Georgy adalah lulusan Universitas Negeri Moskow, telah bekerja di tim Qrator sejak 2012. Dia terlibat dalam pengembangan, manajemen proyek, dan membentuk tim insinyur pra-penjualan di perusahaan. Kini ia sedang mengembangkan produk baru di Qrator, yaitu perlindungan terhadap bot online.
Kami membagikan kepada Anda transkrip siaran dan rekamannya.
β Halo semua, nama saya Georgy Tarasov. Saya bekerja untuk Qrator Labs dan mengetahui satu atau dua hal tentang serangan DDoS dan cara mengatasi ancaman ini. Pada dasarnya - dari pengalaman saya sendiri, dari pengalaman bekerja dengan klien yang menderita serangan DDoS atau mengetahui tentang ancaman yang berasal dari mereka, dan memutuskan terlebih dahulu untuk membangun pertahanan untuk diri mereka sendiri, menerapkan tindakan pencegahan, dan bersiap untuk aktivitas tersebut.
Berkomunikasi dengan lusinan, lalu ratusan (sekarang, mungkin, lebih dari seribu) organisasi yang berbeda menciptakan gambaran yang agak menarik tentang dari mana serangan itu berasal, mengapa itu terjadi, tindakan bisnis apa yang dapat menyebabkan hal ini. Dan, tentu saja, sisi teknis dari masalah ini: apa yang terjadi di sisi korban, apa yang terjadi saat transit di jaringan ke korban, siapa lagi yang bisa terkena serangan, dan banyak hal lainnya.
Hari ini kita, saya pikir, akan berbicara cukup informal: kita tidak akan menyentuh kebenaran umum, melainkan melihat efek serangan DDoS, mencoba memahami mengapa itu terjadi, dan bagaimana berperilaku ketika kita berhadapan langsung dengan DDoS penyerang yang datang ke resource Anda, ke situs promo atau ke situs bisnis yang Anda lakukan.
β Pertama, saya mungkin akan mengatakan beberapa kata tentang diri saya sendiri.Nama saya Georgy Tarasov, saya belajar di Universitas Negeri Moskow di Fakultas CMC, bermimpi melakukan komputasi terdistribusi, superkomputer, tetapi hidup berubah sedikit berbeda. Setelah lulus, saya bergabung dengan perusahaan orang-orang hebat, yang saat itu masih sedikit - sedikit lebih dari selusin. Dan mereka memberi tahu saya: pernahkah Anda mendengar sesuatu tentang serangan DDoS? Awalnya saya memutar mata: serangan DDoS seperti apa? Peretasan, kejahatan dunia maya, apa itu? Mereka segera menjelaskan kepada saya, saya mempelajari jumlah materi awal, membaca artikel; pada waktu itu - tahun 2012 - dalam hal DDoS dan perlindungan terhadap mereka, "Wild West" yang lengkap memerintah. Artinya, layanan belum mengambil posisi dominan sebagai pembela untuk usaha kecil, menengah dan besar, semua orang membela diri dengan cara improvisasi, yang dengan cara apa, menyewa spesialis untuk memasang firewall. Dan di tengah-tengah itu semua adalah perusahaan ituyang saya datangi - dan dia berusaha untuk membangun layanan berkualitas tinggi yang kurang lebih sama baik untuk situs kecil, yang diterapkan dengan sesuatu yang diterapkan dan ekonomis, dan untuk bisnis besar, yang menghadapi ancaman yang jauh lebih besar.
β Tahun demi tahun, saya jalan kerja mendorong saya lebih dekat dan lebih dekat dengan klien sendiri, untuk kasus mereka, dengan cerita dengan hubungan mereka. Akibatnya, seiring waktu, saya datang untuk melakukan pekerjaan pra-penjualan. Artinya, seorang pelanggan datang - dia sedang diserang, atau menunggunya, atau hanya ingin membangun infrastruktur yang aman untuk bisnisnya. Dia ingin terhubung ke layanan, melindungi dirinya dari serangan, membeli layanan tambahan. Dia perlu dikonsultasikan, untuk mengetahui apa yang paling cocok untuknya, untuk mendengarkan risiko apa yang dia miliki sekarang dan apa yang diharapkan, dan untuk menggabungkan gunung dengan gunung: untuk memahami jangkauan layanan apa, pengaturan apa, dalam teknis dan istilah organisasi, lebih cocok daripada yang lain agar dia menghilangkan rasa sakit, ketegangan dan masalah yang dia datangi.
