Cum să efectuezi un atac DDoS și să fii închis timp de șapte ani. Ce este un atac DDoS - esența și originea lui Pedeapsa pentru DDoS

Atacurile distribuite de rețea sunt adesea numite atacuri Distributed Denial of Service (DDoS). Acest tip de atac folosește anumite limitări ale lățimii de bandă care sunt tipice pentru orice resurse de rețea, de exemplu, infrastructura care oferă condiții pentru funcționarea site-ului web al unei companii. Un atac DDoS trimite un număr mare de solicitări către resursa web atacată pentru a depăși capacitatea site-ului de a le procesa pe toate... și de a provoca o refuz de serviciu.

Țintele standard ale atacurilor DDoS:

• Site-uri de cumpărături online
• Cazinou online
• O companie sau organizație a cărei activitate este legată de furnizarea de servicii online

Cum funcționează un atac DDoS?

Resursele de rețea, cum ar fi serverele web, au limite privind numărul de solicitări pe care le pot servi simultan. Pe lângă încărcarea permisă pe server, există și limitări ale lățimii de bandă a canalului care conectează serverul la Internet. Când numărul de solicitări depășește capacitatea oricărei componente de infrastructură, pot apărea următoarele:

• Încetinire semnificativă a timpului de răspuns la solicitări.
• Refuzarea serviciului pentru toate sau o parte din solicitările utilizatorilor.

De regulă, scopul final al unui atacator este să oprească complet funcționarea unei resurse web - „denial of service”. Atacatorul poate cere și bani pentru a opri atacul. În unele cazuri, un atac DDoS poate fi o încercare de a discredita sau de a distruge afacerea unui concurent.

Utilizarea unei rețele de calculatoare zombie pentru a efectua atacuri DDoS

Pentru a trimite un număr foarte mare de solicitări către o resursă a victimei, un criminal cibernetic creează adesea o rețea de „calculatoare zombie” infectate. Deoarece criminalul controlează acțiunile fiecărui computer infectat din , atacul poate fi prea puternic pentru resursa web a victimei.

Natura amenințărilor moderne DDoS

La începutul și mijlocul anilor 2000, o astfel de activitate criminală era destul de comună. Cu toate acestea, numărul de atacuri DDoS reușite este în scădere. Acest lucru se datorează probabil următorilor factori:

• Anchete ale poliției care au dus la arestarea criminalilor din întreaga lume
• Contramăsuri tehnice care au fost utilizate cu succes pentru a contracara atacurile DDoS

Companiile propun modificarea capitolului 28 din Codul penal „Infracțiuni în domeniul informației informatice”.

După cum sa spus zilnic RBC, amendamentele vor avea ca scop introducerea:

— caracteristici suplimentare de calificare, inclusiv organizarea și execuția Atacurile DDoS, in spate phishing(un tip de fraudă pe internet, al cărei scop este de a obține acces la datele confidențiale ale utilizatorilor - login-uri și parole) și spam,

— desemnarea elementelor infracțiunilor și clarificarea bazei de probe pentru acestea;

- identificarea locului crimei.

Este de așteptat ca aceste modificări să ajute la rezolvarea problemei criminalității cibernetice. După cum a raportat principalul analist al RAEC Irina Levova, „în prezent proiecte de amendamente la capitolul 28 din Codul penal al Federației Ruse în etapa de aprobare a conceptului, proiectele de amendamente la anumite acte legislative care vizează combaterea spamului sunt în stadiul final.”

Comentariu expert:

Maxim Yankevich, șeful proiectelor Internet:

„Însuși ideea de a prinde și pedepsi atacurile DDoS și acțiuni similare este probabil solidă. Acum, de fapt, nu există nimic ilegal în DDoS. Ele nu distrug fizic serverele, nu încearcă să pirateze codul programului sau să obțină date neautorizate. Pur și simplu accesează serverul mult mai des decât, să zicem, ieri.

E ca și cum la ora unu după-amiaza mii de oameni încep să treacă pe sub ferestrele tale în același timp, strigând, poate cineva va suna la ușă. Este neplăcut, poate chiar înfricoșător, dar nu ilegal.

O altă întrebare: cine ar trebui pedepsit? Făptuitorii direcți sunt utilizatorii computerelor infectate (bună ziua Kaspersky Lab), dar cu siguranță nu sunt de vină.

Este interesant că datele despre cel mai puternic atac asupra LiveJournal (site-ul www.livejournal.com), care, în mod ironic, a avut loc a doua zi după inițiativa în discuție, arată că atacul nu a venit din Rusia. Participanți la botnet: țări europene, Asia (inclusiv Asia de sud-est), China.

Proprietarii de botnet, desigur, ar trebui prinși și ar trebui făcut ceva cu ei. Dar nu este un fapt că sunt din Rusia.

În plus, o problemă separată o reprezintă clienții. Dacă vor fi găsite dacă inițiativa trece brusc, puțini știu.”

________________________________________________________________________________

Potrivit analiștilor, în acest an este de așteptat o nouă creștere a numărului și a puterii atacurilor DDoS și a atacurilor asupra sectorului financiar și este de asemenea așteptat un nou val de utilizare a tehnicilor de inginerie socială pentru a distribui malware, a fura informații personale și a fraudei pe internet. .

Nu este nevoie de multă inteligență pentru a comanda un atac DDoS. Plătește hackerii și gândește-te la panica concurenților tăi. Mai întâi de pe scaunul regizorului, apoi din patul de închisoare.

