Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

DOS и DDOS атаки

Гудимов Анатолий Геннадиевич

Зарегистрированный
Регистрация
26 Май 2009
Сообщения
938
Реакции
4
Баллы
18
Возраст
61
Адрес
Россия Санкт-Петербург, Москва.
Веб-сайт
iapd.info
DoS и DDoS атака
В этой статье я расскажу о самой интересной атаке! О самой серьезной атаке! Я расскажу вам о DoS! Вы не знаете что это такое? Вы отстали от жизни, это дело надо исправлять. Пора вам продвинуться в области компьютерной безопасности. Новички, эта статья посвящается вам и только вам!
DoS (Denial of Service) – отказ об обслуживании. Суть атаки состоит в убиении системы удаленного компьютера, повисания системы или отключения от сети и в вынужденной перезагрузке. Способов DoS’а существует много, вот некоторые из них: засорение Интернет канала, посылка неправильных пакетов, посылка огромного числа пакетов. Причин еще больше: конкуренция (отключение от сети несет большие убытки), месть (мечта любого подростка отомстить своему другу), выгода (для некоторых людей взлом – работа), в целях самоутверждения (подростковый максимализм), изучение (поиск уязвимостей, защиты). Ничего из этого я не приветствую, кроме последнего пункта. DoS – одна из самых страшных атак, которые используют хакеры, взломщики и даже вирмейкеры! Я вам хочу преподнести знания о DoS’е. Я понимаю, что таких статей по этой тематике и так много, но я хочу все это преподнести в более упрощенном варианте. Я очень старался, что бы этот материал был понятен для новичков. Над этой статьей я работал очень долго. Прошу строго не судить.
DoS атаки совершаются с помощью специальных программ DoS’еров, либо вручную с использованием штатных средств, а иногда при помощи вирусов-червей. Так была совершена величайшая DDoS атака на сервера Microsoft и SCO. Червь MyDoom выполнил колоссальную работу (правда, с некоторыми ошибками). Но о DDoS мы позже поговорим, а пока давайте посмотрим, какими бывают DoS атаки.

Ping of Death
Представьте себе такую ситуацию: хакер начинает пинговать удаленную машину пакетами нестандартного размера. Пинговать значит слать пакеты «echo-request». Я понимаю, что это не совсем понятно. Объясняю. В таких пакетах хранится только адрес и служебная информация. После этого удаленная машина, получившая эти пакеты должна отослать «echo-reply». Первое, что должен сделать хакер - это увеличить размер пакетов. Это, я думаю, понятно почему. Интернет канал не выдержит больших пакетов (если канал маленький). Можно эту ситуацию более усложнить, т. Е. при помощи специального софта увеличить размер пакетов больше максимального! Да, да! Это возможно! Как вы понимаете, комп не сможет отослать «echo-reply» на такой неправильный «echo-request». И тогда только синий экран смерти. Не даром эта атака называется «Ping of Death» (рус. Пинг смерти). Но здесь есть одна проблема: сейчас такие умные программисты, что научили свою ОС отсеивать такие пакеты, поэтому она действует только на старые ОС. Но, поверьте мне, и сейчас такие остались в Internet. Если вы ничего не поняли, то объясняю попроще. Атакующий посылает неправильный пакет жертве. Компьютер жертвы не может послать подтверждение и зависает. Теперь понятно? Вот и хорошо.

SYN Flood
Линуксоиды! Радуйтесь, эта атака вам не страшна, а вот остальным нужно быть начеку.
Атакующий посылает пакеты синхронизации (TCP SYN). После первого пакета комп жертвы посылает ответный пакет (SYN ACK) и ждет пакет ACK. А он не приходит. Как это сделать? Все просто. Есть такое понятие как IP Spoofing. Каждый пакет имеет два поля: «source IP» (адрес отправителя) и «destination IP» (адрес получателя). Так вот, IP Spoofing – это подмена поля «source IP». Т.е. при такой атаке хакер меняет source IP на IP компьютера, который не в сети. Вся прелесть в том, что если комп получает пакет, где вписан IP-шник левого компьютера, то он и ответит этому, и будет ждать от него ответа. Еще с помощью этого можно зафлудить канал. После такой атаки компьютер зависает или не может ни к чему подключиться.

