8 апреля всем миром пишем Тотальный диктант с Dr.Web. Подробнее
  • добавить в избранное
    Добавить в закладки

Концы в воду

Прочитали: 3010 Комментариев: 146 Рейтинг: 275

Раз, два, три, четыре, пять,
я иду искать!
Кто не спрятался –
Я не виноват!

Детская считалочка

DDoS-атака не может произойти сама по себе. За ней стоят заказчик и исполнитель, который ее начинает, отслеживает процесс, корректирует список атакуемых узлов, отчитывается перед заказчиком о проделанной «работе» и т. д.

Рассмотрим атаку с помощью ботнета, т. е. сети зараженных компьютеров – это самый простой способ. При такой атаке исполнитель заказа посылает команду на управляемый им ботнет, и все компьютеры начинают выдавать запросы на атакуемый сервер. Каждый компьютер имеет адрес в сети. То есть атакуемый сервер знает адреса компьютеров, с которых идут обращения к нему. Проанализировав файлы отчета на машинах ботнета, можно выйти на ПК, с которого была отдана команда атаковать.

Казалось бы, ничего сложного. Но почему же тогда так мало известно уголовных дел, по которым проходят соучастники DDoS-атак?

Во-первых, не все всегда так просто с самим ботнетом.

Современные ботнеты условно делятся на два типа. Первый получает команды с управляющих серверов, второй работает без них, напрямую передавая информацию от одного зараженного узла к другому. Linux.Rex.1 организует бот-сети второго типа. Они называются одноранговыми, пиринговыми или P2P-сетями (от англ. peer-to-peer, «равный к равному»). В архитектуре Linux.Rex.1 имеется собственная реализация протокола, позволяющего обмениваться информацией с другими зараженными узлами и создавать таким образом децентрализованный P2P-ботнет. Сам зараженный компьютер при запуске троянца работает как один из узлов этой сети.

Троянец принимает от других инфицированных компьютеров управляющие директивы по протоколу HTTPS и при необходимости передает их другим узлам ботнета. По команде Linux.Rex.1 начинает или останавливает DDoS-атаку на узел с заданным IP-адресом.

Еще одна функция Linux.Rex.1 — рассылка сообщений по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку. Чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в криптовалюте биткойн.

http://news.drweb.ru/show/?i=10157

Таким образом, ботнет не имеет единой точки управления. Команды передаются от одного компьютера к другому. Разматывать этот клубок – сложно и долго, так как компьютеры могут находиться по всему миру.

Вторая проблема – отчеты, по которым можно узнать, с каких адресов происходило обращение к узлу ботсети. Лог выглядит примерно так:

#drweb

На всякий случай отметим, что в данном примере все приложения – легальные.

Такие отчеты, как правило, не имеют защиты, и хакеры могут их удалить. Так что следы будут стерты – если, конечно, вы не делаете регулярный бекап!

И наконец, третье. Хакер может командовать атакой не со своего компьютера, а удаленно – со взломанного. Вполне возможно, находящегося в другой стране. И на этом компьютере он тоже способен подчистить логи.

#DDoS-атака #ботнет #взлом #киберпреступление #безопасность

Dr.Web рекомендует

  1. Если вы не хотите стать частью ботсети (и, следовательно, – соучастником атак), установите средства защиты, в первую очередь антивирус.
  2. Устанавливайте обновления всего используемого ПО – вредоносные программы могут проникнуть к вам через уязвимости в разных программах.
  3. Используйте сложные пароли. Очень часто проникновение происходит после перебора паролей доступа – а они зачастую оказываются у разных пользователей одинаковыми.
  4. Регулярно делайте резервное копирование (бекап) – это позволит найти следы преступления, если оно все-таки будет совершено.

Получайте Dr.Web-ки, оценивая выпуск! (1 голос = 1 Dr.Web-ка)

Авторизуйтесь и получите 10 Dr.Web-ок за публикацию ссылки на выпуск в соцсети.

[MAIL.RU] [Twitter]

В связи с техническими ограничениями Вконтакте и Facebook, мы, к сожалению, не можем дать Dr.Web-ок. Но зато вы можете поделиться ссылкой на этот выпуск безвозмездно. Т.е. даром.

Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: