Навеяно этим постом про шестеро кодеров и интернеты, которые они будут перезагружать после катаклизма.
Правда, не совсем ясны методы вывода из строя интернета, учитывая что некоторые интернет сервис провайдеры понастроили датацентры в противоядерных бункерах под землей, с дверью в 40 сантиметров, как в Швеции, а как защищены военные датацентры РФ или США, только Богу известны.
Вот я решил чуток проанализировать, что же мы знаем о атаках на глобальную сеть и меры их отражения.
Как известно Интернет это генеральский сынок ARPANET — отцом которого стал военный проект DARPA с бюджетом в $3.2 миллиарда. Хотя и Чарлз Херзфелд — директор ARPANET 65-67 годов, не намекал что целью создания проэкта могла послужить Холодная Война и страх перед Ядерной Войной с СССР. Но, при спекуляции фактом, вполне можно подумать что ARPANET, как раз и была создана для централизации командования США и возможно других целей национальной безопасности в то время, и конечно же уверен разговоры о защите коммуникаций при Ядерной Атаке были. Что и поднимал актуальный вопрос о защите Интернета, на самых ранних его стадиях зачатия.
Кстати вот что Чарльз сказал насчет этого:
Прошло 30 лет…
Апрель 1997
Семь, из 13-ти ROOT DNS cерверов, лежат из-за технических неполадок. Особо не афишируется, что за неполадки и как их устранили, но некоторое время до устранения неполадок, оставшиеся в строю 6 DNS сервера обслуживали Интернет за всех остальных. Кстати, почему число рут-серверов 13? это число довольно часто фигурирует в истории США и обладает туманным символизмом; например 13 — первые Штаты-колонии отколовшиеся от Британского Льва, 13 полос на флаге, 13 ступеней на Пирамиде, 13 ветвей оливкового дерева, 13 звезд над Орлом и 13 стрел на США банкнотах.
Октябрь 2002
21 Октября 2002 началась DOS атака на все 13 ROOT DNS сервера — обьем трафика достиг 50 до 100 Mbits/sec на каждый сервер. В целом трафик составлял около 900 Mbits/sec. Траффик составлял собой мусор из ICMP, TCP SYN, fragmented TCP, и UDP пакетов. Некоторые сервера перестали быть доступными многим частям мира, но опять же все выстояли. Очевидно, кому было выгодно положить Всемирную Сеть за эти 3 дня, так и останется загадкой истории. А вот как выглядел трафик за пару дней…
Февраль 2007
6 Февраля 2007 года атака длилась более 24 часа и вывела из строя 2 сервера:
g.root-servers.net ICANN
и
l.root-servers.net United States Department of Defense
Для выполнения этой атаки был использован Ботнет, размером примерно в ~4500-5000 Windows машин. %65 зараженных машин находились в Южной Корееи, 19% в США, сам же HTTP контроллер ботнета там же — в Далласе, Техасе. Аналитики также вынюхали в этом «русский след» — например след, что ботнет был куплен у русского продавца и позже использовался в каких-то русских целях. Ну да ладно про Русский след, а вот, как атака выглядела технически:
* Боты использовали один DNS запрос на жертву и 3 треда на жертву.
* Уникальный, но стабильный sorce port на каждом треде.
* каждый тред был со своим 1023-octet “зерном”
* UDP пакеты лили на 53 порт каждой жертве.
* source address ботов не был изменен.
* каждый тред на жертву был с параметров expire 24 часа.
Для борьбы с атакой были рекомендованы следующие правила:
* ‘dst port 53 and udp[10:2] > 0 and udp[12:2] != 1 and udp[14:2] > 0′
* 10:2 dns flags
* 12:2 qdcount
* 14:2 ancount и фильтр > 300-512 octets — который сбрасывал большинство трафика, даже вполне легитимного, но помогал в борьбе с флудом.
2 дня спустя, 8 Февраля журнал Network World сделали международное заявление, где они напомнили о Президентском указе США про возможный бомбовый удар локации источника кибер атаки:
If the United States found itself under a major cyberattack aimed at undermining the nation's critical information infrastructure, the Department of Defense is prepared, based on the authority of the President, to launch an actual bombing of an attack source or a cyber counterattack.
Остается только надеяться, что впредь никто не потревожит покой тринадцати Китов Сети и никому не придется бомбить ботнет противника урановыми ракетами земля-земля.
