Bize habercilerden veya telefonla ulaşın.

whatsapp telegram viber phone email
+79214188555

DOS and DDOS attacks

Гудимов Анатолий Геннадиевич

Зарегистрированный
Katılım
26 May 2009
Mesajlar
938
Tepkime puanı
4
Puanları
18
Yaş
61
Konum
Россия Санкт-Петербург, Москва.
Web sitesi
iapd.info
DoS and DDoS attack
In this article I will talk about the most interesting attack! About the most serious attack! I will tell you about DoS! You do not know what it is? You are behind the times, this thing needs to be fixed. It's time for you to advance in the field of computer security. Beginners, this article is dedicated to you and only you!
DoS (Denial of Service) - denial of service. The essence of the attack is to kill the system of the remote computer, hang the system or disconnect from the network and in a forced reboot. There are many DoS methods, here are some of them: clogging the Internet channel, sending wrong packets, sending a huge number of packets. There are even more reasons: competition (disconnection from the network incurs big losses), revenge (the dream of any teenager to take revenge on his friend), profit (for some people hacking is work), in order to assert themselves (teenage maximalism), study (search for vulnerabilities, protection). I do not welcome any of this except the last point. DoS is one of the scariest attacks that hackers, crackers, and even virmakers use! I want to provide you with knowledge about DoS. I understand that there are so many articles on this subject, but I want to present all this in a more simplified version. I tried very hard to make this material understandable for beginners. I worked on this article for a very long time. Please do not judge strictly.
DoS attacks are carried out using special DoS programs, or manually using standard tools, and sometimes using worm viruses. So the greatest DDoS attack on Microsoft and SCO servers was committed. The MyDoom worm did a tremendous job (though with some errors). But we'll talk about DDoS later, but for now let's see what DoS attacks are like.

Ping of death
Imagine this situation: a hacker begins to ping a remote machine with packets of a non-standard size. Pinging means sending echo-request packets. I understand that this is not entirely clear. I explain. Such packages store only the address and service information. After that, the remote machine that received these packets should send an “echo-reply”. The first thing a hacker needs to do is increase the size of the packets. This, I think, is understandable why. The Internet channel will not withstand large packets (if the channel is small). You can complicate this situation, that is, using special software to increase the size of packages larger than the maximum! Yes Yes! It is possible! As you know, the computer will not be able to send "echo-reply" to such an incorrect "echo-request". And then only the blue screen of death. Not for nothing, this attack is called "Ping of Death" (Rus. Ping death). But there is one problem: now such smart programmers have taught their OS to sift such packages, so it only works on old OSs. But, believe me, now they have remained on the Internet. If you do not understand anything, then I explain it more simply. The attacker sends the wrong packet to the victim. The victim's computer cannot send confirmation and freezes. Now it is clear? That's good.

SYN Flood
Linuxoids! Rejoice, this attack is not scary for you, but the rest need to be alert.
The attacker sends synchronization packets (TCP SYN). After the first packet, the victim computer sends a response packet (SYN ACK) and waits for the ACK packet. But he does not come. How to do it? Everything is simple. There is such a thing as IP Spoofing. Each packet has two fields: “source IP” (source address) and “destination IP” (destination address). So, IP Spoofing is a substitution of the “source IP” field. Those. in such an attack, the hacker changes the source IP to the IP of a computer that is not on the network. The whole charm is that if the computer receives a packet where the IP-name of the left computer is entered, then it will answer this and will wait for a response from it. You can also flood the channel with this. After such an attack, the computer freezes or cannot connect to anything.

CPU Hog
The attack is quite old and simple. Affects WinNT. In this system, each process has its own priority (16 maximum). And a program that has a higher priority will put its process above others, i.e. "Drowning out" others. The hacker writes such a program and sends it to the victim, but the victim cuts it ... the computer hangs.

These are far from all DoS attacks. I described the simplest. And they are all available to you. But in no case do I advise you to apply them. Do not be a kiddie script that, upon seeing a new exploit vulnerability, rushes to defuse and crash everything.
There are also many already “dead attacks” (Land, WinNuke). With types of DoS attacks further, I think you will figure it out yourself. Now let's move on to a more serious one, namely DDoS.
DDoS Attack - Distributed Denial of Service Attack (Rus. Distributed Denial of Service Attack). This is much more serious than DoS. With DoS, one computer attacks the victim. With DDoS 2, 3, 30 or even 100! With such attacks, the servers do not stand up and are ordered to live long.
In order to arrange a DDoS attack, you must have bots on the network. In this case, the DDoS bot is a server infected with a special hacker Trojan. This method is called zombie. You can automate the entire zombie process by creating a special worm virus. This is the most difficult but perfect solution. By the way, a good DDoS'er hacker should always have at hand 60 zombie servers on average.
A DDoS bot can be a program for zombie servers, for attacks. These programs are very expensive ($ 500-1500). Still would! DDoS is not a toy for lamers. This is a very dangerous thing! Although there are free DDoS bots, but they are not very functional. There are many ways to protect these bots from lamers. One of the most successful: the bot is provided in the form of C sources. They need to be compiled, but there are errors in the source code that only a hacker can find and fix. I’m even afraid to imagine what will happen if the finished bot falls into the hands of the lamer. 90% that he will destroy everything.
Hackers create their botnets (zombie networks) through IRC in most cases, but not only through Irku.
Smarter and more daring DDoS hackers intercept other people's botnets, making their army of zombie servers bigger and stronger. This is for the best. I believe that monopoly cannot be allowed in this matter. I will not describe the attacks themselves in practice. They won’t say thanks for this. But I can describe one toy for lamers.
Denyo Launch III is a very convenient DoS'er with a very simple interface. With it, you can hang the site. To understand how to use it, I advise you to watch the training video, and you can find this video on inattack.ru. I do not have a link to the program itself; you have to search for it yourself. The essence of the program’s action is as follows: Denyo Launch III remembers your action / request to a specific server, and then repeats this action 100-200 times. As a result, the site freezes.
But then this toy is for lamers. But the worst DDoS attack is Smurf. The essence of the attack is as follows: using spoofing (IP Spoofing) in the source IP header of an echo packet, the address of the victim is changed and sent to the broadcast channel. All computers begin to respond to the victim. In the end ... very bad. 
As you already understood, you have to zombie the server using trojan programs. Such programs usually consist of two exe files: a server and a client. The server is sent to the victim, and the hacker has the client. A port is created between them. The server accepts client commands. Those. a hacker can control someone else’s computer as if he were an administrator, and if he can manage, then he can doS. But how to make sure that the victim receives a Trojan (server) and does not know about it? There are many ways. There are such programs - Joiners. They can glue files. Those. You can glue a harmless toy with the server and give it to the victim. The victim will launch the game and Troyan along with it, but the Troyan will not give himself away. I use MicroJoiner. And you can vparit all this with the help of Social Engineering. Read my article on HZ “Basics of SI. Part 2.".
Personally, I am not a DDoS'er, but if I was not a DDoS'er, but if I were a DDoS'er, I would try to intercept the botnets and give their machines to their administrators. And if you are planning to become a DDoS'er in the future, then do just that. I am sure that the situation on the Internet will improve. And I do not recommend holding one big botnet with one program. Keep a few programs. Always mask scripts and Trojans. For all bots in IRC and ICQ, do different Nickies so that no one would guess.
From literature, I advise you to read the magazine Special Hacker Issue No. 21 in full. This entire issue is dedicated to DoS and DDoS attacks. Also read the article on hackzona.ru "Garden of DDoS bots." Be sure to visit inattack.ru and read all the articles in the "DDoS / Flood" and "Botnet" sections. I also advise you on the Internet to look for everything about such concepts as DoS, DDoS, Spoofing, flood, buffer overflow, worms and protection against all this.
By the way, do not confuse the concepts of "flood" and "DoS". A flood is a packet of unnecessary information, and a DoS is a packet of incorrect information. These are completely different things.
I apologize for not showing real practical examples, for giving important links (although I haven’t giving any links at all), for not showing listings.
Well? To summarize? DoS and DDoS are some of the most dangerous attacks on the Internet. If a DDoS bot falls into the hands of a script kiddy or lamer, the provider will crash. When the MyDoom worm made a DDoS attack on Microsoft and SCO servers, they got so angry that they announced a hunt for an evil programmer, promising 500 thousand dollars for catching him. But the hacker remained in the shadows.
All information is provided for reference only. This is not a push for criminal action. This is me seriously, i.e. I'm not just writing this. I do not urge you to destroy the server, but even vice versa. We are hackers, not vandals. The main thing to remember about this is always.
https://adil666.ucoz.ru/publ/khaking/dos ... a / 3-1-0-16

