Эксперты по кибербезопасности сошлись во мнении, что причиной глобального замедления интернета стала хакерская "атака века", начавшаяся 18 марта. Главной целью атаки стала британско-швейцарская некоммерческая организация Spamhaus, временно внесшая в свой черный список нидерландского хостинг-провайдера CyberBunker, предлагающего услуги размещения на своих серверах "любой информации, кроме порнографии и террористических данных". CyberBunker давно является любимым хостером для спамеров со всего мира.
Представители Spamhaus говорят, что исполнителями DDoS-атаки по заказу Cyberbunker могли выступить хакеры из России и некоторых стран Восточной Европы.
Ситуация усугубляется тем, что правоохранительные органы Нидерландов пока не могут проникнуть внутрь настоящего бункера НАТО времен холодной войны в городке Клутинге на западном побережье страны, где сейчас размещается CyberBunker. Команда противодействия IT-преступности полиции предприняла несколько попыток войти в здание, но все они оказались безуспешными.
Пресс-секретарь CyberBunker, с которым голландские журналисты смогли связаться только через Facebook, отверг все обвинения против своей компании и обвинил Spamhaus в отходе от принципов "сетевого нейтралитета". Сайт хостинг-провайдера в четверг перестал отвечать на запросы.
DDoS-атака против Spamhaus началась еще на прошлой неделе, 18 марта. На следующий день она достигла пикового значения 90 Гбит/с, после чего колебалась в пределах от 90 до 30 Гбит/с и затихла 21 марта. Атака возобновилась с новой силой 120 Гбит/с 22 марта.
Американская компания CloudFlare, которая специализируется на защите от DDoS-атак, сообщила, что в среду мощность DDoS-атаки выросла до 300 Гбит/с, и теперь она уж точно самая мощная в истории интернета. Для сравнения: атаки на серверы крупных банков до сих пор имели мощность в пределах 50 Гбит/с.
По мнению экспертов CloudFlare, в нынешней атаке не было ничего особенного, кроме исключительной мощности. Технически она осуществлялась такими же методами, как и предыдущие атаки - умножением трафика через открытые DNS-резолверы (так называют программные сервисы, осуществляющие распознавание списка IP-адресов и преобразование DNS-имен в IP-адреса для списка хостов).
Эффект от DDoS-атаки почувствовали миллионы пользователей интернета, у которых стали "подтормаживать" сайты, пишет газета The New York Times.
В результате атаки на Spamhaus пострадали и крупные поисковые и почтовые серверы. Крупные интернет-корпорации, такие как Google, помогли антиспамовой компании выстоять, выделив ей свои серверные мощности.
В целом, однако, провайдеры нормально выдержали атаку и никто не отключился от сети, но их сильно "зафлудили". В Европе было зафиксировано некоторое увеличение пинга при доступе к разным сайтам. Действия злоумышленников сказалась и на центрах обмена трафиком. Например, в лондонском LINX в пиковые часы 23 марта из-за заторов трафик упал более чем вдвое, сообщает ХАКЕР.ру.
"Однозначно это самая крупная DDoS-атака за всю историю интернета. Подобные акции виртуальных хулиганов могут коснуться любого пользователя. Они просто замедляют сеть или и вовсе делают ее недоступной", – цитируют российские СМИ эксперта из "Лаборатории Касперского" Виталия Камлюка.
"Хакерская атака повредила крупнейшие мировые сети и точки обмена интернет-траффиком. Количество зараженных интернет-сетей и объектов исчисляется сотнями тысяч, если не миллионами. Согласно нашим данным, злоумышленники нанесли ущерб всему миру", – заявил Камлюк.
Напомним, DDoS-атаками (от англ. Distributed Denial of Service, "распределенные атаки на отказ в обслуживании"), называют создание большого количества запросов на конкретный сайт, в результате чего сервер не выдерживает и сайт открывается медленно либо на некоторое время вовсе перестает открываться. Обычно для организации атак используются ботнеты, или бот-сети. Это сети, состоящие из хостов с запущенными на них "ботами" (сокращение от слова "робот") - автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера.
Бот-сети, помимо DDoS-атак, используют для рассылки спама, перебора паролей на удаленной системе и других видов нелегальной или нежелательной деятельности. Атаки ботнетов способны вывести из строя не только крупные интернет-ресурсы, но и целые сегменты глобальной Сети. Существуют также специальные сервисы, позволяющие пользователям добровольно присоединиться к атаке на тот или иной сайт
Avots : http://hitech.newsru.com/article/28mar2013/spamhousddosd
DoS un DDoS uzbrukumi
Viens no veidiem kā panākt to, lai serveris jeb dators izietu no ierindas, ir veikt DoS (Denial of Service – angļu valodā) uzbrukumu, kura pamatā panāk to, ka serveris pārstāj reaģēt uz klientu pieprasījumiem, kad tie vēlas apskatīt interneta vietni vai savienoties ar e-pasta serveri.
Pastāv divi veidi, kā to panākt:
izmantojot drošības nepilnības konkrētajā vietnē;
izmantojot kanāla pārslodzi vai servera jaudas pārslodzi.
