Страница 1 из 1

Сайт стал объектом DDoS-атаки

СообщениеДобавлено: Ср 28 мар, 2007 19:29
Ura
Сайт «НашБрянск.Ru» стал объектом DDoS-атаки

DDoS-атака на сайт «НашБрянск.Ru», которая началась в минувший вторник, 20 марта, продолжается уже неделю. Именно этим объясняется отсутствие популярного регионального информационного Интернет-издания в сети.

DDoS-атака на сайт «НашБрянск.Ru», которая началась в минувший вторник, 20 марта, продолжается уже неделю. Именно этим объясняется отсутствие популярного регионального информационного Интернет-издания в сети. По информации компании «Мастерхост» — владельца сервера, где физически расположен сайт «НашБрянск.Ru», из десяти тысяч обращений к серверу восемь тысяч приходится именно на брянский сайт. В этих условиях компания вынуждена была отказать «НашБрянск.Ru» в хостинге. Сейчас ведутся работы по переносу сайта на другую площадку.

DDoS-атака — сокращение от Distributed Denial of Service Attack. Особенностью данного вида компьютерного преступления является то, что злоумышленники не ставят своей целью незаконное проникновение в защищенную компьютерную систему с целью кражи или уничтожения информации. Цель данной атаки — парализовать работу атакуемого веб-узла. Главной опасностью здесь является простота организации и то, что ресурсы хакеров являются практически неограниченными, так как атака является распределенной. Схематически DDoS-атака выглядит примерно так: на выбранный в качестве жертвы сервер обрушивается огромное количество ложных запросов со множества компьютеров с разных концов света. В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. Хостеры при первых признаках такой атаки автоматически выключают атакуемый сайт.

Опасность DDoS заключается в том, что злоумышленникам не нужно обладать какими-то специальными знаниями и ресурсами. Программы для проведения атак свободно распространяются в Сети. Особая циничность ситуации заключается в том, что пользователи компьютеров, с которых направляются ложные запросы, могут даже не подозревать о том, что их машина используется хакерами. Известно множество путей «зомбирования» компьютеров — от проникновения в незащищенные сети, до использования программ-троянцев.

Недельная DDoS-атака на сайт «НашБрянск.Ru» — крупнейшая подобная диверсия в истории Интернета в Брянске (с 1994 года). Обычно таким атакам подвергаются либо сайты крупных компаний, либо сверхприбыльные сайты, поскольку DDoS — виртуальный террор в чистом виде (с выставлением хозяевам своих требований). Недельная атака (стоимость дня, с учетом простоты инструмента атаки — примерно $50) на региональный сайт позволяет предположить, что атака спланирована и заказана, что уже подпадает под ст. 144 Уголовного кодекса РФ «Воспрепятствование законной профессиональной деятельности журналистов» (сайт «НашБрянск.Ru»зарегистрирован, как СМИ) — до двух лет лишения свободы. © ИА «Город_24»

http://gorodbryansk.ru/main-events/2007 ... /#more-331

СообщениеДобавлено: Вт 18 мар, 2008 17:07
5611
Издательская группа "Коммерсант" вчера подверглась атаке хакеров. В 11 часов утра по московскому времени сайт http://www.kommersant.ru перестал отвечать на запросы пользователей. В течение следующих суток было невозможно попасть на сайт: ни на главную страницу, ни по прямым ссылкам на статьи — сервер не отвечал на запросы.



Глава юридической службы издательского дома «Коммерсантъ» Георгий Иванов сообщил: "Наша дирекция предпринимает технические меры для отражения атаки, а мы, как юридический департамент, проводим со своей стороны формальные мероприятия. Пишем заявления в органы внутренних дел города Москвы, чтобы они провели соответствующее расследование и привлекли виновных к ответственности". Правда, затем он выразил сомнение в том, что виновые будут наказаны: "Мне лично неизвестно о случаях привлечения организаторов или участников DDos-атак к какой-либо ответственности. Но вдруг что-то изменится"



По словам Иванова, данная атака длится уже 8 дней, но полностью парализовать работу сайта "Коммерсанта" недоброжелателям удалось лишь вчера. Ресурс подвергся атаке DDoS (Distributed Denial of Service, распределенный отказ в обслуживании) с применением метода HTTP Flood. Использованная против "Коммерсанта" техника нападения отличается тем, что ложные обращения к серверу имитируют модель работы нормального пользователя. Автоматическое вычисление фальшивых запросов в этом случае очень сильно затрудняется, что мы и видели на примере "Коммерсанта".