CPU Hog
Атака достаточно старая и простая. Действует на WinNT. В этой системе каждый процесс имеет свой приоритет (16 максимально). И программа, имеющая больший приоритет, будет ставить свой процесс выше других, т.е. «заглушая» другие. Хакер пишет такую программу и отсылает жертве, жертва же врубает ее… комп виснет.

Это далеко не все DoS атаки. Я описал самые простые. И все они доступны для вас. Но ни в коем случае я не советую их вам применять. Не будьте скрипт-кидди, который, увидев новую уязвимость с эксплоитом, мчится все дефейсить и крушить.
Существует так же множество уже «умерших атак» (Land, WinNuke). С типами DoS атак дальше, я думаю, вы разберетесь сами. Теперь перейдем к более серьезному, а именно к DDoS.
DDoS Attack – Distributed Denial of Service Attack (рус. Распределенная атака на отказ об обслуживании). Это намного серьезнее, чем DoS. При DoS один компьютер атакует жертву. При DDoS 2, 3, 30 или даже 100! При таких атаках сервера не выдерживают и приказывают долго жить.
Для того, что бы устроить DDoS атаку, вы должны иметь ботов в сети. В этом случае DDoS-бот – это сервер, зараженный специальной хакерской программой-трояном. Этот способ называется зомбированием. Можно весь процесс зомбирования автоматизировать, создав специального вируса-червя. Это самое сложное, но идеальное решение. Кстати, хороший DDoS’ер-хакер всегда должен иметь под рукой 60 серверов-зомби в среднем.
DDoS-ботом может быть программа для зомбирования серверов, для совершения атак. Программы эти очень дорогие (500-1500 $). Еще бы! DDoS – это игрушка не для ламеров. Это очень опасная штука! Хотя встречаются бесплатные DDoS-боты, но они мало функциональны. Существует много способов ограждения этих ботов от ламеров. Один из самых удачных: бот предоставляется в виде исходников на C. Их нужно откомпилировать, но в коде исходников допущены ошибки, которые найти и исправить сможет только хакер. Я даже боюсь представить, что будет, если готовый бот попадет в руки ламера. 90%, что он пойдет крушить все подряд.
Хакеры создают свои ботнеты (зомби-сети) через IRC в большинстве случаев, но можно не только через Ирку.
Более умные и дерзкие DDoS’еры-хакеры перехватывают чужие ботнеты, делая свою армию зомби-серверов больше и сильнее. Это и к лучшему. Я считаю, что в этом деле нельзя допустить монополии. Описывать сами атаки на практике я не буду. Мне за это спасибо не скажут. Но смогу описать одну игрушку для ламеров.
Denyo Launch III – это очень удобный DoS’ер с очень простым интерфейсом. С его помощью можно повесить сайт. Что бы понять, как ей пользоваться, советую посмотреть обучающее видео, а найти это видео можно на inattack.ru. Ссылку на саму прогу я не имею, придется поискать вам самим. Суть действия программы заключается в следующем: Denyo Launch III запоминает ваше действие/запрос на определенный сервер, а потом повторяет это действие 100-200 раз. В итоге сайт виснет.
Но на то эта игрушка для ламеров. А вот самая страшная DDoS атака – это Smurf. Суть атаки состоит в следующем: с помощью спуфинга (IP Spoofing) в заголовке source IP echo-пакета меняется адрес на адрес жертвы и посылается на широковещательный канал. Все компы начинают отвечать жертве. В итоге… очень плохо. 
Как вы уже поняли, зомбировать сервера приходится с помощью программ-троянов. Такие программы обычно состоят из двух exe-файлов: сервера и клиента. Сервер засылается жертве, а у хакера клиент. Между ними создается порт. Сервер принимает команды клиента. Т.е. хакер может управлять чужим компьютером словно он администратор, а если может управлять, значит может и DoS’ить. А вот как сделать, что бы жертва получила Троян (сервер) и не знала об этом? Способов много. Есть такие программы – Джойнеры (Joiner). Они могут склеивать файлы. Т.е. вы сможете склеить безобидную игрушку с сервером и отдать это жертве. Жертва запустит игру и Трояна вместе с ней, но Троян себя не выдаст. Я пользуюсь MicroJoiner. А впарить все это можно с помощью Социальной инженерии. Читайте мою статью на ХЗ «Основы СИ. Часть 2.».
Лично я DDoS’ером не являюсь, но если бы я занимался DDoS’ером не являюсь, но если бы я занимался DDoS’ом, я бы старался перехватывать ботнеты и отдавал бы их машины их администраторам. И если вы в будующем планируете стать DDoS’ером, то именно так и делайте. Я уверен, что положение в Интернете улучшиться. И одной программой держать свой один большой ботнет я тоже не советую. Держите несколькими прогами. Всегда маскируйте скрипты и Трояны. Для всех ботов в IRC и ICQ делайте разные Ники, что бы никто не догадался.
Из литературы советую полностью прочитать журнал «Спец Хакер выпуск №21». Весь этот выпуск посвящен DoS и DDoS атакам. Так же прочитайте статью на hackzona.ru «Огород из DDoS-ботов». Обязательно посетите inattack.ru и прочитайте все статьи в разделах «DDoS/Флуд» и «Ботнет». Так же советую в Интернете поискать все о таких понятиях как DoS, DDoS, Spoofing, флуд, переполнение буфера, черви и защита от всего этого.
Кстати, не надо путать понятии «флуд» и «DoS». Флуд – это закидование пакетами ненужной информации, а DoS закидование пакетами неправильной информации. Это совсем разные вещи.
Прошу меня извинить, что не показал реальных практических примеров, не дал важных ссылок (хотя я вообще никаких ссылок не дал), не показал листингов.
Ну что? Подведем итоги? DoS и DDoS одни из самых опасных атак в Интернете. Попади DDoS-бот в руки скрипт-кидди или ламеру – крах провайдеру. Когда червь MyDoom совершил DDoS атаку на сервера Microsoft и SCO, они так разозлились, что объявили охоту на злобного программиста, обещая за его поимку 500 тысяч долларов. Но хакер остался в тени.
Вся информация предоставлена только для ознакомления. Это не подталкивание к криминальным действиям. Это я серьезно, т.е. я это не просто пишу. Я вас не призываю крушить сервера, а даже наоборот. Мы хакеры, а не вандалы. Главное помнить оь этом всегда.
https://adil666.ucoz.ru/publ/khaking/dos ... a/3-1-0-16

