Работа в Стамбуле

Метка: CCNA

  • DDoS с усилением через DNS-серверы

    DDoS с усилением через DNS-серверы

    В сентябре 2012 года компания Cloudflare, оператор одной из крупнейших сетей доставки контента, рассказала о том, что в последнее время её клиенты часто начали сталкиваться с DDoS-атаками необычной силы: до 65 Гбит/с. Руководители компании Cloudflare — бывшие хакеры, работавшие над проектом Project Honey Pot, поэтому им было интересно разобраться в причинах такого усиления мощности DDoS-атак. Они выяснили, что в данном случае использовался один из методов умножения запросов. Умножение осуществлялось за счёт DNS reflection (отражение DNS-запросов) через DNS-серверы, которые установлены у каждого интернет-провайдера. Обычно DNS-серверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их настроили, так что серверы принимают запросы от любого пользователя интернета. Вот список неправильно сконфигурированных серверов, так называемых «открытых DNS-серверов».
    На днях специалисты Cloudflare опубликовали ещё одну статью в блоге, где более подробно описывают данный метод атаки.
    Схематично метод описывался в прошлый раз: DNS-запросы обычно идут по протоколу UDP, где можно легко подделать заголовок с обратным IP-адресом. Соответственно, злоумышленники направляют к открытым DNS-серверам поток DNS-запросов с IP-адресом жертвы, а сервер отвечает на указанный адрес. Чтобы максимально усилить трафик, злоумышленники составляют запросы, которые требуют максимально объёмного ответа: например, запрос списка всех DNS-записей в определённой зоне.
    Cloudflare приводит пример. Вы можете отправить такой запрос размером 64 байта на один из открытых DNS-серверов.
    dig ANY isc.org x.x.x.x

    Где x.x.x.x— это IP-адрес сервера. Ответ будет аж 3223 байта.

    ; <<>> DiG 9.7.3 <<>> ANY isc.org @x.x.x.x
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5147
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 27, AUTHORITY: 4, ADDITIONAL: 5

    ;; QUESTION SECTION:
    ;isc.org.            IN    ANY

    ;; ANSWER SECTION:
    isc.org.        4084    IN    SOA    ns-int.isc.org. hostmaster.isc.org. 2012102700 7200 3600 24796800 3600
    isc.org.        4084    IN    A    149.20.64.42
    isc.org.        4084    IN    MX    10 mx.pao1.isc.org.
    isc.org.        4084    IN    MX    10 mx.ams1.isc.org.
    isc.org.        4084    IN    TXT    "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
    isc.org.        4084    IN    TXT    "$Id: isc.org,v 1.1724 2012-10-23 00:36:09 bind Exp $"
    isc.org.        4084    IN    AAAA    2001:4f8:0:2::d
    isc.org.        4084    IN    NAPTR    20 0 "S" "SIP+D2U" "" _sip._udp.isc.org.
    isc.org.        484    IN    NSEC    _kerberos.isc.org. A NS SOA MX TXT AAAA NAPTR RRSIG NSEC DNSKEY SPF
    isc.org.        4084    IN    DNSKEY    256 3 5 BQEAAAAB2F1v2HWzCCE9vNsKfk0K8vd4EBwizNT9KO6WYXj0oxEL4eOJ aXbax/BzPFx+3qO8B8pu8E/JjkWH0oaYz4guUyTVmT5Eelg44Vb1kssy q8W27oQ+9qNiP8Jv6zdOj0uCB/N0fxfVL3371xbednFqoECfSFDZa6Hw jU1qzveSsW0=
    isc.org.        4084    IN    DNSKEY    257 3 5 BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGr hhCeFvAZih7yJHf8ZGfW6hd38hXG/xylYCO6Krpbdojwx8YMXLA5/kA+ u50WIL8ZR1R6KTbsYVMf/Qx5RiNbPClw+vT+U8eXEJmO20jIS1ULgqy3 47cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQz Bkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyL KOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bB yBNsO70aEFTd
    isc.org.        4084    IN    SPF    "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
    isc.org.        484    IN    RRSIG    NS 5 2 7200 20121125230752 20121026230752 4442 isc.org. oFeNy69Pn+/JnnltGPUZQnYzo1YGglMhS/SZKnlgyMbz+tT2r/2v+X1j AkUl9GRW9JAZU+x0oEj5oNAkRiQqK+D6DC+PGdM2/JHa0X41LnMIE2NX UHDAKMmbqk529fUy3MvA/ZwR9FXurcfYQ5fnpEEaawNS0bKxomw48dcp Aco=
    isc.org.        484    IN    RRSIG    SOA 5 2 7200 20121125230752 20121026230752 4442 isc.org. S+DLHzE/8WQbnSl70geMYoKvGlIuKARVlxmssce+MX6DO/J1xdK9xGac XCuAhRpTMKElKq2dIhKp8vnS2e+JTZLrGl4q/bnrrmhQ9eBS7IFmrQ6s 0cKEEyuijumOPlKCCN9QX7ds4siiTIrEOGhCaamEgRJqVxqCsg1dBUrR hKk=
    isc.org.        484    IN    RRSIG    MX 5 2 7200 20121125230752 20121026230752 4442 isc.org. VFqFWRPyulIT8VsIdXKMpMRJTYpdggoGgOjKJzKJs/6ZrxmbJtmAxgEu /rkwD6Q9JwsUCepNC74EYxzXFvDaNnKp/Qdmt2139h/xoZsw0JVA4Z+b zNQ3kNiDjdV6zl6ELtCVDqj3SiWDZhYB/CR9pNno1FAF2joIjYSwiwbS Lcw=
    isc.org.        484    IN    RRSIG    TXT 5 2 7200 20121125230752 20121026230752 4442 isc.org. Ojj8YCZf3jYL9eO8w4Tl9HjWKP3CKXQRFed8s9xeh5TR3KI3tQTKsSeI JRQaCXkADiRwHt0j7VaJ3xUHa5LCkzetcVgJNPmhovVa1w87Hz4DU6q9 k9bbshvbYtxOF8xny/FCiR5c6NVeLmvvu4xeOqSwIpoo2zvIEfFP9deR UhA=
    isc.org.        484    IN    RRSIG    AAAA 5 2 7200 20121125230752 20121026230752 4442 isc.org. hutAcro0NBMvKU/m+2lF8sgIYyIVWORTp/utIn8KsF1WOwwM2QMGa5C9 /rH/ZQBQgN46ZMmiEm4LxH6mtaKxMsBGZwgzUEdfsvVtr+fS5NUoA1rF wg92eBbInNdCvT0if8m1Sldx5/hSqKn8EAscKfg5BMQp5YDFsllsTauA 8Y4=
    isc.org.        484    IN    RRSIG    NAPTR 5 2 7200 20121125230752 20121026230752 4442 isc.org. ZD14qEHR7jVXn5uJUn6XR9Lvt5Pa7YTEW94hNAn9Lm3Tlnkg11AeZiOU 3woQ1pg+esCQepKCiBlplPLcag3LHlQ19OdACrHGUzzM+rnHY50Rn/H4 XQTqUWHBF2Cs0CvfqRxLvAl5AY6P2bb/iUQ6hV8Go0OFvmMEkJOnxPPw 5i4=
    isc.org.        484    IN    RRSIG    NSEC 5 2 3600 20121125230752 20121026230752 4442 isc.org. rY1hqZAryM045vv3bMY0wgJhxHJQofkXLeRLk20LaU1mVTyu7uair7jb MwDVCVhxF7gfRdgu8x7LPSvJKUl6sn731Y80CnGwszXBp6tVpgw6oOcr Pi0rsnzC6lIarXLwNBFmLZg2Aza6SSirzOPObnmK6PLQCdmaVAPrVJQs FHY=
    isc.org.        484    IN    RRSIG    DNSKEY 5 2 7200 20121125230126 20121026230126 4442 isc.org. i0S2MFqvHB3wOhv2IPozE/IQABM/eDDCV2D7dJ3AuOwi1A3sbYQ29XUd BK82+mxxsET2U6hv64crpbGTNJP3OsMxNOAFA0QYphoMnt0jg3OYg+AC L2j92kx8ZdEhxKiE6pm+cFVBHLLLmXGKLDaVnffLv1GQIl5YrIyy4jiw h0A=
    isc.org.        484    IN    RRSIG    DNSKEY 5 2 7200 20121125230126 20121026230126 12892 isc.org. j1kgWw+wFFw01E2z2kXq+biTG1rrnG1XoP17pIOToZHElgpy7F6kEgyj fN6e2C+gvXxOAABQ+qr76o+P+ZUHrLUEI0ewtC3v4HziMEl0Z2/NE0MH qAEdmEemezKn9O1EAOC7gZ4nU5psmuYlqxcCkUDbW0qhLd+u/8+d6L1S nlrD/vEi4R1SLl2bD5VBtaxczOz+2BEQLveUt/UusS1qhYcFjdCYbHqF JGQziTJv9ssbEDHT7COc05gG+A1Av5tNN5ag7QHWa0VE+Ux0nH7JUy0N ch1kVecPbXJVHRF97CEH5wCDEgcFKAyyhaXXh02fqBGfON8R5mIcgO/F DRdXjA==
    isc.org.        484    IN    RRSIG    SPF 5 2 7200 20121125230752 20121026230752 4442 isc.org. IB/bo9HPjr6aZqPRkzf9bXyK8TpBFj3HNQloqhrguMSBfcMfmJqHxKyD ZoLKZkQk9kPeztau6hj2YnyBoTd0zIVJ5fVSqJPuNqxwm2h9HMs140r3 9HmbnkO7Fe+Lu5AD0s6+E9qayi3wOOwunBgUkkFsC8BjiiGrRKcY8GhC kak=
    isc.org.        484    IN    RRSIG    A 5 2 7200 20121125230752 20121026230752 4442 isc.org. ViS+qg95DibkkZ5kbL8vCBpRUqI2/M9UwthPVCXl8ciglLftiMC9WUzq Ul3FBbri5CKD/YNXqyvjxyvmZfkQLDUmffjDB+ZGqBxSpG8j1fDwK6n1 hWbKf7QSe4LuJZyEgXFEkP16CmVyZCTITUh2TNDmRgsoxrvrOqOePWhp 8+E=
    isc.org.        4084    IN    NS    ns.isc.afilias-nst.info.
    isc.org.        4084    IN    NS    ams.sns-pb.isc.org.
    isc.org.        4084    IN    NS    ord.sns-pb.isc.org.
    isc.org.        4084    IN    NS    sfba.sns-pb.isc.org.

