Работа в Стамбуле

Метка: CCNP

  • Ростелеком случайно заблокировал IP-адрес, который совпал с адресом соцсети

    Ростелеком случайно заблокировал IP-адрес, который совпал с адресом соцсети

    Абоненты провайдера «Ростелеком» сообщают о том, что они не могут зайти на сайт, с которого ранее можно было скачать приложение для соцсети Secret. Как сообщает бывший сотрудник Booz Allen Hamilton Эдвард Сноуден, представители оператора заявили о том, что он блокировал доступ к одному из IP-адресов сайта Secret.ly.
    как Ростелеком блокирует трафик
    Андрей Поляков, представитель ОАО «Ростелеком», утверждает, что по заблокированному адресу находится ресурс, запрещенный на территории России. В частности, он отметил, что на web-странице размещалась информация, пропагандирующая и распространяющая азартные игры. В связи с этим один из судов принял решение об ограничении доступа.

    «Мы его выполнили. Затем оказалось, что IP-адрес игрового ресурса совпадает с одним из IP-адресов, использующихся сайтом Secret.ly», — отметил Поляков.

    На текущий момент абоненты оператора могут зайти по указанному адресу, поскольку, заметив совпадение, специалисты разблокировали его. Как пояснил Андрей Поляков, механизмы блокирования трафика в сети ОАО «Ростелеком» прописываются заранее в межоператорских соглашениях и реализуются на основе механизмов использования технологии BGP сообществ, приземляя запрещенный в России трафик на null интерфейс.

  • Заказчиков DDoS-атак научились выявлять

    Заказчиков DDoS-атак научились выявлять

    атрибуция DDoS атак давно уже превратиласть в повседневную реальность
    В настоящее время правоохранительным органам удается обнаружить только 15-20% заказчиков DDoS-атак, если они находятся на территории РФ

    Как сообщают «Ведомости» со ссылкой на генерального директора компании Group-IB Ильи Сачкова, организатор DDoS-атаки, который был осужден на два года условно, хранил на своем компьютере переписку с заказчиками из России, Украины и Великобритании. В настоящее время подозреваемые находятся в розыске.

    Напомним, что дело 26-летнего организатора DDoS-атак из Саянска, Иркутской области, рассматривалось Саянским городским судом в феврале текущего года. Он был признан виновным в осуществлении преступления, предусмотренного статьей 272 УК РФ — «Неправомерный доступ к компьютерной информации». За один день простоя сайта-жертвы злоумышленнику платили 3 тыс. руб.

    Главной жертвой мошенника стала «крупная финансовая корпорация, владеющая несколькими банками». Ее представители обратились к специалистам Group-IB за помощью в проведении расследования. Название организации содержится в тайне для того, чтобы не нанести вреда ее репутации.

    Это уже не первый случай осуществления масштабной DDoS-атаки на крупные предприятия и сайты. В частности, 10 лет назад были осуждены организаторы нападений на британские букмекерские сайты, а совсем недавно были осуждены заказчики атаки на сайт «Аэрофлота».

    Сачков отмечает, что сейчас специалисты и правоохранительные органы могут расследовать и осуждать проведение DDoS-атак только в 15-20% случаев, когда заказчики нападений, их компьютеры или web-сайты находятся на территории России.

  • DDoS-атаки в текущем году и прогноз на следующий год

    DDoS-атаки в текущем году и прогноз на следующий год

    За прошлый год компания Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 6 644 DDoS-атак. Годом ранее эта цифра составила 3 749. Рост обусловлен как увеличением числа клиентов Qrator Labs, так и ростом активности дроповодов в целом.
    Рост числа DDoS атак на постсоветском пространстве
    По словам Александра Лямина, основателя и Генерального директора Qrator Labs, показатели компании отражают тенденцию отрасли: «По нашим оценкам, общее количество атак на российские сайты выросло за прошлый год примерно на четверть. Также возросло среднее число атак, приходящихся на один сайт. Одна из причин происходящего — в том, что осуществить DDoS-атаку в последние годы не становится сложнее. Например, для организации атаки типа DNS Amplification полосой 150 Гб/сек и больше достаточно 5-10 серверов средней мощности».

