Dns amplification что это
Суть атак UPD Amplification состоит в том, что злоумышленник посылает короткий UDP-пакет уязвимому серверу, который отвечает на запрос уже значительно большим по размеру пакетом.
При этом, злоумышленник в качестве исходного IP-адреса при отправке запроса подставляет адрес компьютера жертвы (ip spoofing), и уязвимый сервер будет посылать в большом количестве ненужные пакеты компьютеру-жертве, пока полностью не парализует его работу.
Таким образом на сегодняшний день совершается около 80% DDoS-атак в мире.
Другими словами, если ваш сервер подвержен одной из UDP Amplification уязвимостей, то он является точкой, с которой злоумышленники атакуют другие компьютеры, при этом загружая внешний канал вашего сервера.
На сегодняшний день известны следующие типы UDP Amplification атак:
1. DNS Amplification
Наиболее старая и наиболее опасная уязвимость. Использует порт 53/udp. Позволяет усилить атаку в 50 раз (т.е. злоумышленник отправляет вам на сервер 100 килобит в секунду udp-пакетов, в ответ ваш сервер отправляет на жертву 5 мегабит в секунду трафика)
Решение проблемы - выключить на вашем DNS-сервере рекурсивные ответы (т.е. запретить ему отвечать на запросы, касающиеся зон, которые он не обслуживает)
Проверить уязвим ли ваш сервер можно с помощью следующих команд:
Для linux/bsd: dig @1.2.3.4 +edns=0 +ignore com ANY
Для windows: nslookup datahata.by 1.2.3.4
(Где 1.2.3.4 - это IP вашего сервера)
Если ваш сервер ответит на этот запрос и сообщит IP сайта datahata.by, значит ваш сервер уязвим.
Отдельно хотелось бы отметить, что по умолчанию в RouterOS (Mikrotik), при включенном ip dns, он является рекурсивным. Необходимо настроить правила фаервола, ограничив доступ к порту 53/udp
2. NTP Amplification
Этот тип атаки использует протокол времени NTP, порт 123/udp.
3. SNMP Amplification
Эта уязвимость возникает в следствии того, что в SNMP-сервере указано community по умолчанию (например public или private).
Для исправления уязвимости измените значение community на нестандартное. Желательно так же ограничить список IP, которым доступен сервис SNMP, с помощью фаервола.
4. NETBIOS Amplification
Данный тип уязвимости возникает из-за специфики работы протокола общего доступа к файлам Microsoft.
Для Windows-серверов - необходимо либо выключить сервисы общего доступа к файлам и принтерам, либо с помощью фаервола запретить прием данного типа трафика (ограничить для определенных IP).
Linux-сервера с установленным ПО samba так же уязвимы. Если ПО samba запущено, но не используется вами - рекомендуем его выключить/удалить с сервера. Иначе, ограничьте доступ к сервису с помощью фаервола.
Проверить доступность NETBIOS-сервисов можно с помощью *nix-команды nmblookup -A 1.2.3.4 (где 1.2.3.4 - IP вашего сервера). Пользователи windows могут проверить доступность этих служб, открыв в проводнике адрес вида \\1.2.3.4
5. PORTMAP Amplification
Уязвимость возникает из-за особенностей протокола ONC RPC, используемого в частности, для работы NFS-демона. Если на вашем сервере не используется сетевая файловая система NFS, то вы можете остановить или удалить данный сервис. Если же вы используете NFS - ограничьте доступ к порту 111/udp на вашем сервере.
Узнать, какой именно сервис у вас работает в качестве PORTMAP, вы можете с помощью комадны netstat -lpnu | grep 111
Проверить удаленный сервер на наличие уязвимости вы можете с помощью команды rpcinfo -T udp 1.2.3.4 (где 1.2.3.4 - это IP вашего сервера)
6. MEMCACHED Amplification
Уязвимость в популярном ПО для веб-разработки memcached. Описание проблемы по ссылке.