Vă explicăm de ce apelarea la hackeri este ultimul lucru pe care ar trebui să-l facă un antreprenor onest și care sunt consecințele.

Cum să faci un atac DDoSchiar și un școlar știe

Astăzi, instrumentele pentru organizarea unui atac DDoS sunt disponibile pentru toată lumea. Bariera de intrare pentru hackerii începători este scăzută. Prin urmare, ponderea atacurilor scurte, dar puternice asupra site-urilor rusești crescut . Se pare că grupurile de hackeri doar își exersează abilitățile.

Caz elocvent. În 2014, portalul educațional al Republicii Tatarstan a suferit atacuri DDoS. La prima vedere, atacul nu are rost: aceasta nu este o organizație comercială și nu este nimic de cerut. Portalul afișează notele, orele de curs și așa mai departe. Nu mai. Experții Kaspersky Lab au găsit un grup VKontakte în care au discutat studenți și școlari din Tatarstan cum să faci un atac DDoS.

Comunitate de tineri luptători împotriva sistemului Republicii Tatarstan

Interogări derivate din „cum să faci un atac DDoSTatarstan” a condus experții în securitate cibernetică la un anunț interesant. Interpreții au fost găsiți rapid și au fost nevoiți să plătească daune.

Obișnuiau să rupă paginile din jurnale, dar acum piratau site-uri web

Datorită simplității atacurilor DDoS, începătorii fără principii morale sau fără înțelegere a capacităților lor îi iau. De asemenea, pot revândi datele clienților. Întinerirea autorilor atacurilor DDoS este o tendință globală.

Închisoare în primăvara anului 2017 primit de un student britanic. Când avea 16 ani, a creat program pentru atacuri DDoSStresor de titan. Britanicul a câștigat 400 de mii de lire sterline (29 de milioane de ruble) din vânzarea sa. Cu asta programe DDoS a efectuat 2 milioane de atacuri asupra a 650 de mii de utilizatori din întreaga lume.

Adolescenții s-au dovedit a fi membri ai unor mari grupuri DDoS Lizard Squad și PoodleCorp. Tinerii americani au venit cu propriile lor programe DDoS , dar le-a folosit pentru a ataca serverele de jocuri pentru a obține avantaje în jocurile online. Așa au fost găsite.

Fie că să le încredeți în reputația companiei școlarilor de ieri, fiecare va decide singur.

Pedeapsa pentruprograme DDoSin Rusia

Cum să faci un atac DDoSinteresat de antreprenorii care nu vor să joace după regulile concurenței. Asta fac angajații Direcției „K” a Ministerului Afacerilor Interne al Rusiei. Îi prind pe interpreți.

Legislația rusă prevede pedepse pentru infracțiunile cibernetice. Pe baza practicii curente, participanții la un atac DDoS se pot înscrie în următoarele articole.

Clienți.Acțiunile lor se încadrează de obicei- acces ilegal la informații informatice protejate legal.

Pedeapsă:închisoare de până la șapte ani sau o amendă de până la 500 de mii de ruble.

Exemplu.Un angajat al departamentului de protecție a informațiilor tehnice din administrația orașului Kurgan a fost condamnat în temeiul acestui articol. A dezvoltat un multifuncțional program DDoS Meta. Cu ajutorul său, atacatorul a colectat date personale despre 1,3 milioane de locuitori ai orașului. Apoi l-am vândut băncilor și agențiilor de colectare. Hackera a primit doi ani de închisoare.

Interpreți.De regulă, ei sunt pedepsiți cu Articolul 273 din Codul penal al Federației Ruse - crearea, utilizarea și distribuirea de programe de calculator rău intenționate.

Pedeapsă.Închisoare de până la șapte ani cu o amendă de până la 200 de mii de ruble.

Exemplu.Student de 19 ani din Tolyatti a primit o pedeapsă de 2,5 ani cu suspendare și o amendă de 12 milioane de ruble. Prin utilizarea programe pentru atacuri DDoSa încercat să doboare resursele informaționale și site-urile bancare. După atac, studentul a stors bani.

Utilizatori neglijenți.Nerespectarea regulilor de securitate la stocarea datelor se pedepsește cu Articolul 274 din Codul penal al Federației Ruse - încălcarea regulilor de operare a mijloacelor de stocare, prelucrare sau transmitere a informațiilor informatice și a rețelelor de informații și telecomunicații.

Pedeapsă:închisoare de până la cinci ani sau amendă de până la 500 de mii de ruble.

Exemplu.Dacă banii au fost furați în orice mod în timpul accesului la informații, articolul va fi reclasificat drept fraudă în domeniul informațiilor informatice (). Așa că au rămas doi ani într-o colonie de așezări Hackerii din Ural care au obținut acces la serverele băncilor.

Atacurile la mass-media.Dacă atacurile DDoS vizează încălcarea drepturilor jurnalistice, acțiunile se încadrează - obstrucționarea activităților profesionale legitime ale unui jurnalist.

Pedeapsă:închisoare de până la șase ani sau o amendă de până la 800 de mii de ruble.

Exemplu.Acest articol este adesea reclasificat în altele mai dificile.Cum să faci un atac DDoS cei care au atacat Novaia Gazeta, Ekho Moskvy și Bolshoy Gorod știau. Publicațiile regionale devin și ele victimele hackerilor.

În Rusia există sancțiuni severe pentru utilizare programe DDoS . Anonimul de la Direcția „K” nu vă va salva.