DOS ATTACKS
METHOD

A DoS attack or a denial of service attack is one of the types of unauthorized access, namely one that leads to information blocking and disruption of the computer and their network. Other types of unauthorized access (copying information, destroying information), as well as the use of malicious programs can be stages of a DoS attack.
Such attacks are usually divided into two types: attacks that use any vulnerabilities in the attacked system and attacks that do not use vulnerabilities. In the second case, a kind of "damaging factor" of the attack is overloading the resources of the attacked system - the processor, RAM, disk, channel bandwidth.

CRIMINAL

DoS attacks are currently being encountered with both personal and selfish motives. Another 2-3 goals ago, personal motives prevailed. But now there is a clear tendency towards an increase in pure DoS attacks with mercenary motives in order to extort or unfair competition.
Organizing a DoS attack on a typical website is not a difficult task; it is the strength of a mid-level IT specialist who has at his disposal average equipment and a medium communication channel. Accordingly, on the black market, a DoS attack on a regular website costs tens of dollars per day. For a larger or more secure facility - the first hundreds of dollars per day. Wholesale discounts are possible. Even one offended individual can afford to order an attack. A tool for carrying out distributed DoS attacks of zombie networks (botnets) is also available on the black market at a relatively low price, about tens of dollars per thousand zombie hosts. And this price has been declining recently.
On the other hand, more and more purely information business appears on the Web, the well-being of which depends entirely on the availability of its website or other network resource. These are online stores, online auctions, online casinos, betting shops and some other types of enterprises. Stopping the website in such conditions means a complete stoppage of the business. A few weeks of downtime can completely ruin an enterprise. Naturally, under such conditions there are those who want to blackmail the owner and get a ransom from him for stopping the DoS attack. A few years ago, there were no such enterprises (e-businesses) with significant revenues. Accordingly, there was no DoS extortion.
So, we can distinguish two types of crimes related to DoS attacks in order to cause trouble to the owner or users of the attacked resource and in order to get a ransom.
In the first case, as with libel and insult, one should look for the “offended”. Moreover, the direct executor can be both himself and a hired professional.
In the second case, we are dealing with a cold-blooded criminal calculation, and the crime is not much different from offline extortion or unfair competition. The type of potential offender “e-businessman” is described in the “Identity of a Probable Offender” section.

SITUATION

One type of DoS attack is based on exploiting vulnerabilities in the software of the attacked resource. Another type of so-called “flood” - does not use any vulnerabilities and is designed to simply exhaust the victim’s resources (channel strip, RAM, processor speed, disk space, etc.). It is easy to understand that there are no invulnerable to the flood. since any computer resources are finite. Nevertheless, different sites are subject to flooding to varying degrees. For example. A CGI script running on a website may not be written optimally and require too much RAM for its operation. While such a CGI script is called once a minute, this non-optimality is completely invisible. But it is worth the attacker to call the CGI script at least a hundred times per second (you don’t require any special costs from the attacker, only 300 packets per second, about 5 Mbps) - and the non-optimal CGI script leads to complete paralysis of the web site.
That is, the performance margin is the primary protection against a DoS attack.
Conventional hosting providers have several dozens of client websites on the same server. For economic reasons, they cannot make a large margin of productivity. It follows that a typical website hosted by a hosting provider is vulnerable to even the simplest flood.

VICTIM

The victim in the vast majority of cases is a legal entity.
Commercial organizations are rarely interested in a formal investigation, since the main thing for them is to eliminate the danger and minimize losses. In the punishment of the attacker, they do not see any benefit for themselves. And participation in the trial in the role of the victim often negatively affects business reputation.
The organization-owner of the attacked resource can act as a victim in the following cases:
• when there is confidence that an unauthorized attacker will repeat attacks;
• when the company needs to report for losses or interruptions in the provision of services to partners, customers, shareholders;
• when the head of the enterprise sees personal motives in the attack, personal resentment, when his pride is wounded.
In other cases, one does not have to count on the victim's interest in solving the crime.
It should be remembered that many DoS attacks directly affect the entire segment of the Network, the channel, the router, which can be used by many consumers of communication services, even if the immediate target of the attack is only one of them. For the purposes of the investigation, it is necessary to establish to whom exactly the intent of the offender was directed. The formal victims can be any of the victims of the attack.
Instead of a formal victim, it is advisable to consider the personality of the specialist who serves the attacked information system and is responsible for its protection. Understanding his personality will help to understand the reasons and mechanism for committing a crime.
A typical professional system administrator is a person who in the real world does not represent anything (even by no means always highly paid), but in the virtual world the king and god. Such a twofold position greatly contributes to the development of inferiority complexes and the desire to compensate in virtuality for their insignificance in the real world. Since this is a young man who is forced to spend a significant part of his time at a computer (otherwise professionalism cannot be acquired), this complex is often exacerbated by sexual dissatisfaction. Now imagine what such a system administrator can do with a painful desire to demonstrate his power. Provided that the head of the company does not understand or is not interested in technical issues at all.
We can say that the victim of a DoS attack (more precisely, employees of the legal entity of the victim) is characterized by provocative behavior in online relationships.

TRACES

When preparing and conducting a DoS attack, the following traces of a technical nature are formed:
• the availability of attack tools — software (agents) installed on an attacker’s computer or, more often, on computers used by others for this purpose, as well as tools for managing agents;
• traces of the search, testing, acquisition of tools;
• logs (mainly traffic statistics) of telecom operators. through the networks of which the attack passed:
• logs of technical means are protected for attack detectors and traffic anomalies, intrusion detection systems, firewalls, specialized anti-flood filters;
• logs, traffic patterns, and other data specially obtained by technical specialists of telecom operators during the investigation of the incident, development of countermeasures, and repulsion of the attack. (You should be aware that a DoS attack requires an immediate response if the owner wants to save his resource or at least neighboring resources from the attack. During such a fight, both sides can use various maneuvers and counter-maneuvers, which makes the attack picture more complicated);
• traces of radiation from a suspect (who is also the customer of the attack) of the advertising of DoS attack performers, his correspondence, negotiations and cash settlements with performers;
• traces of the suspect’s control appeals to the attacked resource during the attack period to verify its effectiveness.
In a professional attack, zombie networks or other specialized tools are used. Naturally, it is not disposable. Performers are not interested in idle their capacities and can carry out several attacks at the same time, or carry out other functions in parallel with the attack by the same software agents, for example, spamming.
https://itinvestigations.blogspot.com/2011/02/dos.html

DoS Protection

Measures to counter DoS attacks can be divided into passive and active, as well as preventive and reactionary.

The following is a brief list of the main methods.

