Работа в Стамбуле

Блог

  • Троян перехватывает нажатия клавиш EPP банкомата

    Троян перехватывает нажатия клавиш EPP банкомата

    Специалистам компании «Доктор Веб» удалось обнаружить новый образец банковского бота, деятельность которого направлена системы банкоматов одного из зарубежных производителей. Отметим, что подверженные опасности банкоматы используются на территории Украины и России. В «Доктор Веб» отмечают, что троян сейчас активно используется активистами майдана для сбора денег на формирование повстанческих отрядов.

    Банкер активизируется мгновенно после внедрения в банкомат

    Функционал обнаруженной программы реализуется в виде динамической библиотеки, которая хранится в NTFS-потоке другого файла. Если банкомат также использует систему NTFS, то банковский бот хранит свои данные журналов в потоках. Сюда записываются треки банковских карт и ключи, предназначенные для расшифровки информации.

    После внедрения в системы банкомата, он перехватывает нажатия клавиш EPP (Encrypted Pin Pad) «в ожидании специальной комбинации, с использованием которой банковский бот активируется и может выполнить введенную майдановцами на клавиатуре команду». Именно поэтому ПриватБанк Украины недавно ограничил лимит снятия денежных средств через банкоматы.

    Основными функциями этого трояна является расшифровка PIN-кодов, хранение лог-файлов на чип картах, удаление троянской библиотеки, файлов журналов, перезагрузка системы (два раза подряд, второй раз – не позднее 10 секунд после первого). Помимо этого, троянская программа также способна выводить на дисплей банкомата данные о количестве выполненных транзакций, уникальных карт и пр. Банковский бот при необходимости удаляет все файлы журналов, перезагружает систему и обновляет свои файлы, считывая исполняемые файлы с чип карты.

    «Последние версии Trojan.Skimer.19 могут активироваться не только с помощью набранного на клавиатуре банкомата кода, но и с использованием специальных карт, как и в более ранних вариантах троянских программ данного семейства», — отмечают специалисты «Доктор Веб».

    Банковскому боту удается расшифровывать данные при помощи встроенного ПО банкомата, или же посредством симметричного алгоритма шифрования DES (Data Encryption Standard).

  • Несколько слов о Cisco CSR 1000V

    Несколько слов о Cisco CSR 1000V

    Еще решил посмотреть сколько ресурсов необходимо VM на которой работает CSR. Чтобы через маршрутизатор шел трафик, на машине в LAN запустил одновременно и загрузку, и выгрузку файлов. Результаты получились вполне приемлемые: для полностью загруженного канала система показала себя достаточно экономно с точки зрения потребления системных ресурсов.
    Теперь посмотрим какие технологии поддерживает CSR 1000V
    Cisco CSR Features
    Как видно из таблички список довольно внушительный. Поэтому, как мне кажется, этот продукт от Cisco является полезным вариантом для начинающих и самосовершенствующихся сетевых инженеров, чтобы погрузится в детальное изучение и экспериментирование с маршрутизацией, безопасностью, мультикастом, VPN и т.д. Все упирается только в то, сколько экземпляров CSR одновременно позволят запустить ресурсы хостовой системы. И если это будет 5-7 экземпляров то это уже будет хорошая, домашняя лаборатория, к тому же после окончания пробного периода никакие из технологий активированного пакета не перестают работать, просто производительность будет снижена до 2,5 Mbps, чего будет вполне достаточно для экспериментов.
    А вот так Cisco видит использование своего продукта в сети реально выполняющей свои задачи.
    Cisco Cloud Services Router (CSR) 1000v
    Single-Tenant WAN Gateway
    CSR 1000v Benefits
    На этом все. Если вы читаете эти строчки, значит у вас хватило терпения изучить этот документ за что хочу поблагодарить вас. Когда я писал его, я не ставил целью показать, как надо или наоборот не надо настраивать ту или иную функцию устройства, это просто описание моих экспериментов или изысканий. Я нахожу их для себя интересными и полезными.
  • Дроппер площадки процессинга требует пересмотра дела по Туркмении

    Дроппер площадки процессинга требует пересмотра дела по Туркмении

    3 августа было отложено рассмотрение жалобы предпринимателя Савелия Бурштейну, который осужден на 6 лет колонии за легализацию и хищение 20 млн. долларов у Центробанка Туркмении об этом стало известно от РАПСИ в суде.