β kami tidak selalu sederhana dan cepat; terkadang klien harus terhubung selama berbulan-bulan, berkomunikasi dengan mereka. Papan tulis, pembuatan bagan, pendekatan berulang ("tidak berhasil, coba yang berbeda") semuanya ternyata merupakan kegiatan yang sangat menyenangkan. Nah, plus - database besar kontak organisasi dari semua bidang aktivitas Internet, semua segmen pasar, organisasi dari bisnis dan bukan dari bisnis, pelatihan, misalnya. Masing-masing - dengan infrastruktur, tujuan, sasaran, dan kesulitan uniknya sendiri terkait dengan serangan DDoS. Sebuah teka-teki menarik telah muncul dari ini, dan sekarang memungkinkan saya, melihat kembali pengalaman ini, untuk melanjutkan dan membantu perusahaan kami melakukan diversifikasi produk, meluncurkan hal-hal baru. Sekarang, misalnya, topik terpenting bagi saya adalah perang melawan pencakar, yaitu, dengan bot dari antara mereka yang secara terang-terangan merugikan,karena goresannya berbeda. Kami secara khusus melawan mereka yang, dengan pengikisan, kekerasan, penguraian, menyakiti klien yang datang kepada kami. Ini adalah aktivitas perlindungan DDoS yang serupa, terkait, meskipun tidak sepenuhnya terkait langsung. Hal utama adalah bahwa platform dan tumpukan teknologi serupa.
β Mari mendapatkan kembali ke serangan DDoS: kita berbicara tentang mereka hari ini, dan kami juga berbicara tentang mereka enam bulan yang lalu, dan kita berbicara tentang mereka berkali-kali setiap tahun, tetapi, bagaimanapun, mereka tidak hilang di mana saja. Mereka masih bersama kita.
Saya harus mengatakan bahwa, terlepas dari evolusi mereka dalam hal teknis, munculnya vektor baru, pertumbuhan bandwidth dan peningkatan intensitas serangan, alat dan pendekatan yang digunakan serangan DDoS tidak banyak berubah selama 30 tahun terakhir. Mari kita bandingkan ini dengan aktivitas peretas, dengan peretasan, dengan pencarian lubang, kerentanan, berbagai metode penetrasi melalui perlindungan aplikasi orang lain dan mengekstraksi data darinya. Kami memiliki kerentanan - dalam kerangka kerja, komponen, aplikasi internal; sebuah lubang ditemukan di dalamnya. Ada vektor serangan yang mengeksploitasinya. Seorang peneliti datang, topi putih datang - atau serangan nyata terjadi; pengembang, spesialis keamanan menutup lubang. Nanti mungkin muncul dalam bentuk yang dimodifikasi lagi, di suatu tempat di versi baru kerangka kerja atau dalam solusi serupa, tetapi episode tertentu tetap ada dalam sejarah.Kami tidak mungkin melihat pengulangan literal.
β serangan DDoS yang berbeda.Vektor serangan yang persis sama, menggunakan protokol yang sama, metode yang sama hingga tanda tangan lalu lintas, terus memalu situs dan jaringan selama beberapa dekade. Mereka jarang meninggalkan tempat: hanya vektor yang menggunakan protokol yang benar-benar usang yang ditutup pada perangkat apa pun yang keluar. Meski terkadang ada candaan. Jika kita melihat daftar protokol aplikasi melalui protokol transport UDP yang digunakan dalam serangan volumetrik skala besar menggunakan amplifikasi, kita akan melihat pameran menarik yang, bersama dengan TNS, ATP, SSDB, digunakan sepanjang waktu. Ada, misalnya, protokol MotD, RIPv1. Pergi ke perusahaan mana pun, tanyakan devops atau admin - apakah ada setidaknya satu komponen atau titik akhir yang mendengarkan atau menulis yang menggunakan ini? Yang paling disukai,mereka akan melihat Anda seperti Rip van Winkle dari Washington Irving yang tidur selama 100 tahun dan meminta beberapa omong kosong museum yang tidak relevan. Namun demikian, jika ada lubang, maka air pasti akan masuk ke dalamnya. Jika di suatu tempat ada port terbuka untuk protokol