Судя по всему, сайт kommersant.ru вернулся сегодня утром к нормальной работе лишь потому, что хакеры свернули атаку, что подтверждают и слова Георгия Иванова: "Атака продлится столько, сколько денег хватит заказчику".



Нападением на сайт злоумышленники не ограничились: уже несколько дней поисковые системы Google и Yandex по определенному запросу выдают ссылку на сайт газеты среди первых результатов поиска. (Из уважения к читателю мы не будем повторять это слово в нашем тексте, но интересующие могут посмотреть на скриншот результатов поиска в Яндексе).





Чтобы добиться такого результата, злоумышленники прибегают к поисковому спаму, точнее к его разновидности link bombing. Основанная на знании принципов работы поисковых систем, эта методика предполагает размещение ссылок на сайт жертвы по требуемому ключевому слову на множестве других сайтов. Каждый сайт имеет свой показатель "авторитетности" (Индекс Цитирования у Яндекса, Page Rank у Google), так что для эффективного проведения "ссылочного бомбометания" линки нужно размещать на сайтах, которые высоко котируются поисковиками. Достаточно большое количество ссылок на один и тот же сайт по одному и тому же слову заставляет поисковую систему считать, что релевантность сайта к этому слову очень высока. Когда пользователь вводит нужное слово в качестве запроса, поисковая система выводит целевой сайт среди первых результатов поиска - несмотря на то, что этого слова там вообще никогда не было.





В прессе высказываются предположения о причастности к этим атакам молодежного движения "Наши", членов которого "Коммерсант" недавно назвал "ликующей гопотой", что вызвало бурное негодования активистов движения. 29 январе в газете была опубликована статья Екатерины Савиной, Юлии Таратуты и Михаила Шевчука "Наши стали чужими", в которой со ссылками на источники в администрации президента утверждалось, что это прокремлевское молодежное движение под видом реорганизации фактически ликвидируется. После этого неизвестные провели в центре Москвы акцию с раздачей рулонов туалетной бумаги с символикой "Коммерсанта" и номерами телефонов журналистов издания.



"Наши" утверждают, что никаких действий против газеты не совершали, но в блогах можно найти текст, приписываемый пресс-секретарю движения Кристине Потупчик, в котором, в частности, предлагается "ddos-атака, парализация сайта на 5 часов"



Справка Финам-Лайт





DDoS-атаки получили широкое распространение, начиная с 1999 года, что прямо связано с ростом числа пользователей интернета и улучшением пропускной способности каналов связи. До того времени атаки отказа в обслуживании (DoS-атаки) были нераспределенными, то есть исходили с какого-то одного компьютера. Это позволяло администратору атакуемого ресурса относительно легко вычислить адрес нападающего и заблокировать его — или всю подсеть, из которой идет атака. Однако с распространением WWW во всемирной сети оказалось множество компьютеров неопытных пользователей, не защищенных антивирусами и файрволами, но имеющих быстрое подключение — то есть фактически открытых для опытных кибер-преступников. Посоледние стали создавать специальные вирусы — трояны, которые до поры до времени никак не проявляли себя в зараженной системе, но постоянно связывались с удаленным сервером и ждали инструкций. Такие зараженные компьютеры называются зомби-машинами. Целью хакеров стало создание сети зомби-машин, готовых выполнить команду центрального сервера. Эти сети — ботнеты — в настоящее время достигают размера в несколько десятков тысяч компьютеров, и даже ходят слухи о существовании сетей в миллионы машин, подконтрольных могущественным хакерским группировкам.



Ботнеты, как правило, используются преступниками для организации DDoS-атак на неугодные им сайты, которые выбираются по личным, политическим, религиозным мотивам, — или по заказу конкурентов. Цель атаки заключается в том, чтобы сайт жертвы прекратил нормальную работу и не смог обслуживать запросы посетителей и клиентов. Для этого используются различные способы — суть одна: множество зомби-машин создают огромное количество паразитных подключений и запросов к серверу жертвы, перегружая таким образом аппаратные ресурсы атакуемой системы и создавая нагрузку на канал связи, превышающую его пропускную способность. В результате сервер оказывается полностью занят обработкой фальшивых запросов, а обычный посетитель не может дождаться его ответа и, соответственно, загрузки страниц сайта. Кроме того, в разы возрастает объем впустую передаваемых данных — за что провайдер выставляет соответствующий счет, или же отключает сайт при исчерпании лимита трафика.