DOS-АТАКИ
СПОСОБ

DoS-атака или атака типа «отказ в обслуживании» является одним из видов неправомерною доступа, а именно такого, который приводит к блокированию информации и нарушению работы ЭВМ и их сети. Иные виды неправомерного доступа (копирование информации, уничтожение информации), а также использование вредоносных программ могут быть этапами осуществления DoS-атаки.
Такие атаки принято разделять на два типа: атаки, использующие какие-либо уязвимости в атакуемой системе и атаки, не использующие уязвимостей. Во втором случае своеобразным «поражающим фактором» атаки является перегрузка ресурсов атакуемой системы – процессора, ОЗУ, диска, пропускной способности канала.

ПРЕСТУПНИК

В настоящее время встречаются DoS-атаки как с личными, так и с корыстными мотивами. Еще 2-3 гола назад личные мотивы превалировали. Но сейчас наблюдается четкая тенденция возрастания чиста DoS-атак с корыстными мотивами в целях вымогательства или недобросовестной конкуренции.
Организовать DoS-атаку на типичный веб-сайт не представляет из себя сложной задачи, она пол силу ИТ-специалисту средней квалификации, имеющему в своем распоряжении среднее же оборудование и средней ширины канал связи. Соответственно, на черном рынке DoS-атака на обычный веб-сайт стоит десятки долларов за сутки. На более крупный или более защищенный объект - первые сотни долларов за сутки. Возможны оптовые скидки. Заказать атаку может себе позволить даже один обиженный индивидуум. Инструмент для осуществления распределенных DoS-атак зомби-сети (ботнеты) - также имеются в продаже на черном рынке по сравнительно низкой цене, порядка десятков долларов за тысячу зомби-хостов. И цена эта в последнее время снижается.
С другой стороны, в Сети появляется все больше и больше чисто информационного бизнеса, благополучие которого целиком и полностью зависит от доступности его сайта или другого сетевого ресурса. Это онлайн-магазины, онлайн-аукционы, онлайн-казино, букмекерские конторы и некоторые другие виды предприятий. Остановка работы веб-сайта в таких условиях означает полную остановку бизнеса. Несколько недель простоя могут полностью разорить предприятие. Естественно, при таких условиях находятся желающие пошантажировать владельца и получить с него выкуп за прекращение DoS-атаки. Несколько лет назад подобных предприятий (е-бизнеса) с существенными доходами еще не было. Соответственно, не было и DoS-вымогательства.
Итак, можно выделить два типа преступлений, связанных с DoS-атaками с целью доставить неприятности владельцу или пользователям атакуемого ресурса и с целью получить выкуп.
В первом случае, как и при клевете и оскорблениях, следует искать «обиженного». При этом непосредственным исполнителем может быть как он сам, так и нанятый профессионал.
Во втором случае мы имеем дело с хладнокровным криминальным расчетом, и преступление мало чем отличается от офлайнового вымогательства или недобросовестной конкуренции. Тип возможного преступника «е-бизнесмен» описан в разделе «Личность вероятного преступника».

