele crackere .

Probabilitatea tot mai scăzută de a întâlni sisteme cu adevărat vulnerabile a însemnat că cele mai izbitoare atacuri DoS au scăzut, cu toate acestea, a fost descoperită o vulnerabilitate extremă a rețelei datorită creșterii constante a puterii operaționale a computerelor personale actuale și a accesului la Internet prin sistemele DNS. . Implementarea protocolului TCP / IP , care nu garantează o securitate specială la identificarea expeditorilor de pachete, ci mai degrabă protejează anonimatul acestora, poate fi exploatată pentru a-și masca adevărata origine.

Deoarece acestea sunt conexiuni aparent legitime, este imposibil să le blochezi fără a întrerupe și fluxul cu adevărat inofensiv. Cu toate acestea, prin limitarea drastică a numărului de sesiuni deschise simultan, impactul atacului este redus considerabil fără a limita fluxul de pachete obișnuite. Chiar și limitând vorbirea la blocarea unui site web există și au fost utilizate mai multe modalități de a obține acest rezultat.

Atacurile DoS pot fi de obicei exploatate pentru a solicita o răscumpărare, ca preludiu la un alt atac (poate blocând un serviciu de apărare sau chiar serviciul în sine pentru al înlocui cu unul fals), ca vandalism sau ca formă de protest ( hacktivism ).

Taxonomia atacului

Scopul acestui atac este de a satura coada restante cu cereri pentru a activa un serviciu (TCP SYN setat) după expirarea a timeout - urile relative și nu permit victimei să completeze 3 căi strângere de mână ; în acest fel nu va putea gestiona SYN-urile legale cărora li se va refuza serviciul.

Simptome

Echipa de pregătire pentru situații de urgență a computerelor din Statele Unite ( US-CERT ) a identificat următoarele simptome ale unui atac de respingere a serviciului: ^[7]

performanță neobișnuit de lentă a rețelei (deschiderea fișierelor sau accesarea site-urilor web);
indisponibilitatea unui anumit site web;
incapacitatea de a accesa orice site web;
creșterea dramatică a numărului de e-mailuri spam primite (acest tip de atac DoS se numește „ bombă de e-mail ”).

Simptomele suplimentare pot include:

deconectarea unei conexiuni la internet fără fir sau prin cablu;
refuzul pe termen lung de acces la web sau la orice serviciu de internet.

Dacă atacul se desfășoară la o scară suficient de mare, întreaga regiune geografică conectată la Internet poate fi compromisă fără știrea sau intenția atacatorului de echipamente de infrastructură de rețea configurate necorespunzător sau incoerente.

Tipuri de atac

Atac direct: atacatorul interacționează direct cu victima. În acest caz, atacatorul se spune că este real, iar victima se spune că este de primul nivel .
Atac indirect: atacatorul folosește terțe părți pentru a viza victima. În acest caz, atacatorul se spune că este un reflex , se spune că părțile terțe sunt victime de nivelul doi, iar victima finală este victimă de primul nivel .

Atacuri efectuate de o singură gazdă

Aceste tipuri de atacuri, provenind dintr-o singură sursă, sunt potențial trasabile.

Syn-Flood

Din punct de vedere istoric, Syn-Flooding reprezintă progenitorul atacurilor DoS, care își are rădăcinile directe în Ping of Death . Termenul Syn Flooding , tradus literal prin „inundarea pachetelor de tip Syn”, rezultă din faptul că de fiecare dată când un utilizator face clic pe un link hipertext pe o pagină web, el solicită deschiderea unei conexiuni (de tip TCP ) la acel site; acest lucru se întâmplă urmând o serie de pași, dintre care primul constă în trimiterea unui pachet TCP care necesită deschiderea unei conexiuni.

Toate regulile de funcționare ale protocolului TCP necesită ca sistemul să răspundă prin alocarea unor resurse (în memoria practică) pentru conexiune. Programând în mod corespunzător un PC simplu, este posibil să solicitați deschiderea a câteva mii de conexiuni pe secundă, care „inundă” serverul și îi consumă rapid toată memoria, blocându-l sau blocându- l .