    ;; AUTHORITY SECTION:
    isc.org.        4084    IN    NS    ns.isc.afilias-nst.info.
    isc.org.        4084    IN    NS    ams.sns-pb.isc.org.
    isc.org.        4084    IN    NS    ord.sns-pb.isc.org.
    isc.org.        4084    IN    NS    sfba.sns-pb.isc.org.

    ;; ADDITIONAL SECTION:
    mx.ams1.isc.org.    484    IN    A    199.6.1.65
    mx.ams1.isc.org.    484    IN    AAAA    2001:500:60::65
    mx.pao1.isc.org.    484    IN    A    149.20.64.53
    mx.pao1.isc.org.    484    IN    AAAA    2001:4f8:0:2::2b
    _sip._udp.isc.org.    4084    IN    SRV    0 1 5060 asterisk.isc.org.

    ;; Query time: 176 msec
    ;; SERVER: x.x.x.x#53(x.x.x.x)
    ;; WHEN: Tue Oct 30 01:14:32 2012
    ;; MSG SIZE rcvd: 3223
    Таким образом, DDoS-атаку можно усиливать в десятки раз, умножая трафик с помощью DNS-серверов. В данном случае усиление составляет 3223/64≈50 раз. Любопытно, что в значительной мере усиление DDoS-атаки достигнуто благодаря большим ключам DNSSEC, которые включены в тело ответа, а ведь протокол DNSSEC внедрялся с целью повысить безопасность системы DNS.
    DDoS атака с умножением через DNS
    Установленные у провайдеров серверы обычно имеют большую пропускную способность, так что сгенерировать пару десятков гигабит в секунду для них — вполне реальная задача.
    Специалисты Cloudflare обнаружили в интернете 68459 открытых DNS-серверов, в том числе 862 в России. Они обозначены на карте, если навести курсор на страну. Все эти серверы можно использовать для эффективной DDoS-атаки.
  • DDoS-атака через Network Time Protocol

    DDoS-атака через Network Time Protocol

    Каспер и его охотники за приведениями не так давно обратили внимание на то, что в последние несколько недель в Сети участились случаи DDoS-атак с использованием Network Time Protocol. На графике показан объем такого трафика в декабре 2013 года.