    По сравнению с предыдущим 2012 годом, в 2013 году максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, возросло с 73 до 151.
    Максимальный размер ботнета, задействованного в атаке, вырос с 207 401 до 243 247 машин. Увеличилась также доля Spoofing-атак – с 43,05% до 57,97%. Это атаки, в которых вместо IP-адреса реального пользователя подставляется фальшивый.

    Максимальная длительность атаки сократилась с 83 дней в 2012 году до 22 дней в 2013, а уровень средней доступности WEB-ресурсов компаний, пользующихся услугами сети Qrator, вырос с 99,71% до 99,83%.

    «Хакеры стали более гибкими в отношении выбора метода атаки. Мы наблюдаем четкую тенденцию уменьшения длительности атак на наших клиентов — если раньше исполнители атак могли долго пытаться преодолеть защиту, то сейчас речь идет в основном о кратковременных «пробах прочности», за которыми следует отказ от намерений либо смена методики или технологии атаки», — говорит Александр Лямин.

    По данным Qrator Labs, на фоне заметного роста «интеллектуализации» ботнетов, имитирующих поведение рядового пользователя, также существенно выросло количество высокоскоростных атак типа SYN-flood.

    Число атак в 2013 году увеличилось также в среднем на одного клиента сети Qrator. Такая тенденция уже наблюдалась в 2012 году по сравнению с 2011, однако в 2013 году темпы роста увеличились в два раза – с 17% до 34%.

    С марта по октябрь 2013 года подавляющее число атак производилось с использованием DNS Amplification. Это атаки, когда злоумышленник посылает запрос (обычно короткий в несколько байт) уязвимым DNS-серверам, которые отвечают на запрос уже в разы большими по размеру пакетами. Если при отправке запросов использовать в качестве исходного IP-адреса адрес компьютера жертвы (ip spoofing), то уязвимые DNS-серверы будут посылать ненужные пакеты этому компьютеру, пока полностью не парализуют его работу. Часто объектом такой атаки оказывается инфраструктура провайдера, которым пользуется жертва. Нападения такого типа совершались в прошлом году как на клиентов крупных операторов, так и небольших провайдеров хостинговых услуг.

    С октября по декабрь проявила активность крупная бот-сеть, объединяющая более 700 тысяч компьютеров-зомби, которая использовалась для нападения преимущественно на российские банки среднего размера. Эта активность совпала с действиями ЦБ РФ по отзыву лицензий у ряда банков.

    В декабре 2013-го стало расти число атак c использованием технологии  NTP Amplification. Такие атаки по принципу организации похожи на DNS Amplification, но вместо DNS-серверов злоумышленники используют серверы синхронизации времени — NTP. Увеличение количества подобных инцидентов продолжается и в первые два месяца 2014 года.

    С учетом приведенной статистики можно сказать, что в 2013 году наблюдался ряд тенденций, которые в 2014 году продолжат свое развитие:

    Рост числа высокоскоростных атак с использованием Amplification публичных UDP-сервисов;
    совершенствование атак уровня приложений с использованием ботнетов. Такие атаки часто низкоскоростные и алгоритмы их автоматического обнаружения довольно сложны;
    цель 2013 года у дроповодов — DNS-серверы; технология DDoS года — DNS Aplification.

    «В 2014 году ситуация с DDoS в Рунете будет зависеть от того, как отреагирует сообщество операторов на вызовы дроповодов. Два года назад ожидалось, что атаки сетевого уровня будут постепенно уступать место прикладным атакам, но летом 2013 года преступники смогли организовать атаку 150 Гб/сек, и это не повлекло никакой реакции в индустрии. Следовательно, если не будут предприниматься согласованные меры всех участников межоператорского взаимодействия по противодействию угрозе, с высокой вероятностью можно ожидать устойчивого роста и скоростей, и количества атак», — продолжает Александр Лямин.