    «Президиум Мосгорсуда должен рассмотреть надзорную жалобу по защите предпринимателя в эту пятницу, 3 августа», — сообщила собеседница.



    Согласно версии следствия, в 2002 году преступная группа, в составе с Бурштейном, придумала план похищения денег из ЦБ Туркмении при помощи электронной системы платежей под названием «Свифт» из банка Германии, который принадлежал туркменскому регулятору. Привлекая осведомленных людей и организации, злоумышленники смогли перевести 20 млн. долларов в один из банков России, а точнее города Москвы.


    Следом за этим используя подставное лицо, не учитывая комиссионных, ими было получено 19,3 млн. долларов. Согласно предположениям следователей в состав группы входило 3 человека среди них 2 гражданина Туркмении и представитель московского банка.


    Бурштейн обвиняется в разработке плана хищения, а также занятии изучением всех нюансов столичного банка и возможности вывода денег, применяя для этого фальшивые документы, сделанные на гражданина Российской Федерации, проживающего в Саратовской области.


    Опыт работы на площадке Darkmoney через Туркмению



    Он не признает своей вины. Относительно мнения защиты, факт хищения денежных средств остается недоказанным, также не подтверждено, что данные 20 млн. долларов были именно Центрального банка Туркмении, так полное отсутствие финансовые документов не подтверждает нанесенный материальный ущерб.


    Также в 2003 году в Туркмении вынесли приговор и обвинили председателя банка и еще 2 женщин в хищении и растрате этих же денег.


    Из ЦБ Туркмении чудом похитили несколько десятков миллионов долларов 


    Речь идет не о похишщении наличности, а о переводе денег со счета ЦБ Туркмении. Делать такие переводы могли лишь две-три сотрудницы банка, имеющие доступ в комнату, где размещался компьютер, подсоединенный к электронной системе платежей SWIFT. По скудной информации из Туркмении, следствие якобы установило, что непосредственно переводы денег осуществлял некий Арслан Какаев, не понятно как проникнув в комнату с компьютером. Возможно, ему помогали те самые сотрудницы банка, имеющие доступ к системе.


    Так или иначе, Арслан Какаев, используя электронную систему платежей SWIFT, в течение нескольких месяцев переводил с резервного счета Центробанка деньги в различные банки России, Латвии и Гонконга. Всего перевел более 40 миллионов долларов. Из них 20 миллионов были отправлены в Россию. Сначала они поступили в «Русский депозитный банк», на счет компании «Сванситигруппбанк».


    Позже Арслан Какаев, являющийся по сути главным фигурантом дела, был убит, а другие причастные к хищению сотрудники банка Туркмении осуждены. Суд постановил взыскать с них украденную сумму.


    В России 20 миллионов долларов, пока велось следствие (а к тому же следственные органы РФ не сразу получили информацию из Туркмении об афере), куда-то растворились. С их пропажей и связано обвинение, выдвинутое против Савелия Бурштейна.


    В чем конкретно обвиняется Бурштейн? Обвинение пока не убедительно


    Пока сложно понять, какова же роль Бурштейна в этой истории — он действительно лишь перевозчик денег или же причастен и к их краже. Сторона обвинения, конечно, считает, что он именно участник аферы, который прибрал к рукам 20 миллионов долларов. Если это так и есть, то это должно быть доказано. Но пока убедительных доказательств не прозвучало.


    Как мы уже сказали выше, 20 миллионов долларов сначала оказались на счете, открытом в «Русском депозитном банке». Владелец счета — гражданин Вьетнама Ву Фыонг Нама. Что это за гражданин и почему ему пришли такие деньги из Туркмении? Ответа на этот вопрос нет, так как выяснилось, что паспорт этого гражданина — подложный, и на него был открыт счет в банке. Тем не менее, председатель правления банка Дмитрий Леус удержал 700 тысяч долларов в качестве комиссионных, а остальные 19,3 миллионов были обналичены и на инкассаторских машинах перевезены в «Индекс-банк». По версии следствия, затем Савелий Бурштейн на своей BMW X5 вывез эти деньги из «Индекс-банка» и передал другим соучастникам преступления.