ini dan, Tuhan melarang, ada beberapa komponen sistem standar yang dapat mendengarkan pada port ini, maka serangan dapat pergi ke sana. Oleh karena itu, kebun binatang solusi untuk mengatur DDoS tidak bergerak dalam skala historis dari titik A ke titik B. Dari titik A terus berkembang luas dan mendalam dengan segala macam metode baru sebagai protokol baru muncul, berkembang, mereka diimplementasikan oleh perusahaan besar, dan mereka berisi trik dan skema mereka untuk menyakiti pihak penerima yang membaca protokol.yang tidur selama 100 tahun dan meminta omong kosong museum yang tidak relevan. Namun demikian, jika ada lubang, maka air pasti akan masuk ke dalamnya. Jika di suatu tempat ada port terbuka untuk protokol ini dan, Tuhan melarang, ada beberapa komponen sistem standar yang dapat mendengarkan port ini, maka serangan dapat masuk ke sana. Oleh karena itu, kebun binatang solusi untuk mengatur DDoS tidak bergerak dalam skala historis dari titik A ke titik B. Dari titik A terus berkembang luas dan mendalam dengan segala macam metode baru sebagai protokol baru muncul, berkembang, mereka diimplementasikan oleh perusahaan besar, dan mereka berisi trik dan skema mereka untuk menyakiti pihak penerima yang membaca protokol.yang tidur selama 100 tahun dan meminta omong kosong museum yang tidak relevan. Namun demikian, jika ada lubang, maka air pasti akan masuk ke dalamnya. Jika di suatu tempat ada port terbuka untuk protokol ini dan, Tuhan melarang, ada beberapa komponen sistem standar yang dapat mendengarkan port ini, maka serangan dapat masuk ke sana. Oleh karena itu, kebun binatang solusi untuk mengatur DDoS tidak bergerak dalam skala historis dari titik A ke titik B. Dari titik A terus berkembang luas dan mendalam dengan segala macam metode baru sebagai protokol baru muncul, berkembang, mereka diimplementasikan oleh perusahaan besar, dan mereka berisi trik dan skema mereka untuk menyakiti pihak penerima yang membaca protokol.Jika di suatu tempat ada port terbuka untuk protokol ini dan, Tuhan melarang, ada beberapa komponen sistem standar yang dapat mendengarkan pada port ini, maka serangan dapat pergi ke sana. Oleh karena itu, kebun binatang solusi untuk mengatur DDoS tidak bergerak dalam skala historis dari titik A ke titik B. Dari titik A terus berkembang luas dan mendalam dengan segala macam metode baru sebagai protokol baru muncul, berkembang, mereka diimplementasikan oleh perusahaan besar, dan mereka berisi trik dan skema mereka untuk menyakiti pihak penerima yang membaca protokol.Jika di suatu tempat ada port terbuka untuk protokol ini dan, Tuhan melarang, ada beberapa komponen sistem standar yang dapat mendengarkan pada port ini, maka serangan dapat pergi ke sana. Oleh karena itu, kebun binatang solusi untuk mengatur DDoS tidak bergerak dalam skala historis dari titik A ke titik B. Dari titik A terus berkembang luas dan mendalam dengan segala macam metode baru sebagai protokol baru muncul, berkembang, mereka diimplementasikan oleh perusahaan besar, dan mereka berisi trik dan skema mereka untuk menyakiti pihak penerima yang membaca protokol.Dari titik A, itu terus tumbuh secara luas dan mendalam dengan segala macam metode baru ketika protokol baru muncul, berkembang, diperkenalkan oleh perusahaan besar, dan mengandung lelucon dan skema mereka sendiri untuk menyakiti pihak penerima yang membaca protokol. .Dari titik A, itu terus tumbuh secara luas dan mendalam dengan segala macam metode baru ketika protokol baru muncul, berkembang, diperkenalkan oleh perusahaan besar, dan mengandung lelucon dan skema mereka sendiri untuk menyakiti pihak penerima yang membaca protokol. .