7. SSDP Amplification
Уязвимость протокола Simple Service Discovery, используемого в системах с поддержкой UPnP. Проверить доступность SSDP сервиса можно утилитой nmap в *nix: nmap -sU -Pn -p 1900 --script=upnp-info 1.2.3.4, (где 1.2.3.4 - IP вашего сервера)
Не так давно столкнулся с проблемой (и ее решением) учитывая актуальность этой темы в последнее время, а также то, сколько людей сейчас страдают от этой беды, решил объединить информацию в одну статью. Может быть кому-то еще она будет полезной.
Начало
Пару недель назад я заметил странную активность, направленную на мой DNS-сервер. Сразу скажу, что использую шлюз на Linux, соответственно там установлен DNS-сервер bind. Активность заключалась в том, что на порт 53 (DNS) моего сервера сыпалось по несколько UDP пакетов в секунду с различных IP-адресов:
10:41:42.163334 IP 89.149.221.182.52264 > MY_IP.53: 22912+ NS?. (17)
10:41:42.163807 IP MY_IP.53 > 89.149.221.182.52264: 22912 Refused- 0/0/0 (17)
На что, как видно из лога, сервер отвечал отказами. Естественно мне стало интересно, что за IP-адреса долбят мой DNS. Посмотрев несколько адресов через whois я определил, что это крупные хостинговые компании, я написал просьбу прекратить атаку на мой сервер в техподдержку некоторых из них. В ответ я получил отписку, что этот тип атаки относится к тем, что они не могут блокировать, и что они сами они страдают от этой аномальной активности. Было решено со всем разбираться самому.
DNS Amplification (DNS усиление). Теория
Сам тип атаки не нов — о нем было известно еще в 2006 году, подробности на английском языке можно посмотреть здесь , однако активно использовать его начали относительно недавно. В январе-феврале 2009 года несколько интернет-изданий опубликовало информацию о крупномасштабном использовании киберпреступниками этого вида DDOS, о чем можно узнать здесь и на английском языке здесь
Объясняя простым языком, суть усиления заключается в том, что злоумышленник посылает (обычно короткий) запрос уязвимому DNS-серверу, который отвечает на запрос уже значительно большим по размеру пакетом. Если использовать в качестве исходного IP-адреса при отправке запроса адрес компьютера жертвы (ip spoofing), то уязвимый DNS-сервер будет посылать в большом количестве ненужные пакеты компьютеру-жертве, пока полностью не парализует его работу.
Практика
Что делать?
Во-первых конечно же проверить актуальность версии вашего DNS-сервера вне зависимости от того, на какой платформе он работает. Во-вторых, убедиться, что настроен сервер достаточно безопасно и не отвечает на «левые» запросы всем подряд. Об этом в сети можно найти множество мануалов и рекомендаций, упомяну здесь только об одном документе, который нашел не так давно.
Что еще можно сделать?
В моем случае делать было уже особенно нечего. Если посмотреть самый первый лог, который я привел, то видно, что атакующий отправляет запрос длиной 17 байт и получает REJECT той же самой длины (17 байт), т.е. никакого усиления не происходит. Но, видимо, «ddos-еры» особенно не торопятся убирать из своих списков адреса DNS-серверов, не подверженных этой уязвимости, и продолжают беспокоить их своей долбежкой… Эта ситуация меня не устраивала. Неприятно что от моего адреса кто-то получает на свой сервер ненужный трафик (даже пусть я в этом и не виноват).
Поначалу я начал ставить в black-лист адреса отправителей, но не тут-то было, со старых адресов атака прекращалась, но появлялись все новые и новые. Было решено использовать более изощренные методы фильтрации и задействовать на моем Linux-сервере модули iptables, до которых раньше у меня никак руки не доходили. Убить, так сказать, сразу двух зайцев — и атакующим сделать -1 и разобраться с парой модулей iptables.
Модуль String
Закрыть 53 порт (DNS) полностью я конечно же не мог — у меня много клиентов которым он нужен. Я решил фильтровать пакеты по содержимому DNS-запросов и убирать те из них, которые содержат запросы атакующих, а они все как один содержали в себе «NS». Для этой задачи подходит модуль iptables string, который как раз позволяет заглянуть в содержимое пакетов.
Для того, чтобы понять что фильтровать, посмотрим на пакет атакующего через wireshark.
