DDoS, когда его совсем не ждут

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Информационные войны »   DDoS, когда его совсем не ждут
RSS

DDoS, когда его совсем не ждут

<<Назад  Вперед>>Страницы: 1 * 2
Печать
 
Vinni
Администратор

Всего сообщений: 2136
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
уже появилась такая услуга как "DDOS-тестирование" - вот как люди ее рекламируют _ttp://www.slideshare.net/slideshow/embed_code/9590024 :wink:

Sergey
Долгожитель форума

Всего сообщений: 640
Рейтинг пользователя: 2


Ссылка


Дата регистрации на форуме:
9 июня 2010

Vinni написал:
[q]
http://habrahabr.ru/blogs/infosecurity/115307/#habracut
[/q]

В общем-то существует целая отрасль: тестирование
В каждой уважаемой компании, занимающейся разработкой - это равноправное направление. Специальной математикой проверяется все, каждая кнопочка, но и тест нагрузки там обязательно присутствует.
Но есть и самый простой способ провериться на устойчивость к ddos, достаточно засветить свой продукт на habrahabr. Сразу возникает ответный "Хабр-эффект". :good:
Vinni
Администратор

Всего сообщений: 2136
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
Верно подмечено :lol: :good:



Vinni
Администратор

Всего сообщений: 2136
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
Vinni
Администратор

Всего сообщений: 2136
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.securitylab.ru/news/427909.php

[q]

По данным экспертов Arbor Sert, в последнее время злоумышленники возобновили практику предоставления платных услуг по осуществлению DDoS-атак. Кроме того, в перечне все-чаще появляются DDoS-атаки на телекоммуникационные системы.

Отметим, что впервые рекламные сообщения, предлагающие платные DoS и DDoS-атаки, были замечены правоохранительными органами в 2010 году. Тогда они отмечали возникновение подобных сервисов повышением спроса на подобные услуги. При чем, толкнуть пользователя на «заказ DDoS-атаки» могут, как политические и идеологические взгляды, так и желание совершить вполне практичные финансовые преступления. Различного рода атаки на телекоммуникационные системы являются отвлекающим маневром, позволяющим злоумышленникам совершать более серьезные преступления, которые впоследствии остаются незамеченными на протяжении длительного периода времени.

Как сообщают исследователи Arbor Sert, в этом году они обнаружили несколько новых рекламных предложений о проведении традиционных DDoS-атак, в числе которых оказались телефонные атаки, предоставляемые злоумышленниками в среднем за $20 в день. Кроме того, злоумышленники предлагают спам-рассылку по цене $20 за 1000 SMS-сообщений.

Эксперты установили, что на «рынке» предоставления услуг по осуществлению DDoS-атак разные «поставщики» устанавливают разные расценки. К примеру, вторая обнаруженная исследователями реклама содержала информацию о совершении DDoS-атак за $5 в час, а еще одна компания предлагала аналогичные услуги за $180 в неделю.

Подробнее с уведомлением исследователей Arbor Sert можно ознакомиться здесь.
[/q]
Vinni
Администратор

Всего сообщений: 2136
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
а вот статья про последние ddos-атаки на крупные американские банки - _ttp://arstechnica.com/security/2012/10/ddos-attacks-against-major-us-banks-no-stuxnet/
тактика атакующих несколько изменилась...

[q]

...
"It's not that we have not seen this style of attacks or even some of these holes before," said Dan Holden, the director of research for the security engineering and response team at Arbor Networks. "Where I give them credit is the blending of the threats and the effort they've done. In other words, it was a focused attack."

Adding to its effectiveness was the fact that banks are mandated to provide Web encryption, protected login systems, and other defenses for most online services. These "logic" applications are naturally prone to bottlenecks—and bottlenecks are particularly vulnerable to DDoS techniques. Regulations that prevent certain types of bank traffic from running over third-party proxy servers often deployed to mitigate attacks may also have reduced the mitigation options available once the disruptions started.
...
A key ingredient in the success of the attacks was the use of compromised Web servers. These typically have the capacity to send 100 megabits of data every second, about a 100-fold increase over PCs in homes and small offices, which are more commonly seen in DDoS attacks.

In addition to overwhelming targets with more data than their equipment was designed to handle, the ample supply of bandwidth allowed the attackers to work with fewer attack nodes. That made it possible for attackers to more quickly start, stop, and recalibrate the attacks. The nimbleness that itsoknoproblembro and other tools make possible is often available when DDoS attackers wield tens of thousands, or even hundreds of thousands, of infected home and small-office computers scattered all over the world.

