В конце октября мы заметили исходящие DDoS-атаки от серверов нескольких десятков клиентов. Рассказываем, в чем была причина и как обезопасить себя от подобных проблем.
31 октября график мониторинга DDoS показал резкий рост сетевого трафика с разных аккаунтов, не связанных друг с другом. Атаки были исходящие, то есть их источник находился внутри серверов клиентов, в их программном окружении, к которому нет доступа ни у одного из специалистов Selectel.
В случае входящих DDoS-атак на инфраструктуру ответственность за решение проблемы берет на себя провайдер. При исходящих атаках задачи специалистов Selectel сводятся к быстрому информированию клиента о происходящем и защите остальных пользователей от возможных последствий DDoS.
При подозрительной активности серверов на них автоматически налагаются сетевые ограничения. Это своеобразный «иммунный ответ» системы, необходимый для защиты других клиентов, которые не превышают лимит сетевого трафика, и сетевой инфраструктуры компании. Уменьшение сетевого канала влияет на скорость доступа к сервисам, но, как только активность сервера приходит в норму, характеристики сети восстанавливаются.
как дудосить
Поиск проблемы
Обнаружив аномальный рост сетевого трафика, сотрудники техподдержки сразу сообщили об этом клиентам, на чьих серверах была зафиксирована подозрительная активность. А сотрудники дежурной службы облачной платформы параллельно пытались понять причину одновременных атак.
Основная сложность в том, что никто из сотрудников не знает, какое именно ПО установлено на атакованных серверах. Это усложняет поиск потенциальной проблемы, пока клиент сам не проведет мониторинг «внутренностей» инфраструктуры.
В данном случае была небольшая закономерность: несколько из серверов в публичных названиях содержали слово GitLab (в разных вариациях написания). GitLab — популярное решение для хранения кода и совместной разработки программных проектов. Сервисом пользуются большинство компаний, разрабатывающих собственные приложения, в том числе Selectel.
«Мы предположили, что входящей точкой для атак был именно GitLab. И клиенты, которые первыми ответили на письмо от техподдержки, подтвердили гипотезу», — рассказывает руководитель дежурной службы Александр Бондарев.
Что произошло
В конце октября — начале ноября участились случаи эксплуатации критической уязвимости GitLab — CVE-2021-22205. Она позволяла удаленно и без прохождения аутентификации выполнить код на сервере, на котором используется эта платформа. Уязвимость появилась в версии 11.9 и была устранена еще полгода назад в новых версиях программы, начиная с 13.10.3 (на момент написания текста актуальна версия 14.4). Информация об уязвимости была опубликована в интернете, и ею воспользовались хакеры.
Как ддосить сайты?
Пожалуй, каждый когда-нибудь откладывал необходимое обновление прошивки на смартфоне или приложения на десктопе. В компаниях происходит то же самое. По данным проведенного сканирования публично доступных экземпляров GitLab (выборка — около 60 тысяч), половина систем использует устаревшие версии ПО с незакрытой уязвимостью.
Есть где разгуляться хакерам. Злоумышленники стали размещать на серверах вредоносное ПО и подключать их к ботнету, участвующему в DDoS-атаках. Жертвами обнародованной уязвимости и необновленного ПО стали и несколько десятков клиентов Selectel.
Что делать сейчас
Если вы пользуетесь старыми версиями GitLab, но злоумышленники до вас не добрались, рекомендуем обновиться прямо сейчас. Если не можете или не хотите этого делать, примените патч, который блокирует уязвимость. Также проанализируйте логи и проверьте, не появились ли у вас новые учетные записи с подозрительными названиями. Возможно, у вас гости.
Если рост сетевого трафика — нормальное явление для вашего сервиса (все-таки время распродаж), напишите в техподдержку Selectel. Опишите выполняемые задачи, чтобы мы добавили ваш аккаунта в список исключений и он не попал под автоматическое урезание сетевого канала.
Как обезопасить сервер от исходящих DDoS-атак
Несколько рекомендаций, которые не допустят подобной ситуации в будущем:
- Своевременно обновляйте версии программного обеспечения. Если вы не уверены в стабильности новой версии, подождите первой реакции комьюнити, но не затягивайте процесс на месяцы.
- Старайтесь мониторить информацию об уязвимостях. Поверьте, хакеры тоже это делают. Агрегаторов с такими данными достаточно много. Один из лучших — CVE. Также можно присмотреться к таким источникам, как Vulners и отечественный Банк данных угроз безопасности.
- Подключите Web Application Firewall (WAF), который защищает сайты, приложения, веб-ресурсы от взломов и таргетированных атак, эксплуатирующих уязвимости приложений. Selectel предоставляет решения от DDoS Guard и Qrator.
Подробнее о программных средствах защиты от DDoS-атак — в нашей базе знаний.
Источник: selectel.ru
Как дудосить на ютубе
Дело было вечером. Делать было нечего.
Все наверное сталкивались с рассылкой СПАМа во Вконтакте, да или просто по e-mail.
Так вот как-то раз наша команда решила послать таких мамкиных спамеров на три буквы)))
Это была плохая идея. . Ибо потом начался самый настоящий АД.
Не делайте так! Ибо нынче мамкины спамеры еще и мамкины хакеры и умеют делать DDoS-атаку на телефон или в народе «Флуд телефона».
Что такое флуд телефона?
На Ваши рекламные телефоны начнут приходить звонки с разных номеров телефона. Число таких звонков может быть большим. Это поток не полезных звонков перегружающий Ваш номер телефона и называется «флуд» телефона.
Как такие атаки осуществляются?
Авторы таких атак используют специальные программы и|или оборудование. Подключаются они к не защищенным линиям организаций или к операторам связи, которые не умеют контролировать поведение своих клиентов.
На что раcсчитывают злоумышленники?
Если жертва использует обычную проводную телефонную связь и вносит номер телефона в черный список, звонки все равно будут занимать проводную линию. Телефон или АТС их будет отфильтровывать, но во время поступления звонка и фильтрации, линия все равно будет занята и быстро становится перегруженной. Телефон жертвы становится постоянно занят и звонки клиентов перестают поступать в компанию.
Классический сценарий атаки
Злоумышленник создает поток телефонных звонков с разными АОН. Каждый звонок занимает ресурс линии до тех пор пока не поднята трубка. Как только трубка поднимается, идет ожидание в 2-5 секунд и сброс соединения. Поток звонков может идти, круглосуточно.
Рекламные телефоны жертвы будут постоянно заняты для потенциальных и уже имеющихся клиентов. Это потеря прибыли, времени и плохая репутация.
Если жертва сменит номера телефона, это станет известно злоумышленнику, и звонки станут поступать на второй, если необходимо и на третий или десятый номер телефона.
Кроме того, при смене номера телефона, все усилия жертвы по рекламированию старого номера телефона, становятся напрасными.
Основная проблема в том, что у обычного номера ограничена пропускная способность и после 3-5 параллельных звонков номер становится занят и цель флудеров достигнута.
Как это выглядит
Ощущения не из приятных т.к. звонки идут не прекращаясь!
Предупрежден, значит вооружен
Как подготовиться к атаке
Ваша задача — не допустить серьезных потерь. Бороться с флудом трудно, но можно. Большинство флудеров рассчитывают нападение на обычный номер телефона и обычную АТС, которые имеют массу ограничений.
Но все не так, если используется IP телефония. У SIPNET нет ограничения на число линий, а поведение Вашего сервера, принимающего вызов, может быть непредсказуемо сложным.
Но, если на Вашей стороне нет собственного VoIP сервера, а используются только SIP телефоны, то нет оснований для оптимизма. Обычные SIP телефоны не обладают достаточным арсеналом возможностей для защиты.
Как работает DDoS-атака
Сетевые ресурсы, такие как веб-серверы, имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки на сервер существуют также ограничения пропускной способности канала, который соединяет сервер с Интернетом.
Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти полное прекращение работы веб-ресурса – «отказ в обслуживании» или DoS (Denial-of-service).
Также, в зависимости от целей злоумышленника, результатом работы могут быть:
- Существенное замедление время ответа на запросы;
- Отказ в обслуживании части пользовательских запросов;
- Прикрытие другой зловредной активности на web-ресурсе жертвы;
Топливо для DDoS-атак
Для отправки очень большого количества запросов на ресурс жертвы киберпреступник часто создает сеть из зараженных «зомби-компьютеров» и любых других устройств, подключённых к сети.
Поскольку преступник контролирует действия каждого зараженного компьютера в зомби-сети, атака может быть слишком мощной для веб-ресурса жертвы.
Масштабы зомби-сетей впечатляющие. Например, вовремя не обновлённая уязвимость домашних роутеров одно известного вендора позволила заразить и управлять сетью из более 500.000 устройств по всему миру.
Природа современных DDoS-угроз
С ростом количества устройств подключённых к Интернет, зачастую не защищенных от заражения, стоимость организации DDoS-атак существенно снизилась, что соответственно привело к их увеличению.
Одина из распространённых причин DDoS-атак это вымогательство за остановку атаки тем более, что выплаты с развитием криптовалют зачатую помогают сохранить анонимность злоумышленника. Такие атаки сопровождается письмом с требованием выплаты за прекращение атаки.
В некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента: замедлить/Остановить процессы продаж, обслуживания, информирования, атака на SEO позиции и пр. Такая атака оплачивается соответственно конкурентом.
Также нередко встречается «хактивизм» — привлечение внимания к проблеме путем проведения «громких» атак.
Меры противодействия DDoS-угрозам
В настоящее время такая преступная деятельность получила колоссальное распространение. Количество и мощность DDoS-атак растет. Однако количество успешных DDoS-атак уменьшается. Это обусловлено в основном техническими контрмерами, которые успешно применяются для противодействия DDoS-атакам.
В подавляющем большинстве случаев для защиты от DDoS-атак задействуются специализованные компании, что гораздо дешевле самостоятельно организации защиты внутри компании и уж тем более, стоимости последствий успешной DDoS-атаки.
Другие статьи и ссылки по теме «Распределенные сетевые атаки»
- Меры защиты отDDoS-атак
- Что такое троянская программа?
- Что такое компьютерный вирус или компьютерный червь?
- Adware, Pornware и Riskware
- Кто создает вредоносные программы?
Как работает DDoS-атака
DDoS-атака – это способ заблокировать работу сайта путем подачи большого количества запросов, превышающих пропускную способность сети. Научитесь защищать свою систему.
Источник: www.kaspersky.ru