Punctul slab al acestui tip de atac este că computerul care atacă trebuie să poată trimite fluxul de pachete prin conexiunea la Internet către serverul atacat.

În caz contrar, utilizatorul rău intenționat trebuie să poată furniza „acreditări” de acces valide pentru a profita de vulnerabilitatea care apare în sistemul de operare și pentru a efectua efectiv atacul pe site-ul țintă.

Pachetele rău intenționate pregătite cu o adresă IP falsificată (adică modificată față de cea originală), vor oferi computerului „vulnerabil” o situație temporară de refuz de serviciu ; totuși, întrucât conexiunile disponibile în mod normal sunt lente pentru toată lumea (atât pentru subiecții bine intenționați, cât și pentru subiecții rău intenționați), acest tip de atac devine impracticabil, în sensul că nu dă rezultatul scontat (adică congestionarea serverului)

Un exemplu ar putea fi următorul: atacatorul trimite o serie de cereri victimei sale și serverul , pe care rulează serviciile, nu va putea gestiona toate cererile și serviciile în sine se vor prăbuși, rezultând mai întâi foarte lent și apoi , ulterior, inaccesibil. În acest fel, orice utilizator nu va putea accesa serviciile, primind o solicitare expirată sau eroare de expirare .

Atacul Syn-Flood folosește instrumente care se încadrează în categoria Tribe Flood Network (TFN) și funcționează prin crearea de conexiuni care se dovedesc a fi pe jumătate deschise.

Protocolul clasic utilizat în DoS este ICMP (folosit mai presus de toate în atacurile Ping): prin trimiterea a milioane dintre acestea veți putea bloca funcționarea oricărui site de internet, dar fiind un model de atac „unu la unu”, la un pachet în ieșirea va corespunde primirii unui singur pachet cu sistemul atacat.

Prin urmare, va fi necesar ca crackerele să aibă un număr mare de PC-uri client „controlate”, chiar dacă nu este atât de ușor să „inoculăm” codul rău intenționat într-un număr atât de mare de mașini, datorită acțiunii specifice a antivirusului , patch-uri de securitate și tehnicieni IT.

Smurf

O metodă de atac mai sofisticată, numită atac Smurf , folosește un flux modest de pachete, capabile să treacă printr-o conexiune normală de modem și o rețea externă (evident prost configurată) care acționează ca un multiplicator de pachete, care ajung în cele din urmă la final țintă de-a lungul liniilor de comunicație de mare viteză.

Din punct de vedere tehnic, unul sau mai multe pachete de difuzare sunt trimise către o rețea externă formată din cât mai multe gazde posibil și cu adresa expeditorului îndreptată către țintă ( furtuna de difuzare ).

De exemplu, poate fi utilizată o cerere de ecouICMP ( Internet Control Message Protocol ), falsificată anterior de persoana care efectuează fizic atacul cibernetic.

Rețineți că acest tip de atac este posibil numai în prezența rețelelor care au erori brute de configurare a sistemului (în special în configurația routerelor ) care le conectează între ele și la Internet.

RU-Dead-Cu toate acestea? (RUDY)

Atacul RUDY ^[8] își propune să vizeze aplicațiile web, ducând la inactivitatea sesiunilor puse la dispoziție de server. La fel ca Slowloris , RUDY păstrează sesiunile întrerupte prin utilizarea POST-urilor nesfârșite și trimiterea anteturilor cu conținut arbitrar de mari dimensiuni.

DDoS în scopuri de extorcare

În 2015, botnet-urile DDoS precum DD4BC au crescut pentru a deveni din ce în ce mai proeminente, vizând instituțiile financiare. ^[9] Extorsioniștii cibernetici încep de obicei cu un atac de nivel scăzut și cu un avertisment că un atac mai mare va fi efectuat dacă nu este plătită o răscumpărare în Bitcoin . ^[10] Experții în securitate recomandă să nu plătească niciodată răscumpărarea, deoarece atacatorii tind să intre într-un regim extors de extorsiune odată ce recunosc că ținta este gata să plătească. ^[11]

Atacuri de la mai multe gazde

În aceste atacuri, ținta este atacată simultan din mai multe surse, ceea ce face dificilă depistarea atacatorului original.