    Другим важным трендом на ближайшие годы могут стать атаки с использованием протокола BGP, отвечающего за глобальную доступность сетей в Интернете (так называемые атаки BGP Hijacking). Суть проблемы заключается в отсутствии механизмов проверки источника маршрутной информации, что в результате делает возможным неавторизованное перенаправление трафика (перехват) на свою AS и его последующий анализ или сброс. Обнаружить такой перехват со стороны атакуемой AS теоретически невозможно. До  2013 года было несколько подобных инцидентов, самый известный из них привел к практически глобальной недоступности сервиса YouTube в 2008 году. Однако, начиная с 2013 года использование данной конструктивной уязвимости BGP встало на поток, а задачи, решаемые атакующими, стали шире. Теперь это не только атаки на отказ в обслуживании, но и перехват трафика (man-in-the-middle), а также использование чужого адресного пространства для других видов хакерской деятельности: рассылка спама, обычные DoS атаки итд. На круглом столе NANOG коллеги из Cisco Systems и BGPMon.net подтвердили наблюдения Qrator Labs.

    При отсутствии методов непосредственной борьбы с BGP Hijacking единственным решением остается внешний мониторинг, который может позволить оперативно реагировать на возникающие проблемы в глобальной маршрутизации. Для реализации данной амбициозной задачи компания Qrator Labs запустила проект radar.qrator.net, который предоставляет разнообразную аналитику на междоменном сетевом уровне, в том числе, данные по циклам маршрутизации и обнаруженным ботнетам. В ближайшее время Qrator Labs также сможет предоставлять информацию об аномальных маршрутах в сообщениях протокола BGP, что позволит анализировать и пресекать инциденты с неавторизованным перенаправлением трафика.

    как работать с пробивщиком из Ростелекома
  • Новая волна DDoS-атак в сегменте RU

    Новая волна DDoS-атак в сегменте RU

    В прошлом году DDoS-атаки приобрели ещё большую популярность при решении сетевых и офлайновых конфликтов. В последнее время мощность DDoS значительно увеличилась. По информации компании Prolexic Technologies за II кв. этого года, средний поток трафика при DDoS-атаке составляет 47,4 млн пакетов в секунду, что на 1655% больше, чем во II кв. прошлого года. Средняя пропускная способность увеличилась на 925% и равняется теперь 49,24 Гбит/с.
    В России разборки такими методами особенно популярны. Жертвами DDoS-атак становятся компании всех секторов экономики, а с прошлого года — даже правительственные сайты.
    статистика DDoS атак за текущий год
    Также увеличилась длительность кибератак. По данным Positive Technologies, если в I кв. 2012 года DDoS-атака в среднем осуществлялась на протяжении 17 часов, то в первом квартале 2013 года — уже 38 часов.
    В России наблюдается схожая картина: атаки продолжительностью в сутки стали обычным делом. Например, 6 августа интернет-ресурс ЗАО «Интерлот» — крупнейшего российского негосударственного организатора лотерей, оператора лотереи «Золотой Ключ», «Козырная карта», «Русская тройка», «Код удачи» — подвергся одной из серьезнейших DDoS-атак.
    DDoS-атака против «Интерлота» началась в 15.00, а в 17.00 достигла пикового значения 90 Гбит/с, после чего колебалась в пределах от 90 до 30 Гбит/с, затихнув 7 августа к 15.00. Мощность атаки вынудила центр обработки данных заблокировать сервер компании в целях защиты оборудования.
    Руководство ЗАО «Интерлот» допускает, что атака на интернет-портал может являться скрытой формой экономического давления на компанию, в связи с твердой публичной позицией по вопросу введения госмонополии на лотерейную деятельность.
  • DDoS с усилением через DNS-серверы