Здесь и здесь можно почитать о структуре UDP пакетов и формате кадра DNS соответственно. Для краткости скажу, что первые 14 байт пакета занимают данные протокола Ethernet (на рис. красным), затем идут 20 байт заголовка протокола IP (на рис. синим), затем 8 байт — заголовок UDP (на рис. зеленым), после которого начинаются данные протокола DNS (на рис. желтым). Первые 12 байт кадра DNS занимает заголовок, после которого, наконец, начинается поле DNS Query (т.е. непосредственно сам запрос, на рис. оранжевым). В пакетах, присылаемых атакующим начиная с 54-ого (14+20+8+12) байта идут следующие данные: 00 00 02 00 01 (в шестнадцатеричном коде), что соответствует запросу «NS», о котором я говорил раньше. Таким образом нужно выделить пакеты, которые начиная с 54 байта содержат эти байты. Это будет выглядеть так:
iptables -A INPUT --in-interface eth1 --protocol udp --dport 53 --match state --state NEW --match string --algo kmp --hex-string "|00 00 02 00 01|" --from 40 --to 45 --jump DROP
Немного поясню.
--in-interface — указывает на каком интерфейсе отлавливать пакеты. Нужно поставить только внешний интерфейс, на который идет атака (незачем ущемлять пользователей во внутри сети).
--match state --state NEW — отлавливаем пакеты только со состоянием NEW, чтобы не проверять все транзакции подряд, а только инициирующие пакеты (мало ли что может передаваться по 53 порту).
Дальше идет самое интересное — задействуем модуль sting. Мы используем следующие параметры:
--algo — указывает алгоритм поиска, по сути не важен я указал kmp, но можно указать и bm;
--hex-string — записывается та самая строка в шестнадцатеричном виде, которую мы ищем;
--from 40 — ищем начиная с 40 байта (заметьте, не с 54 потому что string начинает поиск, а соответственно и отсчет от первого байта протокола IP, т.е. выбрасывается протокол Ethernet, длина которого 14 байт(на рис. сверху красным). Итого 54 — 14 = 40);
--to 45 — соответственно искать до 45 байта пакета.
Модуль Recent
На этом уже можно было бы остановиться. Пакеты уже не будут доходить до bind, но меня еще не утешала мысль, что я закрыл для ВСЕХ возможность обращаться с запросами NS к моему DNS-серверу, поэтому я решил задействовать еще один модуль iptables — recent.
Этот модуль позволяет создавать динамические таблицы IP-адресов в зависимости от определенных условий, а затем устанавливать разрешающие и запрещающие правила для этих таблиц.
Рассмотрим простой пример использования recent, состоящий из двух строк:
iptables -A INPUT --protocol tcp --match state --state NEW --dport 22 --match recent --update --seconds 30 --name SSHT --jump DROP
iptables -A INPUT --protocol tcp --match state --state NEW --dport 22 --match recent --set --name SSHT --jump ACCEPT
Начнем разбираться со второго правила. Каждый кто пытается зайти (именно зайти, т.к. мы используем --state NEW) на порт 22 (SSH) пропускается (--jump ACCEPT), но его IP-адрес попадает в таблицу с именем SSHT. Когда с этого адреса пытаются соединиться еще раз, начинает работать первое правило, смысл которого состоит в том, чтобы обновить (--update) запись в таблице и заодно проверить когда эта запись была установлена/обновлена в последний раз. Если запись была установлена/обновлена меньше 30 секунд назад (--seconds 30), то срабатывает --jump DROP и пакет отбрасывается. Таким образом брутфорсеры, пытающиеся долбиться на порт SSH будут отбрасывается, если частота отправки их пакетов будет превышать 1 пакет в 30 секунд.
Попробуем использовать recent для наших нужд:
iptables -A INPUT --in-interface eth1 --protocol udp --dport 53 --match state --state NEW --match string --algo kmp --hex-string "|00 00 02 00 01|" --from 40 --to 45 --match recent --name DNST --update --seconds 600 --jump DROP
iptables -A INPUT --in-interface eth1 --protocol udp --dport 53 --match state --state NEW --match string --algo kmp --hex-string "|00 00 02 00 01|" --from 40 --to 45 --match recent --name DNST --set --jump ACCEPT
Таким образом я разрешаю делать запросы NS на внешний интерфейс не чаще, чем 1 раз в 10 минут.