ОБСТАНОВКА

Один тип DoS-атаки основан на использовании уязвимостей в программном обеспечении атакуемого ресурса. Другой тип так называемый «флуд» - не использует никаких уязвимостей и рассчитан на простое исчерпание ресурсов жертвы (полоса канала, оперативная память, быстродействие процессора, место на диске и т.п.). Как легко понять, ко флуду нет неуязвимых. поскольку любые компьютерные ресурсы конечны. Тем не менее разные сайты подвержены флуду в разной степени. Например. CGI-скрипт, работающий на веб-сайте, может быть написан не оптимально и требовать для своей работы слишком много оперативной памяти. Пока такой CGI-скрипт вызывается paз в минуту, эта неоптимальность совершенно незаметна. Но стоит злоумышленнику произвести вызов CGI-скрипта хотя бы сто раз в секунду (никаких особых затрат со стороны злоумышленника для этого не требуете, всего 300 пакетов в секунду, порядка 5 Мбит/с) — и неоптимальность CGI-скрипта приводит к полному параличу веб-сайта.
То есть запас по производительности и есть первичная зашита от DoS-атаки.
Обычные хостинг-провайдеры держат на одном сервере по нескольку десятков клиентских веб-сайтов. По экономическим причинам большого запаса производительности они сделать не могут. Отсюда следует, что типичный веб-сайт, размещенный у хостинг-провайдера, уязвим даже к самому простейшему флуду.

ПОТЕРПЕВШИЙ

Потерпевшим в подавляющем большинстве случаев выступает юридическое лицо.
Коммерческие организации редко бывают заинтересованы в официальном расследовании, поскольку для них главное - устранить опасность и минимизировать убытки. В наказании злоумышленника они не видят для себя никакой выгоды. А участие в судебном процессе в роли потерпевшего часто негативно отражается на деловой репутации.
Выступить потерпевшим организация-владелец атакуемого ресурса может в следующих случаях:
• когда есть уверенность, что не наказанный злоумышленник будет повторять атаки;
• когда предприятию надо отчитываться за понесенные убытки или перерывы в оказании услуг перед партнерами, клиентами, акционерами;
• когда руководитель предприятия усматривает в атаке личные мотивы, личную обиду, когда уязвлено его самолюбие.
В прочих случаях не приходится рассчитывать на заинтересованность потерпевшего в раскрытии преступления.
Следует помнить, что многие DoS-атаки воздействуют сразу на целый сегмент Сети, на канал, на маршрутизатор, за которым могут располагаться много потребителей услуг связи, даже если непосредственной целью атаки является лишь один из них. Для целей расследования необходимо установить, на кого именно был направлен умысел преступника. Формальным же потерпевшим может выступить любой из пострадавших от атаки.
Вместо формального потерпевшего целесообразно рассмотреть особенности личности специалиста, который обслуживает атакованную информационную систему и отвечает за ее защиту. Понимание его личности поможет понять причины и механизм совершения преступления.
Типичный профессиональный системный администратор человек, в реальном мире ничего из себя не представляющий (даже далеко не всегда высокооплачиваемый), но в мире виртуальном царь и бог. Подобное двоякое положение сильно способствует развитию комплексов неполноценности и стремлению компенсировать в виртуальности свою ничтожность в реальной мире. Поскольку речь идет о молодом человеке, значительную часть времени вынужденной проводить за компьютером (иначе профессионализм не приобрести), данный комплекс часто усугубляется половой неудовлетворенностью. Теперь представьте, что может натворить такой системный администратор с болезненным желанием продемонстрировать свою власть. При условии, что руководитель компании в технических вопросах вовсе не разбирается или не интересуется ими.
Можно сказать, что для потерпевшего от DoS-атаки (точнее, сотрудников юрлица потерпевшего) характерно провоцирующее поведение в онлайновых взаимоотношениях.