β metode Old tidak meninggalkan arena.Contoh sederhana: jika Anda melihat sedikit ke dalam sejarah, dalam kasus pertama yang tercatat dari serangan DDoS besar pada pertengahan akhir 90-an, yang sudah menjadi berita saat itu - yaitu, mereka tidak diperhatikan oleh sejarawan dan peneliti setelah bertahun-tahun, tetapi langsung menjadi berita utama - TCP SYN Banjir vektor digunakan. Artinya, ini adalah serangan menggunakan paket TCP SYN. Siapa pun yang sedikit pun akrab dengan topik serangan DDoS, yang telah membaca buku atau menonton presentasi dan artikel tentang topik ini, kemungkinan besar melihat deskripsi serangan semacam itu di halaman pertama. Ini, bisa dikatakan, adalah kasus buku teks menghasilkan jumlah lalu lintas murah yang cukup besar, biaya pemrosesan yang di sisi server akan menjadi jauh lebih tinggi daripada biaya pembuatannya di pihak penyerang - a botnet, beberapa perangkat yang digunakannya.Jika kita melihat statistik serangan untuk 2020-21, misalnya, kita akan melihat bahwa TCP SYN Flood belum kemana-mana, serangan seperti itu masih terjadi di alam liar, dan digunakan oleh pelaku bisnis besar dan kecil. Alat dan botnet yang menghasilkan lalu lintas TCP juga tidak ke mana-mana, karena serangan ini - bahkan setelah disesuaikan dengan bagaimana kinerja komputer dan bandwidth saluran Internet dan jaringan perusahaan telah berubah selama 30 tahun terakhir - menghasilkan hasil yang sama efektifnya . .. Tidak ada gunanya menyerah begitu saja. Hal lain adalah bahwa dunia telah belajar untuk membela diri sedikit lebih baik dari mereka, tetapi ada beberapa keberatan di sini juga.yang menghasilkan lalu lintas TCP masih ada, karena serangan ini - bahkan setelah disesuaikan dengan bagaimana kinerja komputer dan bandwidth saluran Internet dan jaringan perusahaan telah berubah selama 30 tahun terakhir - memberikan hasil yang sama efektifnya. Tidak ada gunanya menyerah begitu saja. Hal lain adalah bahwa dunia telah belajar untuk mempertahankan diri sedikit lebih baik dari mereka, tetapi ada beberapa keberatan di sini juga.yang menghasilkan lalu lintas TCP masih ada, karena serangan ini - bahkan setelah disesuaikan dengan bagaimana kinerja komputer dan bandwidth saluran Internet dan jaringan perusahaan telah berubah selama 30 tahun terakhir - memberikan hasil yang sama efektifnya. Tidak ada gunanya menyerah begitu saja. Hal lain adalah bahwa dunia telah belajar untuk mempertahankan diri sedikit lebih baik dari mereka, tetapi ada beberapa keberatan di sini juga.
Kita akan berbicara tentang pertahanan sedikit kemudian, tetapi untuk saat ini mari kita coba melihat angka-angka dan menjawab pertanyaan: mengapa serangan terjadi? Berikut beberapa data historis yang kami ambil dari klien, organisasi, dan bisnis tempat kami bekerja selama beberapa tahun terakhir.
Jelas bahwa serangan bukanlah semacam tindakan terjadwal, itu lebih seperti bencana alam. Anda tidak tahu kapan itu akan terjadi, tetapi Anda harus selalu siap untuk menghadapinya. Biasanya tidak berlangsung lama - dengan pengecualian kasus-kasus tertentu, yang akan kita pertimbangkan nanti; terbang masuk, memecahkan segalanya, menumpuk sampah di mana-mana dan menghilang, seolah-olah dia tidak pernah ada. Yang tersisa bagi korban adalah me-reboot server, me-restart database dan mengembalikan sumber daya mereka secara online.
Serangan DDoS
β The motivasi untuk serangan DDoS , yang kami berhasil mencari tahu tentang, adalah, sampai batas tertentu, berdasarkan kesempatan untuk menjadi kaya tentang topik ini. Kami memiliki data seperti itu tentang cerita ini.
Artinya, semua poin ini, yang menurutnya seseorang dapat mengatur serangan DDoS pada orang lain, cukup dapat dimengerti. Dendam pribadi, masalah dan keyakinan politik; persaingan tidak sehat - ini akan menjadi cerita terpisah, yang mungkin sudah kami ceritakan berkali-kali, tetapi mungkin tidak semua yang hadir di siaran kami telah mendengarnya. Sekarang Anda tidak mungkin melihat situasi ketika satu bank memerintahkan serangan DDoS ke bank lain, lebih menguntungkan bagi mereka untuk hidup berdampingan di bidang informasi daripada mencoba menempatkan satu sama lain; itu adalah senjata bermata dua. Kecil kemungkinan Anda akan melihat toko online yang memiliki lalu lintas DDoS-it yang berbeda, bahkan jika kita berbicara tentang ritel besar.