После добавления этих правил в /proc/net/xt_recent моего сервера появился файл DNST, в котором начали записываться IP-адреса атакующих. А DNS-сервер перестал поддаваться на провокации:
14:10:19.011818 IP 89.149.221.182.40320 > MY_IP.53: 23508+ NS?. (17)
14:10:25.243499 IP 89.149.221.182.64984 > MY_IP.53: 25306+ NS?. (17)
14:11:08.832827 IP 89.149.221.182.15864 > MY_IP.53: 48029+ NS?. (17)
14:11:15.063058 IP 89.149.221.182.30959 > MY_IP.53: 64444+ NS?. (17)
Через несколько дней работы правил количество пакетов со стороны атакующих снизилось в несколько раз. Сейчас я получаю 2-3 пакета в минуту, которые тут же отбрасываются фаерволом.
UPD: В последнем блоке кода поторопился и написал ошибку, уже исправил, спасибо, что заметили
DNS Amplification DDoS: Анатомия атаки и защиты. Часть 1
Сегодня у нас первая часть большой статьи про устройство ныне печально известной DDoS-атаки через отражение (DNS Amplification). Конечная цель статьи — показать, как можно эффективно бороться с паразитным DNS-трафиком (смотрите вторую часть), для чего сначала рассмотрим основы в первой части статьи, где исследуем механизмы и глубинное устройство этой атаки.
Когда-то давным-давно, в те далекие времена, когда все в Интернете доверяли друг другу, когда было нормальным отвечать на любой сторонний запрос по сети — «нет проблем, пожалуйста, можешь пользоваться моим сервисом, если тебе это нужно», — была задумана и спроектирована замечательная интернет-служба — DNS. Она позволяет приводить в соответствие человеко-понятные доменные адреса в их компьютерно-числовую форму и наоборот.
В отличие от других интернет-сервисов DNS является своего рода связующим хребтом для всего Интернета: мало кто задумывается, что сервис разрешения имен косвенно используется фактически во всех других службах и протоколах. Сегодня же реальность такова, что DNS нашел своё применение и в других, в том числе и криминальных целях. Поэтому предлагаю рассмотреть теорию правильной настройки этой службы на практическом примере противодействия генерированию паразитного трафика для распространенной атаки — DNS Amplification DDoS (DAD).
Вызовы сегодняшнего дня
В феврале месяце 2012 года известная хакерская группа Anonymous объявила миру о готовящейся сетевой акции под названием Global Blackout. Она была запланирована на 31 марта, именно в этот день хакеры планировали вывести из строя все 13 корневых DNS-серверов Интернета. Для осуществления этой атаки на базе инструмента AntiSec DHN ими была написана специальная программа «Reflective DNS Amplification», которая, как ожидается, будет запущена сочувствующими в указанный «час X» на десятках тысячах компьютеров по всему миру. Технический смысл сего действия — проведение мощнейшей DDoS-атаки по уже обкатанной схеме, получившей устоявшееся название — «DNS Amplification».
С одной стороны можно вспомнить множество масштабных атак уже вошедших в историю, в том числе выполненных против корневых DNS-серверы с помощью именно этой техники. Несмотря даже на выход из строя нескольких корневых серверов в тех отдельных случаях, ещё никогда не удавалось достичь прекращения работы сразу всех root-серверов. С другой стороны DAD — это именно тот тип атаки, который прочно удерживает неоспоримое лидерство среди наиболее мощных DDoS-атак, проведенных в истории Интернета.
Каждый новый год, атаки этой разновидности берут все новые, ранее казавшиеся фантастическими высоты по мощности генерируемой ими «волны» трафика.