СЛЕДЫ

При подготовке и проведении DoS-атаки образуются следующие следы технического характера:
• наличие инструментария атаки - программных средств (агентов), установленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
• следы поиска, тестирования, приобретения инструментария;
• логи (преимущественно статистика трафика) операторов связи. через сети которых проходила атака:
• логи технических средств зашиты детекторов атак и аномалий трафика, систем обнаружения вторжений, межсетевых экранов, специализированных антифлудовых фильтров;
• логии, образцы трафика и другие данные, специально полученные техническими специалистами операторов связи в ходе расследования инцидента, выработки контрмер, отражения атаки. (Следует знать, что DoS-атака требует немедленной реакции, если владелец желает спасти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрманевры, из-за чего картина атаки усложняется);
• следы от излучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS-атак, его переписки, переговоров и денежных расчетов с исполнителями;
• следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.
При профессиональном осуществлении атаки используются зомби-сети или иной специализированный инструментарий. Естественно, он не одноразовый. Исполнители не заинтересованы в простаивании своих мощностей и могут осуществлять несколько атак одновременно, либо осуществлять теми же программными агентами параллельно с атакой другие функции, например, рассылку спама.
https://itinvestigations.blogspot.com/2011/02/dos.html

Защита от DoS-атак

Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

Ниже приведён краткий перечень основных методов.

Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)
Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.
Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.
Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.
Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.
Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.
[DLMURL]https://ru.wikipedia.org/wiki/DoS-%E0%F2%E0%EA%E0[/DLMURL]

P.S. Не собираюсь кого-либо поучать, но всегда нужно давать отчет свои действиям и поступкам, а также понимать нужно ли мистеру "Х" тратить значительные средства на вывод из строя какого-либо конкретного компьютера, если эта проблема решается простым пересаживанием за другой компьютер?
Не собирался ни над кем ёрничать, но у меня есть пара знакомых, которые из-за своего же случайного мелкого недочета устраивают панику на "всем корабле". ;)
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Патрушев Михаил Владимирович

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
25 Январь 2011
Сообщения
2.445
Реакции
203
Баллы
63
Адрес
Сочи
Прочитал.Спасибо! Но для меня все-равно данная информация еще сложно воспринимается .
Чайник!(одним словом)
С уважением,Михаил П.
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Орлан

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
6 Август 2011
Сообщения
2.514
Реакции
23
Баллы
38
Возраст
39
Адрес
Украина. Харьков (+38)-066-300-28-76; (8-057)-756-
Частный детектив Анжеро-Судженск Кузбасс написал(а):
Прочитал.Спасибо! Но для меня все-равно данная информация еще сложно воспринимается .
Чайник!(одним словом)
С уважением,Михаил П.
и это факт, но для общего развития необходимо!
спасибо за материал.
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Патрушев Михаил Владимирович

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
25 Январь 2011
Сообщения
2.445
Реакции
203
Баллы
63
Адрес
Сочи
Детективная служба Орлан. Харьков написал(а):
Частный детектив Анжеро-Судженск Кузбасс написал(а):
Прочитал.Спасибо! Но для меня все-равно данная информация еще сложно воспринимается .
Чайник!(одним словом)
С уважением,Михаил П.
и это факт, но для общего развития необходимо!
спасибо за материал.

