DEFCON 21. Одних паролей недостаточно, или почему «ломается» шифрование диска и как это можно исправить. Часть 1

Существуют забавные штуки, такие, как монотонно возрастающие счетчики, с помощью которых можно контролировать активность TMP, а затем проверять полученные значения. Есть небольшой диапазон энергонезависимой памяти, который можно использовать для ваших нужд, он не такой большой, как килобайт, но тоже может быть полезен. Там имеется счётчик тактов, который позволяет определить, как долго система работает с момента последнего запуска. Имеются команды, которые вы могли бы дать TMP, чтобы заставить его делать вещи от вашего имени, в том числе очистку собственной памяти при необходимости.



Затем мы хотим разработать протокол, который пользователь может запустить на компьютере, чтобы убедиться, что компьютер не был взломан, прежде он аутентифицируется на компьютере и начнёт им пользоваться. Что полезного для такого протокола мы можем попробовать «запечатать» в регистры конфигурации платформы?

У меня имеется пара предложений: это токены для разовых паролей пользователя, уникальное изображение или анимация, например, ваша фотография, что-то оригинальное, что нелегко найти в другом месте. Вы также можете отключить «video out» на вашем компьютере, когда находитесь в режиме запроса и проверки подлинности аутентификации.

Добро пожаловать на презентацию «Практический шпионаж с помощью сотового телефона». Прежде чем мы начнем, сделаю пару замечаний по поводу конфиденциальности. В-первых, звонок по сотовому телефону может быть записан прямо во время разговора. Сюрприз! Так что если вы не хотите, чтобы ваш звонок был записан, выключите свой телефон. Если вы пользуетесь услугами сотовых операторов Sprint или Verizon, вы не находитесь в сетях GSM, и моя система вообще не сможет говорить с вашими телефонами, так что вам не о чем беспокоиться.



Должен заметить, что я призываю людей держать свои телефоны на виду во время разговора, особенно если они пользуются GSM – трубкой, потому весь смысл этого в том, чтобы показать, как могут быть перехвачены ваши телефонные звонки. Если же вы не пользуетесь своей трубкой, этот приём не работает.

Конференция DEFCON 18. Практический шпионаж с помощью мобильного телефона. Часть1

Мы хотим применить определённые методы, чтобы ускорить захват телефонов фальшивой сетью. На данный момент у нас есть простой перехватчик IMSI, вы можете попробовать позвонить и услышать записанное мною предупреждение. Вижу, что несколько человек подняли руки. Я имею в виду, что вы, ребята, подключаетесь к моей сети, и я перехватываю весь ваш трафик.
Во-первых, я теперь знаю все ваши IMSI и могу их отфильтровать, оставив только IMSI конкретного человека, который является моей целью. То же самое я могу проделать с фильтрованием IMEI, которые представляют собой идентификаторы телефонов. Например, я могу разрешить подсоединяться к сети только телефонам марки «Нокия» или только «Айфонам». Я могу сделать так, что только этот конкретный IMEI будет в моей сети и никого больше. Я могу ограничить доступ с помощью самых разных параметров.



Как я уже упоминал, для миграции людей из официальной сети в мою сеть требуется время, и мы можем сделать это быстрее, я расскажу об этом через секунду. Одно из главных ограничений этой системы то, что она принимает только исходящие звонки. Когда вы подключаетесь к моей сети, независимо от того, будет ли это Т-Mobile или AT&Т, ваш телефон отключается, потому что реально вы не подключены ни к одной из легальных вышек сотовой связи. Таким образом, как только приходит звонок, он поступает прямо в вашу голосовую почту. Это проблема разрешаема, позже я покажу вам, что исходящие звонки тоже могут быть записаны.

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год

Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.

Лекция 1: «Вступление: модели угроз» Часть 1 / Часть 2 / Часть 3
Лекция 2: «Контроль хакерских атак» Часть 1 / Часть 2 / Часть 3
Лекция 3: «Переполнение буфера: эксплойты и защита» Часть 1 / Часть 2 / Часть 3
Лекция 4: «Разделение привилегий» Часть 1 / Часть 2 / Часть 3
Лекция 5: «Откуда берутся ошибки систем безопасности» Часть 1 / Часть 2
Лекция 6: «Возможности» Часть 1 / Часть 2 / Часть 3
Лекция 7: «Песочница Native Client» Часть 1 / Часть 2 / Часть 3
Лекция 8: «Модель сетевой безопасности» Часть 1 / Часть 2 / Часть 3
Лекция 9: «Безопасность Web-приложений» Часть 1 / Часть 2 / Часть 3
Лекция 10: «Символьное выполнение» Часть 1 / Часть 2 / Часть 3
Лекция 11: «Язык программирования Ur/Web» Часть 1 / Часть 2 / Часть 3
Лекция 12: «Сетевая безопасность» Часть 1 / Часть 2 / Часть 3
Лекция 13: «Сетевые протоколы» Часть 1 / Часть 2 / Часть 3
Лекция 14: «SSL и HTTPS» Часть 1 / Часть 2 / Часть 3
Лекция 15: «Медицинское программное обеспечение» Часть 1 / Часть 2 / Часть 3
Лекция 16: «Атаки через побочный канал» Часть 1 / Часть 2 / Часть 3
Лекция 17: «Аутентификация пользователя» Часть 1 / Часть 2 / Часть 3
Лекция 18: «Частный просмотр интернета» Часть 1 / Часть 2 / Часть 3
Лекция 19: «Анонимные сети» Часть 1 / Часть 2 / Часть 3
Лекция 20: «Безопасность мобильных телефонов» Часть 1 / Часть 2 / Часть 3
Лекция 21: «Отслеживание данных» Часть 1 / Часть 2 / Часть 3

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год

Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.

Лекция 1: «Вступление: модели угроз» Часть 1 / Часть 2 / Часть 3
Лекция 2: «Контроль хакерских атак» Часть 1 / Часть 2 / Часть 3
Лекция 3: «Переполнение буфера: эксплойты и защита» Часть 1 / Часть 2 / Часть 3
Лекция 4: «Разделение привилегий» Часть 1 / Часть 2 / Часть 3
Лекция 5: «Откуда берутся ошибки систем безопасности» Часть 1 / Часть 2
Лекция 6: «Возможности» Часть 1 / Часть 2 / Часть 3
Лекция 7: «Песочница Native Client» Часть 1 / Часть 2 / Часть 3
Лекция 8: «Модель сетевой безопасности» Часть 1 / Часть 2 / Часть 3
Лекция 9: «Безопасность Web-приложений» Часть 1 / Часть 2 / Часть 3
Лекция 10: «Символьное выполнение» Часть 1 / Часть 2 / Часть 3
Лекция 11: «Язык программирования Ur/Web» Часть 1 / Часть 2 / Часть 3
Лекция 12: «Сетевая безопасность» Часть 1 / Часть 2 / Часть 3
Лекция 13: «Сетевые протоколы» Часть 1 / Часть 2 / Часть 3
Лекция 14: «SSL и HTTPS» Часть 1 / Часть 2 / Часть 3
Лекция 15: «Медицинское программное обеспечение» Часть 1 / Часть 2 / Часть 3
Лекция 16: «Атаки через побочный канал» Часть 1 / Часть 2 / Часть 3
Лекция 17: «Аутентификация пользователя» Часть 1 / Часть 2 / Часть 3
Лекция 18: «Частный просмотр интернета» Часть 1 / Часть 2 / Часть 3
Лекция 19: «Анонимные сети» Часть 1 / Часть 2 / Часть 3
Лекция 20: «Безопасность мобильных телефонов» Часть 1 / Часть 2 / Часть 3
Лекция 21: «Отслеживание данных» Часть 1 / Часть 2 / Часть 3

Привет, я Зак Фейзел, я буду говорить быстро, если будет слишком быстро, можете меня притормозить. Днём я пентестер, ночью диджей и фотограф, меня можно найти в «Твиттере» по нику @zfazel. Люди всегда спрашивают меня насчёт дипломов. Я не из тех людей, которые перечисляют кучу учёных степеней, поэтому лучше судите обо мне на основании этой презентации, а не по количеству имеющихся у меня сертификатов.



Беззастенчивый комментарий: у нас тут небольшая конкуренция, прямо сейчас парни из Чикаго выступают на 4 треке, мы все из Чикаго, быстро поднимите руки, кто здесь есть из Чикаго. Так, думаю, я проиграл пари. Сегодня вечером в бассейне я буду диджеем, так что если вы свободны, добро пожаловать на битву с Кейт Майерс, после этого я возвращаюсь в Чикаго на другую хакерскую конференцию. В прошлом году там присутствовало 500 человек, в этом году мы надеемся, что гостей будет побольше. Там также выступят мои ребята из команды 312, больше информации об этой конференции вы найдёте на thotcon.org.