Так, 2010 год ознаменовался рекордной по мощности DDoS-атакой в более чем 100 Гб/с, жертвами которой стали не только крупные web-порталы, но и даже отдельные национальные магистральные провайдеры. От разбушевавшейся сетевой стихии серьёзно пострадал один из крупнейших мировых датацентров и несколько AntiDDoS-сервисов, которые были буквально «смяты» при попытке принять на себя A-запись атакуемого домена. В конце концов, тогда под раздачу попала даже сама организация-создатель интернета — DARPA.Что же это за дьявольский механизм, который поднимает в виртуальном пространстве цунами такой мощности и разрушительности?
Общая схема работы DNS
Чтобы следовать дальше, давайте предварительно в справочных целях рассмотрим общий алгоритм работы DNS (смотрите план-схему ниже).
Конечно, это лишь примерная схема работы DNS (в данном случае её стандартный рекурсивный вариант), в реальной жизни всё может работать с некоторыми отличиями в зависимости от особенностей настройки каждого конкретного сервера. Если вам что-то не ясно, более подробно о механике DNS можно почитать вот здесь или тута.
Внимательно изучив эту стандартную последовательность, мы готовы перейти к рассмотрению уязвимостей и некоторых слабых мест этой схемы на примере сегодняшней DDoS-атаки.
Динамика работы DNS Amplification
Интересной особенностью именно DAD является то, что здесь, в общем случае, даже не нужно наличие ботнета. Для успешной атаки достаточно самому «сидеть» на относительно быстром канале, после чего использовать эффект «усиления атаки» через описанную ниже DNS-схему.
Ситуация драматически меняется, если совместную игру начинают «организованные преступные группировки» из десятков тысяч (или как в описанном выше случае — миллионов) зомбированных компьютеров со всего мира.
Давайте рассмотрим схему того, как это работает (см. графический алгоритм чуть выше):
Чтобы в многообразии деталей этой многоступенчатой схемы не потерять суть атаки, предлагаю отдельно выделить три ключевых момента, которые делают принципиально возможной реализацию данного сверхэффективного варианта DDoS:
Именно поэтому это направление получило всплеск такой популярности в последнее время. Для этого существуют удобные шелл-коды, которые по этому же принципу пробрасывают внутрь подобной «защищенной» локальной сети свою консоль управления, чаще всего используя для этого DNS-запросы типа TXT. В этой связи стоит также напомнить о dnscat (эта известная утилита часто упоминается как самостоятельный инструмент, но это лишь часть пакета DNS-утилит nbtools ), созданная специально для этих целей, а также о не менеe известном в узких кругах протоколе NSTX (IP over DNS — NameServer Transfer Protocol). В случае с NSTX решение получается достаточно надежное, максимальный размеры пакетов которые здесь можно передать —512 байт по UDP, которые затем «глубоко в тылу» собираются в полноценные IP-пакеты. Более новый, но аналогичный по идее инструмент — Heyoka, — кроме тунелинга TCP/IP трафика также выполняет спуфинг адресов-источников запросов для самомаскировки. OpenSource-природа этих решений приводит к тому, что принципиальные кодовые части упомянутых программ для тунелирования сегодня обнаруживаются в «личинках» самых разных ботнетов. В частности популярный для Windows пакет Iodine, который в российских условиях часто используется для незаконного «добывания интернета» абонентом, ранее отключенным провайдером за неуплату (DNS, как правило, при этом остаётся рабочим), применяется в коде одной из разновидностей ботнета Gheg. Другая подобная система OzymanDNS — популярна у «специалистов» для надежного проброса своего SSH через служебный DNS-трафик перед самым носом даже у самых строгих сисадминов. Более подробно про DNS-тунелинг у меня можно почитать вот здесь.
В такой схеме единственный минус (который именно для случая ботов не так существенен): DNS-клиент (зомби) может связываться с «папой» только сам и в одностороннем порядке. Статистика собранная при наблюдении подобных «пчелиных улеев» показывает, что «пробив» у подобной схемы чрезвычайно высок, — чаще всего зомби с обратной связью на основе DNS-тунелинга надежно управляются даже из самых глубоких недр тщательно «зафильтрованной» корпоративной сети.
Окончание этой статьи (её вторую часть) — читайте здесь, там мы рассмотрим уже практическую часть борьбы с такого рода интернет-угрозами.