Хотя, Время покажет…
Правда, не совсем ясны методы вывода из строя интернета, учитывая что некоторые интернет сервис провайдеры понастроили датацентры в противоядерных бункерах под землей, с дверью в 40 сантиметров, как в Швеции, а как защищены военные датацентры РФ или США, только Богу известны.
Вот я решил чуток проанализировать, что же мы знаем о атаках на глобальную сеть и меры их отражения.
Как известно Интернет это генеральский сынок ARPANET — отцом которого стал военный проект DARPA с бюджетом в $3.2 миллиарда. Хотя и Чарлз Херзфелд — директор ARPANET 65-67 годов, не намекал что целью создания проэкта могла послужить Холодная Война и страх перед Ядерной Войной с СССР. Но, при спекуляции фактом, вполне можно подумать что ARPANET, как раз и была создана для централизации командования США и возможно других целей национальной безопасности в то время, и конечно же уверен разговоры о защите коммуникаций при Ядерной Атаке были. Что и поднимал актуальный вопрос о защите Интернета, на самых ранних его стадиях зачатия.
Кстати вот что Чарльз сказал насчет этого:
The ARPANET was not started to create a Command and Control System that would survive a nuclear attack, as many now claim. To build such a system was, clearly, a major military need, but it was not ARPA’s mission to do this; Прошло 30 лет…
Апрель 1997
Семь, из 13-ти ROOT DNS cерверов, лежат из-за технических неполадок. Особо не афишируется, что за неполадки и как их устранили, но некоторое время до устранения неполадок, оставшиеся в строю 6 DNS сервера обслуживали Интернет за всех остальных. Кстати, почему число рут-серверов 13? это число довольно часто фигурирует в истории США и обладает туманным символизмом; например 13 — первые Штаты-колонии отколовшиеся от Британского Льва, 13 полос на флаге, 13 ступеней на Пирамиде, 13 ветвей оливкового дерева, 13 звезд над Орлом и 13 стрел на США банкнотах.
Октябрь 2002
21 Октября 2002 началась DOS атака на все 13 ROOT DNS сервера — обьем трафика достиг 50 до 100 Mbits/sec на каждый сервер. В целом трафик составлял около 900 Mbits/sec. Траффик составлял собой мусор из ICMP, TCP SYN, fragmented TCP, и UDP пакетов. Некоторые сервера перестали быть доступными многим частям мира, но опять же все выстояли. Очевидно, кому было выгодно положить Всемирную Сеть за эти 3 дня, так и останется загадкой истории. А вот как выглядел трафик за пару дней…
Февраль 2007
6 Февраля 2007 года атака длилась более 24 часа и вывела из строя 2 сервера:
g.root-servers.net ICANN
и l.root-servers.net United States Department of Defense
Для выполнения этой атаки был использован Ботнет, размером примерно в ~4500-5000 Windows машин. %65 зараженных машин находились в Южной Корееи, 19% в США, сам же HTTP контроллер ботнета там же — в Далласе, Техасе. Аналитики также вынюхали в этом «русский след» — например след, что ботнет был куплен у русского продавца и позже использовался в каких-то русских целях. Ну да ладно про Русский след, а вот, как атака выглядела технически:
* Боты использовали один DNS запрос на жертву и 3 треда на жертву.
* Уникальный, но стабильный sorce port на каждом треде.
* каждый тред был со своим 1023-octet “зерном”
* UDP пакеты лили на 53 порт каждой жертве.
* source address ботов не был изменен.
* каждый тред на жертву был с параметров expire 24 часа.
Для борьбы с атакой были рекомендованы следующие правила:
* ‘dst port 53 and udp[10:2] > 0 and udp[12:2] != 1 and udp[14:2] > 0′
* 10:2 dns flags
* 12:2 qdcount
* 14:2 ancount и фильтр > 300-512 octets — который сбрасывал большинство трафика, даже вполне легитимного, но помогал в борьбе с флудом.
2 дня спустя, 8 Февраля журнал Network World сделали международное заявление, где они напомнили о Президентском указе США про возможный бомбовый удар локации источника кибер атаки:
If the United States found itself under a major cyberattack aimed at undermining the nation's critical information infrastructure, the Department of Defense is prepared, based on the authority of the President, to launch an actual bombing of an attack source or a cyber counterattack.
Остается только надеяться, что впредь никто не потревожит покой тринадцати Китов Сети и никому не придется бомбить ботнет противника урановыми ракетами земля-земля.
Хотя, Время покажет…