Итак, чтобы не тратить даром время: мы будем говорить об альтернативе атаки Pass-the-hash под названием NTLM-Relay, о новом наборе инструментов для выполнения межпротокольной передачи Cross Protocol Relaying для запросов аутентификации NTLM, о новых методах автоматической аутентификации клиентов и о новых целях, в которых можно использовать Pass-the-hash.
Давайте начнём с NTLM, для тех, кто не знает, что такое NTLM 101, всю суть можно изложить меньше чем за 10 минут. Итак, что такое LM/NTLM? Это хранилище паролей и протокол сетевой аутентификации, разработанный Microsoft для использования в Windows. Чёрт, мои слайды не в порядке! Итак, LM-хеш – это формат хранения пользовательских паролей длиной менее 15 символов, пароль разделяется на 2 части по 7 байтов и приводится к верхнему регистру. Надеюсь, вы разглядите, как выглядят хеши LM и NTLM. Я не собираюсь тратить время, рассказывая, насколько плох и слаб LM, вы все это знаете, а если нет – гуглите.

Конференция DEFCON 20. Захват за 60 секунд: от гостевой учётной записи до администратора домена Windows. Часть 1

Хорошо то, что мы можем войти в локальную сеть, подделав DNS. А как насчёт социальной инженерии, учитывающей предпочтения и склонности пользователей? Пентестеры знают, что в IE можно поместить теги файлов-изображений, например, формата .jpg, для сетевого пути UNC, и тогда IE будет передавать это обратно Windows и автоматически подключатся к сетевой папке, пытаясь получить запрашиваемое изображение или что-то еще, например, JavaScript, iFrame и т.д. Так что на сегодня в IE имеется автоматическая аутентификация.



То же самое можно проделать в Firefox и Chrome, хотя люди считают, что эти браузеры более защищены. На этом скриншоте приведена консоль ошибок Firefox, в которой сообщается, что браузер не может загрузить этот файл картинки из общей сети, так как политика безопасности предотвращает загрузку файлов, которых нет в контексте безопасности браузера. Интересной особенностью нашего инструмента является то, что браузеры Firefox и Chrome можно заставить загружать файлы, просто посылая HTTP заголовки для принудительной загрузки Content-Type: application/force-download и затем открывать эти файлы из папки Temp или прямо с рабочего стола. Таким образом, мы выставили контекст безопасности файлов и активировали автоматическую аутентификацию в общем SMB, так что теперь можете заставить пользователей аутентифицироваться на вашем мошенническом сервере.

Вы видите на экране фразу «Кто сражается с монстрами», а я – модератор этой презентации Пол Робертс, редактор threatpost.com, новостного портала, посвященного компьютерной безопасности. У нас большая группа выступающих, которых я представлю через пару секунд, а пока что расскажу про основные правила нашей дискуссии. У нас также имеются слайды, которые относятся к тому, что будет рассказывать каждый участник дискуссии.



После выступления мы собираемся отвечать на вопросы, но у нас есть только час, так что попрошу вас относить записки с вопросами вон в ту дверь, там у нас будет комната вопросов и ответов Q&A, и потом ваши вопросы передадут выступающим.

Конференция DEFCON 19. Anonymous и мы. Часть 1

Джошуа Корман: вы знаете, я не сторонник самосуда, но я не думаю, что подобный подход должен исчезнуть. Это важный вопрос. Если мы думаем, что наша отрасль дисфункциональна и не уверены, что будем услышаны, тогда давайте применим более стратегический и умный подход. Если вы не создаёте эти три вещи, страх, неуверенность и сомнение, то никогда о нас не услышите. Если же вы используете подобную практику – это станет именно тем, что с вами случится.

Я думаю, что у вас может появиться больше шансов возникновения хаоса, мотивирующего глупый страх, это очень целенаправленная вещь, и эффект от её использования может изменить поведение цели.



Джерико: а я буду защищать справедливый самосуд, который в некоторых случаях меня вполне устраивает. Если Anonymous принимает заявки на «уничтожение», то у нас есть целый список компаний, которые угрожают пентестерам юридическим преследованием, если те находят уязвимость или какой-то крутой обход систем безопасности, говоря: «если вы опубликуете результаты своих исследований, то мы подадим на вас в суд».

Как поживаете, парни? Я только что прочитал чей-то твит про то, что люди, которые тратят полдня на конференцию Defcon, просто идиоты. Итак, я собирался начать с того, что много работал над неудачами, но понимаю, что сейчас буду говорить об этом с людьми, которые понимают в неудачах намного больше меня.



