Verificando se um roteador está online ou offline?

Recentemente, tenho recebido ataques ddos ​​ao meu roteador. Para fins educacionais, quero saber como o invasor está descobrindo quando o meu roteador foi ddodo.

Eles disseram que estão fazendo algo a ver com ping? Alguém pode me dizer o que está fazendo e como verificar se os ddos ​​deixaram minha internet offline?

Supondo que um roteador doméstico / pequeno escritório simples com conectividade decente (que parece ser o que você está descrevendo) - um DDoS instrui um grande número de sistemas a tentar sobrecarregar o roteador com tráfego. Assim, para detectar como é bem-sucedido, é possível ver como o seu roteador está respondendo.

Seu roteador provavelmente responde a (algumas variantes) de ping. O Ping funciona enviando um pacote de dados, aguardando uma resposta e cronometrando-o, portanto, é possível discernir aproximadamente o que está acontecendo com o roteador remoto - os seguintes resultados comuns seriam os quais podem ser tiradas conclusões:

• O roteador para de responder a todos os pings (foi desativado)
• O roteador responde a alguns pings, mas muitos pacotes descartados (o roteador é inundado com muito tráfego ou é incapaz de processar pacotes, resultando em lento - desempenho provavelmente inutilizável - sucesso parcial!)
• As latências dos pacotes estão variando bastante (o link está ficando inundado, portanto as coisas estão indo devagar para as pessoas que o usam).

O "Ping" também pode ser usado para atacar seu roteador - enviando pacotes aos quais o roteador responde pode cooptar a largura de banda de entrada e saída - dependendo do tipo (existem várias maneiras diferentes de executar pings), é possível enviar pacotes grandes e recupere-os, consumindo sua largura de banda.

A primeira coisa que você precisa para um ataque DDoS é fazer com que o roteador responda.

Se eles fizerem ping no seu endereço IP e o roteador disser: Ei, estou aqui, pingando você de volta, o invasor saberá que você existe.

Se eles inundarem sua conexão com tantos pacotes que seu roteador trava e enviarem um ping, o roteador não está respondendo, então o ping expira.

Se fosse uma situação da vida real, seria a seguinte:

Um atacante chega até você e diz: Ei, como vai? Você responde com alguma coisa. Pode ser "bom", "ok" ou o que for.

O atacante bate em você e diz: "Você quer que eu pare?" Se você responder com alguma coisa: "sim", por exemplo, o atacante sabe que você ainda está consciente. Eles continuam a vencê-lo até pensarem que você está inconsciente. Eles perguntam novamente e você não responde mais, eles sabem que atingiram a meta.

Então, basicamente, eles têm um método para verificar se o seu roteador está instalado e funcionando ou não. É possível que eles façam uma varredura de porta e, em vez de executar o ping diretamente no roteador com um pacote IMCP (solicitação de ping), eles podem executar ping em uma das portas e o roteador simplesmente retransmitirá esse pacote para um dos dispositivos atrás da rede. As portas 80 e 443 são portas comuns a serem abertas ou encaminhadas. Se o roteador travou, também não encaminhará portas.

Dito isso, os roteadores comerciais são muito inteligentes e podem detectar quando o tráfego deve ser um ataque DDoS. Se eles detectarem um, eles bloquearão o tráfego de entrada (ignorá-lo) que corresponda ao tipo de tráfego gerado para esse ataque DDoS. Para o atacante, parece que eles são bem-sucedidos quando realmente não são. Eles podem usar serviços como VPN para conectar-se a partir de um endereço IP diferente para testar se o IP de ataque foi bloqueado ou não.

Existem outros métodos para executar um ataque DDoS, mas para o escopo desta resposta a esta postagem, tudo que você precisa saber é que o método é o mesmo. Se o invasor puder fazer seu roteador responder, ele poderá testar se o ataque foi bem-sucedido ou não.