DDoS

O variantă a acestei abordări este DDoS ( Distributed Denial of Service ), cu funcționare identică, dar realizată folosind numeroase mașini de atac care constituie împreună o botnet .

Desigur, atacatorii tind să nu se expună direct, în acest caz ar fi ușor pentru poliție să urmărească computerele utilizate pentru atac. Pentru a nu fi detectați, atacatorii preinfectează un număr mare de computere cu viruși sau viermi care lasă ușile deschise rezervate pentru ei, de asemenea, pentru a avea un număr suficient de computere disponibile pentru atac. Computerele care sunt controlate de atacator sunt numite zombi .

Toate computerele infectate devin parte a unei rețele bot , disponibile gratuit pentru atacator. O notă interesantă este dată de distincția dintre mașinile care rulează un sistem de operare Windows (definit, în jargon, rxbot ) și cele care în schimb rulează un sistem Unix, potrivit în special pentru UDP Flooding (Flooding pe protocolul UDP).

O particularitate a zombilor Windows este dată de posibilitatea, pentru atacator, de a programa un troian - cit. Cal troian - capabil să se răspândească automat la o serie întreagă de contacte prezente pe computerul infectat (conținute în agenda de adrese și în cele ale programelor de mesagerie instantanee precum Microsoft Messenger ) permițând astfel computerului zombie să infecteze, într-un mod complet autonom, alte mașini care, la rândul lor, vor deveni parte a botnetului atacatorului. Aceasta se numește, în jargon, funcția de răspândire automată.

Atunci când numărul de zombi este considerat adecvat sau când apare o anumită afecțiune, computerele infectate activează și inundă serverul țintă cu cereri de conectare. Odată cu apariția benzii largi, fenomenul DDoS își asumă proporții îngrijorătoare, având în vedere că în prezent există milioane de oameni cu o conexiune la internet foarte rapidă și permanentă, dar cu puține sau deloc cunoștințe și contramăsuri în ceea ce privește securitatea computerului .

Cea mai mare pagubă a atacului DDoS se datorează în principal „asimetriei” care se creează între „cererea” și răspunsurilor aferente într-o sesiune DNS ( Domain Name System ). Fluxul enorm de răspunsuri generate va provoca o astfel de „inundație” de trafic în sistem, făcând serverul inadecvat să gestioneze funcțiile obișnuite on-line.

Prin redirecționarea către site-ul vizat a unui răspuns de câțiva kilobiți pentru fiecare solicitare care conține doar câțiva octeți , se obține o amplificare exponențială astfel încât să se satureze cele mai mari canale de date, atingând niveluri cu DDoS care anterior nu erau atinse cu alte tipuri de atac DoS.

Configurațiile firewall predefinite și „recomandate” sunt utile numai pentru a contracara „atacurile” lansate din exterior, de exemplu de către o companie, dar din moment ce traficul de rețea gestionat prin sistemul DNS este vital, pentru a face față acestui tip de atac nu să poată implementa aceleași strategii folosite pentru atacurile asupra Ping . În consecință, managerul de rețea va trebui să controleze și să monitorizeze cu strictețe canalele fluxului de date și, pentru a exclude intervenția sau a contracara acțiunea unui cracker, va reconfigura DNS-ul responsabil pentru site.

DRDoS

O anumită categorie de DDoS este așa-numitul Refuzat Refuzat de Serviciu Distribuit ( DRDoS ). În acest tip special de atac, computerul atacant produce solicitări de conectare la servere cu conexiuni de rețea foarte rapide folosind nu propria adresă de origine, ci cea a țintei atacului. În acest fel, serverele vor răspunde afirmativ la solicitarea de conectare nu la atacator, ci la ținta atacului. Datorită efectului multiplicator dat de retransmiterile serverelor contactate, care în fața lipsei de răspuns de la ținta atacului (aparent inițiatorul conexiunii) va retransmite (de obicei de până la 3 ori) pachetul imaginându-l pierdut, va intra astfel într-un cerc vicios care va vedea resursele țintei epuizate rapid.

