Georgy se graduó de la Universidad Estatal de Moscú, ha estado trabajando en el equipo de Qrator desde 2012. Estuvo involucrado en el desarrollo, la gestión de proyectos y formó un equipo de ingenieros de preventa en la empresa. Ahora está desarrollando un nuevo producto en Qrator, a saber, protección contra bots en línea.
Compartimos contigo la transcripción de la transmisión y la grabación.
❒ Hola a todos, mi nombre es Georgy Tarasov. Trabajo para Qrator Labs y sé un par de cosas sobre los ataques DDoS y cómo contrarrestar estas amenazas. Básicamente, de mi propia experiencia, de la experiencia de trabajar con clientes que sufren de ataques DDoS o conocen las amenazas que emanan de ellos, y deciden de antemano construir una defensa por sí mismos, aplicar contramedidas y estar preparados para tal actividad.
Comunicarse con docenas, luego cientos (ahora, probablemente, más de mil) de organizaciones diferentes crea una imagen bastante interesante de dónde provienen los ataques, por qué ocurren, qué acciones comerciales pueden conducir a esto. Y, por supuesto, el lado técnico del asunto: qué sucede del lado de la víctima, qué sucede en tránsito en la red a la víctima, quién más puede verse afectado por el ataque y muchas otras cosas.
Creo que hoy hablaremos de manera bastante informal: no tocaremos las verdades comunes, sino que analizaremos los efectos de los ataques DDoS, trataremos de comprender por qué ocurren y cómo comportarnos cuando nos encontremos cara a cara con los DDoS. atacante que llegó a su recurso, a un sitio de promoción o al sitio del negocio que está haciendo.
❒ Primero, probablemente pondré algunas palabras sobre mí.Mi nombre es Georgy Tarasov, estudié en la Universidad Estatal de Moscú en la Facultad de CMC, soñaba con hacer computación distribuida, supercomputadoras, pero la vida cambió un poco. Después de graduarme, me uní a la compañía de personas maravillosas, que eran pocas entonces, un poco más de una docena. Y me dijeron: ¿has oído algo sobre los ataques DDoS? Al principio puse los ojos en blanco: ¿qué tipo de ataques DDoS? Piratería informática, ciberdelincuencia, ¿qué es? Inmediatamente me explicaron, estudié la cantidad inicial de materiales, leí los artículos; en ese momento - era 2012 - en términos de DDoS y protección contra ellos, reinaba el "Salvaje Oeste" completo. Es decir, los servicios aún no han tomado la posición dominante de defensores de las pequeñas, medianas y grandes empresas, todos se defendieron con medios improvisados, quienes de qué manera, contrataron especialistas para instalar firewalls. Y en medio de todo estaba esa empresaal que vine - y ella se esforzó por establecer un servicio de calidad más o menos igual de alta tanto para sitios pequeños, que se aplican con algo tan aplicado y económico, como para grandes empresas, que enfrentaban amenazas mucho mayores.
❒ Año tras año, mi trayectoria laboral me acercó cada vez más a los propios clientes, a sus casos, a las historias con su conexión. Como resultado, con el tiempo, vine a hacer el trabajo de preventa. Es decir, llega un cliente: o ya está siendo atacado, o lo espera, o simplemente quiere construir una infraestructura segura para su negocio. Quiere conectarse al servicio, protegerse de los ataques, comprar servicios adicionales. Necesita ser consultado, saber qué es lo más adecuado para él, escuchar qué riesgos tiene ahora y qué se esperan, y compaginar la montaña con la montaña: comprender qué oferta de servicios, qué configuración, en técnica. y en términos organizativos, es más adecuado que otros para aliviar el dolor, la tensión y los problemas con los que vino.
❒ el nuestro no siempre fue sencillo y rápido; a veces los clientes tenían que conectarse durante meses, comunicarse con ellos. La pizarra, la creación de gráficos, el enfoque iterativo ("no funcionó, pruebe de manera diferente") resultaron ser actividades muy divertidas. Bueno, más: una enorme base de datos de contactos de organizaciones de todas las áreas de actividad de Internet, todos los segmentos del mercado, organizaciones de negocios y no de negocios, capacitación, por ejemplo. Cada uno, con su propia infraestructura, metas, objetivos y dificultades en relación con los ataques DDoS. De esto ha surgido un acertijo interesante, y ahora me permite, mirando hacia atrás en esta experiencia, seguir adelante y ayudar a nuestra empresa a diversificarse en productos, lanzar cosas nuevas. Ahora, por ejemplo, el tema más importante para mí es la lucha contra los raspadores, es decir, con los bots de entre los que dañan abiertamente,porque raspar es diferente. Luchamos específicamente contra aquellos que, con su raspado, fuerza bruta, análisis, lastiman a los clientes que vienen a nosotros. Se trata de una actividad de protección DDoS similar, relacionada, aunque no del todo directamente relacionada. Lo principal es que las plataformas y las pilas de tecnología son similares.
❒ Volvamos a los ataques DDoS: hablamos de ellos hoy, y también hablamos de ellos hace seis meses, y hablamos de ellos muchas veces al año, pero, sin embargo, no desaparecen por ningún lado. Todavía están con nosotros.
Debo decir que, a pesar de su evolución en términos técnicos, la aparición de nuevos vectores, el crecimiento del ancho de banda y el aumento de la intensidad de los ataques, las herramientas y enfoques que utilizan los ataques DDoS no han cambiado mucho en los últimos 30 años. Comparemos esto con la actividad de los piratas informáticos, con la piratería, con la búsqueda de agujeros, vulnerabilidades, varios métodos para penetrar a través de la protección de la aplicación de otra persona y extraer datos de ella. Tenemos una vulnerabilidad: en el marco, el componente, la aplicación interna; se encuentra un agujero en ella. Hay un vector de ataque que lo aprovecha. Viene un investigador, viene un sombrero blanco, o ocurre un ataque real; desarrolladores, especialistas en seguridad están cerrando el agujero. Más tarde puede aparecer nuevamente en una forma modificada, en algún lugar de una nueva versión del marco o en soluciones similares, pero un episodio específico permanece en la historia.Es poco probable que veamos una repetición literal.
❒ Los ataques DDoS son diferentes.Exactamente los mismos vectores de ataque, utilizando los mismos protocolos, el mismo método hasta la firma del tráfico, continúan martillando sitios y redes durante décadas. Rara vez abandonan la escena: solo los vectores que usan protocolos completamente obsoletos que están cerrados en cualquier dispositivo se van. Aunque a veces hay bromas. Si miramos la lista de protocolos de aplicación sobre el protocolo de transporte UDP usados en ataques volumétricos a gran escala usando amplificación, veremos exhibiciones interesantes que, junto con TNS, ATP, SSDB, se usan todo el tiempo. Existen, por ejemplo, protocolos MotD, RIPv1. Vaya a cualquier empresa, pregunte a DevOps o administradores: ¿hay al menos un componente o terminal que escuche o escriba que use esto? Más probable,te mirarán como Rip van Winkle de Washington Irving, que durmió durante 100 años y pide una mierda de museo irrelevante. Sin embargo, si hay un agujero, sin duda entrará agua. Si en algún lugar hay un puerto abierto para este protocolo y, Dios no lo quiera, hay algún componente estándar del sistema que puede escuchar en este puerto, entonces el ataque puede ir allí. Por lo tanto, el zoológico de soluciones para organizar DDoS no se mueve en una escala histórica del punto A al punto B. Desde el punto A continúa creciendo en amplitud y profundidad con todo tipo de nuevos métodos a medida que aparecen, se desarrollan, se implementan nuevos protocolos. por grandes empresas, y contienen sus trucos y esquemas para dañar a la parte receptora que lee el protocolo.que durmió durante 100 años y pide alguna mierda de museo irrelevante. Sin embargo, si hay un agujero, sin duda entrará agua. Si en algún lugar hay un puerto abierto para este protocolo y, Dios no lo quiera, hay algún componente estándar del sistema que puede escuchar en este puerto, entonces el ataque puede ir allí. Por lo tanto, el zoológico de soluciones para organizar DDoS no se mueve a escala histórica del punto A al punto B. Desde el punto A sigue creciendo en amplitud y profundidad con todo tipo de nuevos métodos a medida que aparecen, se desarrollan, se implementan nuevos protocolos. por grandes empresas, y contienen sus trucos y esquemas para dañar a la parte receptora que lee el protocolo.que durmió durante 100 años y pide alguna mierda de museo irrelevante. Sin embargo, si hay un agujero, sin duda entrará agua. Si en algún lugar hay un puerto abierto para este protocolo y, Dios no lo quiera, hay algún componente estándar del sistema que puede escuchar en este puerto, entonces el ataque puede ir allí. Por lo tanto, el zoológico de soluciones para organizar ataques DDoS no se mueve en una escala histórica del punto A al punto B. Desde el punto A continúa creciendo en amplitud y profundidad con todo tipo de nuevos métodos a medida que aparecen, se desarrollan, se implementan nuevos protocolos. por grandes empresas, y contienen sus trucos y esquemas para dañar a la parte receptora que lee el protocolo.Si en algún lugar hay un puerto abierto para este protocolo y, Dios no lo quiera, hay algún componente estándar del sistema que puede escuchar en este puerto, entonces el ataque puede ir allí. Por lo tanto, el zoológico de soluciones para organizar ataques DDoS no se mueve en una escala histórica del punto A al punto B. Desde el punto A continúa creciendo en amplitud y profundidad con todo tipo de nuevos métodos a medida que aparecen, se desarrollan, se implementan nuevos protocolos. por grandes empresas, y contienen sus trucos y esquemas para dañar a la parte receptora que lee el protocolo.Si en algún lugar hay un puerto abierto para este protocolo y, Dios no lo quiera, hay algún componente estándar del sistema que puede escuchar en este puerto, entonces el ataque puede ir allí. Por lo tanto, el zoológico de soluciones para organizar DDoS no se mueve a escala histórica del punto A al punto B. Desde el punto A sigue creciendo en amplitud y profundidad con todo tipo de nuevos métodos a medida que aparecen, se desarrollan, se implementan nuevos protocolos. por grandes empresas, y contienen sus trucos y esquemas para dañar a la parte receptora que lee el protocolo.Desde el punto A, sigue creciendo en amplitud y profundidad con todo tipo de nuevos métodos a medida que aparecen, se desarrollan, son introducidos por grandes empresas y contienen sus propios gags y esquemas para perjudicar a la parte receptora que lee el protocolo. .Desde el punto A, continúa creciendo en amplitud y profundidad con todo tipo de nuevos métodos a medida que aparecen, se desarrollan, son implementados por grandes empresas y contienen sus propios gags y esquemas para dañar a la parte receptora que lee el protocolo. .