Я совершенно уверен, что ваше хобби – это создавать и исследовать неудачи систем. Я открою вам секрет – именно неудачи сделали меня тем, кем я сегодня являюсь. Я хочу поговорить немного о том, как это работает. Когда мне было 10 лет, я увлекся фокусами, и дошел до того, что устроил своему пятому классу целое магическое шоу, заслужив аплодисменты 300 учеников. Это было феноменально, успех настолько воодушевил меня, что в следующем году я решил устроить потрясающее представление и взял себе помощника. Кажется, его звали Дэвид Сакс, и он был моим добровольцем на сцене. Я сковал его руки за спиной наручниками, чтобы он продемонстрировал, что не сможет сам освободиться, а затем я бы проделал то же самое с собой, доказав всем, что могу это сделать. Но Дэвид сам сумел снять наручники! Это погубило всё мое выступление, потому что я был не готов к такому повороту событий.

Конференция DEFCON 17. Мои неудачи. Часть 1

Вопрос: можете сказать нам о легенде, которую никогда не станете развенчивать?

Адам Сэвидж: думаю, существует несколько таких легенд. Если вы видели наши передачи, то заметили, что мы стараемся не делать скучных вещей типа сравнения вешалки с высококлассным аудиокабелем. Не думаю, что этот эпизод стоит показывать. Я просто хочу сказать, что в свое время мы исследовали миф, связанный с большим количеством жидкого кислорода. Разрушители легенд работают с разными взрывчатыми веществами, но ничего не пугает меня больше, чем горючие газы. Но эти газы сущая ерунда по сравнению с жидким кислородом. Это действительно страшная штука, и когда мы начинали изучать связанные с ним материалы, то прочитали о том, что эксперименты с этим веществом абсолютно не предсказуемы.



Это действительно страшная вещь, и мы просто отказался от этой истории, потому что она была связана с большим количеством жидкого кислорода, и безопасность требовала проводить с ним эксперименты на слишком большом расстоянии, чего мы не могли себе позволить.

Вопрос: вы можете рассказать про самый грандиозный провал «Разрушителей легенд»?

Меня зовут Джош Филлипс и я хочу представить вам особого гостя, которого нет в списках выступающих, его зовут Майк Доннелли. Позже я дам ему возможность представить себя. Обычно я выступаю на конференции последним, поэтому надеюсь, что наше выступление не сыграет для вас роль колыбельной. Если кто-то ещё собирается выступить после нас, я ему не завидую, но ничего не могу с этим поделать. Ну что же, давайте начнём.



Я слышал, что всем сегодняшним докладчикам не везло, потому что у них возникали проблемы с показом слайдов, но надеюсь, что у нас с всё получится. Итак, в реальной жизни я исследую вредоносное программное обеспечение в лаборатории Касперского. Я также работал аналитиком вредоносного ПО в компании Microsoft и вопреки расхожему мнению или тому, что можно найти в Википедии, название вируса Conficker не является немецким или датским эквивалентом английского слова «assfucker», это всего лишь придумана мной игра слов. Так что придумывание названия для этого компьютерного червя можно считать самым большим достижением в моей жизни. Я являюсь «золотым фармером» и в качестве хобби я написал несколько ботов для компьютерных игр, попробуйте догадаться, для каких именно. Теперь я предоставлю слово Майку, чтобы он рассказал о себе.

Майк Доннелли: я Майк Доннели, известный под ником Mercury, создавший интернет-бота Glider для игры World of Warcraft. Установлением прав собственности на этого бота, 100000 копий которого были распроданы третьей стороной за 4 миллиона долларов, занимался суд. Мне удалось обжаловать решение суда первой инстанции, и апелляционный суд постановил возместить мне, как истинному владельцу, ущерб в размере 6,5 миллионов долларов, однако в любом случае судебное дело не доставило мне особого удовольствия.

Конференция DEFCON 19. Взламываем MMORPG ради веселья и прибыли. Часть 1

Джош Филлипс: как мы говорили, все хаки довольно просты, и их использование иногда не требует никаких навыков, достаточно просто творческого подхода к делу. Для использования «суперсилы» вам не обязательно нужно быть богом реверс-инжиниринга, но это определенно помогает таким вещам, как целочисленное переполнение или недостаточное наполнение, и вы с легкостью сможете изменять нужные значения от 0 до максимума, например, чтобы нанести смертельный ущерб противнику.