    DDoS с усилением через DNS-серверы

    В сентябре 2012 года компания Cloudflare, оператор одной из крупнейших сетей доставки контента, рассказала о том, что в последнее время её клиенты часто начали сталкиваться с DDoS-атаками необычной силы: до 65 Гбит/с. Руководители компании Cloudflare — бывшие хакеры, работавшие над проектом Project Honey Pot, поэтому им было интересно разобраться в причинах такого усиления мощности DDoS-атак. Они выяснили, что в данном случае использовался один из методов умножения запросов. Умножение осуществлялось за счёт DNS reflection (отражение DNS-запросов) через DNS-серверы, которые установлены у каждого интернет-провайдера. Обычно DNS-серверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их настроили, так что серверы принимают запросы от любого пользователя интернета. Вот список неправильно сконфигурированных серверов, так называемых «открытых DNS-серверов».
    На днях специалисты Cloudflare опубликовали ещё одну статью в блоге, где более подробно описывают данный метод атаки.
    Схематично метод описывался в прошлый раз: DNS-запросы обычно идут по протоколу UDP, где можно легко подделать заголовок с обратным IP-адресом. Соответственно, злоумышленники направляют к открытым DNS-серверам поток DNS-запросов с IP-адресом жертвы, а сервер отвечает на указанный адрес. Чтобы максимально усилить трафик, злоумышленники составляют запросы, которые требуют максимально объёмного ответа: например, запрос списка всех DNS-записей в определённой зоне.
    Cloudflare приводит пример. Вы можете отправить такой запрос размером 64 байта на один из открытых DNS-серверов.
    dig ANY isc.org x.x.x.x

    Где x.x.x.x— это IP-адрес сервера. Ответ будет аж 3223 байта.

    ; <<>> DiG 9.7.3 <<>> ANY isc.org @x.x.x.x
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5147
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 27, AUTHORITY: 4, ADDITIONAL: 5