Namun demikian, pada awal masa muda kita ada episode yang menarik:ada satu toko online barel cedar. Dia tidak menjual minyak kacang pinus atau kacang pinus - dia secara khusus menjual barel untuk keperluan industri oleh pekerja makanan. Ini adalah bisnis utama mereka, menjual barel melalui situs; kita dapat mengatakan bahwa mereka termasuk yang pertama melakukan ini. Dan ketika kami berbicara dengan klien tentang serangan terhadapnya, ternyata ada toko online lain dari tong cedar, dan ada perseteruan darah nyata di antara mereka: pesaing terus-menerus DDoS situs satu sama lain, dalam mode non-stop, mencoba untuk mematikan aliran pelanggan. Nah, apakah ada banyak pelanggan untuk tong cedar - kita dapat mengatakan bahwa ini adalah orang yang sama yang datang ke satu tempat atau ke tempat lain, dan tidak mungkin memesan di kedua tempat sekaligus. Oleh karena itu, tetesan klien ini adalah perjuangan hidup dan mati.
β kasus lucu lain dari sejarah kompetisi dan serangan DDoS, yang juga terjadi di negara kita, adalah situs penyihir, penyihir, esoteris, peramal, dukun, perapal mantra dan lain-lain ... pengusaha dari bidang ini, sehingga untuk berbicara. Ternyata alih-alih merusak, mata jahat dan segala macam kutukan satu sama lain untuk mengalihkan pelanggan dan melanggar reputasi publik, mereka menggunakan metode yang lebih modern dan teknis, memerintahkan DDoSer untuk menyerang situs satu sama lain.
β Kedua kasusSaya mengingatnya dengan sangat baik, karena tidak ada segmen pasar legal lain yang pernah kita lihat perang bisnis yang berada pada level yang sama - ketika bisnis tertentu saling bertarung menggunakan metode yang tidak bermoral seperti itu. Tentu saja, ada juga area abu-abu yang tidak kami tangani sebagai perusahaan; Ada juga aktivitas ilegal di mana serangan DDoS terjadi setiap jam, tetapi ini bukan tentang mereka.
β Apa yang kita ketahui tentang menghadapi serangan DDoS hari ini?Apakah jam beban parasit, atau ledakan lalu lintas 5 detik yang merobohkan router? Faktanya, jika Anda mengambil rata-rata untuk rumah sakit, dengan mempertimbangkan kamar mayat dan krematorium, Anda tidak mendapatkan satu atau yang lain. Sesuatu yang dimediasi. Tahun lalu, durasi rata-rata, menurut laporan tahunan kami, adalah sekitar 5 menit;
Berkenaan dengan botnet dan keterlibatannya dalam lanskap DDoS modern.
Botnet terbesar yang kami amati, dan dari mana kami melindungi klien kami dari serangan, adalah sekitar 200 ribu sumber. Ini adalah alamat IP unik - kita tidak berbicara tentang sumber lalu lintas, yang dapat kita asumsikan dari kapasitas serangan, tetapi tentang serangan di mana sesi yang valid digunakan, di mana sumber harus mengkonfirmasi dirinya sendiri melalui TCP-jabat tangan atau protokol tingkat yang lebih tinggi dan sesi. Artinya, ini adalah perangkat pengguna Internet yang valid dari mana lalu lintas DDoS datang ke korban.