Майк Доннелли: да, всё сводится к способности мастерить хаки, например, максимально усилить свои доспехи. Такое происходит в World of Warcraft — у нас был парень, который, сидя в столице орков Оргриммаре, 100 раз снял и одел свой шлем, накачав этим свою силу со 2 до 32 уровня.

Джош Филлипс: это действительно произошло, или может быть, он просто использовал редактор памяти и сделал скриншот?

Майк Доннелли: возможно, ты прав!

Джош Филлипс: мой любимый режим – GM Mode. Некоторые компании выпускают игры с открытой возможностью реверс-инжиниринга, так что вы, став «хозяином игры» GM, сможете телепортироваться к людям, уничтожать вещи, отдавать команды и делать прочие интересные штуки. Существует ещё такой интересный хак, так кража предметов у неигровых персонажей NPC. Игра Age of Conan была одной из первых, в которой имелась уязвимость, позволяющая убить GM, и я не думаю, что её разработчиков это осчастливило.

Ведущий: благодарю всех за то, что пришли на нашу первую лекцию из серии «Беседы о науке и математике во время обеденного перерыва». Вы получили электронные письма, кроме того, вокруг этого здания кампуса расклеены расписания семи лекций, которые состоятся в этом семестре. Я хочу представить вам доктора Сьюзен Лавленд с факультета компьютерных наук, которая расскажет о том, как взламывать сайты.



Сьюзен Лавленд: в начале презентации я хочу упомянуть, что хакеры бывают всех оттенков черного и белого цветов. Сегодня я буду играть роль хакера в Черной Шляпе и выступать на темной стороне взлома потому, что быть плохой доставляет намного больше удовольствия, чем хорошей. Есть и хакеры в Белых Шляпах, которые выполняют работу для компаний компьютерной безопасности и занимаются расследованиями в области компьютерной криминалистики. Они пытаются найти уязвимости системы безопасности прежде, чем плохие парни ими воспользуются в своих целях.

Задача таких хакеров – найти уязвимость, не причиняя вреда приложению, составить отчёт о прорехе в системе безопасности и направить его компании. Сама я никогда не думала о том, чтобы взломать сайт, поэтому привела с собой содокладчика, который подготовил слайды нашей презентации (надевает на себя Чёрную Шляпу).

Данный 46-дневный видеокурс актуализирован по состоянию на 2018 год и содержит 49 видеоуроков продолжительностью от 17 до 65 минут.



Добро пожаловать, я ваш преподаватель Имран Рафаи, сегодня мы начнём нашу серию лекций с темы «Основы сети». Этот видеокурс идеально подходит не только тем, кто собирается сдавать экзамены на сертифицированного сетевого специалиста Cisco, но и тем, кто интересуется сетями или хочет начать карьеру в области сетей. Сертификат CCNA очень ценная вещь, и я призываю всех, кто стремится к совершенству в этой области, получить этот сертификат, потому что он имеет большое значение для оценки вашего профессионализма. Прежде чем продолжить, я попрошу вас сосредоточиться на первых 3-х днях обучения, потому что в эти дни я буду освещать фундаментальные понятия, которые станут основой вашей сетевой карьеры и пригодятся вам, может быть, даже через 20 лет.

Из предыдущего видео мы узнали об основах сети, а сегодня поговорим о модели OSI и модели TCP/IP. Когда я говорю моделях, то имею ввиду не что иное, как набор правил, или набор стандартов. Вы можете спросить, зачем нужен набор правил или стандартов в компьютерной индустрии? Чтобы это понять, нам нужно узнать немного об истории компьютерной индустрии.



Не так давно состоялась ожесточенная битва между IBM и Digital Equipment Corporation (DEC) за то, кто из них является ведущим производителем компьютеров. Но при этом возникла проблема. Оба этих производителя выпускали компьютерное оборудование, которое было несовместимо друг с другом. То есть если вы купили компьютер IBM, то вам нужно было приобрести для него монитор, принтер и все остальное тоже у IBM. Аналогично, если вы купили устройство от DEC, то должны были купить все аксессуары и другие устройства этого же производителя, чтобы ими можно было пользоваться.

Сегодня мы будем говорить о подсетях. Как я рассказывал в последнем видеоуроке, подсети – это очень простая концепция, и для того, чтобы её понять, вам не понадобится ручка и бумага. Я уверен, что если вы внимательно посмотрите этот видеоурок и постараетесь выучить всё, о чём я рассказываю, то знания надёжно закрепятся в вашей голове.