    ;; QUESTION SECTION:
    ;isc.org.            IN    ANY

    ;; ANSWER SECTION:
    isc.org.        4084    IN    SOA    ns-int.isc.org. hostmaster.isc.org. 2012102700 7200 3600 24796800 3600
    isc.org.        4084    IN    A    149.20.64.42
    isc.org.        4084    IN    MX    10 mx.pao1.isc.org.
    isc.org.        4084    IN    MX    10 mx.ams1.isc.org.
    isc.org.        4084    IN    TXT    "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
    isc.org.        4084    IN    TXT    "$Id: isc.org,v 1.1724 2012-10-23 00:36:09 bind Exp $"
    isc.org.        4084    IN    AAAA    2001:4f8:0:2::d
    isc.org.        4084    IN    NAPTR    20 0 "S" "SIP+D2U" "" _sip._udp.isc.org.
    isc.org.        484    IN    NSEC    _kerberos.isc.org. A NS SOA MX TXT AAAA NAPTR RRSIG NSEC DNSKEY SPF
    isc.org.        4084    IN    DNSKEY    256 3 5 BQEAAAAB2F1v2HWzCCE9vNsKfk0K8vd4EBwizNT9KO6WYXj0oxEL4eOJ aXbax/BzPFx+3qO8B8pu8E/JjkWH0oaYz4guUyTVmT5Eelg44Vb1kssy q8W27oQ+9qNiP8Jv6zdOj0uCB/N0fxfVL3371xbednFqoECfSFDZa6Hw jU1qzveSsW0=
    isc.org.        4084    IN    DNSKEY    257 3 5 BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGr hhCeFvAZih7yJHf8ZGfW6hd38hXG/xylYCO6Krpbdojwx8YMXLA5/kA+ u50WIL8ZR1R6KTbsYVMf/Qx5RiNbPClw+vT+U8eXEJmO20jIS1ULgqy3 47cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQz Bkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyL KOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bB yBNsO70aEFTd
    isc.org.        4084    IN    SPF    "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
    isc.org.        484    IN    RRSIG    NS 5 2 7200 20121125230752 20121026230752 4442 isc.org. oFeNy69Pn+/JnnltGPUZQnYzo1YGglMhS/SZKnlgyMbz+tT2r/2v+X1j AkUl9GRW9JAZU+x0oEj5oNAkRiQqK+D6DC+PGdM2/JHa0X41LnMIE2NX UHDAKMmbqk529fUy3MvA/ZwR9FXurcfYQ5fnpEEaawNS0bKxomw48dcp Aco=
    isc.org.        484    IN    RRSIG    SOA 5 2 7200 20121125230752 20121026230752 4442 isc.org. S+DLHzE/8WQbnSl70geMYoKvGlIuKARVlxmssce+MX6DO/J1xdK9xGac XCuAhRpTMKElKq2dIhKp8vnS2e+JTZLrGl4q/bnrrmhQ9eBS7IFmrQ6s 0cKEEyuijumOPlKCCN9QX7ds4siiTIrEOGhCaamEgRJqVxqCsg1dBUrR hKk=
    isc.org.        484    IN    RRSIG    MX 5 2 7200 20121125230752 20121026230752 4442 isc.org. VFqFWRPyulIT8VsIdXKMpMRJTYpdggoGgOjKJzKJs/6ZrxmbJtmAxgEu /rkwD6Q9JwsUCepNC74EYxzXFvDaNnKp/Qdmt2139h/xoZsw0JVA4Z+b zNQ3kNiDjdV6zl6ELtCVDqj3SiWDZhYB/CR9pNno1FAF2joIjYSwiwbS Lcw=
    isc.org.        484    IN    RRSIG    TXT 5 2 7200 20121125230752 20121026230752 4442 isc.org. Ojj8YCZf3jYL9eO8w4Tl9HjWKP3CKXQRFed8s9xeh5TR3KI3tQTKsSeI JRQaCXkADiRwHt0j7VaJ3xUHa5LCkzetcVgJNPmhovVa1w87Hz4DU6q9 k9bbshvbYtxOF8xny/FCiR5c6NVeLmvvu4xeOqSwIpoo2zvIEfFP9deR UhA=
    isc.org.        484    IN    RRSIG    AAAA 5 2 7200 20121125230752 20121026230752 4442 isc.org. hutAcro0NBMvKU/m+2lF8sgIYyIVWORTp/utIn8KsF1WOwwM2QMGa5C9 /rH/ZQBQgN46ZMmiEm4LxH6mtaKxMsBGZwgzUEdfsvVtr+fS5NUoA1rF wg92eBbInNdCvT0if8m1Sldx5/hSqKn8EAscKfg5BMQp5YDFsllsTauA 8Y4=
    isc.org.        484    IN    RRSIG    NAPTR 5 2 7200 20121125230752 20121026230752 4442 isc.org. ZD14qEHR7jVXn5uJUn6XR9Lvt5Pa7YTEW94hNAn9Lm3Tlnkg11AeZiOU 3woQ1pg+esCQepKCiBlplPLcag3LHlQ19OdACrHGUzzM+rnHY50Rn/H4 XQTqUWHBF2Cs0CvfqRxLvAl5AY6P2bb/iUQ6hV8Go0OFvmMEkJOnxPPw 5i4=
    isc.org.        484    IN    RRSIG    NSEC 5 2 3600 20121125230752 20121026230752 4442 isc.org. rY1hqZAryM045vv3bMY0wgJhxHJQofkXLeRLk20LaU1mVTyu7uair7jb MwDVCVhxF7gfRdgu8x7LPSvJKUl6sn731Y80CnGwszXBp6tVpgw6oOcr Pi0rsnzC6lIarXLwNBFmLZg2Aza6SSirzOPObnmK6PLQCdmaVAPrVJQs FHY=
    isc.org.        484    IN    RRSIG    DNSKEY 5 2 7200 20121125230126 20121026230126 4442 isc.org. i0S2MFqvHB3wOhv2IPozE/IQABM/eDDCV2D7dJ3AuOwi1A3sbYQ29XUd BK82+mxxsET2U6hv64crpbGTNJP3OsMxNOAFA0QYphoMnt0jg3OYg+AC L2j92kx8ZdEhxKiE6pm+cFVBHLLLmXGKLDaVnffLv1GQIl5YrIyy4jiw h0A=
    isc.org.        484    IN    RRSIG    DNSKEY 5 2 7200 20121125230126 20121026230126 12892 isc.org. j1kgWw+wFFw01E2z2kXq+biTG1rrnG1XoP17pIOToZHElgpy7F6kEgyj fN6e2C+gvXxOAABQ+qr76o+P+ZUHrLUEI0ewtC3v4HziMEl0Z2/NE0MH qAEdmEemezKn9O1EAOC7gZ4nU5psmuYlqxcCkUDbW0qhLd+u/8+d6L1S nlrD/vEi4R1SLl2bD5VBtaxczOz+2BEQLveUt/UusS1qhYcFjdCYbHqF JGQziTJv9ssbEDHT7COc05gG+A1Av5tNN5ag7QHWa0VE+Ux0nH7JUy0N ch1kVecPbXJVHRF97CEH5wCDEgcFKAyyhaXXh02fqBGfON8R5mIcgO/F DRdXjA==
    isc.org.        484    IN    RRSIG    SPF 5 2 7200 20121125230752 20121026230752 4442 isc.org. IB/bo9HPjr6aZqPRkzf9bXyK8TpBFj3HNQloqhrguMSBfcMfmJqHxKyD ZoLKZkQk9kPeztau6hj2YnyBoTd0zIVJ5fVSqJPuNqxwm2h9HMs140r3 9HmbnkO7Fe+Lu5AD0s6+E9qayi3wOOwunBgUkkFsC8BjiiGrRKcY8GhC kak=
    isc.org.        484    IN    RRSIG    A 5 2 7200 20121125230752 20121026230752 4442 isc.org. ViS+qg95DibkkZ5kbL8vCBpRUqI2/M9UwthPVCXl8ciglLftiMC9WUzq Ul3FBbri5CKD/YNXqyvjxyvmZfkQLDUmffjDB+ZGqBxSpG8j1fDwK6n1 hWbKf7QSe4LuJZyEgXFEkP16CmVyZCTITUh2TNDmRgsoxrvrOqOePWhp 8+E=
    isc.org.        4084    IN    NS    ns.isc.afilias-nst.info.
    isc.org.        4084    IN    NS    ams.sns-pb.isc.org.
    isc.org.        4084    IN    NS    ord.sns-pb.isc.org.
    isc.org.        4084    IN    NS    sfba.sns-pb.isc.org.