Acest ultim tip de atac este deosebit de ascuns deoarece, datorită naturii răspunsurilor, este dificil să se protejeze de utilizatorul comun: de fapt, dacă răspunsurile serverului ar fi filtrate, însăși funcționalitatea conexiunii la rețea ar fi compromisă, efectiv. împiedicând și primirea informațiilor dorite. Răspunsurile serverelor, solicitate de atacator, nu pot fi distinse de cele generate de o cerere legitimă a victimei. Problema a apărut cu o incidență mai mare de când Microsoft a luat decizia de a face „Raw Sockets”, interfețe pentru accesarea TCP / IP , ușor disponibile. Soclurile RAW vă permit să modificați adresa sursă a pachetului pentru a o înlocui cu cea a victimei, care este esențială pentru acest tip de atac.

Atac ACK

Unul dintre cele mai clasice atacuri reflectate este atacul ACK. În acest caz atacatorul generează un pachet TCP SYN către reflector (în acest caz un server TCP, de ex. Un server web). Acesta din urmă răspunde cu un pachet SYN / ACK, pentru a stabili conexiunea conform protocolului. Victima va fi apoi inundată cu pachete TCP în afara secvenței de pe un server web „curat”.

Acest atac este deosebit de insidios deoarece nu există nicio modalitate de a distinge SYN-urile falsificate de SYN-urile reale și, prin urmare, nu există nicio modalitate prin care reflectorul să se protejeze. În schimb, victima se poate proteja cu un paravan de protecție care este stat , adică este capabil să arunce pachetele TCP în afara secvenței.

Solutii posibile

Soluții care respectă standardul:

Măriți dinamic coada de întârziere ;
Reduceți TTL pentru solicitările în așteptare ( Conexiune pe jumătate deschisă ).

Soluții care nu îndeplinesc standardul:

Eliminați aleatoriu TCP SYN;
Introduceți cererile numai după finalizarea strângerii de mână cu 3 căi (după primirea ACK finală).

Alte dispozitive de protecție împotriva atacurilor DoS și DDoS

Filtrarea datelor primite

Implementați filtrele care prezidă introducerea, în routerele și firewall-urile sale , a pachetelor care conțin informații despre originea datelor modificate (adică falsificate ); atacul DoS nu va fi oprit, dar va fi posibilă reconstituirea fluxului de trafic calificat drept „rău intenționat” într-un timp relativ scurt, pentru a permite reacția defensivă a furnizorilor de servicii de internet (anti spoofing ).

Paravan de protecție

În cazul unui atac simplu, un firewall ar putea avea o regulă simplă adăugată pentru a refuza tot traficul de la atacatori, bazat pe protocoale sursă, porturi sau adrese IP.

Cu toate acestea, este dificil să blochezi atacuri mai complexe cu reguli simple: de exemplu, dacă un atac este în desfășurare pe portul 80 (serviciu web), nu este posibil să se elimine tot traficul de pe acest port, deoarece acest lucru va împiedica server de la servire. de trafic legitim ^[12] . În plus, firewall-urile pot fi prea adânci în ierarhia rețelei, routerele fiind afectate negativ înainte ca traficul să ajungă la firewall.

Intrerupator

Majoritatea comutatoarelor au capacitate de limitare a vitezei și ACL. Unele comutatoare oferă limitarea automată a ratei și / sau a sistemului, conturarea traficului , legarea întârziată ( splicing TCP ), inspecția profundă a pachetelor și filtrarea Bogon (filtrare IP falsă) pentru a detecta și corecta atacurile DoS. ^[13]

Aceste scheme vor funcționa atâta timp cât atacurile DoS pot fi prevenite prin utilizarea lor. De exemplu, SYN Flood poate fi prevenit utilizând legarea întârziată sau îmbinarea TCP . Filtrul automat de viteză poate funcționa atâta timp cât pragurile de viteză au fost setate corect.

