Peníze se dají vydělávat různými způsoby. Platí to i o podnikání na internetu. Diego z Brazílie je vydělává „po svém“. Prvně si ochočí trojského koně a pak ho vyšle do světa spolu s atraktivní warezovou návnadou. Diegovi pak nezbývá, než doma pohodlně ve svém tričku s nápisem „DDoS“ čekat, až návnadu „spolkne“ dostatečný počet počítačů, aby mohl efektivně zaútočit na zvolený internetový server.
Diego je také mistrem komunikace. Prvně o sobě dává vědět asi takto:
From: „Diego da Silva“
Date: Sun, 26 Aug 2007 22:06:32
Subject: websitehello,
i like your website. it very popular. you must make lots of money. if you want to keep it that way, send 1000 USD with Western Union to: Diego da Silva, Brasilia, Brazil.
if not, i will destroy your website. trust me, better to share your business, then to have no business.
have a nice day. i await your answer.
Diego
Po neúspěšném vyjednávání přichází slíbená odplata. Diego naplno využívá crowdsourcing, protože dobře ví, jak vybudovat a ochočit si komunitu. Jeho počínání nabývá skutečně mimořádných rozměrů. Webová farma, která je do útoku zapojena, čítá více než 10 000 infikovaných počítačů po celém světě, které dohromady generují datový tok větší než 1 Gbps. Cíl útoku je zasažen, server bezvládně padá na kolena, aby zase po pár hodinách vstal z mrtvých.
Diego je ale neúnavný a vytrvalý:
From: „Diego da Silva“
Date: Fri, 14 Sep 2007 21:57:57
Subject: another warningso, i see ur site is up again. to keep it that way, you know what you have to do. the increased to 2000 EUR now.
you have 2 days to pay it, or you know what will happen.
Diego da Silva,
Brasilia, Brazil
Útok trvá s přestávkami již pátý týden, vždy jde o několik hodin soustředěných požadavků na konkrétní IP adresu, přestávky mezi útoky jsou v řádu dnů. Zasažena je pokaždé celá VLAN daného zákazníka. Ostatní zákazníci nejmenované hostingové společností jsou naštěstí mimo nebezpečí.
Teď by asi bylo na místě napsat nějaký závěr, osobní hodnocení nebo něco podobného. Jenže mě nic nenapadá. Technologie se obrací proti těm, kteří je užívají v souladu s tím, pro co byly původně vytvořeny. Tak si pak vzpomenu na film Matrix a napadne mě jen .. za jak dlouho?
P.S. Příběh není smyšlený. Útok stále trvá a je cílen na internetový server jednoho ze zákazníků domácí hostingové společnosti. Za poskytnutí detailů týkajících se výše uvedeného případu děkuji svému zdroji, který si nepřál být, stejně jako hostingová společnost, jmenován 🙂
5 komentářů: “Breaking: Hosting under DDoS attack”
my vime o koho se jedna, je to nas klient,
kazdopadne absolutne odsuzuji takovouto pocitacovou „kriminalitu“ a v zadnem pripade nehodlam s takovymi „vyderaci“ vyjednavat.
Pouceni/poznamka pro vsechny:
ani ten nejlepsi cisco firewall nedokaze profiltrovat „nebezpecny“ traffic > 1Gbps a proto se takovy provoz musi „zariznout“ na routeru .
Mám pocit že na operačním systému FreeBSD se dá nastavit pomocí sysctl počet přijímaných paketů (nebo to bylo OpenBSD – to má mimochodem téměř dokonalý firewall) jako obrana proti DOS a DDOS. Možná se pletu, ale nedávno sem si s tím hrál.
Viz http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/securing-freebsd.html
Já jsem si zvykl u běžných serverů podle grafů trafficu oshapovávat rychlost přibližně na 1,5 až dvojnásobek.
Výhoda je, že při útoku libovolné velikosti to obvykle ohrozí jen daný server a neohrozí to zákazníky.
Samozřejmě u serverů s průtokem třeba 1Mbps to shapuji alespoň na desetinásobek, přecejen je potřeba nějaká rezerva pro lidi s pořádnou linkou.
cilem utoku byl gigaserver.cz, s02.gigaserver.cz, ip: 82.208.9.115
na jejich strankach to dokonce pisou …
http://www.gigaserver.cz/tiskove-zpravy-data/tiskova_zprava_121007.pdf
Četl jsem kdysi o DDOS vydírání velmi poutavě napsaný článek. Pro zájemce:
http://www.csoonline.com/read/050105/extortion.html