Ja tiek īstenots pirmais variants, un servera konfigurācijā ir manīts drošības trūkums, tad nosūtot informāciju mainīgajam ar pārāk lielu apjomu var panākt to, ka serveris nevarēs izpildīt visu interneta vietnes skriptu, un serveris uzkārsies, tādējādi arī beigs atbildēt uz klientu pieprasījumiem. Tādā veidā informācija netiek kropļota, serveris netiek uzlauzts, bet tā darbība ir pārtraukta.
Savukārt, ja tiek īstenota otra metode, un serveris, kuram tiek īstenots uzbrukums, atrodas viena ranga tīklā, tad pietiek ar to, ka uzbrucējs sava datora IP adresi nomainīs uz tāda pašu kā serverim, kā rezultātā tīklā notiks konflikts, jo divi datori nevar darboties viena ranga tīklā ar vienādām IP adresēm. Šis konflikts noved pie tā, ka abi datori ar vienādām IP adresēm nestrādās.
Bet, lai panāktu to, ka serveris pārstāj darboties pārslodzes dēļ, piemēram, tīkla pārslodzes dēļ, tad pietiek ar to, ka jāuzraksta programma jebkurā programmēšanas valodā, kas īsteno savienojumus ar upura serveri un dara to bieži un daudz. Šādā gadījumā ilgi nav jāgaida, kamēr viss kanāls būs aizņemts, un serveris pārtrauks atbildēt uz ienākošajiem jaunajiem pieprasījumiem. Viss, protams, ir atkarīgs no tā, kāds ir interneta pieslēgums šim serverim un kādi ir tā resursi. Jo vienā gadījumā var pārslogot tīklu, bet citā pašu serveri. Visvienkāršākais veids, kā panākt pārslodzi, ir izsūtīt ping pieprasījums ar lielu datu apjomu. Ja uzbrucējs būs ar lielāku interneta ātruma pieslēgumu, bet upura serveris jeb dators būs ar mazāku vai vienādu, tad nesagādās nekādas problēmas panākt to, ka upura serveris nespēs pildīt savas funkcijas internetā. Šādu uzbrukumu var izveidot, izmantojot programmu CyD NET Utils, kurā var norādīt gan viena ping pieprasījuma lielumu, gan skaitu.
Uzbrukums var tikt veikts arī no otras puses. Gadījumā, ja serveris piedāvā lejupielādēt kaut kādu datni vai direktoriju, tad var izsūtīt neskaitāmus pieprasījumus, un kanāls tiks ātri vien aizņemts ar atvērtiem pieprasījumiem. Jāatzīmē gan, lai efektu panāktu maksimāli ātri un viegli, tad ieteicams izvēlēties tādu datni, kura ir liela pēc izmēriem.
Visi šie gadījumi, protams, ir ļoti bīstami jebkuram serverim. Servera administrators var nokonfigurēt serveri tā, lai tas atver konkrētu skaitu pieprasījumu uz vienu IP adresi, bet tas var atbaidīt tikai tos uzbrucējus, kuri tikai mācās serveru darbību apturēšanā, jo mainīt IP adreses arī ir iespējams, un tas ir viegli izdarāms.
Lai izsargātos no kanāla pārpilnības, var izmantot tikai vienu metodi, proti, palielināt kanāla ātrumu. Savukārt, lai aizsargātos no paša servera pārslodzes, var izmantot maksimāli ātru un labu serveri, kas var apstrādāt ļoti daudz pieprasījumus.
DDoS uzbrukumi
Lai panāktu servera darbības traucējumus lielām organizācijām, ir jābūt diezgan lielai kanāla caurlaidībai, un bieži vien mājas apstākļos šādu kanālu nemaz nav iespējams gūt. Tieši šādos gadījumos uzbrucēji izmanto DDoS (Distributes Denial of Service - angļu valodā), kuras pamatā ir vairāku zombētu datoru izmantošana sava mērķa sasniegšanai, kā rezultātā vairāku mazu kanālu kopsummai, sasniedzot lielā servera kanāla jaudu, var panākt, ka serveris iziet no ierindas un pārstāj darboties jeb atbildēt uz klientu pieprasījumiem.
Pret šāda veida uzbrukumiem aizsargāties ir ļoti grūti un man šķiet, ka pat neiespējami, jo datori, kas ir inficēti un bez to īpašnieku ziņas izpilda viena uzbrucēja komandas pret konkrētu serveri, var būt tūkstošiem, kā rezultātā upura serveris nevar noteikt vai tiešām konkrēts dators ir uzbrucējs, vai tikai parasts lietotājs.
Parasti šādi uzbrukumi notiek lielām organizācijām tādām kā Microsoft vai Yahoo, un ar mērķi kaut ko panākt vai pierādīt. Visdrīzāk šāda veida uzbrukumi uz serveri, kurā ir viena vai vairākas nenozīmīgas interneta vietnes, ir maz iespējami.
17/04/2013 18:13:36
17/04/2013 18:14:15
17/04/2013 18:21:25