Programe pentru atacuri DDoS

Potrivit experților, 2.000 de roboți sunt suficienți pentru a ataca un site obișnuit. Costul unui atac DDoS începe de la 20 USD (1.100 de ruble). Numărul de canale de atac și timpul de funcționare sunt discutate individual. Există și extorcări.

O astfel de scrisoare poate ajunge la poșta oricui. Foto roem.ru

Un hacker decent va efectua un pentest înainte de un atac. Armata ar numi această metodă „recunoaștere în forță”. Esența unui pentest este un mic atac controlat pentru a afla resursele de apărare ale site-ului.

Fapt interesant.Cum să faci un atac DDoSMulți oameni știu, dar puterea unui hacker este determinată de un botnet. Adesea, atacatorii fură cheile de acces la „armate” unul altuia și apoi le revind. Un truc binecunoscut este să „dezactivați” wi-fi-ul, astfel încât acesta să repornească forțat și să revină la setările de bază. În această stare, parola este standard. Apoi, atacatorii au acces la tot traficul organizației.

Cea mai recentă tendință a hackerilor este piratarea dispozitivelor inteligente pentru a instala mineri de criptomonede pe ele. Aceste acțiuni pot fi calificate în conformitate cu articolul privind utilizarea programelor rău intenționate (articolul 273 din Codul penal al Federației Ruse). Deci ofițeri FSB Administratorul de sistem al Centrului de Control al Misiunii a fost reținut. A instalat mineri pe echipamentul său de lucru și s-a îmbogățit. Atacatorul a fost identificat prin supratensiuni.

Hackerii vor efectua un atac DDoS asupra unui concurent. Apoi pot obține acces la puterea sa de calcul și pot extrage un Bitcoin sau doi. Numai că acest venit nu va merge către client.

Riscuri de a comanda un atac DDoS

Să rezumăm cântărind avantajele și dezavantajele comandării unui atac DDoS asupra concurenților.

Dacă concurenții au enervat afacerea, hackerii nu vor ajuta. Nu vor face decât să înrăutăţească lucrurile. Agenția „Digital Sharks” informații nedorite prin mijloace legale.

Din ce în ce mai mult, ici și colo în comunicările oficiale de la furnizorii de găzduire există referiri la atacurile DDoS reflectate. Din ce în ce mai mult, utilizatorii, când descoperă inaccesibilitatea site-ului lor, își asumă imediat DDoS. Într-adevăr, la începutul lunii martie, Runetul a experimentat un val întreg de astfel de atacuri. În același timp, experții asigură că distracția abia începe. Este pur și simplu imposibil să ignori un fenomen atât de relevant, amenințător și intrigant. Așa că astăzi să vorbim despre mituri și fapte despre DDoS. Din punctul de vedere al furnizorului de găzduire, desigur.

Zi memorabila

Pe 20 noiembrie 2013, pentru prima dată în istoria de 8 ani a companiei noastre, întreaga platformă tehnică a fost indisponibilă câteva ore din cauza unui atac DDoS fără precedent. Zeci de mii de clienți noștri din Rusia și CSI au avut de suferit, ca să nu mai vorbim de noi înșine și de furnizorul nostru de internet. Ultimul lucru pe care furnizorul a reușit să-l înregistreze înainte ca lumina albă să se estompeze pentru toată lumea a fost că canalele sale de intrare erau strâns înfundate cu traficul de intrare. Pentru a vizualiza acest lucru, imaginați-vă cada cu o scurgere obișnuită, cu Cascada Niagara care se repezi în ea.

Chiar și furnizorii mai sus din lanț au simțit efectele acestui tsunami. Graficele de mai jos ilustrează clar ce s-a întâmplat în acea zi cu traficul de internet în Sankt Petersburg și în Rusia. Observați vârfurile abrupte la 15 și 18 ore, exact în momentele în care am înregistrat atacurile. Pentru acestea bruște plus 500-700 GB.

A fost nevoie de câteva ore pentru a localiza atacul. Serverul pe care a fost trimis a fost calculat. Apoi a fost calculată ținta teroriștilor de pe internet. Știi pe cine a lovit toată artileria asta inamică? Un site pentru clienți foarte obișnuit, modest.

Mitul numărul unu: „Ținta atacului este întotdeauna furnizorul de găzduire. Acestea sunt mașinațiunile concurenților săi. Nu e al meu." De fapt, ținta cea mai probabilă a teroriștilor de pe internet este un site client obișnuit. Adică site-ul unuia dintre vecinii tăi de găzduire. Sau poate și al tău.

Nu totul este DDoS...

După evenimentele de pe site-ul nostru tehnic din 20 noiembrie 2013 și repetarea lor parțială pe 9 ianuarie 2014, unii utilizatori au început să-și asume DDoS în orice eșec special al propriului site web: „Acesta este DDoS!” și „Te confrunți din nou cu DDoS?”

Este important să ne amintim că, dacă suntem loviți de un astfel de DDoS, încât chiar și clienții noștri îl simt, îl raportăm imediat noi înșine.

Am dori să-i liniștim pe cei care se grăbesc să intre în panică: dacă este ceva în neregulă cu site-ul dvs., atunci probabilitatea ca acesta să fie DDoS este mai mică de 1%. Pur și simplu datorită faptului că unui site se pot întâmpla o mulțime de lucruri, iar aceste „multe lucruri” se întâmplă mult mai des. Vom vorbi despre metode de auto-diagnosticare rapidă a ceea ce se întâmplă exact cu site-ul dvs. într-una dintre următoarele postări.

Între timp, de dragul acurateței utilizării cuvintelor, să clarificăm termenii.