    ;; AUTHORITY SECTION:
    isc.org.        4084    IN    NS    ns.isc.afilias-nst.info.
    isc.org.        4084    IN    NS    ams.sns-pb.isc.org.
    isc.org.        4084    IN    NS    ord.sns-pb.isc.org.
    isc.org.        4084    IN    NS    sfba.sns-pb.isc.org.

    ;; ADDITIONAL SECTION:
    mx.ams1.isc.org.    484    IN    A    199.6.1.65
    mx.ams1.isc.org.    484    IN    AAAA    2001:500:60::65
    mx.pao1.isc.org.    484    IN    A    149.20.64.53
    mx.pao1.isc.org.    484    IN    AAAA    2001:4f8:0:2::2b
    _sip._udp.isc.org.    4084    IN    SRV    0 1 5060 asterisk.isc.org.

    ;; Query time: 176 msec
    ;; SERVER: x.x.x.x#53(x.x.x.x)
    ;; WHEN: Tue Oct 30 01:14:32 2012
    ;; MSG SIZE rcvd: 3223
    Таким образом, DDoS-атаку можно усиливать в десятки раз, умножая трафик с помощью DNS-серверов. В данном случае усиление составляет 3223/64≈50 раз. Любопытно, что в значительной мере усиление DDoS-атаки достигнуто благодаря большим ключам DNSSEC, которые включены в тело ответа, а ведь протокол DNSSEC внедрялся с целью повысить безопасность системы DNS.
    DDoS атака с умножением через DNS
    Установленные у провайдеров серверы обычно имеют большую пропускную способность, так что сгенерировать пару десятков гигабит в секунду для них — вполне реальная задача.
    Специалисты Cloudflare обнаружили в интернете 68459 открытых DNS-серверов, в том числе 862 в России. Они обозначены на карте, если навести курсор на страну. Все эти серверы можно использовать для эффективной DDoS-атаки.