Как стать автором
Обновить

Комментарии 49

Интересно, есть какие то перспективы на законодательном уровне обязать провайдеров резать такой паразитный трафик на своих маршрутизаторах? И делать это в международном масштабе?
Меня пугает то, что ширина каналов пользователей очень быстро растет и атаки в 56Гб могут стать отнюдь не рекордными
В международном масштабе перспективы обязать нулевые. Вопрос: кто определит, где и какой трафик «паразитный»? Какая-то коммерческая организация? Или некомерческая?
Согласитесь, что каждому арендатору сервера ждать прихода атаки в несколько Gb это уже как-то слишком. Какой-то выход от такого сетевого рэкета должен существовать, помимо варианта «спасайся кто может?»
При подключении к оператору владелец сервера видит список услуг. Если в них нет защиты от «нескольких Gb», то владелец сервера сам виноват, если они на него польются. Например, если подобрали пароль к SSH этого сервера и в договоре не было предоставление услуги защиты от взлома SSH, то разве оператор виноват в этом?

Некоторые операторы, подключающие сервера к своей сети, предлагают услугу защиты от DDoS. Не хотите последствий? Платите дополнительные деньги.
>> Количество ботов с полноценным сетевым стеком (TCP, HTTP/1.1, JS)
С каких пор JS относится к сетевому стеку?
Справедливое замечание, исправил.
Да и вообще интересно, как умение выполнять JS может помочь боту? JS ведь на клиенте выполняется. Ну разве что там какую-то хитрую авторизацию пройти или линк сгенерить…
— неумение бота выполнять JS может помочь серверу отличить ботов от обычных браузеров
— умение бота выполнять JS может помочь боту пройти через проверку типичных (давайте я второй раз попытаюсь адекватно воспроизвести это по-русски) возможностей Web-браузера. Такая проверка, конечно, загребёт под одну гребёнку как DDoS-ботов, так и поисковые краулеры и иже с ними, но сайт спасёт.

См. также habrahabr.ru/post/141989/.
Используя принцип проверки возможностей веб-браузера можно строить весьма эффективные наколеночные решения, на основе например вот этого модуля nginx.
Сетевой стек, уровень приложений.
Говорим «Ливерпуль», подразумеваем «Манчестер». Я на самом деле не имел в виду сетевой стек как таковой, интересуют только возможности бота в сравнении с распространёнными Web-браузерами. Чуть позже оформлю и выложу запись другого доклада на RIGF, посвящённого борьбе с атаками своими силами, там эта тема более подробно освещается.
Проблема, IMHO, все же не в IXP, а в операторах на IXP. IXP честно вам ответили, что технической возможности нет. А вот у операторов, присутствующих на IX нет как минимум доверия к abuse сотни других участников.
Отличный отчёт, читал с большим интересом.

З.Ы. Привет!
Спасибо, очень интересно, но то что я не совсем в теме сказывается. Не понял кому выставят счёт в сумму с пятью нулями? Насколько я понял счёт выставят, в случае, если я оплачиваю за ограниченный канал/объем переданных данных?

Да. Ну или, как вариант, ваш сайт отключат, сообщив, что вы 1 июня израсходовали объём трафика за весь месяц.
обычный вариант.
Вы ВСЕГДА оплачиваете канал или передачу данных. Если вам кажется что это не так — ознкомтесь с текстом мелким шрифтом в вашем контракте на коло.
Но самое интересное, что, по всей видимости, этот же самый ботнет размером порядка 182 000 машин вернулся на slon.ru/ и на tvrain.ru/ 6 мая 2012 года, причём пересечение «декабрьского» и «майского» стоп-листов составило около 500 IP-адресов. За полгода ботнет из пары сотен тысяч машин обновился почти полностью – либо же на самом деле он в разы больше.

А может дело в том, что у большинства ботов динамический ip? Или в течение первой атаки в 1128 часов у большинства из 200 000 ботов не менялись адреса?
В первой атаке следует разделять две фазы: активную (200000 ботов, около недели) и деградацию (75000 -> 500 ботов, полтора месяца). В течение второй фазы IP-адрес источника у большинства ботов не менялся.