Despre termeni

Atac DoS (din limba engleză Denial of Service) - Acesta este un atac conceput pentru a determina refuzarea serviciului unui server din cauza supraîncărcării sale.

Atacurile DoS nu sunt asociate cu deteriorarea echipamentelor sau furtul de informații; scopul lor - faceți ca serverul să nu mai răspundă la solicitări. Diferența fundamentală dintre DoS este că atacul are loc de la o mașină la alta. Sunt exact doi participanți.

Dar, în realitate, nu vedem practic niciun atac DoS. De ce? Pentru că ținta atacurilor sunt cel mai adesea instalații industriale (de exemplu, servere productive puternice ale companiilor de găzduire). Și pentru a provoca un prejudiciu vizibil funcționării unei astfel de mașini, este nevoie de o putere mult mai mare decât a ei. Acesta este primul lucru. Și în al doilea rând, inițiatorul unui atac DoS este destul de ușor de identificat.

DDoS - în esență la fel ca DoS, doar atacul este natura distribuită. Nu cinci, nu zece, nu douăzeci, ci sute și mii de computere accesează un server simultan din locuri diferite. Această armată de mașini se numește botnet. Este aproape imposibil să identifici clientul și organizatorul.

Complicii

Ce fel de computere sunt incluse în botnet?

Veți fi surprins, dar acestea sunt adesea cele mai obișnuite aparate de acasă. Cine ştie?.. - foarte probabil computerul tău de acasă dus de partea răului.

Nu ai nevoie de multe pentru asta. Un atacator găsește o vulnerabilitate într-un sistem de operare sau o aplicație populară și o folosește pentru a vă infecta computerul cu un troian care, la o anumită zi și oră, comandă computerului dvs. să înceapă să efectueze anumite acțiuni. De exemplu, trimiteți cereri către un anumit IP. Fără cunoștințele sau participarea ta, desigur.

Mitul numărul doi: « DDoS se face undeva departe de mine, într-un buncăr subteran special în care stau hackeri cu barbă și ochii roșii.” De fapt, fără să știi, tu, prietenii și vecinii tăi - oricine poate fi un complice involuntar.

Acest lucru se întâmplă cu adevărat. Chiar dacă nu te gândești la asta. Chiar dacă ești teribil de departe de IT (mai ales dacă ești departe de IT!).

Mecanisme distractive de hacking sau DDoS

Fenomenul DDoS nu este uniform. Acest concept combină multe opțiuni de acțiune care duc la un singur rezultat (negarea serviciului). Să luăm în considerare tipurile de probleme pe care ni le pot aduce DDoSers.

Utilizarea excesivă a resurselor de calcul ale serverului

Acest lucru se realizează prin trimiterea de pachete la un IP specific, a cărui procesare necesită o cantitate mare de resurse. De exemplu, încărcarea unei pagini necesită executarea unui număr mare de interogări SQL. Toți atacatorii vor solicita această pagină exactă, ceea ce va cauza supraîncărcarea serverului și refuzul serviciului pentru vizitatorii normali și legitimi ai site-ului.
Acesta este un atac la nivelul unui școlar care a petrecut câteva seri citind revista Hacker. Ea nu este o problemă. Același URL solicitat este calculat instantaneu, după care accesul la acesta este blocat la nivel de server web. Și aceasta este doar o soluție.

Supraîncărcarea canalelor de comunicație către server (ieșire)

Nivelul de dificultate al acestui atac este aproximativ același cu cel anterior. Atacatorul determină cea mai grea pagină de pe site, iar botnet-ul aflat sub controlul său începe să o solicite în masă.

Imaginați-vă că partea din Winnie the Pooh care ne este invizibilă este infinit de mare
În acest caz, este, de asemenea, foarte ușor de înțeles ce anume blochează canalul de ieșire și împiedică accesul la această pagină. Solicitările similare pot fi văzute cu ușurință folosind utilități speciale care vă permit să priviți interfața de rețea și să analizați traficul. Apoi este scrisă o regulă pentru Firewall care blochează astfel de solicitări. Toate acestea se fac în mod regulat, automat și atât de rapid încât Majoritatea utilizatorilor nici măcar nu sunt conștienți de vreun atac.

Mitul numărul trei: "A Cu toate acestea, rareori ajung la găzduirea mea și le observ mereu.” De fapt, 99,9% dintre atacurile nu le vezi sau nu le simți. Dar lupta zilnică cu ei - Aceasta este munca de zi cu zi, de rutină a unei companii de găzduire. Aceasta este realitatea noastră, în care un atac este ieftin, concurența este în afara topurilor și nu toată lumea demonstrează discernământ în metodele de a lupta pentru un loc la soare.

Supraîncărcarea canalelor de comunicație către server (intrare)

Aceasta este deja o sarcină pentru cei care citesc revista Hacker mai mult de o zi.

Fotografie de pe site-ul radio Ekho Moskvy. Nu am găsit nimic mai vizual care să reprezinte DDoS cu supraîncărcarea canalelor de intrare.
Pentru a umple un canal cu trafic de intrare la capacitate maximă, trebuie să aveți o rețea botnet, a cărei putere vă permite să generați cantitatea necesară de trafic. Dar poate că există o modalitate de a trimite puțin trafic și de a primi mult?

Există, și nu doar unul. Există multe opțiuni de îmbunătățire a atacurilor, dar una dintre cele mai populare în acest moment este atac prin servere DNS publice. Experții numesc această metodă de amplificare Amplificare DNS(în cazul în care cineva preferă termenii experți). Pentru a spune simplu, imaginați-vă o avalanșă: este suficient un mic efort pentru a o sparge, dar resursele inumane sunt suficiente pentru a o opri.

Tu și cu mine știm asta server DNS public la cerere, oferă oricui informații despre orice nume de domeniu. De exemplu, întrebăm un astfel de server: spune-mi despre domeniul sprinthost.ru. Și fără ezitare, ne spune tot ce știe.

Interogarea unui server DNS este o operațiune foarte simplă. Nu costa aproape nimic sa-l contactati cererea va fi microscopica. De exemplu, așa:

Tot ce rămâne este să alegeți un nume de domeniu, informațiile despre care vor forma un pachet impresionant de date. Deci, cei 35 de octeți inițiali cu o mișcare a încheieturii se transformă în aproape 3700. Există o creștere de peste 10 ori.

Dar cum vă puteți asigura că răspunsul este trimis la adresa IP corectă? Cum să falsificăm sursa IP a unei solicitări, astfel încât serverul DNS să-și emită răspunsurile în direcția unei victime care nu a solicitat date?

Faptul este că serverele DNS funcționează conform Protocolul de comunicare UDP, care nu necesită deloc confirmarea sursei cererii. Falsificarea unui IP de ieșire în acest caz nu este foarte dificilă pentru dozator. Acesta este motivul pentru care acest tip de atac este atât de popular acum.

Cel mai important lucru este că un botnet foarte mic este suficient pentru a efectua un astfel de atac. Și mai multe DNS publice disparate, care nu vor vedea nimic ciudat în faptul că diferiți utilizatori solicită din când în când date de la aceeași gazdă. Și numai atunci tot acest trafic se va îmbina într-un singur flux și va prinde bine o „țeavă”.

Ceea ce dozatorul nu poate ști este capacitatea canalelor atacatorului. Și dacă nu calculează corect puterea atacului său și nu blochează imediat canalul către server la 100%, atacul poate fi respins destul de rapid și ușor. Folosind utilități precum TCPdump Este ușor să aflați că traficul de intrare vine de la DNS și, la nivel de firewall, blocați-l să fie acceptat. Această opțiune - refuzul de a accepta trafic de la DNS - este asociată cu un anumit inconvenient pentru toată lumea, totuși, atât serverele, cât și site-urile de pe acestea vor continua să funcționeze cu succes.

Aceasta este doar o opțiune din multe posibile pentru a îmbunătăți un atac. Există multe alte tipuri de atacuri, despre ele putem vorbi altă dată. Deocamdată, aș dori să rezumă că toate cele de mai sus sunt adevărate pentru un atac a cărui putere nu depășește lățimea canalului către server.

Dacă atacul este puternic

Dacă puterea de atac depășește capacitatea canalului către server, se întâmplă următoarele. Canalul de Internet către server este înfundat instantaneu, apoi către site-ul de găzduire, către furnizorul său de Internet, către furnizorul din amonte și așa mai departe și mai departe în sus (pe termen lung - până la cele mai absurde limite), în măsura în care puterea de atac este suficientă.

Și atunci devine o problemă globală pentru toată lumea. Și pe scurt, cu asta am avut de-a face pe 20 noiembrie 2013. Și când au loc răsturnări la scară largă, este timpul să activați magia specială!

Așa arată magia specială Folosind această magie, este posibil să determinați serverul către care este direcționat traficul și să îi blocați IP-ul la nivelul furnizorului de internet. Astfel încât să înceteze să mai primească orice solicitare către acest IP prin canalele sale de comunicare cu lumea exterioară (uplink-uri). Pentru iubitorii de termen: experții numesc această procedură "gaură neagră", din engleza blackhole.

În acest caz, serverul atacat cu 500-1500 de conturi rămâne fără IP-ul său. Îi este alocată o nouă subrețea de adrese IP, peste care conturile client sunt distribuite în mod aleatoriu uniform. În continuare, experții așteaptă ca atacul să se repete. Aproape întotdeauna se repetă.

Și când se repetă, IP-ul atacat nu mai are 500-1000 de conturi, ci doar o duzină sau două.

Cercul suspecților se restrânge. Aceste 10-20 de conturi sunt din nou distribuite la diferite adrese IP. Și din nou inginerii sunt în ambuscadă așteaptă ca atacul să se repete. Din nou și din nou, ei distribuie conturile rămase sub suspiciune către diferite IP-uri și astfel, apropiindu-se treptat, determină ținta atacului. Toate celelalte conturi în acest moment revin la funcționarea normală pe IP-ul precedent.

După cum este clar, aceasta nu este o procedură instantanee care necesită timp pentru a fi implementată.

Mitul numărul patru:„Când are loc un atac la scară largă, gazda mea nu are un plan de acțiune. El doar așteaptă, cu ochii închiși, să se termine bombardamentul și îmi răspunde la scrisori cu același tip de răspunsuri.”Acest lucru nu este adevărat: în cazul unui atac, furnizorul de găzduire acționează conform unui plan pentru a-l localiza și a elimina consecințele cât mai repede posibil. Și literele de același tip vă permit să transmiteți esența a ceea ce se întâmplă și, în același timp, să economisiți resursele necesare pentru a face față unei situații de urgență cât mai repede posibil..

Există lumină la capătul tunelului?

Acum vedem că activitatea DDoS este în continuă creștere. Comandarea unui atac a devenit foarte accesibilă și incredibil de ieftină. Pentru a evita acuzațiile de propagandă, nu vor exista legături de verificare. Dar credeți-ne pe cuvânt, este adevărat.