"This one appears to exhibit a fair bit of knowledge about how people would go about mediating this attack," Neal Quinn, the chief operating officer of Prolexic, said, referring to itsoknoproblembro. "Also, it adapts very quickly over time. We've been tracking it for a long time now and it evolves in response to defenses that are erected against it."

Another benefit of itsoknoproblembro is that it runs on compromised Linux and Windows servers even when attackers have gained only limited privileges. Because the DDoS tool doesn't require the almost unfettered power of "root" or "administrator" access to run, attackers can use it on a larger number of machines, since lower-privileged access is usually much easier for hackers to acquire.

Use of Web servers to disrupt online banking operations also underscores the damage that can result when administrators fail to adequately lock down their machines.
[/q]
Vinni
Администратор

Всего сообщений: 2136
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.anti-malware.ru/news/2012-10-29/10422

[q]

В минувшем квартале Prolexic Technologies довелось отразить 7 DDoS-атак мощностью свыше 20 Гб/с, направленных на ресурсы ее клиентов. Некоторые из них были проведены злоумышленниками с помощью php-бота itsoknoproblembro.

«В прошлом году DDoS-атака выше 20 Гб/с была немыслимой, а сегодня воспринимается как рядовое явление», ― комментирует Стюарт Шолли (Stuart Scholly), президент Prolexic. ― «Для справки: в мире бизнеса мало кто располагает сетевой инфраструктурой, способной выдержать такие нагрузки по трафику».

Хотя мощность отдельных DDoS-кампаний увеличилась, общее число атак на клиентскую базу Prolexic снизилось на 14% в сравнении со II кварталом. Тем не менее, за год этот показатель почти удвоился. Скорость DDoS-трафика в июле-сентябре в среднем составила 4,9 Гб/с, что на 11% выше, чем в предыдущем квартале. Число пакетов в секунду (pps), отправляемых ботами, продолжает расти и за 3 месяца увеличилось на 33%, с 2,7 до 3,6 млн. Сравнительную статистику Prolexic подытожила в более компактном виде:

Изменения со II квартала 2012

уменьшение общего числа атак ― на 14%
увеличение средней мощности ― на 11%
увеличение средней продолжительности ― с 17 до 19 часов

Изменения с III квартала 2011

увеличение общего числа атак ― на 88%
увеличение средней мощности ― на 230%
уменьшение средней продолжительности ― с 33 до 19 часов

В III квартале, как и в предыдущем, дидосеры предпочитали использовать протоколы 3 и 4 уровня, на долю которых в отчетный период пришлось 80% инцидентов. Остальные 20% DDoS-атак были проведены на прикладном уровне. Эксперты зафиксировали 5 основных техник, применяемых злоумышленниками: SYN flood (23,53% инцидентов), UDP flood (19,63%), ICMP flood (17,79%), GET flood (13,50%) и UDP flood с фрагментацией пакетов (9,00%). Prolexic также отметила необычные типы атак: SYN PUSH, FIN PUSH (в обоих случаях производится модификация битовых флагов в TCP-заголовке) и RIP flood. Протокол маршрутизации RIP (Routing Information Protocol), известный со времен ARPANET и столь нехарактерный для арсенала дидосеров, был использован в атаке по методу отражения (reflection). С учетом этих новинок Prolexic ныне различает 18 типов DDoS-атак, тогда как год назад их было лишь 9, пишет securelist.com.
...
[/q]
Vinni
Администратор

Всего сообщений: 2136
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
сравнительный анализ популярных средств защиты от DDOS с точки зрения хостинг-провайдера - _ttp://habrahabr.ru/company/timeweb/blog/161427/

Vinni
Администратор

Всего сообщений: 2136
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.kaspersky.ru/news?id=207733980

[q]

...
«Лаборатория Касперского» объявила об успешном отражении DDoS-атаки, которая продолжалась в течение трех дней и в пиковые периоды превышала 60 Гбит/с. Благодаря усилиям специалистов, все это время веб-сайт одного из заказчиков сервиса Kaspersky DDoS Prevention — «Новой газеты» был доступен пользователям для посещения с минимальными задержками. Исключение составляли лишь те непродолжительные периоды, когда с нагрузкой не справлялись магистральные каналы связи.

По оценкам экспертов, данная атака была одной из самых масштабных в истории Рунета и ее мощности вполне хватило бы для отключения части российского интернета.