❒ Los métodos antiguos no están abandonando la arena.Un ejemplo simple: si miras un poco en la historia, en los primeros casos registrados de grandes ataques DDoS a mediados de finales de los 90, que ya llegaron a las noticias en ese momento, es decir, no fueron notados por historiadores e investigadores después de años, pero apareció en los titulares de inmediato: se utilizó el vector TCP SYN Flood. Es decir, se trataba de ataques con paquetes TCP SYN. Cualquiera que esté familiarizado en lo más mínimo con el tema de los ataques DDoS, que haya leído libros o visto presentaciones y artículos sobre este tema, probablemente haya visto una descripción de dicho ataque en las primeras páginas. Este, podría decirse, es un caso de libro de texto de generar una cantidad bastante grande de tráfico barato, los costos de procesamiento que en el lado del servidor resultarán ser mucho más altos que los costos de crearlo por parte del atacante: un botnet, algunos dispositivos que utiliza.Si miramos las estadísticas de ataques para 2020-21, por ejemplo, veremos que TCP SYN Flood no ha ido a ninguna parte, tales ataques todavía ocurren en la naturaleza y son utilizados por grandes y pequeñas empresas. Las herramientas y botnets que generan tráfico TCP tampoco han ido a ninguna parte, porque este ataque, incluso después de ajustar cómo ha cambiado el rendimiento de las computadoras y el ancho de banda de los canales de Internet y las redes corporativas durante los últimos 30 años, conduce a resultados igualmente efectivos. .. Simplemente no tiene sentido renunciar a ella. Otra cosa es que el mundo ya ha aprendido a defenderse un poco mejor de ellos, pero aquí también hay algunas reservas.que generan tráfico TCP todavía están ahí, porque este ataque, incluso después de ajustar cómo ha cambiado el rendimiento de las computadoras y el ancho de banda de los canales de Internet y las redes corporativas durante los últimos 30 años, está produciendo resultados igualmente efectivos. Simplemente no tiene sentido renunciar a ella. Otra cosa es que el mundo ya ha aprendido a defenderse un poco mejor de ellos, pero aquí también hay algunas reservas.que generan tráfico TCP siguen ahí, porque este ataque, incluso después de ajustar cómo ha cambiado el rendimiento de las computadoras y el rendimiento de los canales de Internet y las redes corporativas durante los últimos 30 años, está produciendo resultados igualmente efectivos. Simplemente no tiene sentido renunciar a ella. Otra cosa es que el mundo ya ha aprendido a defenderse un poco mejor de ellos, pero aquí también hay algunas reservas.
Hablaremos de defensa un poco más tarde, pero por ahora intentemos mirar los números y responder a la pregunta: ¿por qué ocurren los ataques? Estos son algunos de los datos históricos que hemos obtenido de nuestros clientes, organizaciones y empresas con las que trabajamos durante los últimos años.
Está claro que un ataque no es un tipo de acción programada, es más como un desastre natural. No sabe cuándo sucederá, pero siempre debe estar preparado para afrontarlo. Por lo general, no dura mucho, con la excepción de ciertos casos, que consideraremos más adelante; entró volando, rompió todo, amontonó basura por todas partes y desapareció, como si nunca hubiera existido. Todo lo que le queda a la víctima es reiniciar los servidores, reiniciar las bases de datos y devolver su recurso en línea.
Ataques ▍DDoS
❒ La motivación de los ataques DDoS , que logramos conocer, se basa, hasta cierto punto, en la oportunidad de enriquecernos con este tema. Tenemos esos datos sobre esta historia.
Es decir, todos estos puntos, según los cuales alguien puede organizar un ataque DDoS sobre otro, son bastante comprensibles. Rencores personales, cuestiones políticas y creencias; Competencia desleal: esta será una historia aparte, que probablemente ya hayamos contado muchas veces, pero tal vez no todos los presentes en nuestro aire la hayan escuchado. Ahora es poco probable que veas una situación en la que un banco ordene un ataque DDoS a otro, es más rentable para ellos coexistir en el campo de la información que intentar ponerse unos a otros; es un arma de doble filo. Es poco probable que vea una tienda en línea que tenga un tráfico DDoS-it diferente, incluso si estamos hablando de un gran minorista.
Sin embargo, en los albores de nuestra juventud hubo un episodio interesante:había una tienda en línea de barriles de cedro. No vendía aceite de piñones ni piñones; vendía barriles específicamente para uso industrial por parte de los trabajadores de la alimentación. Este era su negocio principal, vender barriles a través del sitio; podemos decir que fueron de los primeros en hacer esto. Y cuando hablamos con el cliente sobre los ataques contra él, resultó que hay otras tiendas en línea de barriles de cedro, y hay una verdadera enemistad entre ellos: los competidores constantemente DDoS los sitios de los demás, en modo continuo, intentando para apagar el flujo de clientes. Bueno, ¿hay muchos clientes de barriles de cedro? Podemos decir que son las mismas personas que vienen a un lugar oa otro, y es poco probable que hagan pedidos en ambos lugares a la vez. Por lo tanto, este goteo de clientes fue una lucha de vida o muerte.
❒ Otro caso curioso de la historia de la competencia y los ataques DDoS, que también sucedió en nuestro país, son los sitios de magos, magos, esoteristas, adivinos, chamanes, hechiceros y otros ... empresarios de este ámbito, por así decirlo. Resultó que en lugar de daño, mal de ojo y todo tipo de maldiciones entre ellos para desviar a los clientes y violar la reputación pública, utilizan métodos más modernos y técnicos, ordenando a los DDoSers que ataquen los sitios de los demás.
❒ Estos dos casosLo recuerdo muy bien, porque en ningún otro segmento del mercado legal hemos visto tal guerra de empresas que están al mismo nivel, cuando empresas específicas luchan entre sí utilizando métodos tan inescrupulosos. Por supuesto, también hay una zona gris con la que nosotros, como empresa, no trabajamos; También hay actividades francamente ilegales en las que los ataques DDoS ocurren cada hora, pero esto no se trata de ellos.
❒ ¿Qué sabemos sobre el rostro de un ataque DDoS en la actualidad?¿Es un reloj de carga parásito o una ráfaga de tráfico de 5 segundos que derriba el enrutador? De hecho, si se toma la media del hospital, teniendo en cuenta la morgue y el crematorio, no se obtiene ni uno ni otro. Algo mediado. El año pasado, la duración media, según nuestro informe anual, fue de unos 5 minutos;
▍ Con respecto a las botnets y su participación en el panorama moderno de DDoS.
