Главная » Блоги Экспертов И ИТ-Компаний » СОИБ. Анализ. Одна DDoS атака

СОИБ. Анализ. Одна DDoS атака

stat.pngПосле одной из предыдущих статей про DDoS атаки получил несколько ссылок на отчет NexusGuard за 2 квартал 2016 года, в котором говорится что Россия вышла на первое место по атакуемым узлам, показав рост в 1992%.  
Захотелось копнуть этот отчет подробнее.  
Оказалось, что подавляющее большинство случаев выло связанно с непрерывной двухдневной DDoSатакой на все IP-адреса провайдера Starlink. Что такого интересного было размещено у Starlink-а?
stat2.pngstat4.png
Вполне можно было бы nslookup-нуть или сделать reversednsзапросы на все ipадреса. К сожалению, оказалось, что нет бесплатных сервисов, которые позволяли выполнить такие запросы для целой сети. В OSSINTсервисах типа Maltego– ограничения на reversednsзапросы в 2 тыс IPадресов. А нам надо 65 тыс.
Подходящим вариантом оказалась довольно старая утилитка FastResolver, а также возможность заскриптовать запросы к onlineсервису reversedns (за один раз не более 256 ip)
for /L %i IN (0,1,255) DO curl http://api.hackertarget.com/reversedns/?q=77.50.%i.0/24 >> 1.csv

Далее нам надо понять какие TOPwebсайты или TOPкомпании есть в полученном списке. Убираем все домены третьего уровня типа *.starlink.*. Для доментов типа mail.*.ru, mx.*.ru, ns.*.ruделаем -> *.ruс таким расчетом что мы проверяем компанию и не исключаем вероятность что в момент ddosатаки там могли находится сайты www.*.ru, а потом были перенесены или скрыты.
 Получили список из порядка 80 доменов. Как автоматически найти TOPсреди них? Посмотреть pagerankот google, ТИЦ от Яндекса и популярность ресурса от Alexatopsite. Много сервисов позволяют сделать проверку для одного домена. К сожалению, ни один бесплатный не позволяет проверять неограниченное количество доменов сразу. Максимальное что мне удалось найти – 250 доменов на prlog.ru. В моем случае этого вполне достаточно. Результат анализа тут.
stat3.png
Как показывают результаты анализа, расположенные в сети starlinkдомены далеки от TOP. Pagerank <50%, ТИЦ не более 1200, alexa rank – ниже 16000 по России.  
Наиболее разумным объяснением такого количества атак на ipадреса сети starlinkвижу следующее – либо была атака на самого провайдера starlink(который “входит в десятку лучших интернет-провайдеров Москвы”), либо злоумышленники проводили атаку на ресурс, который, по их мнению, точно был подключен к сети starlink, но точного ip-адреса которого они не имели.  
В любом случае NexusGuard ошиблись посчитав это как 74442 отдельных DDoSатаки. Это была 1 атака.
PS: если у вас есть какие-либо подробности об этом инциденте, напишите в комментарии или лично – буду благодарен. PPS: интересный анализ недавних DDoS атак от Сергея Сторчака 


Источник: http://sborisov.blogspot.com/2016/10/ddos 23.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>