Mitul numărul cinci: „Un atac DDoS este o întreprindere foarte costisitoare și numai magnații de afaceri își pot permite să comande unul. Cel puțin, acestea sunt mașinațiunile serviciilor secrete!” De fapt, astfel de evenimente au devenit extrem de accesibile.

Prin urmare, nu se poate aștepta ca activitatea rău intenționată să dispară de la sine. Mai degrabă, se va intensifica. Tot ce rămâne este să forjați și să ascuți arma. Aceasta este ceea ce facem noi, îmbunătățirea infrastructurii rețelei.

Partea juridică a problemei

Acesta este un aspect foarte nepopular al discuției despre atacurile DDoS, deoarece auzim rar de cazuri în care autorii au fost prinși și pedepsiți. Cu toate acestea, ar trebui să vă amintiți: Un atac DDoS este o infracțiune. În majoritatea țărilor lumii, inclusiv în Federația Rusă.

Mitul numărul șase: « Acum știu destule despre DDoS, voi comanda o petrecere pentru un concurent - și nu mi se va întâmpla nimic pentru asta!” Este posibil să se întâmple. Și dacă o face, nu va părea prea mult.

• Începutul poveștii cu DDoS al sistemului de plată Assist
• Sfârșit emoționant

În general, nu sfătuim pe nimeni să se angajeze în practica vicioasă a DDoS, pentru a nu atrage mânia justiției și a nu vă distruge karma. Iar noi, datorită specificului activităților noastre și interesului acut de cercetare, continuăm să studiem problema, stăm de pază și îmbunătățim structurile defensive.

PS:nu avem suficiente cuvinte amabile pentru a ne exprima recunoștința, așa că spunem doar"Mulțumesc!" clienților noștri pacienți care ne-au susținut cu căldură într-o zi grea de 20 noiembrie 2013. Ați spus multe cuvinte încurajatoare în sprijinul nostru

După atacurile DDoS asupra LiveJournal, care sunt numite poate cele mai mari din întreaga istorie a serviciului, doar leneșii nu au aflat despre existența unei forțe care ar putea doborî un site, chiar și unul la fel de puternic ca LiveJournal. Președintele rus Dmitri Medvedev a calificat atacurile asupra serviciului de blog ca fiind scandaloase și ilegale. Și câteva zile mai târziu, a fost atacat și site-ul Novaya Gazeta, care, în timpul DDoS, „a mers” la LiveJournal și și-a postat textele acolo.

Găsirea unei persoane care va „găzdui” orice site la cererea dumneavoastră nu este dificilă. Desigur, nu veți vedea reclamele lor în Direct, dar sunt disponibile pe diferite forumuri. Numerele ICQ sunt folosite ca contacte; banii electronici sunt acceptați pentru plată. De exemplu, un anunț promite anonimatul complet, monitorizarea obiectului (acestea garantează că obiectul „nu se va ridica brusc”) și chiar promit că vor preda elementele de bază ale „artei DDoS”. Pentru a plasa un anunț pe forum, trebuie să treci un fel de test de la admin... eșuează câteva site-uri.

DDoS - cum o fac?

Am vorbit despre acest subiect cu un om care se autointitulează specialist în organizarea atacurilor DDoS, s-a prezentat drept Toxa. z. X. Anunțul său pe unul dintre forumuri a apărut pe prima pagină a rezultatelor căutării Yandex pentru solicitarea „Serviciul DDoS”. El îl numește „un serviciu pentru a distruge site-urile și forumurile concurenților tăi cu un atac DDoS”. Oferă condiții individuale clienților obișnuiți și acceptă comenzi pentru o perioadă de 12 ore sau mai mult. „În medie, prețurile pentru DDoS încep de la 40 USD pe zi”, este scris pe forum „Acceptăm orice resursă pentru execuție. În caz de eșec, facem banii înapoi.”

El spune că comandă de pe diferite site-uri - magazine online, forumuri și site-uri precum dovezi compromițătoare. ru, și doar concurenți. Ca test pentru forum, el a dezactivat odată site-urile „House 2” și uCoz. El spune că câștigă aproximativ 600 de mii de ruble pe lună, totuși, nu numai din DDoS, ci și din piratarea cutiilor poștale (acest serviciu, potrivit lui, costă 1000-2000 de ruble per cutie poștală). „În ceea ce privește scopul comenzii, nu pun niciodată această întrebare și nu cred că fiecare client va vorbi despre scopul lor”, spune el.

Cât costă DDoS?

„Costul depinde de o mulțime de lucruri: 1. Complexitatea atacului, adică de modul în care este protejat site-ul (server anti-dos și alte protecții). 2. Din importanța resursei, adică dacă site-ul nu este proprietate privată, dar este conectat într-un fel sau altul cu politica, guvernul etc., atunci prețul crește în consecință. 3. Ei bine, în funcție de cât de SUCK se arată clientul: ei bine, îmi comandați un site, pe care îl voi instala cu 10 roboți (o astfel de muncă costă maxim 20 USD pe zi)... Ei bine, în consecință , nu voi spune asta, voi spune, ca site-ul este complex si va costa de la 50$ si mai mult, daca clientul spune ca este multumit, atunci voi spune ca voi numi pretul exact dupa test, si dupa test, in consecinta, o voi umfla si eu si voi spune 60$... Daca clientul intelege mai mult sau mai putin ceva, atunci va spune ca sunt suprapret si imi va explica de ce... si apoi o sa spun pretul real. .