La botnet más grande que observamos, y de la que protegemos a nuestros clientes de un ataque, es de unas 200 mil fuentes. Estas son direcciones IP únicas; no estamos hablando de fuentes de tráfico, lo que podemos asumir por la capacidad del ataque, sino de ataques en los que se utilizan sesiones válidas, en las que la fuente debe confirmarse mediante protocolo de enlace TCP o protocolos de nivel superior. y sesiones. Es decir, se trata de dispositivos válidos de internautas desde los que llegaba tráfico DDoS a la víctima.
Esto no quiere decir que todos los ataques DDoS del mundo provengan de botnets tan clásicas. Ahora describiré brevemente, en el orden de las verdades comunes, cómo aparecen, para no detenerme en esto más adelante. Una botnet es una red de dispositivos controlados por un atacante que tiene la capacidad de realizar ciertas acciones en cada uno de los dispositivos de esta red, por ejemplo, generar tráfico. Debido a esto, se produce un ataque distribuido de denegación de servicio: un atacante da un comando, los dispositivos envían tráfico en varias formas y en diferentes niveles (paquetes, solicitudes, bits) al objetivo que quiere deshabilitar. Así es como estamos acostumbrados a ver los ataques DDoS: hay miles de máquinas infectadas y un pirata informático de su centro de C&C, la máquina desde la que controla, envía de forma centralizada un comando de difusión. Por ejemplo, "enviar tráfico UDP a la dirección X",que es lo que pasa. Pero ahora este proceso puede parecer un poco diferente, porque una capa significativa de ataques utiliza un enfoque de amplificación (amplificación) del tráfico. Su idea es que la botnet no envíe tráfico directamente al recurso de la víctima. La tarea de la botnet es generar un flujo de tráfico inicial, que puede ser pequeño (del orden de cientos de megabits), y al explotar las características de los protocolos de aplicación basados en UDP, por ejemplo, DNS, forzar una gran cantidad de servidores DNS en Las redes (muchas redes tienen una gran cantidad de servidores DNS que no están protegidos contra su uso en tales ataques) aceptan la solicitud sin verificar realmente de quién es y la ejecutan. Por ejemplo, envían una zona de dominio de decenas de kilobytes a alguna dirección, a la que no está claro a quién pertenece, y no está claro si esta dirección envió esta solicitud.Por lo tanto, el flujo de tráfico inicial pasa a través de miles de servidores DNS que el pirata informático no controla directamente; estos servidores están simplemente en Internet y están listos para procesar la consulta sin verificar de quién proviene. Debido a este esquema, cien megabits de tráfico generado por un atacante que usa una botnet relativamente pequeña (pueden ser solo unas pocas docenas de máquinas) se convierten en decenas de gigabits por segundo de ancho de banda que vuelan desde estos servidores de nombres hacia la víctima.que el atacante generó con la ayuda de una botnet relativamente pequeña (puede ser solo unas pocas docenas de máquinas) se convierte en decenas de gigabits por segundo del ancho de banda que vuela desde estos servidores de nombres hacia la víctima.que el atacante generó con la ayuda de una botnet relativamente pequeña (puede ser solo unas pocas docenas de máquinas) se convierte en decenas de gigabits por segundo del ancho de banda que vuela desde estos servidores de nombres hacia la víctima.
❒ ¿Qué hacer con tal caso? Prohibir las fuentes de las que proviene el tráfico: de esta manera, puede prohibir la mitad de Internet, porque ni siquiera tienen una relación directa con el pirata informático y la botnet. Aquí necesitamos otros mecanismos para combatir este tráfico; al menos, es necesario drenarlo en algún lugar para que no llegue a la máquina que está bajo ataque y, al mismo tiempo, no recuerde las direcciones de las fuentes y no intente aplicar. cualquier sanción a ellos.
Resulta que algunos de los ataques aún provienen directamente de botnets que utilizan sesiones válidas y direcciones IP válidas, y algunos, principalmente aquellos que usan el método de amplificación, no provienen de las propias botnets. Las redes de bots se utilizan allí solo como bujía en el motor. No siempre ha sido así; la amplificación es una historia relativamente nueva. Si nos fijamos en casos grandes, entonces hemos estado viviendo con ataques de este tipo solo durante los últimos 10 años, quizás menos. Otra cosa es exactamente qué los hizo tan populares, qué los hizo exactamente tan peligrosos como los métodos tradicionales; aquí será interesante considerar, quizás, el caso más conocido por el público, que sucedió en 2016. Luego, el mundo aprendió que las botnets no son solo computadoras infectadas con virus, sino también cámaras IPTV, cafeteras, hornos microondas, "hogares inteligentes",portón con wifi y esas cosas. En algún momento, el desarrollo, la popularidad y la prevalencia de la "Internet de las cosas", una variedad de dispositivos con acceso a Internet, llegaron a un punto crítico en el que los ciberdelincuentes se interesaron en usarlos en lugar de PC, servidores corporativos más difíciles de usar. , servidores públicos, etc. para generar tráfico.
❒ La famosa botnet Miraise basó en decenas de miles de cámaras IPTV de fabricantes específicos, en las que se instaló el mismo firmware, no se proporcionó protección contra el control externo y el acceso a Internet no siempre estuvo vinculado a una red local. Al menos se puede acceder al panel de administración a través de Internet, y esto ya es suficiente para usar una pequeña pieza de hardware para generar tráfico. Y, aunque una cámara no podrá generar mucho, tiene un canal pequeño, hay decenas y cientos de miles de estos dispositivos, y están distribuidos al máximo por todo el mundo. El peligro de tal ataque, desde el punto de vista de los métodos de defensa tradicionales, es muy alto. Esto fue aprovechado por los autores de Mirai y aquellos que los siguieron copiando y pegando este enfoque e implementando sus redes de bots. 2016-17 fue un aumento real en términos de ataques de amplificación,que utilizaba botnets de este tipo como fuente raíz de tráfico. Esta historia continúa ahora: continúan apareciendo nuevas cajas, y su seguridad contra la piratería y la explotación se ha mantenido al mismo nivel, porque la baratura y la producción en masa están en primer lugar. Otra cosa es que el mundo ya ha aprendido a defenderse un poco mejor de ellos, como en el caso de los ataques SYN Flood. Es bastante difícil impulsar tales flujos de tráfico desde IPTV, la gente de seguridad ya está demasiado acostumbrada a esa historia.como ocurre con los ataques SYN Flood. Es bastante difícil impulsar tales flujos de tráfico desde IPTV, la gente de seguridad ya está demasiado acostumbrada a esa historia.como ocurre con los ataques SYN Flood. Es bastante difícil impulsar tales flujos de tráfico desde IPTV, la gente de seguridad ya está demasiado acostumbrada a esa historia.
