Проблемы с загрузкой сайта "Банкфакс" в течение большей части дня 12 декабря были вызваны неизвестными, организовавшими DDoS-атаку на сервер хостинг-провайдера.

13.12.2005 09:00

В течение большей части дня 12 декабря доступ на наш сайт для читателей был крайне затруден или сайт был вообще недоступен. К сожалению, расследование причин чрезвычайной ситуации показало, что предварительная версия о техническом сбое была неверна. Как сообщила Служба технической поддержки нашего хостинг-провайдера, на сервер, на котором физически размещен сайт "Банкфакс" в течение дня неизвестными злоумышленниками проводилась направленная DDoS-атака.

DDoS - "распределенный отказ от обслуживания". Технология DDoS-атак подразумевает метод грубой силы - атакующий тем или иным способом пытается "забить" канал, заставляет большое количество компьютерных систем слать бесконечные "мусорные" запросы серверу. Также злоумышленник может посылать большое количество определенного типа пакетов на хост, и тем самым попытаться вывести из строя работающую на нем операционную систему. Как правило, в таком случае система атакованном сервере не успевает обработать все пакеты, происходит переполнение буфера и ОС перегружается или виснет.

DDoS-атака - это атака на перегрузку. Перегружаться могут канальные емкости, процессоры серверов, оперативная память, ресурсы баз данных. Какой из этих ресурсов быстрее исчерпается, тот и будет критическим.

Для подготовки атаки хакер предварительно внедряет "безобидные" вирусы в обычные компьютеры. Эти программы не выполняют никаких функций до определенного, заданного заранее момента времени. В определенному времени вирусы активируются, заставляя пораженные ими компьютеры постоянно слать бессмысленные пакеты данных по одному и тому же адресу.

Блокировка - далеко не единственный ущерб от DDoS-атаки, отмечает портал Ciberinfo.ru. Организация, чей информационный ресурс постоянно недоступен, постепенно теряет свою репутацию. Посетители уходят к конкурентам. Существование сайта в этом случае теряет всякий смысл.

Аналитики уже давно предсказывают, что в будущем DDoS-атаки будут одним из основных видов оружия в кибервойнах. В Интернете уже давно бушуют конфликты - от дилетантских взломов сайтов небольших фирм до хакерского проникновения в сети транснациональных корпораций и крупных госструктур. Но пока DDoS-атаки все же чаще используются организованными преступниками в своих целях.

Спрос порождает предложение. По оценке журнала Internet Zone, уже и в Рунете появилась своеобразная "услуга", когда киберпреступники предлагают заблокировать доступ пользователей Интернета к тому или иному сайту за $150-250 в сутки. Согласно одному из прайс-листов, шестичасовой простой веб-сайта обойдется заказчику в $60, а суточный - в $150. По предоплате. Однако, судя по всему, серьезные организаторы DDoS-атак свою деятельность не афишируют, а заказчиков им поставляют организованные криминальные структуры.

Пока сложно оценить, что являлось предметом хакерской атаки, однако ее организаторам удалось в течение дня сорвать нормальный доступ к сайту, а также существенно ограничить распространение его материалов по каналам наших информационных партнеров (Яндекс и пр.).

Комментариев 16

Горман

13.12.2005 06:59

По моему, это уже не смешно,потому что уже не в первый раз Банкфакс подвергается атакам. Просто кто- то сильно заигрался, его или их надо поставить на место. Такие ресурсы в системе МВД имеются, след таких акций четко прослеживается,Банкфаксу пора подавать заявление в прокуратуру.

Русский хакер (Рхак)

13.12.2005 07:49

Горману посвящается. Всегда завидовал людям, которые верят в существование деда мороза. Конечно, большинство посетителей этого сУрьёзного гиперпортала, в случае перегорания в квартире лампочки немедленно вызывают МЧС и спасателей, но не до такой же степени! DDoS-атака - это перегрузка сервера по запросам, в народе её ещё называют демонстрацией безмозглой силы. Это распределённые запросы, когда в атаке участвует много компьютеров с разными IP адресами, ваш бедный поруганный "банкфакс" тут не причём, так как это проблема того кто предоставляет им хостинг. Обращение в прокуратуру по этому поводу выглядит просто смешно, так как Горман тоже участвовал в этой DDoS-атаке, неоднократно пытаясь открыть заветную страницу. Я вообще не рекомендую читать умозаключения специалистов в области языка и авторучки которые каким-то боком касаются Сети. Специально для тебя Горман, DDoS-атака выглядит примерно так: на выбранный в качестве жертвы сервер обрушивается огромное количество ложных запросов со множества компьютеров с разных концов света. В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. Вся хреновость ситуации заключается в том, что пользователи компьютеров (и ты в том числе), с которых направляются ложные запросы, могут даже не подозревать о том, что их машина используется хакерами. Программы, установленные злоумышленниками на этих компьютерах, принято называть "зомби". Известно множество путей "зомбирования" компьютеров - от проникновения в незащищенные сети, до использования программ-троянцев". И запомни, что вычисление по всяким там IP и MACам это всё для дебилов. Найти конечно можно, но вот доказать, что это был именно ты, практически не реально, для этого нужно много народу с большими звездами на пагонах, много времени и денег, желательно зелёных. Ведь возможно придётся не раз слетать в Штаты или куда не будь в Австралию, и если следопытов там не пошлют на 3 буквы, то может быть (50%) ты и найдёшь тот компьютер. Не будь те лохами, "банкфакс" читают от 10 до максимум 50 человек в день, 90% - это такие же специалисты как и они сами. После гибели Евдокимова число их читателей сократилось в двое. Если я не прав, то пусть покажут не хиты (тупое кликанье по одному и тому же месту), а новые хосты за день или хотя бы уникальных посетителей за 7 дней.