Об атаках этого типа было известно еще в 2006 году, но сегодня это обретает масштабы бедствия.
Вы можете наблюдать неоправданно значительный исходящий трафик udp пакетов.Или утилитой iptraf:
Решение:
Обновление пакетов
Обновите bind. Старые версии более подвержены уязвимости и имеют еще несколько дырок кроме этой.
Для Centos:
Для Debian (Ubuntu):
Проверка рекурсии
Для проверки рекурсии вы должны запросить у вашего сервера сведения о чужом домене:
Команда должна выполнятся извне, для таких запросов, выполняемых непосредственно на вашем сервере, рекурсия должна выполняться.Ответ защищенного сервера (не поддерживающего рекурсию):
Если ваш сервер выдаст вам подробную информацию о домене, то ваш сервер уязвим. Рекурсию надо отключить.
Если в указанных командах указать имя ваших доменов которые прописаны на этом сервере, то вы должны получить подробный ответ.
Отключение рекурсии
На Debian (Ubuntu): /etc/bind/named.conf.options
И в самый верх файла /etc/named.conf (CentOS ):
Или в существующий блок значений options файла /etc/bind/named.conf.options (Debian) добавляем следующее:
Затем перезапускаем демон named (CentOS):
Проверка
И снова следует проверить работу вашей службы DNS и доступность рекурсии.
Через некоторое время проверьте как изменился трафик на вашем сервере в статистике панели управления виртуальным сервером.
Как видите хотя трафик был относительно небольшой, но огромное количество мелких UDP пакетов создавало загрузку (Load Average) этого сервера при минимальном количестве клиентов на уровне 30 единиц.
Отключение рекурсии - минимально необходимое действие. Для усиления защиты используйте методики описанные в статьях по ссылкам внизу. Но следует знать, что использование этих методик требует специальных знаний и опыта.
Бездумное повторение описанных действий может привести ваш сервер к неработоспособности.
В таблице 1 представлены типы amplification атак проведённых в ходе исследования. В ней отображается по какому протоколу осуществляются атаки, коэффициент их усиления и уязвимая команда, используемая для реализации атаки.
6.1 NTP amplification атака
Уровень атаки: канальный уровень (L2).
Описание и принцип работы:
Злоумышленник отправляет запрос monlist с IP-адресом атакуемого сервера к NTP-серверу. Ответ monlist включает в себя список 600 последних клиентов ntpd. Сущность амплификации заключается в том, что нарушитель отправляет небольшой запрос к уязвимому серверу и с него на атакуемый сервер отправляется большой поток UDP трафика. Уязвимый NTP-сервер является невольным промежуточным звеном атаки. Ntpd до версии 4.2.7p26 подвержены атаке.
6.2 DNS Amplification атака
Уровень атаки: канальный уровень (L2).
Описание и принцип работы:
Атака основана на том, что нарушитель отправляет запрос уязвимому DNS-серверу с IP-адресом атакуемого сервера. DNS-сервер отправляет ответ, размер которого во много раз превышает запрос, жертве. Таким образом, исчерпывается канальная ёмкость атакуемого сервера.
Можно выделить ключевые моменты атаки:
Уровень атаки: прикладной уровень (L7).
Описание и принцип работы:
Если в клетку таблицы вставить формулу
Некоторые DoS & DDoS инструменты
1. Встроенные тулзы Kali Linux
В сети доступно сотни программ для выполнения ддос атаки. Первое место где мы можем найти подобные инструменты это хакерский дистрибутив Kali Linux. Открыв в нем следующий путь:
и просмотрев содержимое директории мы увидим что Metasploit имеет множество инструментов для организации DDoS атак.
Просмотреть листинг доступных инструментов для DDOS атак в KALI вы можете выполнив команду:
Данная команда показывает базу данных эксплоитов для атаки Windows систем.
Для просмотра доступных инструментов DDoS атаки Linux вводим команду:
2. LOIC
The Low Orbit Ion Cannon (LOIC) или Низко орбитальная ионная пушка. Возможно самая популярная DDOS программа. Она может рассылать массовые запросы по протоколам ICMP, UDP тем самым забивая канал к серверу жертвы. Самая известная атака с помощью LOIC была совершена группой Anonymous в 2009 году и направлена против PayPal, Visa, MasterCard в отместку за отключение WikiLeaks от системы сбора пожертвований.