Există tot felul de clienți. Unii vorbesc imediat despre protejarea site-ului, dau sfaturi despre cum să le instalezi mai bine și mai ușor, iar unii pur și simplu au nevoie ca site-ul să nu funcționeze. Există clienți care nu înțeleg deloc ce este și cred că DDoS este un fel de modalitate de a pirata un site, adică după aceea vor obține acces de administrator la el.”

Cine a fost lovit?

„Ddosili” este un mare portal de informare. DDoS a durat 2 zile, după care știri despre acesta au început să apară în știri, în urma cărora s-au abandonat lucrările ulterioare. În aceste 2 zile am primit 900 USD, adică 450 USD pe zi. După refuzul nostru, clientul a ridicat prețul la 4.500 USD pe zi, dar noi am refuzat și nimeni nu a fost de acord. Deși dacă socotim doar după complexitatea comenzii, acest site ar costa maxim 90 USD pe zi.”

De ce au refuzat?

„Pentru că este mai bine să stai gol la laptop decât să stai îmbrăcat pe pat...”

Cine ar putea fi în spatele atacului LJ?

„Da, a fost DDoS, nu, nu este LJ în sine, cel puțin pot să stau în spatele lui, nu este foarte greu... În ceea ce privește costul, un astfel de atac ar putea costa - dacă îl luăm pe zi - de la 250 USD la 400, un atac pe oră ar costa mult mai scump. Deși l-am redus la 400 de dolari. Acest lucru a venit din nou din complexitatea... și deci + semnificația site-ului.”

Despre piața serviciilor DDoS

„Practic, există o mulțime de oameni care au descărcat botnet-uri publice și încearcă să lucreze cu ele, drept urmare pur și simplu înșelează clientul. Nu există companii sau industrii. Probabil că există, în principiu, comenzi ușoare pe care le îndeplinește o singură persoană. În general, sunt puțini DDoseri care sunt capabili să îndeplinească o comandă mare. Pentru mine personal, aceasta este munca, dar nu cea principală, ci una dintre cele principale. În general, piratam adrese de e-mail, DDoS și alte lucruri mici.”

Specialistul în atacuri DDoS a mai spus că, pentru a se „proteja”, ei lasă doar ICQ drept contacte și folosesc adrese IP ale terților, de exemplu, mi-a vorbit de la un IP italian. „Eu însumi folosesc un hard disk amovibil. La cea mai mică bănuială că vin musafiri să mă vadă, pe care nu mă aștept, acest șurub va fi închidet, spart în bucăți mici și îngropat sub pământ... Nu jefuim bănci, nu furăm milioane din conturi. , de aceea nu ne caută încă.” Potrivit hackerului, vă puteți proteja site-ul doar plasându-l pe servere puternice anti-DoS, acest lucru va crește prețul pentru DDoS și, probabil, numărul de persoane care doresc să „dea jos” acest site va scădea. „Dacă îmi plătesc 150 de mii de dolari pe zi, atunci voi plăti Mail.ru”, a încheiat Tokha optimist conversația.

După această conversație ICQ Toxa. z. x a arătat un exemplu despre cum pirata cutiile poștale ale utilizatorilor nevinovați. La cererea lui, am înregistrat o căsuță poștală la Mail. ru și i-a spus autentificarea. Mi-a trimis o scrisoare „în numele administrației portalului Mail.ru” înăuntru era o pagină frumos aranjată care mă informa că nu am primit o scrisoare, deoarece căsuța mea poștală era plină; Și o invitație de a face clic pe linkuri. Acolo au cerut din nou să introducă o parolă de conectare, doar că aceasta nu era deloc pagina Mail. ru, iar pagina de phishing (adică similară cu cea reală) și datele pe care le-am introdus au zburat imediat spre Toha. Le dă clientului, care se uită liber la mail-ul concurentului/soției/colegei, iar victima nici măcar nu știe despre asta. Există și alte moduri, de exemplu, să priviți „Lumea mea” a unei persoane și să îi trimiteți o scrisoare în numele unui „prieten” cu un link către fotografii noi. Atunci același lucru. 80% clic cu încredere. Tokha s-a oferit să „pună” un site web la cererea mea pentru a-și confirma puterea, dar am refuzat o astfel de ofertă.

Site-urile de pe RuNet sunt accesate aproape în fiecare zi

„Atacuri DDoS pe site-urile clienților noștri au loc o dată la două zile, uneori în fiecare zi, alteori de două ori pe zi. Sunt vizibile la 2-3 minute de la începutul atacului”, a declarat pentru AiF Serghei Baukin, șeful departamentului de găzduire la RU-CENTER, care ocupă locul al doilea ca număr de clienți în rândul furnizorilor de găzduire ruși.

RU-CENTER are un sistem de monitorizare care monitorizează atacurile asupra site-urilor clienților. Dacă observă o activitate suspectă, îi anunță pe angajați folosind litere, semnale sonore sau afișându-le pe ecran. După ce a primit un astfel de semnal, grupul de serviciu decide dacă este cu adevărat DDoS sau nu. Dacă un singur site suferă un atac, hosterul avertizează clientul despre acest lucru și îi oferă un algoritm de acțiune care îl poate ajuta să evite atacul. Dar pe găzduirea partajată, există de obicei mai multe site-uri pe un server, așa că un atac asupra unui site poate cauza probleme altora. Dacă se întâmplă acest lucru, site-ul atacat este transferat pe un server separat pe durata atacului, i se atribuie un IP separat, iar solicitările către acest site sunt efectuate prin echipamente speciale care filtrează cererile DDoS de cele naturale. În plus, cererile de atac sunt analizate și introduse în liste de blocare.

