Концы в воду
14 февраля 2017
Раз, два, три, четыре, пять,
я иду искать!
Кто не спрятался –
Я не виноват!
Детская считалочка
DDoS-атака не может произойти сама по себе. За ней стоят заказчик и исполнитель, который ее начинает, отслеживает процесс, корректирует список атакуемых узлов, отчитывается перед заказчиком о проделанной «работе» и т. д.
Рассмотрим атаку с помощью ботнета, т. е. сети зараженных компьютеров – это самый простой способ. При такой атаке исполнитель заказа посылает команду на управляемый им ботнет, и все компьютеры начинают выдавать запросы на атакуемый сервер. Каждый компьютер имеет адрес в сети. То есть атакуемый сервер знает адреса компьютеров, с которых идут обращения к нему. Проанализировав файлы отчета на машинах ботнета, можно выйти на ПК, с которого была отдана команда атаковать.
Казалось бы, ничего сложного. Но почему же тогда так мало известно уголовных дел, по которым проходят соучастники DDoS-атак?
Во-первых, не все всегда так просто с самим ботнетом.
Современные ботнеты условно делятся на два типа. Первый получает команды с управляющих серверов, второй работает без них, напрямую передавая информацию от одного зараженного узла к другому. Linux.Rex.1 организует бот-сети второго типа. Они называются одноранговыми, пиринговыми или P2P-сетями (от англ. peer-to-peer, «равный к равному»). В архитектуре Linux.Rex.1 имеется собственная реализация протокола, позволяющего обмениваться информацией с другими зараженными узлами и создавать таким образом децентрализованный P2P-ботнет. Сам зараженный компьютер при запуске троянца работает как один из узлов этой сети.
Троянец принимает от других инфицированных компьютеров управляющие директивы по протоколу HTTPS и при необходимости передает их другим узлам ботнета. По команде Linux.Rex.1 начинает или останавливает DDoS-атаку на узел с заданным IP-адресом.
Еще одна функция Linux.Rex.1 — рассылка сообщений по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку. Чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в криптовалюте биткойн.
Таким образом, ботнет не имеет единой точки управления. Команды передаются от одного компьютера к другому. Разматывать этот клубок – сложно и долго, так как компьютеры могут находиться по всему миру.
Вторая проблема – отчеты, по которым можно узнать, с каких адресов происходило обращение к узлу ботсети. Лог выглядит примерно так:
На всякий случай отметим, что в данном примере все приложения – легальные.
Такие отчеты, как правило, не имеют защиты, и хакеры могут их удалить. Так что следы будут стерты – если, конечно, вы не делаете регулярный бекап!
И наконец, третье. Хакер может командовать атакой не со своего компьютера, а удаленно – со взломанного. Вполне возможно, находящегося в другой стране. И на этом компьютере он тоже способен подчистить логи. #DDoS-атака #ботнет #взлом #киберпреступление #безопасность
Антивирусная правДА! рекомендует
- Если вы не хотите стать частью ботсети (и, следовательно, – соучастником атак), установите средства защиты, в первую очередь антивирус.
- Устанавливайте обновления всего используемого ПО – вредоносные программы могут проникнуть к вам через уязвимости в разных программах.
- Используйте сложные пароли. Очень часто проникновение происходит после перебора паролей доступа – а они зачастую оказываются у разных пользователей одинаковыми.
- Регулярно делайте резервное копирование (бекап) – это позволит найти следы преступления, если оно все-таки будет совершено.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Dronn
08:31:49 2024-09-02
Karnegi
12:12:49 2020-03-25
cruise
12:47:32 2020-01-22
Toma
17:59:04 2019-02-22
Денисенко Павел Андреевич
17:55:55 2018-07-26
Jin
18:06:38 2018-05-16
vasvet
08:58:40 2018-04-14
alex-diesel
10:27:30 2018-04-03
Чего ждать? Революционного прорыва в безопасности или катастрофического провала?
a13x
09:10:32 2017-02-19
Anfre
06:36:19 2017-02-19
Okcana
15:08:54 2017-02-16
sania2186
19:05:37 2017-02-15
Неуёмный Обыватель
01:24:34 2017-02-15
Неуёмный Обыватель
01:16:59 2017-02-15
razgen
01:07:57 2017-02-15
Лично я на сайты других антивирусов вообще не захожу и даже не знаю что у них имеется в плане образовательно-поучительного по нескольким причинам. Какой смысл мне изучать проекты других антивирусов, если у меня установлен данный антивирус и я хочу лучше изучить его возможности с помощью этого проекта.
Во вторых нет времени чтобы более глубоко изучить все возможности и функционалы своего антивируса. Стараюсь понемножку, понемножку с каждым выпуском что нибудь усвоить.