    DDoS атака с умножением через NTP


    Network Time Protocol (NTP) — сетевой протокол для синхронизации внутренних часов компьютера, использует для своей работы UDP и представляет собой один из старейших протоколов интернета. Работает на порту 123.
    Атака через «отражение» предусматривает, что атакующий посылает относительно небольшой запрос к промежуточному узлу, который отвечает относительно большим ответом в адрес указанного хоста. Раньше атаки подобного типа осуществлялись через DNS-серверы, которые установлены у каждого интернет-провайдера. Обычно DNS-серверы настроены так, чтобы обрабатывать только запросы своих собственных пользователей, но существует большое количество компаний, которые неправильно их сконфигурировали, так что серверы принимают запросы от любого пользователя интернета. Атакующие направляют к открытым DNS-серверам поток DNS-запросов с IP-адресом жертвы, а сервер отвечает на указанный адрес. Чтобы максимально усилить трафик, нападающие составляют запросы, которые требуют максимально объемного ответа: например, запрос списка всех DNS-записей в определенной зоне.
    Атака через серверы NTP происходит схожим образом, но с использованием команды monlist. Она высылает в ответ список 600 хостов, которые последними подключались к серверу. Это даже эффективнее, чем DNS-серверы: маленький запрос может перенаправить на жертву мегабайты трафика.
    Для защиты своего NTP-сервера от подобной атаки нужно установить NTP версии 4.2.7, в которой полностью удалена поддержка команды monlist.
  • DDoS-атаки и бизнес на постсоветском пространстве

    DDoS-атаки и бизнес на постсоветском пространстве

    Каспер и его охотники за призраками в доспехах не так давно опубликовали отчёт со статистикой DDoS-атак во второй половине 2011 года. 
    Подводя итоги прошлого года, главными событиями называются DDoS-атаки на фондовые биржи, использование DDoS в политических протестах Anonymous и для решения конфликтов в малом бизнесе. Во второй половине года было зафиксировано две большие волны DDoS-атак на сайты туристических фирм. Первая была приурочена к летним отпускам, а вторая прошла в период новогодних праздников. Среди туристических компаний, ставших жертвами DDoS-атак, не было ни одного крупного туроператора. Все атаки были направлены на сайты турагентств, между которыми существует острая конкуренция. Можно предположить, что эта конкуренция стала настолько острой, что некоторые бизнесмены не гнушаются использовать в том числе не совсем кошерные методы.
    Обнаружен также резкий рост во втором полугодии атак на сайты, предлагающие заказ такси и заправку картриджей. Видимо, в этих областях тоже усиливается конкуренция.
    Впрочем, главными жертвами DDoS-атак по-прежнему остаются интернет-магазины и торговые площадки.
    Статистика DDoS атак за текущий год
    Во второй половине 2011 года появились новые инструменты для DoS/DDoS-атак, в например, сервисы компании Google.
    Этим сервисам в качестве параметра можно передать ссылку на любой файл атакуемого сайта, и серверы Google будут осуществлять запрос к файлу. Если автоматизировать такие запросы с помощью скрипта, то использование пропускной способности каналов Google эквивалентно обычной DDoS-атаке. Кроме того, запустивший атаку в этом случае сохраняет анонимность.
    Ещё один новый инструмент — DoS-атака на сервер, используя особенность протокола SSL. Инструмент под названием THC-SSL-DOS позволяет одному атакующему вывести из строя сервер средней конфигурации, если тот поддерживает повторное подтверждение SSL renegotiation.
    Несколько интересных фактов из отчёта Каспера и его охотников:
    • Самая протяжённая DDoS-атака, зафиксированная во втором полугодии, продолжалась 80 дней 19 часов 13 минут 05 секунд и была нацелена на туристический сайт.
    • Больше всего DDoS-атак в течение второго полугодия (384) было нацелено на сайт одного из киберкриминальных порталов, торгующий поддельными документами. Неизвестно, что за сайт, но специалисты отмечают, что к DDoS-атакам чаще всего прибегают представители кардерского бизнеса: боты атакуют форумы соответствующей тематики, а также сайты, занимающиеся продажей персональных данных держателей карт.
    • Средняя мощность отраженных Kaspersky DDoS Prevention атак во втором полугодии 2011 выросла на 57% и составила 110 Мбит/с, средняя продолжительность — 9 часов 29 минут.
  • Известные инструменты для DDoS-атак

    Известные инструменты для DDoS-атак

    Специалисты из компании Arbor Networks составили самый полный каталог программ, которые используются для DDoS-атак, и даже сделали видеосправочник.