Prevention. Prevention of the reasons prompting those or other persons to organize and undertake DoS attacks. (Very often cyberattacks in general are the consequences of personal insults, political, religious and other disagreements, provoking the behavior of the victim, etc.)
Filtering and blackholing. Blocking traffic coming from attacking machines. The effectiveness of these methods decreases as you approach the object of attack and increases as you approach the attacking machine.
Elimination of vulnerabilities. It does not work against flood attacks for which the “vulnerability” is the finiteness of certain system resources.
Build resources. Naturally, it does not provide absolute protection, but it is a good background for the use of other types of protection against DoS attacks.
Dispersal. Building distributed and duplicating systems that will not stop serving users, even if some of their elements become unavailable due to a DoS attack.
Evasion. Moving the immediate target of the attack (domain name or IP address) away from other resources, which are often also affected along with the immediate target of the attack.
Active response. Impact on the sources, the organizer or the control center of the attack, both technogenic and organizational and legal means.
Using equipment to repel DoS attacks. For example DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® and from other manufacturers.
Acquisition of a service for protection against DoS attacks. Actual if the flood exceeds the bandwidth of the network channel.
[DLMURL] https://ru.wikipedia.org/wiki/DoS-%E0%F2%E0%EA%E0 [/ DLMURL]

PS I’m not going to teach anyone, but I always need to give an account of my actions and deeds, and also understand whether Mr. X needs to spend significant funds on the failure of any particular computer if this problem can be solved by simply transplanting it to another computer?
I was not going to scoff at anyone, but I have a couple of acquaintances who, due to their accidental minor flaws, cause a panic on the “whole ship”. ;)
 
Original message
DoS и DDoS атака
В этой статье я расскажу о самой интересной атаке! О самой серьезной атаке! Я расскажу вам о DoS! Вы не знаете что это такое? Вы отстали от жизни, это дело надо исправлять. Пора вам продвинуться в области компьютерной безопасности. Новички, эта статья посвящается вам и только вам!
DoS (Denial of Service) – отказ об обслуживании. Суть атаки состоит в убиении системы удаленного компьютера, повисания системы или отключения от сети и в вынужденной перезагрузке. Способов DoS’а существует много, вот некоторые из них: засорение Интернет канала, посылка неправильных пакетов, посылка огромного числа пакетов. Причин еще больше: конкуренция (отключение от сети несет большие убытки), месть (мечта любого подростка отомстить своему другу), выгода (для некоторых людей взлом – работа), в целях самоутверждения (подростковый максимализм), изучение (поиск уязвимостей, защиты). Ничего из этого я не приветствую, кроме последнего пункта. DoS – одна из самых страшных атак, которые используют хакеры, взломщики и даже вирмейкеры! Я вам хочу преподнести знания о DoS’е. Я понимаю, что таких статей по этой тематике и так много, но я хочу все это преподнести в более упрощенном варианте. Я очень старался, что бы этот материал был понятен для новичков. Над этой статьей я работал очень долго. Прошу строго не судить.
DoS атаки совершаются с помощью специальных программ DoS’еров, либо вручную с использованием штатных средств, а иногда при помощи вирусов-червей. Так была совершена величайшая DDoS атака на сервера Microsoft и SCO. Червь MyDoom выполнил колоссальную работу (правда, с некоторыми ошибками). Но о DDoS мы позже поговорим, а пока давайте посмотрим, какими бывают DoS атаки.

Ping of Death
Представьте себе такую ситуацию: хакер начинает пинговать удаленную машину пакетами нестандартного размера. Пинговать значит слать пакеты «echo-request». Я понимаю, что это не совсем понятно. Объясняю. В таких пакетах хранится только адрес и служебная информация. После этого удаленная машина, получившая эти пакеты должна отослать «echo-reply». Первое, что должен сделать хакер - это увеличить размер пакетов. Это, я думаю, понятно почему. Интернет канал не выдержит больших пакетов (если канал маленький). Можно эту ситуацию более усложнить, т. Е. при помощи специального софта увеличить размер пакетов больше максимального! Да, да! Это возможно! Как вы понимаете, комп не сможет отослать «echo-reply» на такой неправильный «echo-request». И тогда только синий экран смерти. Не даром эта атака называется «Ping of Death» (рус. Пинг смерти). Но здесь есть одна проблема: сейчас такие умные программисты, что научили свою ОС отсеивать такие пакеты, поэтому она действует только на старые ОС. Но, поверьте мне, и сейчас такие остались в Internet. Если вы ничего не поняли, то объясняю попроще. Атакующий посылает неправильный пакет жертве. Компьютер жертвы не может послать подтверждение и зависает. Теперь понятно? Вот и хорошо.

SYN Flood
Линуксоиды! Радуйтесь, эта атака вам не страшна, а вот остальным нужно быть начеку.
Атакующий посылает пакеты синхронизации (TCP SYN). После первого пакета комп жертвы посылает ответный пакет (SYN ACK) и ждет пакет ACK. А он не приходит. Как это сделать? Все просто. Есть такое понятие как IP Spoofing. Каждый пакет имеет два поля: «source IP» (адрес отправителя) и «destination IP» (адрес получателя). Так вот, IP Spoofing – это подмена поля «source IP». Т.е. при такой атаке хакер меняет source IP на IP компьютера, который не в сети. Вся прелесть в том, что если комп получает пакет, где вписан IP-шник левого компьютера, то он и ответит этому, и будет ждать от него ответа. Еще с помощью этого можно зафлудить канал. После такой атаки компьютер зависает или не может ни к чему подключиться.

CPU Hog
Атака достаточно старая и простая. Действует на WinNT. В этой системе каждый процесс имеет свой приоритет (16 максимально). И программа, имеющая больший приоритет, будет ставить свой процесс выше других, т.е. «заглушая» другие. Хакер пишет такую программу и отсылает жертве, жертва же врубает ее… комп виснет.