лукерья

13.12.2005 08:05

рхак, из тебя хакер, как из меня домохозяйка - на букву х... и туда же - хиты, хосты...

жжжжжжжж

13.12.2005 08:07

стоит добавить, что если сервер Банкфакса на Агаве не отдельный физически, а виртуально хостится вместе с другими сайтами, то и атака могла быть совсем не на него...

Денис

13.12.2005 08:16

Написанное "Русский хакер (Рхак)"
правда лишь отчасти
так как зомбированные машины вычислить можно
по характерным запросам . Необходимо провести первичный анализ запросов поступающих на сервер. Далее настраивается IDS для блокирования подобных запросов извне. Все.

жжжжжжжж-у

13.12.2005 08:17

Ага щас! Если сервер физически отдельный, то тогда какой смысл держать его за тридевять земель? В 100 раз дешевле будет поставить его дома под койкой.

Андрей - Денису

13.12.2005 08:21

так то оно так, но это раньше запросы были характерными, т.е. по показателям запрос-пауза, сейчас всё на много сложнее, увы

ASD

13.12.2005 08:42

Бугага! Дык при чем тут Банкфакс? Кому он, нафиг, нужен? Кучке фанатов ЕМС? Дык они и писать-то, в большинстве своем, не умеют, не то что DDoS-атаки варганить... Атака стопудов была на Агаву, нервы ей попортить... Больно уж много народа в Сети не любит этого хостера (не любит - еще мягко сказано)...
В частности, mediactivist.ru тогда Агава отрубила, когда они акцию против KavkazCenter замутили...

Денис Ф.

13.12.2005 08:47

1. Необходимо провести анализ какого типа DOS атака т.е. пытаются ли завалить канал хостера тупыми флуд пингами или идет атака на WEB сервер
2. Провести первичный анализ кол-ва машин участвующих в атаке.
3.а Если в атаке участвуют несколько машин и это флуд атака на канал, то можно связаться со своим поставщиком услуг и попросить закрыть входящий трафик от этих машин.
3.б если атака на WEB сервис то необходимо провести анализ HTTP запросов и выделить характерную для данной атаки сигнатуру. Далее на своей IDS или IDS провайдера запретить прохождение ip пакетов содержащих данную сигнатуру.
4. Связаться с отделом "К". Далее идет работа по выявлению владельцев "зомби машин". Анализ злонамеренного ПО на машинах пользователей. Выявить алгоритм управления и получения комманд от атакующего. Провести анализ входящего трафика на эти машины по данному протоколу. Выявляется IP адрес человека давшего команду "фас". Выяснить физическое местоположение атакующей машины. Вроде все.
Все выше изложенное вполне реально и зависит лишь от желания хостера и сотрудников отдела "К" выяснить кто стоит за атакой.
АНОНИМНОСТИ В СЕТИ НЕТ.

Денис-у Ф. от старого Паука

13.12.2005 09:22

Поверь мне, малъчик, анонимность в сети есть.
Ты видать обслушался лекций по безопасности в полутехе, только там , так могут гнать.
А ты, наслушавшись, возомнил себя крутым спецом, безопасником, в сети (уууу, как крута, баюсъ). Хи-хик-с ;)

Хотя это гонево и операется на факты, но, оно уже давно устарело и не используется, а сами гонщики про это знают только из книжки или методички.
Я помню, как компы этих гонщиков не имел только ленивый. Как было забано на них смотреть.
Есть другие методы и новые и старые, которые действуют и сейчас, только найти по ним мануал в стиле "хакнем сайт - для ламера/чайника/и т.д." нереально. Причём, что интересно, про многое написано в совершенно свободном доступе, только вот, чтобы суметь воспользоваться всем этим надо иметь правильную ДНК.

P.S. У нас все поголовно имеют персональные IP - адреса - это мощьно...
P.P.S. А ещё, в догонку,- по всему миру, есть куча всяких прокси которые не ведут логи соединений по принципиальным соображенииям.

Денис Ф.