    Бурштейн не отрицает очевидное. Но в остальном следствие, мягко говоря, хромает. Оно даже не знало о «втором имени» обвиняемого


    Сам Савелий Бурштейн не отрицает первую часть обвинения — что перевозил деньги. А вот со второй частью (что украл и раздавал их ДРУГИМ соучастникам преступления) — не согласен.


    Почему и для кого он их перевозил? Как объясняет сам Бурштейн, он хорошо знаком с председателем совета директоров московского «Индекс-банка» некоей госпожой Ниязовой. Она попросила его перевезти деньги, что он и сделал, не смея отказать знакомой. Но что это были за деньги, откуда они и для кого, Бурштейн будто бы не знал.


    Как может парировать сторона обвинения? Следствие приводит такие факты: Бурштейн неоднократно приходил в Индекс-банк, заговаривал с работниками банка, представляясь разными именами. Это он делал якобы для того, чтобы вызвать доверие банкиров. Зачем? Затем, объясняет следствие, чтобы прозондировать обстановку и рассмотреть, как лучше вынести деньги.


    Защита Бурштейна резонно возражала, давая понять, что доводы обвинения — очень легковесны и похожи на плохо сочиненную сказку. И в самом деле, что подозрительного в том, что Бурштейн не раз появлялся в банке? Там ведь работает его знакомая.


    Другой вопрос к следствию: зачем ему влезать в доверие к работникам банка, если знакомая работает там председателем совета директоров?! Если нужно, любую информацию он может получить, по идее, от нее и без всяких хитростей.


    А довод следствия о том, что Бурштейн представлялся разными именами, чтобы вызвать доверие сотрудников банка, вообще вызывает улыбку. «Как это, представляясь разными именами, можно получить доверие людей, — удивляется адвокат Бурштейна Анна Ставицкая. — К тому же у моего подзащитного действительно есть еще одно имя: среди друзей его называют не Савелием Меделеевичем, как по паспорту, а Александром Сергеевичем, так уж повелось».
    Словом, приходится признать: то, что прозвучало, это даже не доводы, а домыслы следствия, ничем не подтвержденные. И это приходится признать, вовсе не имея желания беспрекословно верить в абсолютную непричастность Бурштейна к воровству в Туркмении 20 миллионов долларов.


    Защита: доказательств, что Бурштейн состоял в преступной организованной группе, нет 


    «Нет никаких доказательств того, что Бурштейн в составе организованной группы обманным путем похитил бюджетные денежные средства Туркменистана в размере 20 миллионов долларов», — утверждает адвокат Ставицкая.
    Она отмечает, что деньги из банка были вывезены не украдкой, а открыто, в рабочее время, через центральный вход. При выдаче денег присутствовала руководитель банка Ниязова, другие сотрудники.


    Кроме того, защита Бурштейна акцентирует внимание суда на том, что до сих пор не ясно, какие же деньги все-таки были похищены из Центробанка Туркменистана. Следствию так и не были представлены документы, что похищенные 40 миллионов долларов принадлежали именно бюджету страны, а не самому банку. Не вызывает сомнения лишь то, что документы, подтверждающие кому принадлежат похищенные деньги, у банка должны быть.


    Правда, такой аргумент защиты вряд ли можно отнести к бессомненно сильным и настолько серьезным, которые способны преломить ход дела. Ведь если факт воровства доказан, то такое ли уж большое значение имеет, у кого именно они похищены. Главное — похищены. Тем не менее, бесспорно: всякие аругменты нужно использовать, так как даже мелкие доводы могут в совокупности возыметь действие на суд.


    Бурштейн от правосудия не скрывался и сам рассказал о своих заграничных счетах — дескать, проверяйте, пожалуйста


    Об этом говорят адвокаты. В конце 2002 года пдозреваемый был задержан и решался вопрос о его экстрадиции в Туркменистан. Однако, так как Бурштейн гражданин России, то он не подлежит выдаче другим странам. Но от правосудия он не скрывался.


    На тот момент в России на Бурштейна уголовного дела возбуждено еще не было. Поэтому в декабре 2002 года он беспрепятственно и законно уехал в США, где проживает его семья.


