Главная » Блоги Экспертов И ИТ-Компаний » СОИБ. Анализ. Жертвы DDoS атак из сервиса vDOS

СОИБ. Анализ. Жертвы DDoS атак из сервиса vDOS

Наверное, многие слышали о мощных DDoSатаках в сентябре на ресурсы исследователя ИБ Брайана Кребса. История началась, когда в конце июля 2016 года Брайну удалось получить лог 150 тыс. заказов онлайн сервиса vDOS и другую информацию, благодаря которой были найдены и арестованы два владельца этого сервиса из Израиля.
База с перечнем заказов vDOSтакже была опубликована и некоторое время доступна для скачивания. В предисловии к базе было написано
“These are all the DDOS victims that were logged in the VDOS database dump. The news on their site claims: ‘not a DDoS service. You are prohibited from stressing internet connections and/or servers that you do not have ownership of or authorization to test. Abuse of our services or use in violation of our terms of service will result in being banned from our services. There shouldnt be an issue when it comes to spending slightly more than they used to.’  Decideforyourself. ”

 То есть, vDOSофициально представлялся как " target="_blank">сервис для нагрузочного тестирования администраторами своих ресурсов или пентестерами при проведении официальных работы. Но технически ничего не мешало злоумышленникам использовать его для проведения атак. Думаю, многим было бы интересно посмотреть, как всё-таки использовался данный сервис и проводили ли с его помощью атаки на ваши интернет ресурсы в 2016 году?
В базе содержались записи типа “16391012,`hukarion`,`Launched a stress test on 188.114.13.228:443  for 1200 using DNS`,`5.153.134.125 (UA)`,`21-05-2016 12:30`,`Google Chrome v47.5.2526.111 on windows`,0”

С именами столбцов: `ID`, `Username`, `Action`, `IP`, `Date`, `platform`, `hidden`

Немного улучшил исходную базу в целях удобства анализа: Выделил в отдельные столбцы IPадрес цели атаки, продолжительность атаки, тип атаки.
Технически сервис ограничивал время тестирования одного сайта за один запрос не более чем 3600 секунд или 1 час. Но в зависимости от тарифа, на который был подписан пользователь, можно было генерировать несколько параллельных запросов или каждый час создавать новый и тем самым продлевать атаку.  В итоге – суммарное время нагрузки сайта, этот один из наиболее важных показателей, который отделяет тест от атаки. В отдельном столбце вынес суммарное время атаки по одному IP.  
Из 56011 уникальных IPадресов, нагрузка на 11040 IPадресов продолжалась строго более 3600 секунд или 1 часа. Согласитесь, что даже вовремя пентеста, врядли для заказчика будет приятной недоступность сайта более одного часа. Для 1228 IPадресов атаки продолжались более 8 часов. Максимальная суммарная нагрузка на один IP30 дней.  
Базу в таком виде выкладываю по ссылке.
База позволяет проводить довольно интересный анализ действий заказчиков атак. Так если вы обнаружите, что ваш сайт был атакован с использованием сервиса vDOS, можно посмотреть логин “пользователя сервиса – заказчика атаки”, кого ещё он атаковал, в какое время подключался, какие типы атак использовал, посмотреть цепочку атаки.  По моим наблюдением подавляющее большинство пользователей сервиса vDoSиспользовали прокси-сервера и более 5 различных адресов. Стал бы администратор сайта скрывать свой IPпри тестировании своего ресурса?
Наиболее интересным было бы посмотреть на какие российские сайты проводились DDoSатаки. К сожалению, не всегда возможно точно определить целевой домен, так как несколько сайтов может размещаться на одном IP (на одном хостинге), некоторые сайты меняют адреса со временем (переезжают на другой хостинг). Но думаю, что по информации о хостинге, подвергавшемся атаке, провайдере интернет или домене второго уровня уже может дать достаточно информации владельцам ресурсов, которые знают, когда именно на них проводили атаку.
  По ip адресам целей атак (атаки на которые длились более часа) восстановил доменные имена способом, описанным в предыдущей статье, выбрал домены *.ru(всего 122) и отфильтровал атаки только по ним в отдельную базу – проверяйтесь.
%25D0%25BF%25D1%2580%25D0%25B8%25D0%25BC%25D0%25B5%25D1%2580.png
Кстати, vDOSэто не единственный подобный сервис. Их существует " target="_blank">большое количество, а после закрытия vDOSих количество только увеличилось.
Развивая аналитику из текущей статьи, можно сказать что в сервисах (DDoSBotter/ IP Stresser) в среднем: 19% атак длятся более часа, а 90% пользователей скрывает свой ip-адрес.   
PS: небольшой анализ базы vDOS для Ростовской области проводил Сергей Сторчак
PPS: прошу отметится интересны ли подобные статьи на этом блоге?


Источник: http://sborisov.blogspot.com/2016/11/ddos-vdos.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>