În cazul unui atac foarte grav, RU-CENTER are un acord cu furnizorii de backbone care pot ajuta la filtrarea cererilor pe echipamentele lor, eliberând în același timp capacitatea hosterului în sine.

„De obicei, înainte de primul DDoSa, clientul nu ia nicio măsură pentru a-și proteja resursa”, spune Sergey Baukin, „Dar într-un mod amiabil, trebuie să vă gândiți la probabilitatea unui atac în faza de proiectare a site-ului, trebuie pentru a optimiza consumul de resurse de calcul, memorie, activitate pe disc, conexiuni la baza de date etc. În acest caz, trebuie să echilibrați riscurile unui atac DDoS și costurile de protecție împotriva acestuia, deoarece puteți cheltui mulți bani pe protecție (chiar și închirierea de servere dedicate), dar va fi nerezonabil. Cu abordarea corectă, găzduirea virtuală poate crea un sistem relativ sigur din atacuri „ieftine” sau „neprofesionale”, deși multe depind de site-ul în sine.”

Este DDoS legal?

„Cred cu sinceritate că un atac DDoS nu este un act ilegal pe teritoriul Federației Ruse”, a declarat Mikhail Salkin, avocat de la Centrul pentru Drepturile Omului din Moscova, pentru AiF. - Nu pentru că este bine sau rău, ci pentru că actualul Cod Penal al Federației Ruse nu conține un articol care să prevadă pedeapsa pentru o astfel de faptă, precum și criteriul unui atac DDoS în sine.

Atacul DDoS în sine este inofensiv, în sensul că mai multe solicitări (cereri) sunt trimise la server în același timp și este imposibil să se determine care cerere este reală și care a fost trimisă fără scopul de a primi un răspuns.”

Mihail compară acest lucru cu oficiul poștal: „Dacă fiecare cetățean merge la oficiul poștal în aceeași zi și la aceeași oră pentru a trimite aceeași reclamație președintelui, atunci acest lucru va perturba și funcționarea normală a serviciului poștal. Și nu numai scrisorile către președinte vor fi livrate cu întârziere, ci și orice altă corespondență prin poștă. Cu toate acestea, cetățenii nu pot fi pedepsiți pentru acest lucru, deoarece altfel ar presupune o încălcare a dreptului de a scrie autorităților. Dar ce să faceți dacă un cetățean inadecvat scrie și scrie același lucru - au fost elaborate reglementări pentru asta - răspundeți de 5 (!!!) ori în scris, iar apoi puteți ignora cererile sale.

Să ne întoarcem la internet. Este inacceptabil să se judece proprietarul unui computer prin care se fac solicitări DDoS, deoarece computerul său poate face astfel de solicitări din cauza software-ului rău intenționat sau a acțiunilor incorecte ale utilizatorului. Deoarece „permisul de conducere” pentru intrarea în rețea nu a fost inventat, este acceptabil să presupunem că nu toți participantii din rețea se vor comporta corect și în conformitate cu normele general acceptate.

Puteți adopta principiile adoptate în țări străine, care vă permit să suspendați accesul la rețea dacă sunt detectate astfel de solicitări DDoS multiple și să anunțați proprietarul computerului despre acest fapt.

Este posibil să tragem la răspundere pentru atacurile pe LiveJournal și site-ul Novaya Gazeta Cine ar trebui să fie tras la răspundere în acest caz?

„Dacă credem că Kaspersky Lab că atacul DDoS a fost organizat folosind computere bot infectate cu viruși, atunci creatorii unui astfel de virus, precum și cei care au efectuat o astfel de distribuție și lansarea sa, ar trebui să poarte responsabilitatea. În conformitate cu articolul 273 din Codul penal al Federației Ruse, aceasta se pedepsește cu închisoare de până la trei ani, cu amendă de până la 200.000 de ruble. Și dacă se dovedește că crearea unui astfel de virus a dus la consecințe grave (de exemplu, din cauza virusului, aparatul de respirație artificială sau computerul de bord al avionului s-a oprit în timpul decolării, ceea ce a dus la un accident etc. .), atunci creatorul virusului va merge la închisoare de la 3 la 7 ani.

O nuanță importantă: codul penal este valabil numai pe teritoriul Federației Ruse, apele sale teritoriale, platforma continentală și zona economică. Prin urmare, dacă virusul a fost scris de un străin care nu se află pe teritoriul Federației Ruse, atunci nu există motive pentru aplicarea legii penale.”

Piața atacurilor DDoS este stimulată și de proprietarii de site-uri înșiși, mulți dintre ei încep să caute furnizori de astfel de servicii atunci când propriul lor site este supus DDoS, ca răzbunare. Se dovedește a fi un cerc vicios; singurii câștigători sunt hackerii care își reînnoiesc conturile virtuale. Găsirea și achiziționarea acestui serviciu este la fel de ușor ca și plata online pentru acces la Internet. Prețurile aparent mici coboară acest tip de „activitate” în același plan în care comandați, de exemplu, SEO. Dacă ai plătit, ai obținut rezultatul, dar cât de moral și legal este este o altă chestiune. Și atâta timp cât acesta rămâne un „următorul lucru” pentru utilizatori, pentru afaceri și pentru stat, vom fi și vom continua să fim hărțuiți.