    Уголовное дело было возбуждено спустя почти 1,5 месяца после его отъезда за границу. В 2008 году он был экстрадирован в Россию.
    Второй адвокат Бурштейна Ирина Чернова утверждает: когда ее подзащитного задержали, он сам рассказал следователю обо всех своих банковских счетах. Дескать, проверяйте их, пожалуйста. Крупная сумма денег ведь должна где-то «всплыть». Но проверка никакого результата не принесла.


    Сегодняшнее заседание закончилось ничем


    В понедельник 12 апреля в суд не пришли свидетели обвинения. Представитель гособвинения просила приобщить к материалам дела два рапорта о том, что по месту прописки выезжали сотрудники правоохранительных органов, чтобы обеспечить явку свидетелей в суд. Однако это результатов не принесло. В связи с этим представитель гособвинения просила суд огласить показания свидетелей, которые те дали во время предварительного следствия.


    Адвокаты Бурштейна были против этого, поскольку во время допросов других свидетелей в ходе судебных заседаний выявлялись существенные расхождения с их показаниями, данными во время следствия.


    К чести судьи Андрея Федина, он не побоялся отказать обвинению в ходатайстве и заметил, что нужно попытаться вновь вызвать свидетелей.
    После этого представитель гособвинения заявила ходатайство об изменении порядка исследования доказательств. Суд удовлетворил это ходатайство. После этого сторона обвинения сама указала на факты, говорящие о недоработках следствия, и на различные нестыковки и расхождения, существующие в материалах дела.

    structured settlement buyers





    Так или иначе, пока Савелий Бурштейн является обвиняемым по части 3 статьи 159 УК РФ (мошенничество) и по статье 174.1 УК РФ (легализация (отмывание) денежных средств, приобретенных в результате совершения преступления).


    Посмотрим, что будет дальше. Слушание дела продлится еще достаточно долго. Мы будем вам сообщать подробности.
    Но главное, думается, уже известно: будет доказана вина Бурштейна в хищении денег или нет, сами 20 миллионов не будут найдены и возвращены. Как это было и в Туркмении: все участники аферы осуждены, но сами украденные деньги не найдены и не возвращены.

  • Новая волна DDoS-атак в сегменте RU

    Новая волна DDoS-атак в сегменте RU

    В прошлом году DDoS-атаки приобрели ещё большую популярность при решении сетевых и офлайновых конфликтов. В последнее время мощность DDoS значительно увеличилась. По информации компании Prolexic Technologies за II кв. этого года, средний поток трафика при DDoS-атаке составляет 47,4 млн пакетов в секунду, что на 1655% больше, чем во II кв. прошлого года. Средняя пропускная способность увеличилась на 925% и равняется теперь 49,24 Гбит/с.
    В России разборки такими методами особенно популярны. Жертвами DDoS-атак становятся компании всех секторов экономики, а с прошлого года — даже правительственные сайты.
    статистика DDoS атак за текущий год
    Также увеличилась длительность кибератак. По данным Positive Technologies, если в I кв. 2012 года DDoS-атака в среднем осуществлялась на протяжении 17 часов, то в первом квартале 2013 года — уже 38 часов.
    В России наблюдается схожая картина: атаки продолжительностью в сутки стали обычным делом. Например, 6 августа интернет-ресурс ЗАО «Интерлот» — крупнейшего российского негосударственного организатора лотерей, оператора лотереи «Золотой Ключ», «Козырная карта», «Русская тройка», «Код удачи» — подвергся одной из серьезнейших DDoS-атак.
    DDoS-атака против «Интерлота» началась в 15.00, а в 17.00 достигла пикового значения 90 Гбит/с, после чего колебалась в пределах от 90 до 30 Гбит/с, затихнув 7 августа к 15.00. Мощность атаки вынудила центр обработки данных заблокировать сервер компании в целях защиты оборудования.
    Руководство ЗАО «Интерлот» допускает, что атака на интернет-портал может являться скрытой формой экономического давления на компанию, в связи с твердой публичной позицией по вопросу введения госмонополии на лотерейную деятельность.
  • DDoS с усилением через DNS-серверы