Даже обязательно!
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Плотников Юрий Михайлович

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
21 Июль 2010
Сообщения
3.699
Реакции
563
Баллы
113
Возраст
71
Адрес
Россия, Хабаровск. +7 914 544 16 90.
Веб-сайт
www.sysk-dv.ru
Полезная информация, спасибо!
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Детективное агентство Тула

Приватный уровень доступа
Регистрация
21 Январь 2011
Сообщения
1.086
Реакции
202
Баллы
63
Адрес
Россия
Веб-сайт
www.
Как отбиться от хакера
Роман Дорохов

Полное искоренение хакерских атак, блокирующих работу сайтов жертв на дни, недели, а иногда и месяцы, заняло в Германии меньше года. Три месяца полиция вычисляла основные хакерские группировки, а потом за полгода упрятала их за решетку — заказала «подложные» атаки и взяла преступников с поличным. В России такое может и не сработать, предупреждают эксперты: здесь хакеров больше, они хитрее и наглее

В прошлом году рунет пережил настоящее «DDoS-обострение», констатировала в декабре 2011 г. «Лаборатория Касперского». DDoS — Distributed Denial of Service, или распределенная атака типа «отказ в обслуживании». Она происходит так: сначала злоумышленники заражают специальным вирусом множество компьютеров по всему миру, затем объединяют эти компьютеры — само собой, не спрашивая разрешения у их владельцев, — в единую сеть-ботнет (от «робот», или, для краткости, «бот»), и та засоряет «мусорным» трафиком каналы, связывающие сервер жертвы с внешним миром. Миллионы зараженных компьютеров генерируют миллиарды технических запросов на сервер, которые тот не в состоянии обработать и выдает тот самый отказ в обслуживании.

Большой резонанс в 2011 г. получили DDoS-атаки на сайты газет — «Коммерсанта», «Ведомостей», — а также на сервис блогов Livejournal.com («Живой журнал», ЖЖ), который не работал в общей сложности более недели. Одной из целей атаковавших был ЖЖ-блог Алексея Навального.

Но страдают не только журналисты и блогеры. По данным «Лаборатории Касперского», в 2011 г. две крупные атаки пережили сайты турфирм: один — перед началом летних отпусков, другой — перед новогодними каникулами. А уже в январе 2012 г. из-за хакерской атаки на три дня вышел из строя сайт Федеральной антимонопольной службы.
Контрольная закупка по-немецки
Уникальный опыт борьбы с DDoS есть у Германии — эта страна год назад начисто избавилась от проблем с кибератаками, рассказывает Илья Сачков, гендиректор компании Group IB, расследующей киберпреступления. Еще в 2009 г. Германия была, по данным антивирусной компании Symantec, на пятом месте в мире по активности местных ботнетов (после США, Китая, Бразилии и Тайваня), а в 2010 г. — вообще на втором после США. (Россия в 2010 г. даже не вошла в первую десятку таких стран.) В 2010 г. на Германию приходилось 10% всей ботнет-активности в мире, оценивала Symantec.

В конце 2009 г. Ассоциация немецкой интернет-индустрии Eco разработала специальную программу Anti-Botnet Beratungszentrum для поиска владельцев зараженных компьютеров, информирования их об опасности и предоставления консультаций о лечении и защите ПК. Бюджет программы был невелик — $2,7 млн, эти деньги выделило в августе 2010 г. немецкое МВД. А техническую поддержку программы обеспечил федеральный офис информационной безопасности (BSI).

Параллельно с этим весной 2010 г. сотрудники правоохранительных органов Германии зарегистрировались в закрытых разделах интернет-форумов немецких хакеров и мало-помалу вычислили основные группы, принимавшие заказы на организацию DDoS-атак против любых сайтов — от конкурентов до политических оппонентов, рассказывает Сачков. В августе 2010 г. борьба с хакерами перешла в активную фазу: сотрудники полиции связались с лидерами хакерских сообществ и, представившись заказчиками, оплатили атаки на несколько сайтов. Дальше дело было за техническими экспертами и юристами: они собрали доказательства атак на сайты жертв, полиция возбудила уголовные дела и выиграла их в суде. К весне 2011 г. в Германии были осуждены 20-24 хакерские группы, занимавшиеся DDoS-атаками.

О том, что немецкая полиция проводит спецоперации против организаторов DDoS-атак, знает из общения с экспертами из Германии и другой российский специалист — сотрудник компании, специализирующейся на компьютерной безопасности.

Полиции помогали все крупные немецкие интернет-провайдеры, отмечает Сачков: они делились с ней статистикой по атакам, при необходимости отключали от интернета узлы с наиболее активными зараженными компьютерами. Помогли и сотрудники университетов, разработавшие специальные методические пособия для полиции и судей, благодаря чему злоумышленников и удалось изобличить.