Router

Similar cu switch-urile, routerele au unele capacități de limitare a ratei și ACL. De asemenea, sunt setate manual. Majoritatea routerelor pot fi ușor copleșite de un atac DoS. Cisco IOS are caracteristici opționale care pot reduce impactul inundațiilor. ^[14]

Restricția traficului

Multe routere vă permit în prezent să limitați cantitatea de lățime de bandă utilizată pentru furnizarea unui serviciu prin „eșantionare” și analizarea pachetelor care trec prin el. În cazul unui atac, nu va rămâne activă o lățime de bandă suficientă pentru a provoca daune substanțiale sau pentru a bloca fluxul legitim de date . Această limitare va fi obținută, de exemplu, cu utilizarea unei mașini Linux care acționează ca un Gateway printr-o acțiune CAR ( Rată de acces angajată ); un atac DDoS care utilizeazăpachetele ICMP sau TCP, SYN va fi astfel blocat, deoarece lățimea de bandă utilizabilă pe care o pot folosi va fi considerabil limitată.

Sisteme de recunoaștere a intruziunilor (IDS)

Acestea sunt sisteme comerciale capabile să detecteze Trinoo și TFN. De exemplu, FBI oferă, gratuit, un produs numit Găsiți DDoS capabil să descopere sistemele de fișiere văzute mai sus, rezultatul atacului Denial of Service distribuit. Prin aceste sisteme de verificare ( Intrusion Detection System ) sunt identificați persoanele rău intenționate care comunică prin sclavi , agenți și stăpâni , descoperind dacă unele dintre mașinile din rețeaua lor sunt folosite, rău intenționat, ca pioni pentru a lansa atacul. În special, instrumentele de audit de rețea sunt programe care permit verificarea și analiza rețelei corporative în căutarea oricăror agenți capabili să provoace un atac DDoS.

Sisteme de prevenire a intruziunilor (IPS)

Sistemele de prevenire a intruziunilor ( IPS ) sunt eficiente dacă „semnăturile” sunt asociate cu atacurile.

Un IPS bazat pe ASIC poate detecta și bloca atacurile de refuz de serviciu, deoarece are puterea de procesare și granularitatea de a analiza atacurile și de a acționa ca un comutator automat.

Un IPS bazat pe tarif (RBIPS) trebuie să analizeze traficul într-un mod granular, să monitorizeze continuu tiparul de trafic și să stabilească dacă există o anomalie a traficului. Trebuie să permită traficului legitim să circule în timp ce blochează traficul de atac DoS. ^[15]

Exemple de atacuri DoS

Notă

^ Rao , p. 13 .
^ (EN) Centru de protecție împotriva malware-ului - Glosar , microsoft.com. Accesat la 2 martie 2013 (arhivat din original la 5 martie 2013) .
^ (EN) Refuzarea serviciului , pe f5.com. Adus pe 2 martie 2013 .
^ (EN) Todd Lammle, Wade Edwards, Tom Lancaster, Justin Menga, Eric Quinn, Jason Rohm, Carl Timm, Bryant Tow, CCSP Complete Study Guide , John Wiley & Sons, 2006, p. 14, ISBN 978-0-7821-5077-3 .
^ (EN) Stacy Prowell, Rob Kraus, Mike Borkin, Seven Deadliest Network Attacks , Elsevier, 2010, p. 21, ISBN 978-1-59749-550-9 .
^ ( EN ) 5 Botnets celebri care au ținut ostatic internetul pe TQA Weekly , pe TQA Weekly . Adus pe 7 ianuarie 2018 .
^ (EN) Înțelegerea atacurilor refuzate de serviciu | US-CERT , la www.us-cert.gov . Adus pe 10 ianuarie 2018 .
^ (EN) ru-dead-yet , pe SourceForge. Adus pe 7 ianuarie 2018 .
^ (EN) Blog de securitate de Cloudbric | Securitate a site-ului web Elite Full Service , în Cloudbric . 9 Adus de luna ianuarie, 2018.
^ Ciber-extorsioniștii care vizează sectorul financiar solicită răscumpărarea Bitcoin , Bloomberg.com , 9 septembrie 2015. Accesat pe 9 ianuarie 2018 .
^ (EN) Akamai avertizează asupra activității crescute a grupului de extorsiune DDoS din SC Media UK, 14 septembrie 2015. Accesat pe 9 ianuarie 2018.
^ (EN) Paul Froutan, Rackspace Managed Hosting, Cum să te aperi împotriva atacurilor DDoS , în Computerworld . 9 Adus de luna ianuarie, 2018.
^ Kiyuna și Conyers (2015), Cyberwarfare Sourcebook , ISBN 1329063945 .
^ Wayback Machine ( PDF ), pe mehmet.suzen.googlepages.com , 10 septembrie 2008. Accesat la 9 ianuarie 2018 (arhivat din original la 10 septembrie 2008) .
^ Ecommercewisdom.com , pe www.ecommercewisdom.com . Adus pe 7 ianuarie 2018 .