Когда я начал готовить эту презентацию, то понял, что подсети представляют собой обширную тему, которую нельзя уместить в одно видео, поэтому решил разделить так – дневной урок мы посвятим IP-адресам класса С, а для IP-адресов класса А и В у меня есть другое видео, которое я решил назвать вечерним уроком. Кроме того, на последнем уроке третьего дня мы рассмотрим концепцию суперсетей.

Что же такое подсети? Как мы обсудили в предыдущем видео, подсети появляются в результате разбиения на части одной большой сети.



Если посмотреть на приведённый рисунок, вы увидите одно большое помещение, разделенное внутренней стеной на 2 отдельные комнаты. Точно также одну большую сеть можно разделить на несколько сетей и использовать их как отдельные сети. Для понимания сущности подсетей нам нужно немного поговорить об IP-адресах. Есть два типа IP-адресов: частные IP-адреса и публичные IP-адреса. Что же представляет собой частный IP-адрес?

Сегодня мы узнаем о межсетевых устройствах и рассмотрим все устройства, которые требуются для вашей программы CCNA. У нас в Cisco имеется множество устройств, но для успешной сдачи экзамена вам достаточно будет знать всего о трёх устройствах. В конце этого видеоурока мы рассмотрим передачу данных, то есть как данные передаются через эти устройства. С этого видео у нас начнутся очень интересные уроки, в которых мы будем иметь дело с реальными сценариями практического использования оборудования в Cisco. Не будем тратить время и сразу перейдём к уроку. Первое устройство, которое я хочу обсудить сегодня, — это хаб.



Хаб, или сетевой концентратор — это устройство, которое каждому из вас приходилось видеть в своей сетевой среде. Многие люди называют это устройство свитчем, и я не понимаю, почему. Хаб действительно похож на свитч, у него много портов, но на этом их сходство заканчивается. Концентратор – это не интеллектуальное устройство, потому что в нём нет никаких интеллектуальных функций. У него нет аппаратной таблицы CAM или таблицы MAC, как у коммутатора.

Меня зовут Мэттью Принс, я один из соучредителей и генеральный директор сервиса CloudFlare. Не думайте, что я буду настолько же интересен, как директор АНБ, но я хотя бы постараюсь быть менее противоречивым. На самом деле я частный профессор права, так что я читал Конституцию и могу завязать на эту тему длинную дискуссию. Когда-нибудь мы обсудим это очень подробно, надеюсь, что смогу рассказать вам историю судебных исков, которые мы в настоящее время ведём против правительства Соединенных Штатов, чтобы оспорить некоторые происходящие вещи, поскольку это совершенная чушь.



Я расскажу вам менее интересную, но зато драматическую историю, которая происходила с 18 по 25 марта, когда один из наших клиентов подвергся сильнейшей DDoS-атаке. Не буду много говорить о CloudFlare, если вы хотите узнать о нашем сервисе, просто зайдите на сайт. Но когда наш клиент подвергся атаке, это стало событием из рода тех, о которых любят писать журналисты, и эта атака в течение 4-х дней подряд освещалась газетой New York Times. Это была действительно мощная атака, поэтому я хочу о ней рассказать.

Конференция BLACK HAT. Уроки выживания при DDOS-атаке 300 Гбит / с. Часть 1

Интересным в этой атаке было то, что нас не решились атаковать прямо, а пошли по цепочке наших провайдеров. Они принялись атаковать upstream-провайдеров, расположенных выше CloudFlare, и источник атаки действительно находился в Лондоне. Сначала я не был в этом уверен, но поскольку Spamhaus тоже находился в Лондоне, возможно, хакер тем самым хотел поставить их в постыдное положение. Как я говорил, техническим вдохновителем атаки вроде бы был подросток из Лондона, возможно, таким образом он мог более эффективно отследить эффект своей атаки. На этом слайде показан маршрут BGP трафика, который включал в себя максимум 30 транзитных узлов next-hop.



Я скрыл расширения адресов лондонского провайдера широкополосной связи, последний hop – это один из IP-адресов Spamhaus, их было несколько в нашей сети. Вы видите, как маршрутизировался трафик, по приведенным данным сложно определить точный путь, однако он был направлен к нашему оборудованию в Лондоне, куда попал спустя 17 миллисекунд после прохождения пограничного IP-адреса нашей сети, которая работала в Лондоне.