Verificando se um roteador está on-line ou off-line?

Assumindo um roteador simples de escritório / pequeno escritório com conectividade decente (que parece ser o que você está descrevendo) - um DDoS instrui um grande número de sistemas a tentar sobrecarregar seu roteador com tráfego. Assim, a fim de detectar o quão bem sucedido é, ele pode ver como o seu roteador está respondendo.

Seu roteador provavelmente responde a (algumas variantes) de ping. O Ping funciona enviando um pacote de dados, aguardando uma resposta e cronometrando-o, assim é possível discernir mais ou menos o que está acontecendo com o roteador remoto - os resultados a seguir seriam comuns a partir dos quais as conclusões podem ser tiradas:

• O roteador para de responder a todos os pings (foi desativado)
• O roteador responde a alguns pings, mas muitos pacotes descartados (o Router é inundado com muito tráfego ou é incapaz de processar pacotes, resultando em desempenho lento - provavelmente inutilizável - sucesso parcial!)
• Latências de pacotes estão variando descontroladamente (o link está sendo inundado, então as coisas estão indo devagar para as pessoas que o usam).

"Ping" também pode ser usado para atacar o seu roteador - enviando pacotes que o seu roteador responde a ele pode cooptar a largura de banda de entrada e saída - dependendo do tipo (há várias maneiras diferentes de fazer pings), possível enviar pacotes grandes e recuperá-los, consumindo sua largura de banda.

A primeira coisa que você precisa para um ataque DDoS é fazer com que o roteador responda.

Se eles fizerem ping no seu endereço IP e o roteador disser: "Ei, estou aqui, fazendo um ping para você, e o invasor sabe que você existe.

Se eles inundarem sua conexão com tantos pacotes que o seu roteador travar e eles enviarem um ping, o roteador não está respondendo, então o tempo de ping é excedido.

Se fosse uma situação real, seria o seguinte:

Um atacante chega até você e diz: Ei, como você está? Você responde com alguma coisa. Pode ser "bom", "ok" ou qualquer outra coisa.

O atacante bate em você e diz: "Você quer que eu pare?" Se você responder com qualquer coisa: "sim", por exemplo, o atacante sabe que você ainda está consciente. Eles continuam a bater em você até acharem que você está inconsciente. Eles perguntam novamente, e você não responde mais, eles sabem que eles alcançaram o objetivo.

Então, basicamente, eles têm um método para verificar se o seu roteador está funcionando ou não. É possível que eles façam uma varredura de porta e, em vez de executar ping no roteador diretamente com um pacote IMCP (solicitação de ping), eles podem fazer ping de uma das portas e o roteador simplesmente envia esse pacote a um dos dispositivos por trás da rede. As portas 80 e 443 são portas comuns a serem abertas ou encaminhadas. Se o roteador travar, ele não encaminhará mais as portas.

Dito isso, os roteadores comerciais são muito inteligentes e podem detectar quando o tráfego deve ser um ataque DDoS. Se eles detectarem um, eles bloquearão o tráfego de entrada (ignorá-lo) que corresponde ao tipo de tráfego gerado para esse ataque de DDoS. Para o atacante parece que eles são bem sucedidos quando eles realmente não são. Eles podem usar serviços como VPN para se conectar a partir de um endereço IP diferente para testar se o IP de ataque foi bloqueado ou não.

Existem outros métodos para realizar um ataque DDoS, mas para o escopo desta resposta a esta postagem, tudo que você precisa saber é que o método é o mesmo. Se o invasor puder fazer com que seu roteador responda, ele poderá testar se o ataque é bem-sucedido ou não.