    The Best DDoS attack tools
    Простые инструменты
    Fg Power DDOSER
    GB DDoSeR v3
    Silent-DDoSer
    Drop-Dead DDoS
    D.NET DDoSeR
    Positve’s xDDoSeR
    Sniff DDoSer
    Darth DDoSeR v2
    Net-Weave
    Malevolent DDoSeR
    HypoCrite
    Host Booter v5.7
    AlbaDDoS
    Manta d0s v1.0
    Good Bye v3.0
    Good Bye v5.0
    Black Peace Group DDoser
    Shell Booters (атака из заражённого веб-приложения)
    PHPDoS
    TWBOOTER
    Gray Pigeon RAT
    DarkComet RAT aka Fynloski
    MP-DDoser v 1.3
    DarkShell
    Warbot
    Janidos
    Aldi Bot
    Infinity Bot
    N0PE
    Darkness
    Darkness X
    Optima – DarknessX control panel
    Dedal
    Russkill
    DirtJumper
    Dirt Jumper v3, aka “September”
    G-Bot aka Piranha
    Armageddon
    Коммерческие DDoS-сервисы
    WildDDOS
    Death ddos service
    FireDDoS
    DDoS-SeRVIS
    Beer DDoS
    Totoro
    500 Internal DDoS Service
    OXIA DDoS Service
    504 Gateway DDoS Tools
    DDoS4Fun
    NoName
    Wotter DDoS Service
    IceDDoS
  • Как работает софт для DDoS

    Как работает софт для DDoS

    Intro
    DDoS атака (Distributed Denial of Service Attack) — это распределенная атака на отказ в обслуживании. От обычной DoS атаки отличается тем, что в процессе участвует не один компьютер, а множество компьютеров, подчиняющихся командам атакующего.

    DDoS атаки относительно новы. Впервые Интернет-общество серьезно столкнулось с ними 7 февраля 2000 года. Тогда в течении недели на несколько часов были выведены из строя такие известные сайты, как Yahoo, Buy.com, eBay, Amazon, Datek, E*Trade и CNN.
    A network stress testing application. Low Orbit Ion Cannon

    Сейчас 2023 год, но DDoS атаки до сих пор практически невозможно отслеживать заранее и предотвращать, и вряд ли это станет возможным в ближайшем будущем.

    Немного лирики

    DDoS атаке предшествуют взломы сотен (а иногда и тысяч) компьютеров, на которые устанавливается специальный DDoS софт, позволяющий проводить координированные DoS атаки (обычно используются flood атаки) на сайты жертв.

    В деталях это выглядит следующим образом: атакующий ищет слабо защищенный компьютер, вломиться в который не составляет проблемы. Затем на взломанную систему устанавливается софт, который будет скрывать следы взлома (например, скрывать процесс, запущенный атакующим, чтобы в дальнейшем контролировать данную систему). А потом осуществляется то, ради чего, собственно, система и была взломана: запускается процесс, ожидающий команды из Интернета начать атаку на определенную жертву. После этого адрес захваченного компьютера заносится в базу данных. Все эти шаги достаточно автоматизированы и повторяются до тех пор, пока количество «рабов» не достигнет необходимой атакующему отметки. В итоге получается DDoS сеть, т.е. имеются компьютеры с установленным на них DDoS софтом, а атакующий знает их адреса.

    С наступлением часа X атакующий просто запускает программу, которая посылает команды начать атаку на определенную жертву всем захваченным компьютерам по адресам, хранящимся в специальном файле. Когда атакующий решает прекратить DDoS атаку, он опять же просто запускает программу, которая пошлет по тем же адресам команды прекратить безобразие.