Con respecto a "llamar a los héroes por su nombre", desafortunadamente, no puedo / no haré esto. Pero esta información es, en principio, pública, puedes leer las investigaciones sobre Mirai. Si alguien está interesado, los organizadores tendrán mis contactos: puedo compartir enlaces a material interesante, incluido el que yo mismo estudio y que nuestra empresa escribe sobre este tema. Pero la historia con Mirai, las cámaras y cómo se descubrió esta actividad ya es un legado de la historia, y la puedes encontrar en muchos lugares.
❒ De una forma u otra, esta historia no ha terminado de ninguna manera.Otra cosa es que otros métodos de ataque se han acercado en su peligrosidad e intensidad a lo que Mirai demostró en 2016. Los ataques en ese momento eran alrededor de 600-700 gigabits por segundo de ancho de banda, en ese momento, cifras sin precedentes. Esto fue casi 10 veces los ataques vistos en la naturaleza. Ahora no sorprenderá a nadie con tales números: desde el inicio de Mirai, el crecimiento de la tasa de ataque ha superado durante mucho tiempo los terabits por segundo y continúa creciendo. Las conexiones de banda ancha y la red troncal de proveedores confiables contribuyen a esto.
❒ En cuanto a lo que vimos de esta actividad.A pesar de que Mirai era principalmente una historia occidental, una pieza llegó a nuestros clientes en Rusia. Esto sucedió al año siguiente de su ocurrencia: el ataque más grande para la Federación de Rusia en ese momento, que fue de unos 500 gigabits por segundo, voló hacia nosotros. Por supuesto, medio terabit ya era una figura bastante popular en la DDoS-ology global, pero para los sitios de Runet, cuyas infraestructuras estaban ubicadas en Rusia y conectadas a nuestros proveedores, era algo con algo. Afortunadamente, derribamos el ataque rápida y eficazmente, y los encuentros posteriores con tales botnets ya no fueron una sorpresa ni para nosotros ni para nuestros clientes.
▍ Ataques DDoS en la darknet
❒ Tengo una pregunta interesante en mi agenda:hablar sobre lo que sucede en los ataques DDoS en la red oscura. Es decir, la organización, conducta, métodos, métodos de protección. El tema de los ataques DDoS en la darknet nunca ha sido de especial interés para nosotros como empresa: por razones obvias, los clientes de la darknet no vienen a nosotros para defenderse. La especificidad de las ocupaciones en las que gana dinero, y su propia base de usuarios que acuden a sus recursos, no están dispuestos a entablar este tipo de relación con los servicios de seguridad. Por supuesto, hay excepciones en el mundo. Está claro que donde hay demanda, hay oferta, y la competencia en la darknet tiene aproximadamente los mismos tipos y formas que en la red pública. Por lo tanto, un ataque DDoS como una forma de apagar a un competidor o hacer que alguien pague un rescate para detener los ataques DDoS, dejando gradualmente los titulares de los artículos de noticias en la Internet pública,continúa floreciendo exuberante en las redes Tor y en la darknet en general.
Está claro que la estructura de Tor es algo diferente a la que tenemos en la red pública. La conexión de la darknet con la Internet pública, que se realiza a través de nodos de salida (nodos de guardia), es en sí misma un cuello de botella y no tiene una gran cantidad de tráfico fluyendo desde la darknet hacia el público (y viceversa). Sin embargo, en la antigüedad (2012-14), tuvo lugar algo como ocultar el centro de C&C de una botnet que existe en una red pública dentro de las redes Tor. Es decir, un pirata informático mantiene su computadora C&C en la darknet, envía el tráfico de control a través de Tor a una botnet ubicada en una red pública y un ataque al sitio se lleva a cabo en la red pública. Para un atacante, la ganancia es que si se puede capturar C&C en una red pública, existen métodos específicos que los especialistas en seguridad de la información y los forenses utilizan para encontrar centros de control.interceptarlos y encontrar a sus dueños es mucho más difícil de hacer en la red oscura. Pero esta tienda no duró mucho, por varias razones. Primero, el mismo trabajo de C&C, enviar tráfico de control a decenas, cientos o cientos de miles de máquinas para iniciar un ataque, incluso una carga de este tipo, que es pequeña desde el punto de vista de la red pública (tráfico de puntos de control), es muy notable y significativo para Tor. En 2013, cuando una de las principales redes de bots instaló su centro de C&C en un recurso de cebolla, el tráfico que generó fue lo suficientemente notable como para ralentizar todo un segmento de la red Tor. No a todo el mundo le gustó, por supuesto. Y lo más importante, si un ataque ya ocurrió o se evitó, y las agencias de aplicación de la ley, las empresas de seguridad de la información y los expertos forenses están involucrados en la investigación del ataque, entonces si la botnet se ha visto comprometida,los hilos conducen a los nodos de salida del toro. Y, como siempre en este caso, el propietario del nodo de salida obtiene el límite. El propio pirata informático no está directamente amenazado, pero cerrar el nodo de salida y responsabilizar al propietario (aunque el propietario no está relacionado específicamente con estos ataques) hace que sea imposible utilizar la infraestructura Tor en el futuro, incluso para otras acciones similares. Por eso, para no cortar la rama en la que se sientan los propios organizadores de los atentados, minimizaron esta actividad, y ahora ya no se nota tanto.pero cerrar el nodo de salida y responsabilizar al propietario (aunque el propietario no está específicamente relacionado con estos ataques) hace que sea imposible utilizar la infraestructura Tor en el futuro, incluso para otras acciones similares. Por eso, para no cortar la rama en la que se sientan los propios organizadores de los atentados, le restó importancia a esta actividad, y ahora ya no se nota tanto.pero cerrar el nodo de salida y responsabilizar al propietario (aunque el propietario no está específicamente relacionado con estos ataques) hace que sea imposible utilizar la infraestructura Tor en el futuro, incluso para otras acciones similares. Por eso, para no cortar la rama en la que se sientan los propios organizadores de los atentados, minimizaron esta actividad, y ahora ya no se nota tanto.