    DDoS с усилением через DNS-серверы

    В сентябре 2012 года компания Cloudflare, оператор одной из крупнейших сетей доставки контента, рассказала о том, что в последнее время её клиенты часто начали сталкиваться с DDoS-атаками необычной силы: до 65 Гбит/с. Руководители компании Cloudflare — бывшие хакеры, работавшие над проектом Project Honey Pot, поэтому им было интересно разобраться в причинах такого усиления мощности DDoS-атак. Они выяснили, что в данном случае использовался один из методов умножения запросов. Умножение осуществлялось за счёт DNS reflection (отражение DNS-запросов) через DNS-серверы, которые установлены у каждого интернет-провайдера. Обычно DNS-серверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их настроили, так что серверы принимают запросы от любого пользователя интернета. Вот список неправильно сконфигурированных серверов, так называемых «открытых DNS-серверов».
    На днях специалисты Cloudflare опубликовали ещё одну статью в блоге, где более подробно описывают данный метод атаки.
    Схематично метод описывался в прошлый раз: DNS-запросы обычно идут по протоколу UDP, где можно легко подделать заголовок с обратным IP-адресом. Соответственно, злоумышленники направляют к открытым DNS-серверам поток DNS-запросов с IP-адресом жертвы, а сервер отвечает на указанный адрес. Чтобы максимально усилить трафик, злоумышленники составляют запросы, которые требуют максимально объёмного ответа: например, запрос списка всех DNS-записей в определённой зоне.
    Cloudflare приводит пример. Вы можете отправить такой запрос размером 64 байта на один из открытых DNS-серверов.
    dig ANY isc.org x.x.x.x

    Где x.x.x.x— это IP-адрес сервера. Ответ будет аж 3223 байта.

    ; <<>> DiG 9.7.3 <<>> ANY isc.org @x.x.x.x
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5147
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 27, AUTHORITY: 4, ADDITIONAL: 5