13.12.2005 09:57

Старому Спидеру(Spider).
юмор заценил ?
Поверь мне старая девочка АНОНИМНОСТИ в сети НЕТ.
Из вашего всплеска эмоционального бреда я так и не смог разобрать чего "этого сейчас нет"? Протокола IP, или здравого смысла в вашей голове? Цепочка прокси - пожалуйста, мне достаточно логов с одного из них чтобы проанализировать куда вы идете и что там ищете. Если вы идете через 1 анонимный прокси сервер мне будет достаточно анализа данных netflow от провайдера на площадке которого размещен данный сервер.

Денис-у Ф. от старого Паука

13.12.2005 11:01

О! У нас в сети появился бэтман, для которого нет в сети анонимности, он всё знает и всё умеет.

Куда уж там старой "девочке", которую все знают до страшного бэтмана, к тому-же в голове у меня нет не одной мысли...., а что делать, зато волосы красивые, такие все белые....

Что-ты понять, чего сейчас нет и что есть надо иметь правильную ДНК, я как всегда, неошибся. ;) Опыт однако.

Как-же ты получиш логи с прокси если их там нет, совсем, напрочь. И кто их тебе даст от туда где они есть. К тому-же я могу идти много куда, даже очень много куда, на всякий случай. Ты хоть раз глянь в такие логи, может поймёш всю бесполезность затеи.

А хочеш я тебя напугаю - фрагментированные пакеты - говорит о чём-нибуть. Слышал про такие методы. Дай бог тебе их не видеть, крышонку твою они сорвут напрочь потому как вступят в конфликт с твоим главным постулатом.

Ну раз у меня здравого смысла в голове нету, я чуть-чуть скажу про них: ты только представь, пакет пришел вроде-бы от извесно откуда и вроде ясно как и туда попал, а внутри, о ужас, часть другого пакета и причем каждая следующяя часть имеет другой маршрут. Ну и для более ужасненького представь сколько возможных маршрутов может быть в принцыпе, хотя тебя это не напугает ввиду того, что в сиё действо можно вникнуть не просто с правильной ДНК а с исключительно правильной.

Денис Ф

13.12.2005 11:30

Флеймовая тема.
Каждый останется при своем.

ASD

13.12.2005 12:00

Хм... Куча слабых мест...
"Необходимо провести анализ какого типа DOS атака т.е. пытаются ли завалить канал хостера тупыми флуд пингами или идет атака на WEB сервер" - а какая разница? Одно с другим взаимосвязано: цель-то одна. Либо забить канал, либо завалить сервер. Хотя, это одно и тоже, по-большому счету...
"Провести первичный анализ кол-ва машин участвующих в атаке." А нафига? Кол-во-то Вам зачем? Че, станет легче, если узнаете, что их было 500 тыс. или всего 100? Бред...
"Если в атаке участвуют несколько машин..." Не, ну Вы сначала попробуйте ОДНОЙ машиной завалить сервер. Тут даже Брэдбери со своей фантастикой отдыхает. Ясен пень, что их было НЕСКОЛЬКО...
"Далее идет работа по выявлению владельцев "зомби машин" Ага... И че? Даже 100 владельцев-"зомби", учитывая, что все они сосредоточены НЕ в пределах Ленинского проспекта и НЕ в пределах РСФСР выявить хоть и возможно (теоретически) - что это даст? Сколько вы будете списываться с уполномоченными на то органами всех стран, на территории которых находятся зараженные машины? Два-три года... В самом-самом лучшем случае. При личном покровительстве Господа Бога... Однако все это цветочки... Далее идут ягодки: "Анализ злонамеренного ПО на машинах пользователей" Каким образом? Телепатия? Телепортация? Еще что-то? Анализ ПО возможен только ФИЗИЧЕСКИ, НЕПОСРЕДСТВЕННО на носителях. Тем более, если трояны написаны собственноручно, а не взяты с www.xaker.ru...
"Выявляется IP адрес человека давшего команду "фас" Ага... Это Вася Пупкин из Урюпинска... Он с домашнего компа выходил, через ADSL... Тока забыл, бедолага, что IP-шник у него один... Для справки: цепочка из 5 прокси - и вычислите вы только от мертвого осла уши... Какие логи? Там всякая х..ня написана, в том числе, как на входящие, так и на исходящие запросы... И будете вы метаться от Кипра к Сенегалу, через Австралию...

Проще быть надо

13.12.2005 12:36

Есть такая штука, WiFi называется, в Барнауле с ней напряг, а вот в остальном мире она сильно и давно котируется. По этой заморочке, да с купленным во Владике ноутбуком, чётра лысого вы найдёте, но только не меня, и плевал я на ваши прокси и логи. А если не дай бог и найдёте, то я тот ноутбук в прорубе утоплю.

Денис Ф.

13.12.2005 12:45

Слабые места конечно есть.
Если бы слабых мест в обнаружении злоумышленников не было, тогда не было бы и DOS и DDOS атак.