Cuando se trata de encontrar centros de control de botnets y sus propietarios, esa no es realmente nuestra historia. Nos ocupamos específicamente de la protección contra ataques, no de las investigaciones y la búsqueda de organizadores, aunque la información que tenemos ayuda a las empresas de seguridad a hacer su trabajo, específicamente, la búsqueda. Uno de esos casos pasó en gran medida frente a mis ojos, así que lo compartiré con mucho gusto. En 2014, uno de nuestros clientes, un gran banco con una gran presencia en línea, fue golpeado por una serie de ataques DDoS, que fueron bastante intensos. Logramos filtrarlos y proteger al cliente. El cliente no se detuvo allí y recurrió a especialistas en información para encontrar las fuentes del ataque y sus organizadores. Tenían consideraciones de que una serie de ataques que tuvieron lugar en su recurso, utilizando aproximadamente la misma pila técnica,Bien podría haber venido del mismo lugar y ser de la misma naturaleza, es decir, lo más probable es que el cliente y el organizador fueran el mismo. Lo que la gente hizo desde la infobesidad: rápidamente encontraron la propia botnet, a partir de la cual se generó el tráfico, esto fue lo más simple. Y luego engancharon su propio honeypot, la misma máquina, en esta botnet para captar el momento en que el equipo de control llega a atacar algún recurso. Durante el siguiente caso de ataque, no solo encontraron la máquina que controlaba el inicio y el proceso del ataque, sino que también descubrieron que había llamadas al recurso atacado desde la misma máquina. Es decir, el atacante-organizador del ataque, en paralelo con el giro de las perillas para enviar el tráfico de basura, él mismo llegó al recurso, para verificar cómo estaba allí, todavía vivo o cayó. En estos dos signos fue encontrado, comparado,encontró al dueño del auto. Entonces la historia se convirtió en un caso criminal; el final fue bastante prosaico y no tiene nada que ver con el ámbito técnico. Sin embargo, es comprensible que una historia similar sea más difícil con la darknet. La salida, por supuesto, será el propietario del nodo de salida, y lo que les sucede en Rusia, ya lo he dicho.
Esto se refiere a los ataques de las redes Tor externas, ahora, a lo que está sucediendo dentro de la propia red oscura. Allí DDoS florece en colores exuberantes, de todo tipo y rayas. Lo que es interesante: por ejemplo, en nuestras estadísticas de los últimos años, puede ver que los ataques en el nivel 7, es decir, en el nivel de la aplicación, aquellos que usan HTTP, solicitudes HTTPS, seleccionan URL específicas ...
P: ¿Conseguiste plantar? De lo contrario, seguirán atacando con impunidad.Sí, fue posible probar y procesar al atacante. Es cierto que esto no sucedió en la Federación de Rusia, sino en un país vecino.
... bueno, los ataques a nivel de aplicación ahora representan solo una pequeña parte de las estadísticas. La mayoría de los ataques que vemos con regularidad son TCP, UDP, inundaciones de paquetes, amplificaciones. Es decir, métodos más primitivos que resultan más económicos en la organización, para los cuales existen muchas más herramientas para implementar y comenzar rápidamente. No necesitan mucha preparación antes de atacar cualquier sitio; basta con desplegar esta "pistola" en la dirección general de la víctima y sacarla de ella. Los ataques de aplicaciones son siempre una investigación preliminar, que descubre cómo funciona la aplicación que será atacada, cómo funciona la infraestructura, dónde es más eficiente martillar, en qué URI, en qué componentes de la aplicación. Este trabajo le cuesta dinero al organizador y, en términos de costos, estos métodos de ataque son mucho más altos que los medicamentos genéricos.Y los medicamentos genéricos son populares y baratos, también porque desde la época de Mirai, del 15 al 16, la industria de organizar ataques DDoS y, en general, la actividad sobre esta base se ha convertido en una industria de servicios.