К весне 2011 г. заказать на территории Германии DDoS-атаку было практически нереально, говорит Сачков: киберпреступники стали остерегаться работать в этой стране и атаковать немецкие сайты с ее территории. Хакеры, оставшиеся на свободе, предпочли перенести бизнес в соседние страны, прежде всего Францию и Польшу. «Если все страны хотя бы Евросоюза примут похожую программу, опыт Германии можно повторить меньше чем за год», — уверен эксперт. Да и в России с помощью аналогичных полицейских операций тоже можно победить DDoS, не сомневается он.
Есть нюансы
Российских организаторов DDoS-атак такими методами не одолеть, уверен журналист газеты Financial Times Джозеф Менн. Он автор книги Fatal System Error («Фатальная ошибка системы»), большая часть которой посвящена российским киберпреступникам и делу о DDoS-атаках на букмекерские сайты, в результате которого трех россиян арестовали. Проблема России в том, что здесь слишком много технически одаренных людей, способных провести DDoS-атаку, — их тысячи, и несколько десятков уголовных дел отпугнут далеко не всех, считает Менн. Уголовные дела, по его мнению, приведут к арестам одних лишь «мулов» — так Менн называет наемных сотрудников, обналичивающих платежи за заказные атаки по поручению настоящих преступников. Те, кто попадется на этом, надолго за решетку не попадут: хакеры наймут множество студентов, и каждый из них будет зарабатывать сумму, которой едва хватит, чтобы стать основанием для возбуждения уголовного дела.

Другая особенность России, о которой пишет Менн, — коррумпированность полиции и связи отдельных полицейских с преступниками. В середине 2000-х гг. в России расследовалось дело о рэкете букмекерских сайтов, в результате которого впервые удалось осудить трех организаторов DDoS-атак. Они шантажировали британские букмекерские сайты — совершали DDoS-атаки на сайты интернет-тотализаторов, после чего вымогали у них деньги ($5000-50 000) в обмен на прекращение атак. Один из обвиняемых, Александр Петров, оказался сыном крупного милицейского чина Астрахани Александра Петрова, бывшего начальника отдела «К» УВД Астраханской области, который как раз и отвечает за расследование киберпреступлений и поимку хакеров. В интернете можно даже найти интервью Петрова, которое он давал еще будучи начальником отдела «К» областного УВД. Он сетовал, что для возбуждения уголовного дела против хакера нужно собрать множество документов: «Вот и получается, что, пока мы собираем все необходимые документы, сроки поиска интернет-преступников увеличиваются».

В книге Менна красочно описано, как дружелюбно Петров-старший встретил следователя из Москвы и британского оперативника, прилетевших в Астрахань арестовывать организаторов кибератак, но поначалу не подозревавших о родственных связях одного из них с милицейским начальством. Сперва он сводил их в ресторан, затем предложил поохотиться (вместо того чтобы отправиться на оперативное задание), а ночью заподозривших неладное гостей ждал сюрприз: в их гостиничный номер едва не ворвались люди, представившиеся охраной. Тем временем сын гостеприимного милиционера исчез вместе с компьютером (впоследствии он сам сдался властям), а отца задержали — впрочем, через месяц отпустили и даже восстановили на службе, хотя и с понижением в должности.

В 2006 г. Петрова-младшего и двух его компаньонов приговорили к восьми годам колонии строгого режима и 100 000 руб. штрафа. Пока шел суд, пишет Менн, судье предлагали взятку в $1 млн; кроме того, из-за коррупции в милиции не удалось доказать вину еще нескольких участников преступной группы из Пятигорска. Не помогло даже вмешательство ФСБ.
Российский опыт
Для рассуждений о том, что в России мешает бороться с DDoS-атаками, пока не хватает статистики. Из всех известных уголовных дел, возбужденных в отношении участников DDoS-атак, до суда дошло только одно, о котором и повествует Джозеф Менн. Оно является уникальным хотя бы потому, что в российском расследовании принимал участие британский оперативник Энди Крокер, который прожил в России несколько лет, а перед этим британцы больше года собирали изобличающие материалы у себя на родине, в США и в Латвии.