Распределенная атака типа «отказ в обслуживании» (Distributed Denial of Service, DDoS) на сайт «Новой газеты» началась 31 марта 2013 года в 22:00 и представляла собой плавно нарастающую по силе атаку типа SYN-flood. Все это время сайт СМИ не испытывал проблем с доступностью. В середине следующего дня, после того, как был достигнут пик 700 Мбит/с, атакующие сменили тактику, реализовав мощнейшую атаку типа DNS amplification, в результате которой каналы нескольких крупнейших Российских провайдеров связи были блокированы, а сайт «Новой газеты» в течение 25 минут был недоступен для пользователей. Однако в результате оперативного взаимодействия специалистов «Лаборатории Касперского» с провайдерами работа сайта была восстановлена при продолжающейся атаке.

Следующим заметным шагом злоумышленников стала массированная атака, начавшаяся 2 апреля после 16 часов и вынудившая нескольких крупнейших операторов связи принять оперативные меры с целью прекращения перегрузки своих магистральных каналов, что привело к блокировке маршрутов до сайта «Новой газеты». К 19:00 экспертами «Лаборатории Касперского» было реализовано решение, позволившее обеспечить доступность сайта СМИ в пределах российского сегмента Сети.
3 апреля в сотрудничестве с крупнейшими операторами связи были предприняты действия, обеспечивающие ограничение транзита основного потока атакующего трафика, достигающего в пике 60 Гбит/с и способного причинить значительный ущерб всему Рунету. Это позволило полностью восстановить доступность сайта «Новой газеты» и обеспечить его дальнейшую эффективную защиту.

Очередная попытка повлиять на доступность ресурса началась в 13:05 с комбинации атак типа HTTP flood и RST flood незначительной мощности. После 40 минут атаки, никак не повлиявшей на работу веб-сайта «Новой газеты», атака дополнилась компонентами DNS Amplification мощностью около 5Гбит/с и SYN-flood мощностью около 3,5 миллиона пакетов/сек. Однако из-за того, что атакующие DNS-сервера находились за пределами российского сегмента Сети, увеличить этот вид атаки до критических значений злоумышленникам не удалось. В течение последующих двух часов атакующие безуспешно использовали всевозможные комбинации атак, сменяющих друг друга каждые 4-5 минут. В итоге, после 17:00 попытки заблокировать доступ к веб-сайт «Новой газеты» прекратились: активной еще почти на сутки осталась незначительная атака типа SYN-flood мощностью около 20000 пакетов/сек. На данный момент атака полностью прекратилась.

«DDoS-атака, организованная на сайт «Новой газеты», является одной из мощнейших в истории российского Интернета: они продолжалась в течение трех дней, в пиковые моменты достигала 60 Гбит и 4 млн пакетов/сек. Несмотря на это, большую часть времени сайт работал в штатном режиме, а общая продолжительность недоступности составила менее трех часов, — говорит Алексей Афанасьев, руководитель проекта Kaspersky DDoS Prevention «Лаборатории Касперского». — Очевидно, что подобная атака была организована профессионалами, а затраты на ее проведение могут составлять десятки тысяч долларов США».
...
[/q]


UPD: см. еще _ttp://www.novayagazeta.ru/society/57539.html
Vinni
Администратор

Всего сообщений: 2136
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.stateoftheinternet.com/downloads/pdfs/2014-internet-security-report-q4.pdf отчет об атаках за 2014г.
<<Назад  Вперед>>Страницы: 1 * 2
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Информационные войны »   DDoS, когда его совсем не ждут
RSS

Последние RSS
Англоязычный интерфейс программы "Сайт Спутник"
Учебник по конкурентной разведке
Конкурентная разведка: маркетинг рисков и возможностей
Книга "История частной разведки США"
Книга "Нетворкинг для разведчиков"
Поиск и сбор информации в интернете в программе СайтСпутник
Новые видеоуроки по программе СайтСпутник для начинающих
Технологическая разведка
SiteSputnik. Мониторинг Телеграм
СайтСпутник: возврат к ранее установленной версии
SiteSputnik. Доступ к результатам работы из браузера
Анализ URL
Браузер для анонимной работы
Топливно-энергетический комплекс
Профессиональные сообщества СБ
Несколько Проектов в одном, выполнение Проектов по частям
SiteSputnik-Bot: Боты в программе СайтСпутник
К вопросу о телеграм
SiteSputnik: Автозамены до и после Рубрикации или Перевода
Демо-доступ к ИАС социальных сетей

Самые активные 20 тем RSS