а розкажіть популярно про атаку
12/20/2007 | Хвізик
тільки так, щоб тупий пойняв
що то було? як його вдалося зупинити? який у нього шанс поновитися? яким чином гакерам вдавалося відстежувати спроби перевідкрити майдан на нових місцях? кули воно все поділося заре?
що то було? як його вдалося зупинити? який у нього шанс поновитися? яким чином гакерам вдавалося відстежувати спроби перевідкрити майдан на нових місцях? кули воно все поділося заре?
Відповіді
2007.12.20 | QuasiGiraffe
і додаткові питання:
-що ж ми отаке тоді написали?-чому саме зараз?
2007.12.20 | Євген Захаров
Re: і додаткові питання:
QuasiGiraffe пише:> -що ж ми отаке тоді написали?
> -чому саме зараз?
У різних людей - різні версії. Як на мене - причиною стали публікації про Голодомор, УПА, незаконні дії ФСБ.
За часом атака співпала з атакою на чотири сайти "Другой России" та на grani.ru
Атака почалася компьютерами російського походження, одразу приєдналися машини з Індію та Індокитаю. Загалом з 10040 атакуючих компів більше 7000 - іноземних.
2007.12.20 | QuasiGiraffe
Дякую
Євген Захаров пише:> Атака почалася компьютерами російського походження, одразу приєдналися машини з Індію та Індокитаю. Загалом з 10040 атакуючих компів більше 7000 - іноземних.
Ото агентура! А чи не спробувати адмінам продати ці ІР-адреси до ЦРУ
2007.12.20 | Большой Брат
Re: Дякую
Ну, IP необязательно статический. У мну, вот, "плавающий" . А некоторые компы могут даже и не подозревать, что они участники актаки...2007.12.20 | jz99
Re: і додаткові питання:
QuasiGiraffe пише:> -що ж ми отаке тоді написали?
> -чому саме зараз?
Т.Монтян вважає, що замовив Грицак
http://community.livejournal.com/maidan_org_ua/32142.html?nc=13&style=mine
... тут смакування цієї версії з шикарною ілюстрацією
http://so-matika.livejournal.com/31238.html
Тут новина про те, що саме напередодні в РФ зафіксоване розповсюдження зарази через банерну мережу (це ж скільки чайників у мережі без мережевих екранів та антивірусів)
http://www.securitylab.ru/news/309558.php
http://weblenta.net/1843
http://www.uinc.ru/news/sn9089.html
http://www.webplanet.ru/news/business/2007/12/07/utro_botnet.html
Тут інфо лабораторії Касперського про DDoS-послуги
http://daily.sec.ru/dailypblshow.cfm?rid=42&pid=19188&pos=1&stp=25&cd=4&cm=12&cy=2007
http://www.hardnsoft.ru/news.asp?id=999&page=8
Ось інфо про систему керування ботами DreamSystem
http://websecurity.com.ua/1437
На запит "BalckEnergy" гуглиться купівля-продаж софта для керування DDoS-ботами
Тут характеристики цієї системи керування, що вона вміє, яких команд слухається
http://forum.system32.name/showthread.php?p=198
Нещодавні бойові подвиги зомбі-мереж:
на початку грудня — сайт "Яблоко" та якийсь рос. сайт exler (не знаю, хто це)
http://yakovlev-igor.livejournal.com/288317.html
http://www.novayagazeta.ru/news/187265.html
http://exler.livejournal.com/640900.html
наприкінці жовтня — сайт Ющенка
http://www3.pravda.com.ua/news/2007/10/31/66102.htm
http://news.finance.ua/ua/~/1/130/all/2007/10/31/109685
http://websecurity.com.ua/1490
Про ринок DDoS-атак, зокрема в Росії та Україні
http://websecurity.com.ua/586
http://websecurity.com.ua/1487
2007.12.20 | Євген Захаров
Re: а розкажіть популярно про атаку
Це уривок з прес-релізу вчорашньої прес-конференції Харківської правозахисної групи. Майдан ще не працював. Більш детальні дані - прерогатива системнихз адмініістраторів. Повністю прес-реліз - за адресою:http://khpg.org/index.php?id=1198067045
Перша DDOS-атака на сервер, на якому розташовані сайти «Майдан», Харківської правозахисної групи (ХПГ) та Української Гельсінської спілки з прав людини (УГСПЛ) почалась напередодні Міжнародного дня прав людини – 9 грудня о 17 годині 48 хвилині за київським часом. Вона була спрямована на блокування сайту «Майдан». Атака здійснювалась мережею заражених комп`ютерів (їх ще називають «зомбі», а всю таку мережу – «бот-нетом»), які керувались з єдиного центру. Кількість таких комп`ютерів, що була зафіксована системними адміністраторами “Майдану”, становила більше 10 000, з них більше 7000 тисяч – з Росії, Індії та Індокитаю.
Мета такої атаки полягає в тому, щоб створити величезний потік запитів, з яким сервер не справляється. В результаті сайти не завантажуються. Атака була керована та контрольована: у відповідь на першу зміну адреси головної сторінки, яку здійснили, аби зменшити руйнівний вплив атаки на функціонування сайту, протягом 1,5 години адреса, на яку здійснювалась атака, була також відповідним чином змінена. Подальші спроби вийти з під атаки шляхом зміни адреси головної сторінки дозволяли повернути працездатність сайту не більш, як 0,5-1 годину. Далі «бот-нет» отримував нову ціль і все повторювалось знову.
Для захисту серверу було встановлено програмне обмеження трафіку на Сайт. Пропускались практично лише запити з України, при цьому вручну були також відключені українські «зомбі»-машини. При цьому сайти ХПГ та УГСПЛ відкрили для зовнішнього світу, і виявилося, що їх не атакують. В результаті з вечора 12 грудня всі три сайти працювали нормально дві доби, але ”Майдан” був доступний лише з українських комп’ютерів. Атака тривала й далі, але запити головної сторінки від «зомбі»-машин блокувалися. Слід відзначити, що на сайті ХПГ і на найбільшому правозахисному сайті в Росії www.hro.org з’явилися повідомлення про цю спробу задушити голос громадськості та правозахисників. Йшлося про можливих замовників і про те, що ніхто з нас не збирається замовчати. Наші повідомлення були не тільки розміщені українською, російською та англійською мовами на сайтах і різних блогах, але й розіслані до представників ПАРЄ, представництва ООН в Україні, посольств, міжнародних НУО і українських, російських і західних ЗМІ.
Приблизно о 12:30 14 грудня почалась атака нового типу. Спочатку були атаковані DNS-сервери, які підтримували мережеві імена «Майдану» та інших сайтів на цьому сервері, а невдовзі і сам сайт «Майдан» . Такий тип атак має назву «DDOS-flood», він є небезпечний тим, що унеможливлює роботу серверу практично на апаратному рівні. У зв`язку з неможливістю протистояти цій атаці наявними засобами, було ухвалено рішення зупинити сервер, блокувати до нього доступ на рівні маршрутизатора провайдера задля попередження можливої втрати інформації, що зберігалась на сайті. За даними, отриманими від провайдера, атака продовжується і зараз. За тими ж даними інтенсивність останньої атаки складала 20-22Mbit/s, або 20-35k packets/sec.
На даний момент сайти правозахисних організацій – ХПГ, УГСПЛ – нормально функціонують, сайт «Майдан» – ще ні.
Хвізик пише:
> тільки так, щоб тупий пойняв
>
> що то було? як його вдалося зупинити? який у нього шанс поновитися? яким чином гакерам вдавалося відстежувати спроби перевідкрити майдан на нових місцях? кули воно все поділося заре?
2007.12.20 | Abbot
Честно говоря, я не совсем понимаю...
зачем кацапам это нужно?Не думаю, что сайт "Майдан" массово посещают россияне (хотя бы из-за украиноязычного контента). А мнение, сложившееся о России за ее пределами никогда особо путиноидов не интересовало. И тут - такие усилия... зачем? Нет логического объяснения.
Я бы еще понял, если бы кто-то из местных блю-вайтов постарался...
2007.12.20 | SkaGenij
Re: Честно говоря, я не совсем понимаю...
Один з найчисельніших україномовних політичних форумів, на відміну від російськомовного ФУПу.2007.12.20 | QuasiGiraffe
Це могло бути замовлення. Звідси. Нєбєзвозмєздно.
Або у якості тренування.2007.12.20 | Dynamo
Re: Це могло бути замовлення. Звідси. Нєбєзвозмєздно.
Я думаю тренування. Спецоперація!! (дикість яка). Якщо чекісти там будинки підривають під час спецоперацій - то інтернет атака просто "цвєточки". В їх діях неможливо шукати логіки. Якась істерія