Это далеко не все DoS атаки. Я описал самые простые. И все они доступны для вас. Но ни в коем случае я не советую их вам применять. Не будьте скрипт-кидди, который, увидев новую уязвимость с эксплоитом, мчится все дефейсить и крушить.
Существует так же множество уже «умерших атак» (Land, WinNuke). С типами DoS атак дальше, я думаю, вы разберетесь сами. Теперь перейдем к более серьезному, а именно к DDoS.
DDoS Attack – Distributed Denial of Service Attack (рус. Распределенная атака на отказ об обслуживании). Это намного серьезнее, чем DoS. При DoS один компьютер атакует жертву. При DDoS 2, 3, 30 или даже 100! При таких атаках сервера не выдерживают и приказывают долго жить.
Для того, что бы устроить DDoS атаку, вы должны иметь ботов в сети. В этом случае DDoS-бот – это сервер, зараженный специальной хакерской программой-трояном. Этот способ называется зомбированием. Можно весь процесс зомбирования автоматизировать, создав специального вируса-червя. Это самое сложное, но идеальное решение. Кстати, хороший DDoS’ер-хакер всегда должен иметь под рукой 60 серверов-зомби в среднем.
DDoS-ботом может быть программа для зомбирования серверов, для совершения атак. Программы эти очень дорогие (500-1500 $). Еще бы! DDoS – это игрушка не для ламеров. Это очень опасная штука! Хотя встречаются бесплатные DDoS-боты, но они мало функциональны. Существует много способов ограждения этих ботов от ламеров. Один из самых удачных: бот предоставляется в виде исходников на C. Их нужно откомпилировать, но в коде исходников допущены ошибки, которые найти и исправить сможет только хакер. Я даже боюсь представить, что будет, если готовый бот попадет в руки ламера. 90%, что он пойдет крушить все подряд.
Хакеры создают свои ботнеты (зомби-сети) через IRC в большинстве случаев, но можно не только через Ирку.
Более умные и дерзкие DDoS’еры-хакеры перехватывают чужие ботнеты, делая свою армию зомби-серверов больше и сильнее. Это и к лучшему. Я считаю, что в этом деле нельзя допустить монополии. Описывать сами атаки на практике я не буду. Мне за это спасибо не скажут. Но смогу описать одну игрушку для ламеров.
Denyo Launch III – это очень удобный DoS’ер с очень простым интерфейсом. С его помощью можно повесить сайт. Что бы понять, как ей пользоваться, советую посмотреть обучающее видео, а найти это видео можно на inattack.ru. Ссылку на саму прогу я не имею, придется поискать вам самим. Суть действия программы заключается в следующем: Denyo Launch III запоминает ваше действие/запрос на определенный сервер, а потом повторяет это действие 100-200 раз. В итоге сайт виснет.
Но на то эта игрушка для ламеров. А вот самая страшная DDoS атака – это Smurf. Суть атаки состоит в следующем: с помощью спуфинга (IP Spoofing) в заголовке source IP echo-пакета меняется адрес на адрес жертвы и посылается на широковещательный канал. Все компы начинают отвечать жертве. В итоге… очень плохо. 
Как вы уже поняли, зомбировать сервера приходится с помощью программ-троянов. Такие программы обычно состоят из двух exe-файлов: сервера и клиента. Сервер засылается жертве, а у хакера клиент. Между ними создается порт. Сервер принимает команды клиента. Т.е. хакер может управлять чужим компьютером словно он администратор, а если может управлять, значит может и DoS’ить. А вот как сделать, что бы жертва получила Троян (сервер) и не знала об этом? Способов много. Есть такие программы – Джойнеры (Joiner). Они могут склеивать файлы. Т.е. вы сможете склеить безобидную игрушку с сервером и отдать это жертве. Жертва запустит игру и Трояна вместе с ней, но Троян себя не выдаст. Я пользуюсь MicroJoiner. А впарить все это можно с помощью Социальной инженерии. Читайте мою статью на ХЗ «Основы СИ. Часть 2.».
Лично я DDoS’ером не являюсь, но если бы я занимался DDoS’ером не являюсь, но если бы я занимался DDoS’ом, я бы старался перехватывать ботнеты и отдавал бы их машины их администраторам. И если вы в будующем планируете стать DDoS’ером, то именно так и делайте. Я уверен, что положение в Интернете улучшиться. И одной программой держать свой один большой ботнет я тоже не советую. Держите несколькими прогами. Всегда маскируйте скрипты и Трояны. Для всех ботов в IRC и ICQ делайте разные Ники, что бы никто не догадался.
Из литературы советую полностью прочитать журнал «Спец Хакер выпуск №21». Весь этот выпуск посвящен DoS и DDoS атакам. Так же прочитайте статью на hackzona.ru «Огород из DDoS-ботов». Обязательно посетите inattack.ru и прочитайте все статьи в разделах «DDoS/Флуд» и «Ботнет». Так же советую в Интернете поискать все о таких понятиях как DoS, DDoS, Spoofing, флуд, переполнение буфера, черви и защита от всего этого.
Кстати, не надо путать понятии «флуд» и «DoS». Флуд – это закидование пакетами ненужной информации, а DoS закидование пакетами неправильной информации. Это совсем разные вещи.
Прошу меня извинить, что не показал реальных практических примеров, не дал важных ссылок (хотя я вообще никаких ссылок не дал), не показал листингов.
Ну что? Подведем итоги? DoS и DDoS одни из самых опасных атак в Интернете. Попади DDoS-бот в руки скрипт-кидди или ламеру – крах провайдеру. Когда червь MyDoom совершил DDoS атаку на сервера Microsoft и SCO, они так разозлились, что объявили охоту на злобного программиста, обещая за его поимку 500 тысяч долларов. Но хакер остался в тени.
Вся информация предоставлена только для ознакомления. Это не подталкивание к криминальным действиям. Это я серьезно, т.е. я это не просто пишу. Я вас не призываю крушить сервера, а даже наоборот. Мы хакеры, а не вандалы. Главное помнить оь этом всегда.
https://adil666.ucoz.ru/publ/khaking/dos ... a/3-1-0-16

DOS-АТАКИ
СПОСОБ

DoS-атака или атака типа «отказ в обслуживании» является одним из видов неправомерною доступа, а именно такого, который приводит к блокированию информации и нарушению работы ЭВМ и их сети. Иные виды неправомерного доступа (копирование информации, уничтожение информации), а также использование вредоносных программ могут быть этапами осуществления DoS-атаки.
Такие атаки принято разделять на два типа: атаки, использующие какие-либо уязвимости в атакуемой системе и атаки, не использующие уязвимостей. Во втором случае своеобразным «поражающим фактором» атаки является перегрузка ресурсов атакуемой системы – процессора, ОЗУ, диска, пропускной способности канала.

ПРЕСТУПНИК

В настоящее время встречаются DoS-атаки как с личными, так и с корыстными мотивами. Еще 2-3 гола назад личные мотивы превалировали. Но сейчас наблюдается четкая тенденция возрастания чиста DoS-атак с корыстными мотивами в целях вымогательства или недобросовестной конкуренции.
Организовать DoS-атаку на типичный веб-сайт не представляет из себя сложной задачи, она пол силу ИТ-специалисту средней квалификации, имеющему в своем распоряжении среднее же оборудование и средней ширины канал связи. Соответственно, на черном рынке DoS-атака на обычный веб-сайт стоит десятки долларов за сутки. На более крупный или более защищенный объект - первые сотни долларов за сутки. Возможны оптовые скидки. Заказать атаку может себе позволить даже один обиженный индивидуум. Инструмент для осуществления распределенных DoS-атак зомби-сети (ботнеты) - также имеются в продаже на черном рынке по сравнительно низкой цене, порядка десятков долларов за тысячу зомби-хостов. И цена эта в последнее время снижается.
С другой стороны, в Сети появляется все больше и больше чисто информационного бизнеса, благополучие которого целиком и полностью зависит от доступности его сайта или другого сетевого ресурса. Это онлайн-магазины, онлайн-аукционы, онлайн-казино, букмекерские конторы и некоторые другие виды предприятий. Остановка работы веб-сайта в таких условиях означает полную остановку бизнеса. Несколько недель простоя могут полностью разорить предприятие. Естественно, при таких условиях находятся желающие пошантажировать владельца и получить с него выкуп за прекращение DoS-атаки. Несколько лет назад подобных предприятий (е-бизнеса) с существенными доходами еще не было. Соответственно, не было и DoS-вымогательства.
Итак, можно выделить два типа преступлений, связанных с DoS-атaками с целью доставить неприятности владельцу или пользователям атакуемого ресурса и с целью получить выкуп.
В первом случае, как и при клевете и оскорблениях, следует искать «обиженного». При этом непосредственным исполнителем может быть как он сам, так и нанятый профессионал.
Во втором случае мы имеем дело с хладнокровным криминальным расчетом, и преступление мало чем отличается от офлайнового вымогательства или недобросовестной конкуренции. Тип возможного преступника «е-бизнесмен» описан в разделе «Личность вероятного преступника».

ОБСТАНОВКА

Один тип DoS-атаки основан на использовании уязвимостей в программном обеспечении атакуемого ресурса. Другой тип так называемый «флуд» - не использует никаких уязвимостей и рассчитан на простое исчерпание ресурсов жертвы (полоса канала, оперативная память, быстродействие процессора, место на диске и т.п.). Как легко понять, ко флуду нет неуязвимых. поскольку любые компьютерные ресурсы конечны. Тем не менее разные сайты подвержены флуду в разной степени. Например. CGI-скрипт, работающий на веб-сайте, может быть написан не оптимально и требовать для своей работы слишком много оперативной памяти. Пока такой CGI-скрипт вызывается paз в минуту, эта неоптимальность совершенно незаметна. Но стоит злоумышленнику произвести вызов CGI-скрипта хотя бы сто раз в секунду (никаких особых затрат со стороны злоумышленника для этого не требуете, всего 300 пакетов в секунду, порядка 5 Мбит/с) — и неоптимальность CGI-скрипта приводит к полному параличу веб-сайта.
То есть запас по производительности и есть первичная зашита от DoS-атаки.
Обычные хостинг-провайдеры держат на одном сервере по нескольку десятков клиентских веб-сайтов. По экономическим причинам большого запаса производительности они сделать не могут. Отсюда следует, что типичный веб-сайт, размещенный у хостинг-провайдера, уязвим даже к самому простейшему флуду.

ПОТЕРПЕВШИЙ

Потерпевшим в подавляющем большинстве случаев выступает юридическое лицо.
Коммерческие организации редко бывают заинтересованы в официальном расследовании, поскольку для них главное - устранить опасность и минимизировать убытки. В наказании злоумышленника они не видят для себя никакой выгоды. А участие в судебном процессе в роли потерпевшего часто негативно отражается на деловой репутации.
Выступить потерпевшим организация-владелец атакуемого ресурса может в следующих случаях:
• когда есть уверенность, что не наказанный злоумышленник будет повторять атаки;
• когда предприятию надо отчитываться за понесенные убытки или перерывы в оказании услуг перед партнерами, клиентами, акционерами;
• когда руководитель предприятия усматривает в атаке личные мотивы, личную обиду, когда уязвлено его самолюбие.
В прочих случаях не приходится рассчитывать на заинтересованность потерпевшего в раскрытии преступления.
Следует помнить, что многие DoS-атаки воздействуют сразу на целый сегмент Сети, на канал, на маршрутизатор, за которым могут располагаться много потребителей услуг связи, даже если непосредственной целью атаки является лишь один из них. Для целей расследования необходимо установить, на кого именно был направлен умысел преступника. Формальным же потерпевшим может выступить любой из пострадавших от атаки.
Вместо формального потерпевшего целесообразно рассмотреть особенности личности специалиста, который обслуживает атакованную информационную систему и отвечает за ее защиту. Понимание его личности поможет понять причины и механизм совершения преступления.
Типичный профессиональный системный администратор человек, в реальном мире ничего из себя не представляющий (даже далеко не всегда высокооплачиваемый), но в мире виртуальном царь и бог. Подобное двоякое положение сильно способствует развитию комплексов неполноценности и стремлению компенсировать в виртуальности свою ничтожность в реальной мире. Поскольку речь идет о молодом человеке, значительную часть времени вынужденной проводить за компьютером (иначе профессионализм не приобрести), данный комплекс часто усугубляется половой неудовлетворенностью. Теперь представьте, что может натворить такой системный администратор с болезненным желанием продемонстрировать свою власть. При условии, что руководитель компании в технических вопросах вовсе не разбирается или не интересуется ими.
Можно сказать, что для потерпевшего от DoS-атаки (точнее, сотрудников юрлица потерпевшего) характерно провоцирующее поведение в онлайновых взаимоотношениях.

СЛЕДЫ

При подготовке и проведении DoS-атаки образуются следующие следы технического характера:
• наличие инструментария атаки - программных средств (агентов), установленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
• следы поиска, тестирования, приобретения инструментария;
• логи (преимущественно статистика трафика) операторов связи. через сети которых проходила атака:
• логи технических средств зашиты детекторов атак и аномалий трафика, систем обнаружения вторжений, межсетевых экранов, специализированных антифлудовых фильтров;
• логии, образцы трафика и другие данные, специально полученные техническими специалистами операторов связи в ходе расследования инцидента, выработки контрмер, отражения атаки. (Следует знать, что DoS-атака требует немедленной реакции, если владелец желает спасти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрманевры, из-за чего картина атаки усложняется);
• следы от излучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS-атак, его переписки, переговоров и денежных расчетов с исполнителями;
• следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.
При профессиональном осуществлении атаки используются зомби-сети или иной специализированный инструментарий. Естественно, он не одноразовый. Исполнители не заинтересованы в простаивании своих мощностей и могут осуществлять несколько атак одновременно, либо осуществлять теми же программными агентами параллельно с атакой другие функции, например, рассылку спама.
https://itinvestigations.blogspot.com/2011/02/dos.html

Защита от DoS-атак

Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

Ниже приведён краткий перечень основных методов.

Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)
Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.
Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.
Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.
Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.
Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.
[DLMURL]https://ru.wikipedia.org/wiki/DoS-%E0%F2%E0%EA%E0[/DLMURL]

P.S. Не собираюсь кого-либо поучать, но всегда нужно давать отчет свои действиям и поступкам, а также понимать нужно ли мистеру "Х" тратить значительные средства на вывод из строя какого-либо конкретного компьютера, если эта проблема решается простым пересаживанием за другой компьютер?
Не собирался ни над кем ёрничать, но у меня есть пара знакомых, которые из-за своего же случайного мелкого недочета устраивают панику на "всем корабле". ;)

Патрушев Михаил Владимирович

Private access level
Full members of NP "MOD"
Katılım
25 Ocak 2011
Mesajlar
2,445
Tepkime puanı
203
Puanları
63
Konum
Сочи
I read it.Thank you! But for me, anyway, this information is still difficult to perceive.
Kettle! (In one word)
Regards, Michael P.
 
Original message
Прочитал.Спасибо! Но для меня все-равно данная информация еще сложно воспринимается .
Чайник!(одним словом)
С уважением,Михаил П.

Орлан

Private access level
Full members of NP "MOD"
Katılım
6 Ağu 2011
Mesajlar
2,514
Tepkime puanı
23
Puanları
38
Yaş
39
Konum
Украина. Харьков (+38)-066-300-28-76; (8-057)-756-
Частный детектив Анжеро-Судженск Кузбасс' Alıntı:
I read it.Thank you! But for me, anyway, this information is still difficult to perceive.
Kettle! (In one word)
Regards, Michael P.
and this is a fact, but for general development it is necessary!
thanks for the stuff.
 
Original message
Частный детектив Анжеро-Судженск Кузбасс' Alıntı:
Прочитал.Спасибо! Но для меня все-равно данная информация еще сложно воспринимается .
Чайник!(одним словом)
С уважением,Михаил П.
и это факт, но для общего развития необходимо!
спасибо за материал.

Патрушев Михаил Владимирович

Private access level
Full members of NP "MOD"
Katılım
25 Ocak 2011
Mesajlar
2,445
Tepkime puanı
203
Puanları
63
Konum
Сочи
Детективная служба Орлан. Харьков' Alıntı:
Частный детектив Анжеро-Судженск Кузбасс' Alıntı:
I read it.Thank you! But for me, anyway, this information is still difficult to perceive.
Kettle! (In one word)
Regards, Michael P.
and this is a fact, but for general development it is necessary!
thanks for the stuff.

Even a must!
 
Original message
Детективная служба Орлан. Харьков' Alıntı:
Частный детектив Анжеро-Судженск Кузбасс' Alıntı:
Прочитал.Спасибо! Но для меня все-равно данная информация еще сложно воспринимается .
Чайник!(одним словом)
С уважением,Михаил П.
и это факт, но для общего развития необходимо!
спасибо за материал.

Даже обязательно!

Плотников Юрий Михайлович

Private access level
Full members of NP "MOD"
Katılım
21 Tem 2010
Mesajlar
3,699
Tepkime puanı
563
Puanları
113
Yaş
71
Konum
Россия, Хабаровск. +7 914 544 16 90.
Web sitesi
www.sysk-dv.ru
Useful information, thanks!
 
Original message
Полезная информация, спасибо!
Katılım
21 Ocak 2011
Mesajlar
1,086
Tepkime puanı
202
Puanları
63
Konum
Россия
Web sitesi
www.
How to fight off a hacker
Roman Dorokhov

It took Germany less than a year to completely eradicate hacker attacks that block the operation of victims' sites for days, weeks, and sometimes months. For three months, the police calculated the main hacker groups, and then for six months put them in jail - ordered “fake” attacks and took the criminals red-handed. In Russia, this may not work, experts warn: there are more hackers here, they are more cunning and brazen

Last year Runet survived the present “DDoS-escalation”, Kaspersky Lab stated in December 2011. DDoS - Distributed Denial of Service, or distributed denial of service attack. It happens like this: first, attackers infect many computers around the world with a special virus, then combine these computers - without asking permission from their owners - into a single botnet (from “robot”, or, for short, “bot” ), and it clogs the channels connecting the victim’s server with the outside world with “garbage” traffic. Millions of infected computers generate billions of technical requests to the server, which the server is unable to process and issues the very denial of service.

In 2011, DDoS attacks on the websites of the newspapers Kommersant and Vedomosti, as well as on the blogging service Livejournal.com (LiveJournal, LiveJournal), which had not worked for more than a week, received a great response. One of the targets of the attackers was the LJ blog of Alexei Navalny.

But not only journalists and bloggers suffer. According to Kaspersky Lab, in 2011 two major attacks survived the sites of travel agencies: one before the summer holidays, the other before the New Year holidays. And already in January 2012, due to a hacker attack, the website of the Federal Antimonopoly Service was out of order for three days.
Test purchase in German
Germany has a unique experience in combating DDoS - this country completely got rid of problems with cyber attacks a year ago, says Ilya Sachkov, CEO of Group IB, an investigator of cyber crimes. Back in 2009, Germany was, according to the antivirus company Symantec, in fifth place in the world in terms of activity of local botnets (after the USA, China, Brazil and Taiwan), and in 2010, generally in second place after the USA. (Russia in 2010 did not even enter the top ten of such countries.) In 2010, Germany accounted for 10% of all botnet activity in the world, Symantec estimated.

At the end of 2009, the German Internet Industry Association Eco developed a special Anti-Botnet Beratungszentrum program to search for owners of infected computers, inform them of the dangers and provide advice on the treatment and protection of PCs. The budget of the program was small - $ 2.7 million, the German Ministry of Internal Affairs allocated this money in August 2010. And technical support for the program was provided by the Federal Office of Information Security (BSI).

In parallel with this, in the spring of 2010, German law enforcement officials registered in closed sections of German hacker online forums and gradually figured out the main groups that accepted orders for organizing DDoS attacks against any sites - from competitors to political opponents, says Sachkov. In August 2010, the fight against hackers entered an active phase: police officers contacted the leaders of the hacker communities and, introducing themselves as customers, paid for attacks on several sites. The rest was up to technical experts and lawyers: they collected evidence of attacks on the victims' websites, the police opened criminal cases and won them in court. By the spring of 2011, 20-24 hacker groups involved in DDoS attacks were convicted in Germany.

The fact that the German police conducts special operations against the organizers of DDoS attacks is also known from conversations with experts from Germany and another Russian specialist - an employee of a company specializing in computer security.

Police were assisted by all major German Internet providers, Sachkov said: they shared statistics on attacks with her, and if necessary, disconnected nodes with the most active infected computers from the Internet. University employees who developed special teaching aids for the police and judges also helped, thanks to which they managed to expose the attackers.

By the spring of 2011, ordering a DDoS attack in Germany was almost impossible, says Sachkov: cybercriminals began to be wary of working in this country and attacking German sites from its territory. The hackers who remained free preferred to move the business to neighboring countries, primarily France and Poland. “If all countries of at least the European Union adopt a similar program, the German experience can be repeated in less than a year,” the expert is sure. And in Russia, with the help of similar police operations, you can also defeat DDoS, he has no doubt.
There are nuances
Joseph D. Menn, journalist of the Financial Times newspaper, is sure that the Russian organizers of DDoS attacks cannot be defeated by such methods. He is the author of the book Fatal System Error (Fatal System Error), most of which is dedicated to Russian cybercriminals and the case of DDoS attacks on betting sites, as a result of which three Russians were arrested. Russia's problem is that there are too many technically gifted people who can carry out a DDoS attack - there are thousands of them, and several dozen criminal cases will scare away not everyone, Menn believes. Criminal cases, in his opinion, will lead to arrests of “mules” alone - as Menn calls hired employees who cash out payments for custom-made attacks on behalf of real criminals. Those who fall for this will not go to jail for a long time: hackers will hire many students, and each of them will earn an amount that is barely enough to become the basis for initiating a criminal case.

Another feature of Russia, which Menn writes about, is the corruption of the police and the connection of individual policemen with criminals. In the mid 2000s in Russia, the case of racketeering of betting sites was investigated, as a result of which for the first time it was possible to condemn the three organizers of DDoS attacks. They blackmailed British betting sites — they made DDoS attacks on Internet sweepstakes sites, and then extorted money from them ($ 5,000–50,000) in exchange for stopping the attacks. One of the defendants, Alexander Petrov, turned out to be the son of a large police officer in Astrakhan, Alexander Petrov, the former head of department “K” of the Internal Affairs Directorate of the Astrakhan region, who is responsible for investigating cybercrimes and capturing hackers. On the Internet you can even find an interview with Petrov, which he gave while still being the head of department “K” of the regional police department. He complained that in order to initiate a criminal case against a hacker, a lot of documents had to be collected: “So it turns out that while we collect all the necessary documents, the terms for searching for Internet criminals are increasing.”

The book by Menn colorfully describes how friendly Petrov Sr. met an investigator from Moscow and a British operative who flew to Astrakhan to arrest the organizers of cyber attacks, but at first did not suspect that one of them had family ties with the police authorities. At first, he took them to a restaurant, then offered to hunt (instead of going on an operational task), and at night they suspected something was wrong, a surprise was waiting for guests: people who seemed to be guards almost burst into their hotel room. Meanwhile, the son of a hospitable policeman disappeared along with a computer (he subsequently surrendered to the authorities), and his father was detained - however, a month later he was released and even reinstated in the service, albeit with a demotion.

In 2006, Petrov Jr. and his two partners were sentenced to eight years in a maximum security colony and 100,000 rubles. a fine. While the trial was going on, writes Menn, the judge was offered a bribe of $ 1 million; in addition, due to corruption in the police, it was not possible to prove the guilt of several more members of the criminal group from Pyatigorsk. Not even the intervention of the FSB helped.
Russian experience
For reasoning about what prevents Russia from fighting DDoS attacks, there are still not enough statistics. Of all the known criminal cases brought against the participants in the DDoS attacks, only one has reached the trial, about which Joseph Menn narrates. It is unique if only because the British investigator Andy Crocker, who lived in Russia for several years, took part in the Russian investigation, and before that, the British collected more than a year exposing materials in their homeland, in the USA and in Latvia.

Aleksandr Petrov’s friends created a blog on LiveJournal, which, in particular, states that the material evidence in the case against three Russians was allegedly seized from them laser disks with viruses - and, possibly, planted by operatives (the mother of the accused stated that before the search of this disk she was not at home). The judge refused to carry out a fingerprint examination and to establish whether Petrov himself had touched the disk, wrote in 2007, Novaya Gazeta. According to this article, the defense requested that British material evidence obtained bypassing Russian rules be removed from the case. “In fact, Russian citizens were convicted under the laws of Great Britain,” Petr Ryabov, the lawyer of one of the accused, told Novaya Gazeta. Representatives of the defense were so sure of the acquittal that some of the lawyers did not even appear in the courtroom to announce it.

Menn tells how investigators figured out the Russian didosers. The fact is that one of them - Ivan Maksakov - used registration data with the email address on the site registered in his real name to communicate in the IRC chat system. At first, Menn writes, Maksakov confessed everything and even passed the accomplices whom he knew, but after talking with Petrov he refused his testimony.

In 2012, another high-profile case should be brought to court - a DDoS attack on the Assist payment system, due to which the sale of electronic air tickets on Aeroflot’s website did not work for several days in 2010. The FSB will investigate this case. The attacker Igor Artimovich was first arrested, who admitted to carrying out the attack and named Pavel Vrublevsky, the founder and owner of the Chronopay processing company, as the customer. Togo was arrested in June 2011, and he also pleaded guilty. Vrublevsky was released in December 2011 after the amendments to Articles 272 (on unlawful access to computer information) and 273 (on the creation, use and distribution of malware for computers) of the Criminal Code entered into force. Vrublevsky in an interview suggested that he was released precisely because of these changes: according to the new rules of the law, he spent the maximum possible time of detention in jail.

***
About Russian hackers
Eugene Kaspersky
Director General of Kaspersky Lab
“Against the general background, Russia does not look very good. Many hacker attacks, a large number of fraudulent services freely available on the network - these are former organized criminal networks. Of course, they hid, but did not leave anywhere. As you know, the top 5 spammers are largely our compatriots. Why is this happening? The crime rate in Russia as a whole is very high, and even the programmers here are good. So it turns out that Russian hackers are the best in the world. But at the same time, do not forget that cybercrime is an international phenomenon and the actions of attackers are not limited to the territory of one country. In recent years, China, Russia, and the countries of Latin America have been unique centers of world cybercrime. ” (Interview with Vedomosti 09/27/2011)
Three-month attack
The average duration of a DDoS attack in Russia is 9 hours 29 minutes, Kaspersky Lab estimates. And the longest of last year's DDoS attacks lasted 80 days.

Source: [DLMURL="https://www.vedomosti.ru/newspaper/article/275048/kak_otbitsya_ot_hakera"] https://www.vedomosti.ru/newspaper/artic ... _ot_hakera [/ DLMURL]
 
Original message
Как отбиться от хакера
Роман Дорохов

Полное искоренение хакерских атак, блокирующих работу сайтов жертв на дни, недели, а иногда и месяцы, заняло в Германии меньше года. Три месяца полиция вычисляла основные хакерские группировки, а потом за полгода упрятала их за решетку — заказала «подложные» атаки и взяла преступников с поличным. В России такое может и не сработать, предупреждают эксперты: здесь хакеров больше, они хитрее и наглее

В прошлом году рунет пережил настоящее «DDoS-обострение», констатировала в декабре 2011 г. «Лаборатория Касперского». DDoS — Distributed Denial of Service, или распределенная атака типа «отказ в обслуживании». Она происходит так: сначала злоумышленники заражают специальным вирусом множество компьютеров по всему миру, затем объединяют эти компьютеры — само собой, не спрашивая разрешения у их владельцев, — в единую сеть-ботнет (от «робот», или, для краткости, «бот»), и та засоряет «мусорным» трафиком каналы, связывающие сервер жертвы с внешним миром. Миллионы зараженных компьютеров генерируют миллиарды технических запросов на сервер, которые тот не в состоянии обработать и выдает тот самый отказ в обслуживании.

Большой резонанс в 2011 г. получили DDoS-атаки на сайты газет — «Коммерсанта», «Ведомостей», — а также на сервис блогов Livejournal.com («Живой журнал», ЖЖ), который не работал в общей сложности более недели. Одной из целей атаковавших был ЖЖ-блог Алексея Навального.

Но страдают не только журналисты и блогеры. По данным «Лаборатории Касперского», в 2011 г. две крупные атаки пережили сайты турфирм: один — перед началом летних отпусков, другой — перед новогодними каникулами. А уже в январе 2012 г. из-за хакерской атаки на три дня вышел из строя сайт Федеральной антимонопольной службы.
Контрольная закупка по-немецки
Уникальный опыт борьбы с DDoS есть у Германии — эта страна год назад начисто избавилась от проблем с кибератаками, рассказывает Илья Сачков, гендиректор компании Group IB, расследующей киберпреступления. Еще в 2009 г. Германия была, по данным антивирусной компании Symantec, на пятом месте в мире по активности местных ботнетов (после США, Китая, Бразилии и Тайваня), а в 2010 г. — вообще на втором после США. (Россия в 2010 г. даже не вошла в первую десятку таких стран.) В 2010 г. на Германию приходилось 10% всей ботнет-активности в мире, оценивала Symantec.

В конце 2009 г. Ассоциация немецкой интернет-индустрии Eco разработала специальную программу Anti-Botnet Beratungszentrum для поиска владельцев зараженных компьютеров, информирования их об опасности и предоставления консультаций о лечении и защите ПК. Бюджет программы был невелик — $2,7 млн, эти деньги выделило в августе 2010 г. немецкое МВД. А техническую поддержку программы обеспечил федеральный офис информационной безопасности (BSI).

Параллельно с этим весной 2010 г. сотрудники правоохранительных органов Германии зарегистрировались в закрытых разделах интернет-форумов немецких хакеров и мало-помалу вычислили основные группы, принимавшие заказы на организацию DDoS-атак против любых сайтов — от конкурентов до политических оппонентов, рассказывает Сачков. В августе 2010 г. борьба с хакерами перешла в активную фазу: сотрудники полиции связались с лидерами хакерских сообществ и, представившись заказчиками, оплатили атаки на несколько сайтов. Дальше дело было за техническими экспертами и юристами: они собрали доказательства атак на сайты жертв, полиция возбудила уголовные дела и выиграла их в суде. К весне 2011 г. в Германии были осуждены 20-24 хакерские группы, занимавшиеся DDoS-атаками.

О том, что немецкая полиция проводит спецоперации против организаторов DDoS-атак, знает из общения с экспертами из Германии и другой российский специалист — сотрудник компании, специализирующейся на компьютерной безопасности.

Полиции помогали все крупные немецкие интернет-провайдеры, отмечает Сачков: они делились с ней статистикой по атакам, при необходимости отключали от интернета узлы с наиболее активными зараженными компьютерами. Помогли и сотрудники университетов, разработавшие специальные методические пособия для полиции и судей, благодаря чему злоумышленников и удалось изобличить.

К весне 2011 г. заказать на территории Германии DDoS-атаку было практически нереально, говорит Сачков: киберпреступники стали остерегаться работать в этой стране и атаковать немецкие сайты с ее территории. Хакеры, оставшиеся на свободе, предпочли перенести бизнес в соседние страны, прежде всего Францию и Польшу. «Если все страны хотя бы Евросоюза примут похожую программу, опыт Германии можно повторить меньше чем за год», — уверен эксперт. Да и в России с помощью аналогичных полицейских операций тоже можно победить DDoS, не сомневается он.
Есть нюансы
Российских организаторов DDoS-атак такими методами не одолеть, уверен журналист газеты Financial Times Джозеф Менн. Он автор книги Fatal System Error («Фатальная ошибка системы»), большая часть которой посвящена российским киберпреступникам и делу о DDoS-атаках на букмекерские сайты, в результате которого трех россиян арестовали. Проблема России в том, что здесь слишком много технически одаренных людей, способных провести DDoS-атаку, — их тысячи, и несколько десятков уголовных дел отпугнут далеко не всех, считает Менн. Уголовные дела, по его мнению, приведут к арестам одних лишь «мулов» — так Менн называет наемных сотрудников, обналичивающих платежи за заказные атаки по поручению настоящих преступников. Те, кто попадется на этом, надолго за решетку не попадут: хакеры наймут множество студентов, и каждый из них будет зарабатывать сумму, которой едва хватит, чтобы стать основанием для возбуждения уголовного дела.