Точно так же пользователи других антивирусов тусуются на своих проектах.
Неуёмный Обыватель
00:57:46 2017-02-15
razgen
00:53:34 2017-02-15
Неуёмный Обыватель
00:47:17 2017-02-15
razgen
00:41:36 2017-02-15
А выпуски нужны для тех кто их читает. И постепенно они будут набирать популярность побольше.
Неуёмный Обыватель
00:40:55 2017-02-15
1) перестать быть участником атаки
2) возможность сохранить для анализа как раз те логи, про которые идет речь в выпуске.
Ну и после этого как раз самое время выполнить рекомендацию №4 из выпуска - сделать бекап.
Неуёмный Обыватель
00:20:09 2017-02-15
это совершенно не равносильно вашему "Это всё равно что сказать: "Самый простой и самый надёжный способ не стать частью ботсети - не иметь ПК и никакие другие гаджеты". У них есть ПК и они им пользуются в тех случаях, для каких они приобретены. И они могут уверенно сказать, что никогда их компьютеры не были виновными в DDoS-атаках.
razgen
23:58:50 2017-02-14
razgen
23:58:16 2017-02-14
Видимо не по адресу. Я такой вопрос не задавал.
Х...р
22:41:15 2017-02-14
Неуёмный Обыватель
22:39:46 2017-02-14
11:41:21 2016-08-08
Использую Dr.Web Security Space. Есть ли необходимость дополнительно устанавливать расширение Dr.Web Link Checker? Или в Dr.Web Security Space "всё включено", в том числе и функционал выполняемый "Линкчекером"."
Вот вам там как раз ответили на этот вопрос. Просто вы на днях (в выпуске от 9 февраля 2017 года) опять задали этот вопрос и вам уже ответили неправильно обычные читатели. А в том старом выпуске был правильный ответ от сотрудника DrWeb- КК.
orw_mikle
22:38:58 2017-02-14
vla_va
22:38:02 2017-02-14
tosya
22:19:37 2017-02-14
Неуёмный Обыватель
22:17:20 2017-02-14
Какое отношение имеют закупки какого-то конкретного антивируса какой-то конкретной АЭС к необходимости изоляции их ПК от внешних сетей? И как это помешает сотруднику АЭС через поисковик вечерком попасть на этот сайт? Вывод "закупали мегапупердругой антивирус... соответственно не заглядывают" просто убийственный. Давайте не будем никому ограничивать чтение выпусков и заявлять, что выпуск для кого-то не предназначен ;)
P.S. Насчет моей наивности, я полагаю, вы очень и очень сильно заблуждаетесь )))
В...а
22:14:49 2017-02-14
amonn
22:08:12 2017-02-14
iAFC
22:07:19 2017-02-14
Леонид
22:05:12 2017-02-14
razgen
21:54:21 2017-02-14
Вы очень наивны. С учётом того что только у нас в стране имеется более 100 000 000 ПК, а выпуски АП читают порядка 2 000 пользователе. Причём в это число читателей выпусков входят пользователи не только России но и других стран. Вот и получается что более 100 млн. пользователей не читают выпуски антивирусной правды. Вероятность Вашего примера стремится к нулю. С АЭС так же пример неудачен. Поищите на сайте госзакупок и Вы увидите что АЭС закупали для своих нужд антивирусы других компаний и соответственно они сюда не заглядывают.
Marsn77
21:23:36 2017-02-14
razgen
21:22:51 2017-02-14
Пункт 4. Ваших рекомендаций гласит:"Регулярно делайте резервное копирование (бекап) – это позволит найти следы преступления, если оно все-таки будет совершено."
Понятно что в первую очередь мы копируем наиболее важную для нас информацию. А что именно надо копировать, где остаются следы преступления? Вот я например через "обзор" выбрал для копирования все папки и файлы с диска D, он у меня имеет относительно небольшой объём. А с диска С ничего не вводил для копирования, оставил только то что было по умолчанию.
ek
21:18:01 2017-02-14
kva-kva
20:56:14 2017-02-14
mk.insta
20:46:52 2017-02-14
fed0t
20:38:21 2017-02-14
Ovod
19:34:50 2017-02-14
Viktoria
19:25:43 2017-02-14
m@ri
19:14:08 2017-02-14
solec
19:09:25 2017-02-14
Б...а
19:02:49 2017-02-14
Luger
18:54:22 2017-02-14
krasserr
18:28:13 2017-02-14
"выдерните кабель к интернету" - помогает в 100% случаев(лично проверено!)
Неуёмный Обыватель
18:11:33 2017-02-14
Неуёмный Обыватель
18:08:09 2017-02-14
azimut
17:59:59 2017-02-14