Атаки, организованые с помощью LOIC могут утилизироваться с помощью блокировки UDP и ICMP пакетов на сетевом оборудовании интернет провайдеров. Вы можете скачать саму программу LOIC бесплатно на сайте SourceForge. Этот инструмент на базе Windows и работа с ним очень проста, указываете сайты жертвы и нажимаете всего одну кнопку.
2. HOIC
3. HULK
4. RUDY
R-U-Dead-Yet, или RUDY, использует другой подход к исполнению DDoS атак на интернет сайты. Программа дает возможность выбрать форму на целевом сайте и отправлять в эту форму произволные данные с помощью POST запросов.
5. OWASP Switchblade
6. DDOSIM – Layer 7 DDoS эмулятор
Сколько стоит заказать DDoS на черном рынке?
Атака типа Distributed Denial of Service (DDoS) является одним из самых популярных инструментов в арсенале киберпреступников. Мотивом для DDoS-атаки может быть что угодно — от кибер-хулиганства до вымогательства. Известны случаи, когда преступные группы угрожали своим жертвам DDoS-атакой, если те не заплатят им 5 биткоинов. Часто DDoS-атаку используют для того, чтобы отвлечь ИТ-персонал, пока происходит другое киберпреступление, например, кража данных или внедрение вредоносного ПО.
DDoS как услуга
С предложением характеристик своего ботнета, организаторы найденных нами DDoS-сервисов предлагают своим клиентам тарифную сетку, в которой покупатель оплачивает посекундную аренду мощностей ботнета. Так, например, 300 секунд DDoS-атаки при помощи ботнета, суммарная пропускная способность канала которого составляет 125 Гбайт в секунду, обойдется заказчику в 5 евро. При этом все остальные характеристики (мощность и сценарии) были одинаковыми для всех тарифов.
В свою очередь, 10800 секунд DDoS-атаки обойдутся клиенту в $60 или примерно $20/час атаки, особенности которой (сценарий атаки и используемые вычислительные мощности) злодеи не всегда указывали на своем ресурсе для опытных клиентов. Видимо, не все злоумышленники считают уместным раскрывать внутреннюю кухню своего ботнета (а вполне возможно, не все владельцы ботнетов, в силу своей некомпетентности, понимают его технические характеристики). В частности, злодеи не раскрывают тип ботов, входящих в ботнет для того.
За указанную цену преступники обещают своим клиентам реализовать довольно тривиальные сценарии:
- SYN-flood;
- UDP-flood;
- NTP-amplification;
- Multi-vector amplification (несколько amplification-сценариев одновременно).
Некоторые сервисы предлагают выбрать конкретный сценарий атаки, что позволяет киберпреступникам комбинировать разные сценарии и осуществлять атаки с учетом индивидуальных особенностей жертвы. К примеру, если жертва успешно справляется с SYN-flood, злодей может переключить сценарий атаки в панели управления и оценить реакцию жертвы.
Среди проанализированных нами предложений также встретились те, в которых злоумышленники предлагают разную цену на свои услуги, которая зависит от типа жертвы.
Информация, найденная на русскоязычном сайте, целиком посвященном сервису DDoS-атак
Например, злоумышленники предлагают цену от $400 в сутки за сайт/сервер, пользующийся услугами защиты от DDoS, то есть в 4 раза больше, чем за сайт без защиты.
Кроме того, не каждый киберпреступник, занимающийся организацией DDoS-атак, возьмется за атаку государственных ресурсов: они находятся под наблюдением правоохранительных органов, а организаторы атак не хотят лишний раз «светить» свои ботнеты. Однако нам встречались предложения, в которых DDoS-атаки государственных ресурсов были включены в тарифную сетку отдельным пунктом.
Любопытно, что некоторые преступники не брезгуют наряду со своими сервисами DDoS предоставлять и защиту от DDoS-атак.
Читайте также: