Сканирование DDoS-атак

Сoвсeм скoрo прoвaйдeрaм, прeдoстaвляющим интeрнeт-услуги стaнeт oчeнь лeгкo прeдвидeть и блoкирoвaть нeкoтoрыe надежда oнлaйн-aтaк, зaпущeнныx web-службами, известными как «booter» либо — либо «stresser», говорится в одном из недавно опубликованных докладов. Подобные эмпирика были получены от исследователя из Германии, который изучал закономерности, возникающие в тот не уходите, когда злоумышленники совершают попытку провести массовое сканирование долее) (того интернет-пространства в поисках систем, пригодных для запуска цифровых атак. Их яко же называют «distributed denial-of-service» или DDoS-лава. Осознать важность проводимых исследований помог краткий анализ того, ровно развивались DDoS–атаки. Не так давно, если кто такой-то хотел убрать большой web-сайт, нужно было сложить и поддерживать большую сеть ботов, взломанных компьютеров. Это являлось пошутил да и будет длительным, рискованным и технически сложным процессом. Однако, в наши момент даже наименее искушенный пользователь интернета может запустить релятивно крупную DDoS–атаку, просто заплатив несколько долларов вслед подписку на один из десятка серверов «booter» может ли быть «stresser» услуг. Некоторые из серверов даже принимают кредитные картеж и платежи PayPal. Эти веб-службы DDoS — не работают с ботик-сетями: обычно они используют несколько мощных серверов, которые арендуются у какого-то хитроумного «пуленепробиваемого» хостинг-провайдера. Сервисная отдел принимает оплату и инструкции по атаке через web-сайт, тот или другой скрыт за Cloudflare (бесплатной службой защиты от DDoS). В действительности самое интересное происходит по мнению окончанию работы сервисной службы. Атака может производиться с одного alias нескольких устройств в направлении намеченной цели. В нападении данного типа покуситель отправляет сообщение третьей стороне, в этот же момент, подменяя ячейка интернет жертвы. Как только третий участник отвечает сверху сообщение, ему высылается ответ гораздо больших масштабов, чем исходное сообщение, тем самым увеличивая размер атаки. Чтобы отрыть уязвимые системы, которые можно использовать, таким образом, сервисные службы используют широкомасштабное фотосканирование в интернете, постоянно стремящиеся обновить список систем способных употребляться для атаки с техникой усиления и отражения трафика. Они делают это, ибо что, как показало исследование, где-то от 40 поперед 50 процентов усилителей исчезают или переназначаются на новые царство безграничных возможностей-адреса спустя неделю. Исследование проводили ученые из Саарландского университета в Германии, а где-то же Национальный университет информационных технологий и коммуникаций в Йокогаме, Японии. В многолетнем проекте, каковой был впервые представлен в 2015 году, велись поиски сканирования, которые делать за скольких оказалось, были запущенны сервисными службами. Для этого исследовательская ассоци построила своего рода распределенную систему «honeypot», которую они назвали «AmpPot» — предназначенную во (избежание имитации служб, известных как уязвимые для атак усиления, таких ровно DNS и NTP. «Чтобы приманки казались привлекательными для нападавших, ученые давали эхо на все запросы, поступающие к ним», — пишут исследователи в статье 2015 лета (PDF). Для предотвращения ущерба, вызванного большим количеством приманок, автор ограничили скорость ответа. Таким образом, в то время ни дать ни взять злоумышленники все еще могут найти системы «honeypot» с ограниченным доступом, отповедь им более не высылается, тем самым предотвращая атаку. В докладе, опубликованном в 2015 году, исследователи заявили, что они просмотрели 21 экземпляр AmpPot с глобальным распространением, в котором наблюдалось побольше 1,5 миллиона атак в период с февраля по май 2015 возраст. «Если сосредоточиться на усилении DDoS-атак, мы обнаружим, что около все из них (> 96%) вызваны отдельными источниками, а маловыгодный бот-сетями», — заключила команда. «Тем не меньше, у нас, к сожалению, нет цифр, чтобы сравнить их». «Чтобы отличить развертка, выполненное исследователями, и сканирование, выполненное с использованием злонамеренных программ, ты да я полагались на простое предположение: чтобы никакая атака безлюдный (=малолюдный) была основана на результатах сканирования, выполненного исследователями», — сказал Водан из главных авторов, Джоханес Крупп, в своем докладе. «На самом деле, вследствие нашей методологии, мы можем посмотреть на результаты и изречь, «Мы обнаружили атаки, связанные с этим сканированием, поэтому возлюбленный является мошенническим!»
Секретные идентификаторы
В новом документе, выпущенном студентами Saarland университета в (видах IT-безопасности, конфиденциальности и отчетности (CISPA) говорится, о методе, с помощью которого исследователи смогли связать эти массовые сканирования с теми самыми произошедшими атаками усиления. Исследователи разработали сепаратный способ кодировки секретного идентификатора в honeypots AmpPot, который хорошего понемножку использоваться любой последующей атакой, он зависит от происхождения источника сканирования. Дальше они проверили, используется ли инфраструктура сканирования для фактического запуска (а безлюдный (=малолюдный) только для подготовки) атак. Их схема была основана частично возьми идее, что аналогичные источники трафика должны проходить через сетка так, что бы достичь глобально-распределительных датчиков AmpPot. На этого им пришлось наблюдать за количеством «прыжков» в путы интернет, которым пришлось пройти через каждое сканирование и агрессия. Использование метода трилатерации (процесс определения абсолютного или относительного местоположения точек хорошенько измерения расстояния) позволило исследовательской группе связать сканеры с источниками атак для основе подсчетов прыжков. Эти методы выявили 286 сканеров, которые используются сервисными службами в подготовке к запуску атак усиления. И без этого (того) того, они обнаружили, что примерно 75 процентов этих сканеров находятся в Соединенных Штатах Америки. Исследователи будто, что они смогли подтвердить, что многие из тех сетей, идеже размещаются сканеры, используются так же для запуска атак. Белее того, они смогли проверить более третьи их происхождения. «Это отличный результат, учитывая, что колыбель атак усилений обычно остается скрытым», — сообщил Кристиан Россоу с Саарского университета. Россо сказал, что команда надеется и в дальнейшем прочерчивать исследование, чтобы более точно связать сканирование и атаку с конкретными сервисными службами. Ассоци ученых уже предлагает услуги интернет — провайдерам для обмена информацией об инцидентах (таких на правах время начала и конца атаки). Интернет — компании в свою черед могут использовать информацию об атаке для информирования своих клиентов то есть (т. е.) для фильтрации трафика атаки. Не смотря на то, что эти как-то опубликованные методы получили широкую огласку, всё равно больно маловероятно, что сервисные службы в ближайшее время покинут нас. Хотя это исследование, безусловно, не позволит их владельцам в дальнейшем прятать своё истинное местонахождение так же тщательно. Возможно, относительная даже удастся привлечь к ответственности за их преступления. Распоряжения предпринятые исследователями усложнили загрузку платежей PayPal, вынуждая превалирующая сервисных служб полагаться на биткойн. Кроме того, существует степень инициатив, направленных на выявление сервисных служб загрузки, которые перепродают свою инфраструктуру другим службам, выдающим их вслед свои собственных. В сентябре 2016 года публиковалась статья о vDOS – сервисной службе, которая ради два года заработала (по самым скромным подсчетам) 600 000 долларов США, что помогает кинуть более 150 000 атак DDoS. Оказывается, инфраструктура vDOS использовалась больше чем полудюжиной других сервисных служб, и вскоре после того, (то) есть vDOS был отключен, большинство из них было демонтировано. Лопать один важный момент, который может помочь уменьшить обольстительность услуг сервисных служб, как для клиентов, так и в (видах самих собственников, занимающихся поиском прибыли. На самом деле, все эта деятельность является незаконной и наказывается реальным сроком тюремного заключения. Предварительно сих пор многие владельцы сервисных служб работали в заблуждении, считая, что их службы предназначены до невероятия для владельцев web-сайтов, дабы проверить их способность брыкаться сбоям в передаче данных. Многие сотрудники сервисных служб, точно по-видимому, считают (или, по крайней мере, скрывают) согласие о «условиях обслуживания», в котором они якобы не несут надежность за то, как их клиенты пользуются данной услугой. Wall Street Journal сообщил, Водан из владельцев vDOS, который был арестован вскоре за истории о нем, через своих адвокатов сказал: «Если бы я захотел скупить оружие и пристрелить кого-нибудь, был бы виновен тот человек, некоторый изобрел оружие?». Предполагаемые владельцы vDOS — 18-летние израильтяне Ярден Бидэни и Итай Хури. Они были освобождены с домашнего ареста примерно спустя десять дней после него. Бери сегодняшний день не было выдвинуто никаких обвинений насупротив мужчин, хотя по многочисленным мнениям это не возьми долго. Между тем, возможны изменения в сервисных службах, размещенных нате Hackforums.net, вероятно крупнейшем онлайн-рынке где открыто рекламируются, сравниваются и оцениваются службы загрузки. Неважный (=маловажный) так давно администратор Hackforums Джесси «Omniscient» Лаброкка начал уменьшать. Ant. расширять доступ к разделу «stresser» на форуме и запретил участникам популяризировать сервисные службы у себя в пользовательских профилях. «Я совершенно точно вижу праздник, когда он окончательно удалится»,- сказал Лаброкка в посте, объясняя близкие действия. «Может очень, очень скоро». Пока что размер атак, запускаемых службами, в некоторой степени зависит через количества и мощности серверов, используемых для инициирования атак с усилением и отражением. Тем отнюдь не менее, в недалеком будующем можно увидеть день, когда операторы сервисных служб начнут наживать что (мозолями большую часть своих денег за счет перепродажи значительно более мощных атак, запущенных в сети с устройств, таких словно плохо защищенные камеры видеонаблюдения и цифровые видеорегистраторы (DVR). В некотором роде это уже случилось, как и было описано в статья прошлого года о целой серии атак ботнетами Только теперь, когда был опубликован исходный код для «Mirai botnet» в целях перепродажи доступны гораздо более мощные и масштабируемые атаки.

0
1 k
Написать отзыв

Оцените сайт