Друзья Александра Петрова создали в ЖЖ блог, в котором, в частности, говорится, что вещественным доказательством по делу против трех россиян были якобы изъятые у них лазерные диски с вирусами — причем, возможно, подброшенные оперативниками (мать обвиняемого заявляла, что до обыска этого диска у нее дома не было). Судья отказался провести дактилоскопичекую экспертизу и установить, прикасался ли к диску сам Петров, писала в 2007 г. «Новая газета». Согласно этой статье, защита просила убрать из дела британские вещдоки, полученные в обход российских правил. «Фактически российских граждан осудили по законам Великобритании», — говорил «Новой газете» адвокат одного из обвиняемых Петр Рябов. Представители защиты были настолько уверены в оправдательном приговоре, что некоторые из адвокатов даже не явились в зал суда на его оглашение.

Менн рассказывает, как именно следователи вычислили российских «дидосеров». Дело в том, что один из них — Иван Максаков — использовал для общения в системе чатов IRC регистрационные данные с адресом электронной почты на сайте, зарегистрированном на его реальное имя. Поначалу, пишет Менн, Максаков во всем сознался и даже сдал подельников, которых знал, но после общения с Петровым от своих показаний отказался.

В 2012 г. до суда должно дойти еще одно громкое дело — о DDoS-атаке на платежную систему Assist, из-за которой в 2010 г. несколько дней не работала продажа электронных авиабилетов на сайте «Аэрофлота». Расследует это дело ФСБ. Сперва арестован был исполнитель атаки Игорь Артимович, который сознался в ее проведении и назвал в качестве заказчика основателя и владельца процессинговой компании Chronopay Павла Врублевского. Того арестовали в июне 2011 г., и он тоже признал себя виновным. Врублевского выпустили в декабре 2011 г. после того, как вступили в силу изменения в статьи 272 (о неправомерном доступе к компьютерной информации) и 273 (о создании, использовании и распространении вредоносных программ для ЭВМ) Уголовного кодекса. Врублевский в интервью предполагал, что его выпустили именно благодаря этим изменениям: по новым нормам закона он провел в сизо максимально возможное время содержания под стражей.

***
О русских хакерах
Евгений Касперский
генеральный директор «Лаборатории Касперского»
«На общем фоне Россия выглядит не очень хорошо. Много хакерских атак, большое количество мошеннических сервисов, свободно доступных в сети, — это бывшие организованные преступные сети. Они, конечно, спрятались, но никуда не ушли. Как известно, топ-5 спамеров — это в значительной степени наши соотечественники. Почему это происходит? Уровень преступности в России в целом очень высокий, да еще и программисты здесь хорошие. Так что получается, что и русские хакеры лучшие в мире. Но при этом не стоит забывать, что киберпреступность — явление интернациональное и действия злоумышленников не ограничены территорией одной страны. В последние годы своеобразными центрами мировой киберпреступности являются Китай, Россия и страны Латинской Америки». (Интервью «Ведомостям» 27.09.2011)
Атака длиной в три месяца
Средняя продолжительность DDoS-атаки в России — 9 часов 29 минут, подсчитала «Лаборатория Касперского». А самая продолжительная из прошлогодних DDoS-атак длилась 80 дней.

Источник: [DLMURL="https://www.vedomosti.ru/newspaper/article/275048/kak_otbitsya_ot_hakera"]https://www.vedomosti.ru/newspaper/artic ... _ot_hakera[/DLMURL]
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Плотников Юрий Михайлович

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
21 Июль 2010
Сообщения
3.699
Реакции
563
Баллы
113
Возраст
71
Адрес
Россия, Хабаровск. +7 914 544 16 90.
Веб-сайт
www.sysk-dv.ru
Спасибо, интересно!
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Частный детектив Севастополь ОДБ

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
27 Декабрь 2010
Сообщения
1.828
Реакции
12
Баллы
38
Адрес
Севастополь, Крым, +7 (978) 867 69 09
Очень интересный материал, спасибо. Особенно участие в нем лаборатории Касперского. Очень похоже на рекламный ход. Недавно был на одной такой презентации Касперского в Крыму. Сплошная реклама о непобедимости данного антивируса. Закрадывается сомнение - а кто реально финансирует эти самые атаки ?....................
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Похожие темы

До нового года осталось