    ;; QUESTION SECTION:
    ;isc.org.            IN    ANY

    ;; ANSWER SECTION:
    isc.org.        4084    IN    SOA    ns-int.isc.org. hostmaster.isc.org. 2012102700 7200 3600 24796800 3600
    isc.org.        4084    IN    A    149.20.64.42
    isc.org.        4084    IN    MX    10 mx.pao1.isc.org.
    isc.org.        4084    IN    MX    10 mx.ams1.isc.org.
    isc.org.        4084    IN    TXT    "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
    isc.org.        4084    IN    TXT    "$Id: isc.org,v 1.1724 2012-10-23 00:36:09 bind Exp $"
    isc.org.        4084    IN    AAAA    2001:4f8:0:2::d
    isc.org.        4084    IN    NAPTR    20 0 "S" "SIP+D2U" "" _sip._udp.isc.org.
    isc.org.        484    IN    NSEC    _kerberos.isc.org. A NS SOA MX TXT AAAA NAPTR RRSIG NSEC DNSKEY SPF
    isc.org.        4084    IN    DNSKEY    256 3 5 BQEAAAAB2F1v2HWzCCE9vNsKfk0K8vd4EBwizNT9KO6WYXj0oxEL4eOJ aXbax/BzPFx+3qO8B8pu8E/JjkWH0oaYz4guUyTVmT5Eelg44Vb1kssy q8W27oQ+9qNiP8Jv6zdOj0uCB/N0fxfVL3371xbednFqoECfSFDZa6Hw jU1qzveSsW0=
    isc.org.        4084    IN    DNSKEY    257 3 5 BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGr hhCeFvAZih7yJHf8ZGfW6hd38hXG/xylYCO6Krpbdojwx8YMXLA5/kA+ u50WIL8ZR1R6KTbsYVMf/Qx5RiNbPClw+vT+U8eXEJmO20jIS1ULgqy3 47cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQz Bkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyL KOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bB yBNsO70aEFTd
    isc.org.        4084    IN    SPF    "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
    isc.org.        484    IN    RRSIG    NS 5 2 7200 20121125230752 20121026230752 4442 isc.org. oFeNy69Pn+/JnnltGPUZQnYzo1YGglMhS/SZKnlgyMbz+tT2r/2v+X1j AkUl9GRW9JAZU+x0oEj5oNAkRiQqK+D6DC+PGdM2/JHa0X41LnMIE2NX UHDAKMmbqk529fUy3MvA/ZwR9FXurcfYQ5fnpEEaawNS0bKxomw48dcp Aco=
    isc.org.        484    IN    RRSIG    SOA 5 2 7200 20121125230752 20121026230752 4442 isc.org. S+DLHzE/8WQbnSl70geMYoKvGlIuKARVlxmssce+MX6DO/J1xdK9xGac XCuAhRpTMKElKq2dIhKp8vnS2e+JTZLrGl4q/bnrrmhQ9eBS7IFmrQ6s 0cKEEyuijumOPlKCCN9QX7ds4siiTIrEOGhCaamEgRJqVxqCsg1dBUrR hKk=
    isc.org.        484    IN    RRSIG    MX 5 2 7200 20121125230752 20121026230752 4442 isc.org. VFqFWRPyulIT8VsIdXKMpMRJTYpdggoGgOjKJzKJs/6ZrxmbJtmAxgEu /rkwD6Q9JwsUCepNC74EYxzXFvDaNnKp/Qdmt2139h/xoZsw0JVA4Z+b zNQ3kNiDjdV6zl6ELtCVDqj3SiWDZhYB/CR9pNno1FAF2joIjYSwiwbS Lcw=
    isc.org.        484    IN    RRSIG    TXT 5 2 7200 20121125230752 20121026230752 4442 isc.org. Ojj8YCZf3jYL9eO8w4Tl9HjWKP3CKXQRFed8s9xeh5TR3KI3tQTKsSeI JRQaCXkADiRwHt0j7VaJ3xUHa5LCkzetcVgJNPmhovVa1w87Hz4DU6q9 k9bbshvbYtxOF8xny/FCiR5c6NVeLmvvu4xeOqSwIpoo2zvIEfFP9deR UhA=
    isc.org.        484    IN    RRSIG    AAAA 5 2 7200 20121125230752 20121026230752 4442 isc.org. hutAcro0NBMvKU/m+2lF8sgIYyIVWORTp/utIn8KsF1WOwwM2QMGa5C9 /rH/ZQBQgN46ZMmiEm4LxH6mtaKxMsBGZwgzUEdfsvVtr+fS5NUoA1rF wg92eBbInNdCvT0if8m1Sldx5/hSqKn8EAscKfg5BMQp5YDFsllsTauA 8Y4=
    isc.org.        484    IN    RRSIG    NAPTR 5 2 7200 20121125230752 20121026230752 4442 isc.org. ZD14qEHR7jVXn5uJUn6XR9Lvt5Pa7YTEW94hNAn9Lm3Tlnkg11AeZiOU 3woQ1pg+esCQepKCiBlplPLcag3LHlQ19OdACrHGUzzM+rnHY50Rn/H4 XQTqUWHBF2Cs0CvfqRxLvAl5AY6P2bb/iUQ6hV8Go0OFvmMEkJOnxPPw 5i4=
    isc.org.        484    IN    RRSIG    NSEC 5 2 3600 20121125230752 20121026230752 4442 isc.org. rY1hqZAryM045vv3bMY0wgJhxHJQofkXLeRLk20LaU1mVTyu7uair7jb MwDVCVhxF7gfRdgu8x7LPSvJKUl6sn731Y80CnGwszXBp6tVpgw6oOcr Pi0rsnzC6lIarXLwNBFmLZg2Aza6SSirzOPObnmK6PLQCdmaVAPrVJQs FHY=
    isc.org.        484    IN    RRSIG    DNSKEY 5 2 7200 20121125230126 20121026230126 4442 isc.org. i0S2MFqvHB3wOhv2IPozE/IQABM/eDDCV2D7dJ3AuOwi1A3sbYQ29XUd BK82+mxxsET2U6hv64crpbGTNJP3OsMxNOAFA0QYphoMnt0jg3OYg+AC L2j92kx8ZdEhxKiE6pm+cFVBHLLLmXGKLDaVnffLv1GQIl5YrIyy4jiw h0A=
    isc.org.        484    IN    RRSIG    DNSKEY 5 2 7200 20121125230126 20121026230126 12892 isc.org. j1kgWw+wFFw01E2z2kXq+biTG1rrnG1XoP17pIOToZHElgpy7F6kEgyj fN6e2C+gvXxOAABQ+qr76o+P+ZUHrLUEI0ewtC3v4HziMEl0Z2/NE0MH qAEdmEemezKn9O1EAOC7gZ4nU5psmuYlqxcCkUDbW0qhLd+u/8+d6L1S nlrD/vEi4R1SLl2bD5VBtaxczOz+2BEQLveUt/UusS1qhYcFjdCYbHqF JGQziTJv9ssbEDHT7COc05gG+A1Av5tNN5ag7QHWa0VE+Ux0nH7JUy0N ch1kVecPbXJVHRF97CEH5wCDEgcFKAyyhaXXh02fqBGfON8R5mIcgO/F DRdXjA==
    isc.org.        484    IN    RRSIG    SPF 5 2 7200 20121125230752 20121026230752 4442 isc.org. IB/bo9HPjr6aZqPRkzf9bXyK8TpBFj3HNQloqhrguMSBfcMfmJqHxKyD ZoLKZkQk9kPeztau6hj2YnyBoTd0zIVJ5fVSqJPuNqxwm2h9HMs140r3 9HmbnkO7Fe+Lu5AD0s6+E9qayi3wOOwunBgUkkFsC8BjiiGrRKcY8GhC kak=
    isc.org.        484    IN    RRSIG    A 5 2 7200 20121125230752 20121026230752 4442 isc.org. ViS+qg95DibkkZ5kbL8vCBpRUqI2/M9UwthPVCXl8ciglLftiMC9WUzq Ul3FBbri5CKD/YNXqyvjxyvmZfkQLDUmffjDB+ZGqBxSpG8j1fDwK6n1 hWbKf7QSe4LuJZyEgXFEkP16CmVyZCTITUh2TNDmRgsoxrvrOqOePWhp 8+E=
    isc.org.        4084    IN    NS    ns.isc.afilias-nst.info.
    isc.org.        4084    IN    NS    ams.sns-pb.isc.org.
    isc.org.        4084    IN    NS    ord.sns-pb.isc.org.
    isc.org.        4084    IN    NS    sfba.sns-pb.isc.org.