Защищающаяся сторона — сетевые администраторы интернет-компаний и сервис-провайдеров — постоянно улучшает алгоритмы автоматического распознавания фальшивых запросов при распределенной атаке, что дает возможность моментально блокировать адреса зараженных машин, сводя к нулю паразитную нагрузку и отражая таким образом атаку. Но и хакеры не сидят сложа руки, постоянно придумывая новые способы обмана защитных механизмов. Часто провайдер просто временно отключает атакуемый сайт или даже совсем расторгает договор с компанией, которую постоянно "DDoS-ят", не желая тратить свои ресурсы на борьбу с нападающими, — или же клиенту предлагается переход на более дорогой тарифный план, который окупит усилия провайдера по отражению атаки.



В ближайшем будущем число DDoS-атак будет только расти. Проблема еще и в том, что существует множество программ-конструкторов вирусов и троянов, доступных для использования даже подросткам (которые часто разбираются в компьютерах лучше взрослых). Сегодня для того, чтобы создать собственный троян, распространить его по тысячам компьютеров и создать собственный ботнет, не нужно быть опытным программистом — достаточно иметь минимальный набор знаний о сетевых технологиях или воспользоваться готовыми инструкциями, которые можно легко найти в интернете.



Скачивание взломанных программ, краденых фильмов и музыки, недостаточная осторожность при работе в Сети, отсутствие антивируса и файрвола (или давно не обновлявшаяся вирусная база), "альтернативно-лицензионная" Windows и, соответственно, невозможность оперативно устанавливать важные обновления и исправления безопасности... Если вы узнаёте в этом описании себя или своих знакомых — возможно, ваш персональный компьютер на самом деле не совсем ваш.





DDoS-атака как способ конкурентой борьбы



Если бизнес компании, подвергшейся DDoS-атаке, сильно зависит от нормальной работы сайта (что далеко не редкость в современной экономике, и тем более для СМИ) — атака может иметь самые серьезные последствия, вплоть до разорения фирмы.



Прецеденты поимки и судебного наказания организаторов и исполнителей DDoS-атак, вопреки скепсису Иванова, все-таки существуют - правда, за рубежом. Первый такой случай был раскрыт ФБР в 2004 году: уроженец Марокко, предприниматель из Массачусетса Джей Экуафни (Jay Echouafni) заплатил системному администратору Полу Эшли (Paul Ashley) за то, чтобы тот организовал DDoS-атаку на сайты трех его конкурентов, пишет SecurityFocus. Эшли, в свою очередь, использовал свои связи в подпольных сообществах и нанял трех хакеров, которые контролировали ботнеты размером от 3 до 10 тысяч компьютеров каждый.



Первая жертва, интернет-магазин по продаже видеотехники WeaKnees.com, 6 октября 2003 года подвергся атаке с использованием метода SYN Flood, в результате которой сайт был недоступен в течение 12 часов, а его провайдер расторг договор, предложив перейти на обслуживание к более дорогому оператору. Новый провайдер начал было успешную борьбу с атакой, но хакеры быстро адаптировались и перешли к использованию HTTP Flood (как и в случае с "Коммерсантом"). Борьба с новым видом атаки шла с гораздо меньшим успехом: сайт интернет-магазина был недоступен для посетителей в течение двух недель подряд.



Одновременно был атакован сайт RapidSatellite.com - интернет-магазин по продаже спутниковых ТВ-ресиверов. Компания пыталась уйти от атаки, меняя провайдеров, но хакеры все равно настигали ее и ставили сайт "на колени" — при этом однажды случайно заблокировали на час Amazon.com и даже сайт Департамента Национальной Безопасности. Видимо, в благодарность за достигнутые успехи Экуафни купил компанию Эшли и оставил его на должности системного администратора с годовым окладом $120 000. В феврале следующего года был атакован еще один магазин по продаже ТВ-ресиверов - Expert Satellite, но к этому времени ФБР уже вело расследование.



В лог-файлах первой жертвы, WeaKnees.com, агенты обнаружили следы попыток найти уязвимость системы, которые привели их в английскую хостинговую компанию Unixcon — следы оставил один из её клиентов, но его аккаунт был создан с использованием краденой кредитной карты. Однако источник ФБР в компании указал на системного администратора Unixcon, жителя Великобритании Ли Волкера (Lee Walker), который сознался в проведении атак и сдал Пола Эшли, а тот уже раскрыл агентам всю схему.



Джей Экуафни был арестован, но выпущен под залог в 750 тысяч долларов, после чего сбежал в Марокко. Потери компаний, пострадавших от действий Экуафни, оцениваются в два миллиона долларов.
http://light.finam.ru/news/article1B3EC/default.asp