Другая особенность России, о которой пишет Менн, — коррумпированность полиции и связи отдельных полицейских с преступниками. В середине 2000-х гг. в России расследовалось дело о рэкете букмекерских сайтов, в результате которого впервые удалось осудить трех организаторов DDoS-атак. Они шантажировали британские букмекерские сайты — совершали DDoS-атаки на сайты интернет-тотализаторов, после чего вымогали у них деньги ($5000-50 000) в обмен на прекращение атак. Один из обвиняемых, Александр Петров, оказался сыном крупного милицейского чина Астрахани Александра Петрова, бывшего начальника отдела «К» УВД Астраханской области, который как раз и отвечает за расследование киберпреступлений и поимку хакеров. В интернете можно даже найти интервью Петрова, которое он давал еще будучи начальником отдела «К» областного УВД. Он сетовал, что для возбуждения уголовного дела против хакера нужно собрать множество документов: «Вот и получается, что, пока мы собираем все необходимые документы, сроки поиска интернет-преступников увеличиваются».

В книге Менна красочно описано, как дружелюбно Петров-старший встретил следователя из Москвы и британского оперативника, прилетевших в Астрахань арестовывать организаторов кибератак, но поначалу не подозревавших о родственных связях одного из них с милицейским начальством. Сперва он сводил их в ресторан, затем предложил поохотиться (вместо того чтобы отправиться на оперативное задание), а ночью заподозривших неладное гостей ждал сюрприз: в их гостиничный номер едва не ворвались люди, представившиеся охраной. Тем временем сын гостеприимного милиционера исчез вместе с компьютером (впоследствии он сам сдался властям), а отца задержали — впрочем, через месяц отпустили и даже восстановили на службе, хотя и с понижением в должности.

В 2006 г. Петрова-младшего и двух его компаньонов приговорили к восьми годам колонии строгого режима и 100 000 руб. штрафа. Пока шел суд, пишет Менн, судье предлагали взятку в $1 млн; кроме того, из-за коррупции в милиции не удалось доказать вину еще нескольких участников преступной группы из Пятигорска. Не помогло даже вмешательство ФСБ.
Российский опыт
Для рассуждений о том, что в России мешает бороться с DDoS-атаками, пока не хватает статистики. Из всех известных уголовных дел, возбужденных в отношении участников DDoS-атак, до суда дошло только одно, о котором и повествует Джозеф Менн. Оно является уникальным хотя бы потому, что в российском расследовании принимал участие британский оперативник Энди Крокер, который прожил в России несколько лет, а перед этим британцы больше года собирали изобличающие материалы у себя на родине, в США и в Латвии.

Друзья Александра Петрова создали в ЖЖ блог, в котором, в частности, говорится, что вещественным доказательством по делу против трех россиян были якобы изъятые у них лазерные диски с вирусами — причем, возможно, подброшенные оперативниками (мать обвиняемого заявляла, что до обыска этого диска у нее дома не было). Судья отказался провести дактилоскопичекую экспертизу и установить, прикасался ли к диску сам Петров, писала в 2007 г. «Новая газета». Согласно этой статье, защита просила убрать из дела британские вещдоки, полученные в обход российских правил. «Фактически российских граждан осудили по законам Великобритании», — говорил «Новой газете» адвокат одного из обвиняемых Петр Рябов. Представители защиты были настолько уверены в оправдательном приговоре, что некоторые из адвокатов даже не явились в зал суда на его оглашение.

Менн рассказывает, как именно следователи вычислили российских «дидосеров». Дело в том, что один из них — Иван Максаков — использовал для общения в системе чатов IRC регистрационные данные с адресом электронной почты на сайте, зарегистрированном на его реальное имя. Поначалу, пишет Менн, Максаков во всем сознался и даже сдал подельников, которых знал, но после общения с Петровым от своих показаний отказался.

В 2012 г. до суда должно дойти еще одно громкое дело — о DDoS-атаке на платежную систему Assist, из-за которой в 2010 г. несколько дней не работала продажа электронных авиабилетов на сайте «Аэрофлота». Расследует это дело ФСБ. Сперва арестован был исполнитель атаки Игорь Артимович, который сознался в ее проведении и назвал в качестве заказчика основателя и владельца процессинговой компании Chronopay Павла Врублевского. Того арестовали в июне 2011 г., и он тоже признал себя виновным. Врублевского выпустили в декабре 2011 г. после того, как вступили в силу изменения в статьи 272 (о неправомерном доступе к компьютерной информации) и 273 (о создании, использовании и распространении вредоносных программ для ЭВМ) Уголовного кодекса. Врублевский в интервью предполагал, что его выпустили именно благодаря этим изменениям: по новым нормам закона он провел в сизо максимально возможное время содержания под стражей.

***
О русских хакерах
Евгений Касперский
генеральный директор «Лаборатории Касперского»
«На общем фоне Россия выглядит не очень хорошо. Много хакерских атак, большое количество мошеннических сервисов, свободно доступных в сети, — это бывшие организованные преступные сети. Они, конечно, спрятались, но никуда не ушли. Как известно, топ-5 спамеров — это в значительной степени наши соотечественники. Почему это происходит? Уровень преступности в России в целом очень высокий, да еще и программисты здесь хорошие. Так что получается, что и русские хакеры лучшие в мире. Но при этом не стоит забывать, что киберпреступность — явление интернациональное и действия злоумышленников не ограничены территорией одной страны. В последние годы своеобразными центрами мировой киберпреступности являются Китай, Россия и страны Латинской Америки». (Интервью «Ведомостям» 27.09.2011)
Атака длиной в три месяца
Средняя продолжительность DDoS-атаки в России — 9 часов 29 минут, подсчитала «Лаборатория Касперского». А самая продолжительная из прошлогодних DDoS-атак длилась 80 дней.

Источник: [DLMURL="https://www.vedomosti.ru/newspaper/article/275048/kak_otbitsya_ot_hakera"]https://www.vedomosti.ru/newspaper/artic ... _ot_hakera[/DLMURL]

Плотников Юрий Михайлович

Private access level
Full members of NP "MOD"
Katılım
21 Tem 2010
Mesajlar
3,699
Tepkime puanı
563
Puanları
113
Yaş
71
Konum
Россия, Хабаровск. +7 914 544 16 90.
Web sitesi
www.sysk-dv.ru
Thanks, interesting!
 
Original message
Спасибо, интересно!

Частный детектив Севастополь ОДБ

Private access level
Full members of NP "MOD"
Katılım
27 Ara 2010
Mesajlar
1,828
Tepkime puanı
12
Puanları
38
Konum
Севастополь, Крым, +7 (978) 867 69 09
Very interesting stuff, thanks. Especially the participation in it of Kaspersky Lab. Very similar to an advertising move. Recently I was at one such presentation of Kaspersky in the Crimea. Continuous advertising about the invincibility of this antivirus. Doubt creeps in - and who really finances these same attacks? ....................
 
Original message
Очень интересный материал, спасибо. Особенно участие в нем лаборатории Касперского. Очень похоже на рекламный ход. Недавно был на одной такой презентации Касперского в Крыму. Сплошная реклама о непобедимости данного антивируса. Закрадывается сомнение - а кто реально финансирует эти самые атаки ?....................

До нового года осталось