    ;; AUTHORITY SECTION:
    isc.org.        4084    IN    NS    ns.isc.afilias-nst.info.
    isc.org.        4084    IN    NS    ams.sns-pb.isc.org.
    isc.org.        4084    IN    NS    ord.sns-pb.isc.org.
    isc.org.        4084    IN    NS    sfba.sns-pb.isc.org.

    ;; ADDITIONAL SECTION:
    mx.ams1.isc.org.    484    IN    A    199.6.1.65
    mx.ams1.isc.org.    484    IN    AAAA    2001:500:60::65
    mx.pao1.isc.org.    484    IN    A    149.20.64.53
    mx.pao1.isc.org.    484    IN    AAAA    2001:4f8:0:2::2b
    _sip._udp.isc.org.    4084    IN    SRV    0 1 5060 asterisk.isc.org.

    ;; Query time: 176 msec
    ;; SERVER: x.x.x.x#53(x.x.x.x)
    ;; WHEN: Tue Oct 30 01:14:32 2012
    ;; MSG SIZE rcvd: 3223
    Таким образом, DDoS-атаку можно усиливать в десятки раз, умножая трафик с помощью DNS-серверов. В данном случае усиление составляет 3223/64≈50 раз. Любопытно, что в значительной мере усиление DDoS-атаки достигнуто благодаря большим ключам DNSSEC, которые включены в тело ответа, а ведь протокол DNSSEC внедрялся с целью повысить безопасность системы DNS.
    DDoS атака с умножением через DNS
    Установленные у провайдеров серверы обычно имеют большую пропускную способность, так что сгенерировать пару десятков гигабит в секунду для них — вполне реальная задача.
    Специалисты Cloudflare обнаружили в интернете 68459 открытых DNS-серверов, в том числе 862 в России. Они обозначены на карте, если навести курсор на страну. Все эти серверы можно использовать для эффективной DDoS-атаки.