В мае у хозяина ботнета был контроль над сетью, не уступающей в размерах декабрьской. При этом характер затухания зимней атаки (постепенный уход ботов на протяжении почти полутора месяцев, несмотря на факт успешного отражения атаки) говорит о том, что, вероятно, автор ботнета по какой-то причине перестал контролировать эту часть сети. Здесь меня могут поправить специалисты по исследованию тела ботнета и контрольных центров, если у них иное мнение.

Кроме того, вероятность того, что у 200000 машин выдаваемые в декабре (в течение недели) и мае (в течение суток) динамические IP-адреса совпадут лишь в 0,25% случаев, как мне кажется, невелика.

Наконец, у целого ряда IP-адресов (к сожалению, не могу назвать точное число, в районе 7-10 тысяч) имелись различного вида HTTP proxy, выставлявшие HTTP-заголовок X-Forwarded-For из различных подмножеств подсети 10/8. Как правило (хотя, опять же не всегда), такие подсети имеют выделенный внешний IP-адрес для доступа к сети Интернет.

По сумме этих замечаний мы делаем вывод, что тело ботнета действительно столь быстро обновилось.
По деградации все просто, ботнет «работающий» себя проявляет активностью, причем ненормальной.
Пользователи так и провайдеры замечают такую ненормальную активность и чистят.

Кроме того антивирусы не сидят на месте, ведь ботнет как правило состоит из одинаковых билдов (бинарных) и чейто 1 сабмит тела бота на антивирусную песочницу за несколко дней приводит к заметному вымиранию ботнета.

А вот когда владельцы ботнетов не сидят на попе ровно и постоянно наращивают свои мощности не линейно, а отдельными сетями, с разными билдами, по разному криптоваными, то есть с разными сигнатурами, вот тогда у них и появляется возможность по мере нужды вводить запасные легионы…

А в приведенном примере или был факто продажи ботнета заинтересованной стороны, не имеющей возможности наращивать число ботов, или возможно был утрачен контроль за ботнетом, и он просто выполнял последнее задание, постепенно деградируя по вышеприведенной схеме.
DDOS — это эдакая форма интернет-гопничества…
Даже слабая атака кладет мелкие сайты на дешевых шаред-хостингах (провайдер в этом случае даже не думает разбираться-помогать, а сразу кладет зону атакуемого домена).

Сам сталкивался разок, было письмо «у вас низкие цены, ниже наших? мы вас будем досить, если через 3 дня цена не поменяется на такую-то».
Проект мелкий, как раз дешевый шаред хостинг, все по вышеописанному сценарию, правда 3 дня не дождались,.

Досить стали в пятницу вечером, пришлось на нормальный хостинг срочно переехать и забыть об этой проблеме (испортили вечер пятницы, ушлеки), через сутки где-то атаку сняли, судя по логам, на нормальном хосте уже ничего не лежало и никто зону не трогал =).
У коллег-конкурентов аналогичная шляпа случилась, кто-то несколько дней лежал (ситуация «мне сделали сайт, а как он работает я не знаю»)…
"Организаторов DDoS-атаки поймать практически невозможно."
Что за чушь? С каких пор Интернет стал анонимным? Почему бы не называть вещи своими именами — «Поймать организаторов DDoS-атаки можно, просто это очень дорого, и никто по-настоящему в этом не заинтересован».
Расскажете, как?
Тупо, в основном ручками и совсем мало-мало головой. Нудная, неблагодарная работа, на которую нужно, увы, хорошо потратиться — привлечение специалистов соответствующего уровня, организация сбора логов и анализ их, налаживание связей с провайдерами всех уровней по всему миру, просмотр форумов и досок объявлений и т. д. и т. п. — все старо как сам Его Величество Интернет. Зачем Вы задаете такие глупые вопросы?
Для начала, давайте успокоимся. Вопросы не глупые, они помогают мне понять, что, когда речь идёт о десятизначных суммах в конвертируемой валюте, я говорю — " это практически невозможно", а вы говорите — «это очень дорого». Чего стоит одно только «налаживание связей с провайдерами всех уровней по всему миру» с учётом отсутствия законодательной базы, принуждающей провайдеров к «налаживанию связей» (в посте есть об этом, кстати) и с учётом уровня работы техподдержки в странах третьего мира.

Мне, поверьте, тоже грустно оттого, что никто не планирует заниматься этим глобально. На недавней встрече ENOG3 Пол Викси поднимал вопрос об ответственности организаций, обеспечивающих работу сети Интернет, за сознательные (или несознательные :-) действия пользователей, и ряд представителей бизнеса операторов даже выразил согласие прорабатывать этот вопрос — но это капля в море. И это только начало длинного пути.

Читайте процитированную вами фразу как «В данный момент — с учётом ресурсов, которыми располагает подавляющее большинство компаний, включая HLL и любого из наших клиентов — организаторов DDoS-атаки поймать практически невозможно».
С такой формулировкой больше согласен, чем с предыдущей. А вообще мне Ваш пост в свете наездов на Интернет очень не нравится. Даете лишний повод оправдать законников, закручивающих гайки совершенно не в том месте, где надо бы.
Тот, кто захочет оправдать «законников», оправдает их и без меня. Аболютно бесполезно рассчитывать каждое своё действие с учётом того, что кто-то может использовать это действие во зло — поскольку вообще всё, что угодно, можно использовать во зло.

Мы всего лишь хотим, чтобы насущная проблема стала видна общественности и чтобы люди поняли, насколько важно найти для неё решение в ближайшее время. Само собой, что у этой проблемы есть не одно решение, но выбирать наиболее оптимальный способ глобального противодействия и навязывать его другим мы не в состоянии и не вправе. Я полагаю, что и те, кто «оправдывает законников», также не вправе. Стратегия должна вырабатываться сообществом, но сообщество в целом пока не готово — ни в моральном, ни в материальном (оборудование, кадры) плане.
Я думаю что Qrator эти письма от школьников и рассылает. Потому что а) письмо с предложением анти-DDoS-услуг тут же — это рояль в кустах. Причём два раза. Первый это пост в жэжэшечке, а второй — упоминание анти-DDoS-услуг в теле письма. Никомк больше это не нужно. b) Текст письма школьника по ссылке и текст предложения своих услуг написаны одним и тем же человеком. Сравните сами:

Вымогатель: После оплаты 7 000 рублей своевременно, мы не будем трогать Ваш сайт. Отвечать на это письмо не нужно.

Куратор: Отлично. Давайте реализуем ровно то, что Вам нужно, без лишних затрат.

ximaera.livejournal.com: Это ерунда. Не верьте мошенникам.

Это писал один и тот же человек стилистически. Категоричное наклонение и Вы — с большой буквы. Вот ещё:

Вымогатель: Мы предлагаем Вам заплатить 7000 рублей на счет в системе яндекс деньги xxxxxxxxxxxxxxx [..] Если же и после этого Вы откажетесь платить, то следующая атака будет уже 30 дней, но после этого Ваш сайт уже будет никому не нужен, т.к. из поисковиков вылетит, а клиенты про него забудут, но атаки будут продолжаться, пока он окончательно не вылетит. Хостинг с защитой от DDoS стоит от 30 000 рублей в месяц, но и он не спасет Ваш сайт.

Куратор: Мы поговорим о Ваших задачах на Вашем языке. Я возьму на себя всю работу с деталями, постановку задач дизайнеру, программисту, верстальщику, тестировщику, и т.п. Мы предметно обсудим состав и стоимость работ, чтобы Вы могли выбрать наиболее подходящий для Вас вариант. Я очень быстро отвечаю на письма, обычно в течение часа. Доступен для разговора в скайпе и по мобильному телефону. Я передам в Ваши руки рычаги управления и исходные материалы сайта с тем, чтобы Вы могли свободно распоряжаться результатами оплаченной работы.

Понятно, да? «Компания» одного человека.
«О себе: Являюсь менеджером». Сочувствую. Это гораздо более серьезный диагноз чем тот который вам можно поставить прочитав ваш комментарий.
Няшка flx. До меня очень сложно докопаться. Я никак не аффилирован с авторами треда, не являюсь конкурентом и вообще никогда в жизни их не видел. Моё мнение — мнение человека проходившего мимо и увидевшего наглое разводилово шитое белыми нитками даже на уровне подхода.

Читаем на qrator.net/rates/ и читаем: В том случае, если Ваш ресурс находится под DDoS атакой, стоимость подключения составит 6 000 р. Превентивное подключение к системе QRATOR осуществляется бесплатно.