Es decir, algo como "organizar DDoS a pedido" (escribir a algún pirata informático, decirle que deje un sitio determinado en un momento determinado) prácticamente se ha ido. Porque los propietarios de botnet y propietarios de botnet han encontrado una forma más rentable de ganar dinero con su oficio. DDoS como servicio funciona de la misma manera que cualquier servicio de suscripción legal: protección, CDN, aceleración del sitio. La botnet se proporciona al cliente de forma compartida: es decir, algunas de las capacidades se proporcionan al cliente para que las utilice durante un tiempo determinado a un precio determinado. Digamos que un ataque de 5 minutos con una racha significativa costará $ 10. Está claro que la marginalidad para los propietarios sigue siendo alta: es mucho más rentable que los pedidos únicos de personas dudosas, que pueden ser entregadas a las autoridades.El trabajo de servicio está mucho más mediado y no contacta directamente con el cliente, mientras que la participación de dicha botnet en los ataques es mucho mayor. Es decir, los dispositivos infectados se utilizan para generar tráfico basura de manera mucho más eficiente. Estos servicios, también llamados "buters", crecen como hongos; se erradican, se derriban, se encuentran organizadores, pero inmediatamente vuelven a crecer. El ejemplo más famoso de "buters" es un servicio llamado vDOS, que controlaba parte de la botnet Mirai, proporcionándola en un formato compartido para todos. Incluso tenían un sitio web en la red pública, bastante visitado, y generalmente aceptaban pagos a través de PayPal. En realidad, fue a través de PayPal que los expertos forenses encontraron a los organizadores; resultaron ser dos estudiantes israelíes,que prefería esta forma de ganar dinero al estudio y las perspectivas de carrera. Fueron llevados ante la justicia, pero, según las últimas noticias, todo se limitó al servicio comunitario; quizás todavía los veremos en una nueva encarnación de los negocios, o ya al servicio de algún servicio secreto de estado.
De todos modos, tal modelo- es decir, en lugar de desarrollar un método de ataque DDoS para una víctima específica, crear un servicio al que pueda acudir, pagar con criptomonedas y alquilar una botnet para ataques durante 5 minutos (o 10, o una hora) - y esto conduce a que la mayoría de los ataques resultan ser muy "genéricos". No son específicos ni para un propósito específico, ni para un protocolo, ni para los aspectos específicos de la generación de tráfico. No duran mucho, ya que la tarea de un ataque DDoS incluye principalmente intimidar a la víctima. Si no se trata de una historia política, no importa si el sitio de la víctima estará inactivo durante 5 minutos o una hora. Si la víctima acepta pagar el rescate o ir a encontrarse con los atacantes, entonces un minuto es suficiente, y si es así, entonces por qué pagar de más. Los ataques que destacan de este paisaje son mucho más interesantes,y solo necesitan aprender, y lo estamos haciendo.
❒ Es decir: el panorama de los ataques DDoS ha cambiado en esta dirección, y las cosas que se destacan, cuantitativa o cualitativamente, son de gran interés.
Hay otra historia interesante sobre la darknet. ... La pila tecnológica que se utiliza allí pasa por las mismas etapas evolutivas que atravesó la Internet pública hace décadas. La vulnerabilidad de servidores web específicos, la vulnerabilidad de los dispositivos que se utilizan para alojar un recurso en la web oscura a los métodos más primitivos de ataques DDoS no ha desaparecido. Se está eliminando paulatinamente, pero como no lo hacen empresas especializadas, ocurre de forma espontánea y lenta. Hay muchos métodos para abrumar un recurso alojado en la darknet: había un millón de ellos y ahora hay algunos decentes. Si vas a GitHub y buscas herramientas con las que deshabilitar un recurso alojado en la darknet, puedes encontrar formas completamente curiosas. Cosas tan primitivas como un ataque de solicitud GET lento que cualquiera, incluso uno gratuito, podría manejar.el servicio para protegerse contra DDoS y bots (y si el gratuito no funciona, entonces puede pagar $ 20 a CloudFlare y resolver este problema, o configurar el balanceador usted mismo) todavía eran efectivos contra los sitios de cebolla hace un par de años. Estos métodos están disponibles públicamente y no requieren grandes recursos, es decir, una gran botnet, para organizar un ataque. Una historia bastante común: no los ataques DDoS llegan a los recursos de Tor, sino los ataques DoS no asignados. Una cierta secuencia de solicitudes de una máquina específica es suficiente para apagar el servidor Tor.Una historia bastante común: no los ataques DDoS llegan a los recursos de Tor, sino los ataques DoS no asignados. Una cierta secuencia de solicitudes de una máquina específica es suficiente para apagar el servidor Tor.Una historia bastante común: no los ataques DDoS llegan a los recursos de Tor, sino los ataques DoS no asignados. Una cierta secuencia de solicitudes de una máquina específica es suficiente para apagar el servidor Tor.
Esta situación persistió; Por ejemplo, la corrección 0.4.2 del navegador Tor cerró el agujero que permitía que las solicitudes de este navegador inundaran cualquier recurso en la darknet, gastando 0 rublos en el ataque.
▍Defensa en la red oscura
En lo que respecta a la protección en la red oscura, esta también es una historia divertida. Al final, la comunidad de seguridad ad hoc que existe allí llegó a la conclusión de que es necesario defenderse. Existe algo llamado EndGame: es un kit de herramientas de protección DDoS en su máquina específica que publica un recurso en Tor.
Hay un aspecto más, no del todo técnico, que puede ser importante aquí. La protección DDoS para empresas se puede implementar de diferentes maneras. Podría ser una caja que filtre el tráfico. Puede ser una enorme red de cajas que se filtran fuera de la infraestructura. Podría ser una batería de cajas de un proveedor de servicios de Internet que hace lo mismo: buscar anomalías en el tráfico y bloquear fuentes defectuosas. Todas estas cosas no son necesarias situacionalmente: es necesario agarrarlas no cuando el ataque ya está en marcha. Entonces es demasiado tarde. Estas cosas deben estar siempre listas; de hecho, le están vendiendo una garantía de que si ocurre un ataque, estas cosas se enfrentarán a él, y usted, sus usuarios, la disponibilidad de su recurso no se verá afectada negativamente. Estas garantías no son muy aplicables en la dark web, donde no existe una identidad concreta de esa,quién proporciona este recurso y quién lo compra y utiliza. Por lo tanto, la protección ad hoc en su propia máquina, que ayudará desde los métodos más primitivos, pero con un ataque distribuido que genera un gran ancho de banda, no podrá hacer nada, se usa allí y tiene derecho a existir allí. Qué historia.