Bibliografie

( EN ) Subramani Rao, atacuri de refuz de serviciu și tehnici de atenuare: implementare în timp real cu analiză detaliată . Adus pe 2 martie 2013 .

Elemente conexe

linkuri externe

( EN ) Definiție despre întrebările frecvente despre securitatea World Wide Web ale consorțiului World Wide Web
( RO ) Articol pe infosecurity-magazine.com , pe infosecurity-magazine.com .
Articol pe html.it , pe html.it.
Harta monfială în timp real a atacurilor DDoS , pe digitalattackmap.com .

Controlul autorității	LCCN (EN) sh2009009013 · BNF (FR) cb166838118 (data)

Portal IT	Portal internet
Portal de securitate IT	Portal telematic

[1] Rao , p. 13 .

[2] (EN) Centru de protecție împotriva malware-ului - Glosar , microsoft.com. Accesat la 2 martie 2013 (arhivat din original la 5 martie 2013) .

[3] (EN) Refuzarea serviciului , pe f5.com. Adus pe 2 martie 2013 .

[4] (EN) Todd Lammle, Wade Edwards, Tom Lancaster, Justin Menga, Eric Quinn, Jason Rohm, Carl Timm, Bryant Tow, CCSP Complete Study Guide , John Wiley & Sons, 2006, p. 14, ISBN 978-0-7821-5077-3 .

[5] (EN) Stacy Prowell, Rob Kraus, Mike Borkin, Seven Deadliest Network Attacks , Elsevier, 2010, p. 21, ISBN 978-1-59749-550-9 .

[6] ( EN ) 5 Botnets celebri care au ținut ostatic internetul pe TQA Weekly , pe TQA Weekly . Adus pe 7 ianuarie 2018 .

[7] (EN) Înțelegerea atacurilor refuzate de serviciu | US-CERT , la www.us-cert.gov . Adus pe 10 ianuarie 2018 .

[8] (EN) ru-dead-yet , pe SourceForge. Adus pe 7 ianuarie 2018 .

[9] (EN) Blog de securitate de Cloudbric | Securitate a site-ului web Elite Full Service , în Cloudbric . 9 Adus de luna ianuarie, 2018.

[10] Ciber-extorsioniștii care vizează sectorul financiar solicită răscumpărarea Bitcoin , Bloomberg.com , 9 septembrie 2015. Accesat pe 9 ianuarie 2018 .

[11] (EN) Akamai avertizează asupra activității crescute a grupului de extorsiune DDoS din SC Media UK, 14 septembrie 2015. Accesat pe 9 ianuarie 2018.

[12] (EN) Paul Froutan, Rackspace Managed Hosting, Cum să te aperi împotriva atacurilor DDoS , în Computerworld . 9 Adus de luna ianuarie, 2018.

[13] Kiyuna și Conyers (2015), Cyberwarfare Sourcebook , ISBN 1329063945 .

[14] Wayback Machine ( PDF ), pe mehmet.suzen.googlepages.com , 10 septembrie 2008. Accesat la 9 ianuarie 2018 (arhivat din original la 10 septembrie 2008) .

[15] Ecommercewisdom.com , pe www.ecommercewisdom.com . Adus pe 7 ianuarie 2018 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]