Какая разница находится ресурс под DDoS или нет? Да никакой. Зато это ровно то же самое что и в письме: не пришёл «превентивно» — заплати больше. Уши-то торчат! =)
С одной стороны я понимаю, что обяснять и доказывать что-либо Вам — занятие абсолютно контрпродуктивное. С другой стороны, вопрос «почему подключение под атакой стоит дополнительных денег?» достаточно популярен и думаю не повредит дать на него развернутый ответ.

Строя QRATOR мы строим систему способную автоматически реагировать на DDoS (и не только DDoS) инциденты, но как любой обучающейся системе нам нужна нормальная выборка.

В случае с подключением под атакой эту выборку получить не представляется возможным, поэтому мы вынуждены затрачивать некоторое количество человеко часов на контроль того как обучились фильтры и при необходимости корректировку их реакции. Отсюда и возникает эта дополнительная стоимость.

На мой взгляд вполне справедливо и оправданно.
С уважением,
Ваша Няшка…
Думаю что ваши объяснения найдут своего благодарного читателя в сноске к тарифам.
Во-первых, цитируя якобы «Куратор», вы на самом деле приводите цитаты из ЖЖ совсем другого человека. Любой, кто умеет пользоваться Google, легко в этом убедится.

Во-вторых,

> Это писал один и тот же человек стилистически

То есть вы являетесь дипломированным экспертом-филологом, я так понимаю? Или анализ стилистики письма — это ерунда, которую может осуществить каждый? :-)
Ага, Касперский пишет вирусы (вместе с ESET, DrWeb и Symantec), врачи по ночам заражают больных etc.
Да видно же что товарищ жирный тролль, чего оправдываться то? :)
«Собака лает, караван идет»
Дружище: из того что Вы не верите в Большого Брата вовсе не следует что за Вами не следят. Попробуйте доказать что антивирусным компаниям невыгодны вирусные эпидемии, а фармацевтам невыгодны эпидемии гриппа. ж)
Выгода — это понятно, но выгода не порождает поступки сама по себе. Например, любому прохожему на улице выгодно ограбить меня — но никто не грабит же. :)
Можно по разному относится. Можно к этому относится как к виду продвижения. Для меня он по ряду причин такие методы неприемлимы, поэтому среагировал. Как правильно там было замечено в комментариях: «я нашел ваш сайт mail.ru в поиске, но он не очень красивый и малопосещаемый» © спамеры-сеошики.

Внимание, вопрос: а может ли ximaera показать: «письма приходят разным людям». А был ли мальчик? Google находит всего 2 (два!) совпадения. Угадайте какие? Никому эти письма не приходили. И группа поддержки неумело «общающаяся» на заданную тему в комментариях это лишний раз подтверждает.
Ээээ… простите, но вы вообще «в адеквате»?
Это кагбэ письма, они кагбэ не обязаны в индекс Гугла попадать.
Хотя кого я спрашиваю, сам вроде ж диагноз ставил выше…
Диагност знатный выше был няшка flx, за вами по треду не замечено.

Серьёзно? Т.е. вы получив такое письмо ни с кем не поделитесь радостью? Да ладно вам. Весь спам такого рода немедленно становится достоянием общественности и обсуждается испуганными читателями. Я лично получал такое:

Здравствуйте администратор сайта site Я, почетный член арбитражной комиссии, электронной платежной системы WebMoney, псевдоним — FrichX, заявляю Вам, как представителю Интернет-ресурса site.ru, о том, что располагаю компрометирующими материалами, относительно Вашей деятельности в сети Интернет, которые нам любезно предоставил Ваш хостинг-провайдер provider.ru.
Мною, на сайте WebMoney, уже была создана персональная страница претензий arbitrage.webmoney.ru/asp/claimsurl.asp?procurl=http://site.ru/, предназначенная для публикации жалоб на Ваш ресурс, и я предлагаю Вам, добровольно внести пожертвование, направленное на развитие платежной системы WebMoney, для отмены этого негативного процесса.
Пожертвование от Вас, должно быть передано лично мне, ответом на данное сообщение, в виде реквизитов Paymer-чеков, на общую сумму 800 WMZ, не познее 30 апреля 2010 года, иначе, помимо публикации на вышеуказанной странице претензий всех поданных нам претензий на Ваш сайт, я опубликую этот компромат также и в своих личных, многочисленных блогах, таким образом, помимо блокирования вашего WMID, вместе со всеми Вашими электронными денежными средствами, я могу Вам гарантировать существенный отток Ваших клиентов, а может быть и вовсе полное блокирование домена site.ru на стороне реестра.
Вот ссылка на одну из многочисленных моих работ:
habrahabr.ru/blogs/infosecurity/85817/ (сотни подобных документов найдете через поиск ключевых слов «FrichX» и например «gullon»)
Здесь, как видите, обсуждается ставший вдруг скандальным сайт gullon.eu, некогда безупречной и процветающей испанской кондитерской фирмы Gullon, который был полностью блокирован арбитражным сервисом WebMoney и лично мною, теперь его место вполне может занять SITE.RU!
Так что не тяните, потому что потом это будет гораздо дороже, а может быть и вовсе станет уже не возможно остановить негативный процесс, инициированный мною.
Также хочу Вас предупредить о том, что я не намерен вступать с Вами в переговоры, и в виде ответа на данное предупредительное сообщение, Вы можете отправить мне только реквизиты Paymer-чеков в выше оговоренной сумме, и ничего больше!

Пожалуйста, вбиваем в гугл и видим что тысячи их — попавших в индекс. Это же спам. А обсуждаемый фрагмент «письма злоумышленника» почему-то ограничен одной жэжэшечкой и этим нашим обсуждением. Фантастиш!
Извините, что я не участвую в онлайновом бизнес-интенсиве «100 дней роста прибыли», не составляю «основной рекламный текст, написанный и переписанный по результатам первых заданий», не веду «мой список рекламных каналов».

Я имею в прошлом опыт работы техническим редактором на протяжении 5 лет. ;)
Я ещё раз обращаю ваше внимание, что вы путаете меня ( ximaera.livejournal.com/ ) и неаффилированного с HLL и Qrator Павла Сутырина из МГУ ( spacediver.livejournal.com/ ). Перестаньте уже выставлять себя в дурном свете :-)
Я путаю? Павел Сутырин судя по всему отличный системный администратор фрилансер.

Ровно год назад, когда Qrator ещё находился в публичном бета-тестировании и размещался на мощностях МГУ, на один из защищаемых ресурсов пришла атака мощностью около 10 Гбит/с, которая просто забила предоставленный нам канал университета. © ximaera.livejournal.com/77003.html#cutid1

rutracker.org собрался отключаться от Qrator по экономическим соображениям. Так что если в течение дня будет недоступен — это не мы. © ximaera.livejournal.com/81120.html

Злоумышленник: Как вы могли заметить с 6 по 9 февраля сайт rutracker.org был недоступен, т.к. находился под DDoS атакой. У нас хватило бы сил, чтобы держать такой сайт в недоступности не один месяц, но мы смогли с ними договориться о цене. © ximaera.livejournal.com/80486.html
Я не распарсил ваше сообщение. Однако, как я понимаю, в целом краеугольным камнем доказательства моей «причастности» к пресловутому школолописьму является проведённый вами на основе трёх абзацев, хм, стилистический анализ.

В таком случае предлагаю вам нанять признанного дипломированного эксперта по стилистике и вместе с ним сотворить сенсацию в СМИ, опубликовав срыв покровов. Все исходники перед вами, включая весь контент моего Живого Журнала под CC-BY-NC-SA, а также Живого Журнала spacediver (которого вы так упорно цитировали), — перед вами. Дерзайте!
Да ну его нафиг, покровы вам ещё срывать. Если бы я сразу догнал что весь возбудивший меня пост ограничен собственно самим постом и отражения в реальности не имеет, я вообще не стал бы Вам ничего писать.
Ваши догадки не соответствуют реальности, но я расписываюсь в своей неспособности вам это доказать. Извините уж.
Напомнило:

— Да я тебя по IP вычислю и морду набью
— ххх.ххх.ххх.ххх
— У меня тут утилитка потерялась, дома адрес пробью
— г. Город ул. Улица дом Дом кв. Квартира
— Да не я не приеду далековато
Вижу свой затылок на фотке. )
Напомнило )

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.