▍
Si hablamos de casos divertidos de la experiencia de trabajar con clientes, de la experiencia de conectarse, estamos hablando de una red pública, por supuesto. Ya he hablado de competencia, este es nuestro caso básico, como dicen cuando hablamos de diferentes segmentos de negocio. Técnicamente, las cosas que les suceden a nuestros clientes en la etapa de incorporación y en la etapa de trabajo piloto, las primeras semanas y meses de conexión con la protección, también son divertidas. Como regla general, están relacionados con el hecho de que algunos usuarios, tal vez incluso los bastante legítimos, se comportan de una manera muy interesante, completamente diferente a todos los demás. Lo mismo puede decirse de los recursos que protegemos. Algunos recursos abordan de una manera muy interesante los temas de comunicación con los usuarios, teniendo su propia interpretación del protocolo HTTP. A veces, esto dio lugar a malentendidos e incidentes específicos,que se resolvieron incluso sin negatividad mutua, pero con una sonrisa y una risa.
Cuando hablamos de la capa de aplicación y los ataques en esta capa, a menudo el tráfico de estos ataques difiere poco de las solicitudes que hacen los usuarios normales. Este es el interés y la complejidad de tales ataques. Aparte del efecto de su trabajo y las fuentes de donde provienen estas solicitudes, pueden ser indistinguibles del patrón de los usuarios normales. Aquí debe utilizar un análisis de comportamiento más profundo, observar la sesión de cada usuario desde el apretón de manos hasta la salida del recurso, para comprender qué estaba haciendo en el recurso en general, bueno o malo, si hizo algún daño, si el resto de los usuarios se volvieron malos para las solicitudes de esta fuente en particular? Nuestra automatización tiene que responder a estas preguntas cada segundo para cientos de clientes diferentes y para miles de sitios.A veces, los casos extremos de comportamiento del usuario llaman la atención del sistema y lo vuelven loco.
Un ejemplo simple es cuando un usuario con una línea de comportamiento absolutamente, en general, legal trabaja como un programador de tareas, visitando páginas de noticias sobre un recurso en un momento estrictamente definido. Comienza a las .00 por la mañana, termina a las .00 por la noche. Al mismo tiempo, las acciones que realiza el usuario no causan ningún daño: esto no es parsing ni scraping, simplemente recorre los artículos, escribe comentarios y responde a ellos.
No hay nada que criticar, excepto que todos los días comienza y termina a la misma hora, y la cantidad de trabajo que realiza en el recurso es incomparablemente mayor que la de todos los usuarios que no fueron identificados como bots. Teníamos diferentes hipótesis a este respecto; un par de veces lo prohibimos accidentalmente, después de lo cual escribió al abuso de recursos sobre lo que realmente estaba sucediendo. Al final, nos dimos por vencidos, nunca se sabe, tal vez este sea un escritor de contenido que claramente trabaja en dos turnos sin días libres y descansos. En cualquier caso, mientras dichos usuarios no causen daño, no consideramos necesario sancionarlos.
❒ Otro caso- por otro lado, esto es cuando el recurso se comporta de manera extraña con todos los usuarios. Teníamos un cliente, una de las funcionalidades del recurso que era proporcionar a los usuarios informes generados en forma de archivos DOC. Cada uno de esos informes pesaba alrededor de 200 MB, con imágenes y tablas. Lo curioso fue que la generación del informe en el servidor comenzó con el clic de un botón en la página web. Después de eso, el servidor se puso a pensar, generó un informe y, cuando estaba listo, lo envió en una sola pieza, sin cortar en trozos, a través de la transferencia de archivos HTTP, como parte de la respuesta a la solicitud. La broma fue que este archivo se generó en el servidor durante decenas de minutos. En algún momento, nuestro servicio de soporte recibió una solicitud de un cliente con una solicitud para aumentar el tiempo de espera para procesar una solicitud a nuestro proxy inverso a 20 minutos.Al principio, la gente no creía lo que veían sus ojos y fue a averiguarlo: ¿cómo es eso, 20 minutos para un tiempo muerto para una solicitud? Fuimos al sitio, lo verificamos, resultó exactamente así: desde el momento en que se presiona el botón, la conexión dura 20 minutos, después de lo cual el servidor finalmente carga el archivo y puede obtenerlo. Experimentalmente, más bien, incluso con una mirada evaluativa sobria, quedó claro que una docena de usuarios que ingresaron simultáneamente al sitio podrían organizar accidentalmente DDoS y sacar completamente el servidor de circulación sin ninguna intención, trabajo o gasto malicioso. Y esto no es un "efecto habra", cuando decenas de miles de personas entran en el recurso de información al mismo tiempo, y el servidor no puede procesarlos todos debido a la falta de rendimiento; Aquí hay solo una historia interesante con las respuestas a las solicitudes que llevan al hecho de que el servidor no puede funcionar así. Por nuestra parte, por supuesto, recomendamos dividir el archivo en trozos,envíelo por partes, genere informes en segundo plano y más.
Hay recursos en Internet que funcionan con un principio similar, es decir, por diseño, son vulnerables a ataques de cualquier intensidad y complejidad de la organización. En general, no se necesita nada para desactivar un sitio de este tipo. Hay API que funcionan de la misma manera (respuestas pesadas, solicitudes de API caras para procesar, trabajo de API síncrono). El hecho mismo de esto lleva al hecho de que los ataques DDoS ocurren en diferentes lugares incluso sin la participación de atacantes, piratas informáticos, sin ningún motivo oculto. Cuando nos enfrentamos a situaciones de este tipo, intentamos asesorar al cliente sobre dónde está su rareza en la aplicación y cómo se puede corregir. Y, por supuesto, reponemos nuestro espectáculo de divertidas soluciones arquitectónicas, que no recomendaríamos a nadie que implementara.
– .
▍ :
- vDOS:
- DoS Tor
- Endgame — Tor-:
- DDoS-
, #ruvds_