Ini bukan untuk mengatakan bahwa semua DDoS di dunia berasal dari botnet klasik seperti itu. Sekarang saya akan menjelaskan secara singkat, dalam urutan kebenaran umum, bagaimana mereka muncul sama sekali, agar tidak membahas ini nanti. Botnet adalah jaringan perangkat yang dikendalikan oleh penyerang yang memiliki kemampuan untuk melakukan tindakan tertentu pada setiap perangkat di jaringan ini - misalnya, menghasilkan lalu lintas. Karena ini, serangan penolakan layanan terdistribusi terjadi: penyerang memberikan perintah, perangkat mengirim lalu lintas dalam berbagai bentuk dan pada tingkat yang berbeda - paket, permintaan, bit - ke target yang ingin ia nonaktifkan. Beginilah cara kami terbiasa melihat serangan DDoS: ada ribuan mesin yang terinfeksi, dan seorang peretas dari pusat C&C - mesin yang ia kendalikan - mengirimkan perintah siaran secara terpusat. Misalnya, "kirim lalu lintas UDP ke alamat X",itulah yang terjadi. Tetapi sekarang proses ini mungkin terlihat sedikit berbeda, karena lapisan serangan yang signifikan menggunakan pendekatan amplifikasi lalu lintas (amplifikasi). Idenya adalah bahwa botnet tidak mengirimkan lalu lintas langsung ke sumber daya korban. Tugas botnet adalah untuk menghasilkan beberapa arus lalu lintas awal, yang bisa kecil (dari urutan ratusan megabit), dan dengan memanfaatkan fitur protokol aplikasi berbasis UDP - misalnya, DNS - memaksa sejumlah besar server DNS di jaringan (banyak jaringan memiliki sejumlah besar DNS -server yang tidak dilindungi dari menggunakannya dalam serangan seperti itu) menerima permintaan tanpa benar-benar memeriksa dari siapa dan menjalankannya. Misalnya, mereka mengirimkan zona domain puluhan kilobyte ke beberapa alamat, yang tidak jelas milik siapa, dan tidak jelas apakah alamat ini mengirim permintaan ini.Dengan demikian, arus lalu lintas awal melewati ribuan server DNS yang tidak dikontrol langsung oleh peretas - server ini hanya ada di Internet dan siap memproses kueri tanpa memeriksa dari mana asalnya. Karena skema ini, lalu lintas seratus megabit yang dihasilkan oleh penyerang menggunakan botnet yang relatif kecil (bisa hanya beberapa lusin mesin) berubah menjadi bandwidth puluhan gigabit per detik yang terbang dari server nama ini ke korban.yang dihasilkan penyerang dengan bantuan botnet yang relatif kecil (bisa hanya beberapa lusin mesin) berubah menjadi puluhan gigabit per detik dari bandwidth yang terbang dari server nama ini ke korban.yang dihasilkan penyerang dengan bantuan botnet yang relatif kecil (bisa hanya beberapa lusin mesin) berubah menjadi puluhan gigabit per detik dari bandwidth yang terbang dari server nama ini ke korban.
β Apa yang harus dilakukan dengan kasus seperti itu? Melarang sumber dari mana lalu lintas datang - dengan cara ini Anda dapat memblokir setengah dari Internet, karena mereka bahkan tidak memiliki hubungan langsung dengan peretas dan botnet. Di sini kita memerlukan mekanisme lain untuk memerangi lalu lintas ini - setidaknya, perlu dikeringkan di suatu tempat agar tidak masuk ke mesin yang diserang, dan pada saat yang sama tidak mengingat alamat sumber dan tidak mencoba menerapkan sanksi apapun kepada mereka.
Ternyata beberapa serangan masih datang langsung dari botnet menggunakan sesi yang valid dan alamat IP yang valid, dan beberapa - terutama yang menggunakan metode amplifikasi - sama sekali tidak berasal dari botnet itu sendiri. Botnet digunakan di sana hanya sebagai busi di mesin. Hal ini tidak selalu yang jadi masalahnya; amplifikasi adalah cerita yang relatif baru. Jika Anda melihat kasus besar, maka kita telah hidup dengan serangan jenis ini hanya selama 10 tahun terakhir, mungkin kurang. Hal lain adalah apa yang sebenarnya membuat mereka begitu populer, apa yang sebenarnya membuat mereka berbahaya seperti metode tradisional - di sini akan menarik untuk mempertimbangkan, mungkin, kasus paling terkenal ke publik, yang terjadi pada tahun 2016. Kemudian dunia mengetahui bahwa botnet tidak hanya komputer yang terinfeksi virus, tetapi juga kamera IPTV, pembuat kopi, oven microwave, "rumah pintar",gerbang dengan Wi-fi dan lainnya. Pada titik tertentu, perkembangan, popularitas, dan prevalensi "Internet of Things" - berbagai perangkat dengan akses Internet - mencapai titik kritis di mana penjahat dunia maya menjadi tertarik untuk menggunakannya daripada PC yang lebih sulit digunakan, server perusahaan , server publik, dan sebagainya. untuk menghasilkan lalu lintas.
β terkenal Mirai botnetdidasarkan pada puluhan ribu kamera IPTV dari produsen tertentu, di mana firmware yang sama dipasang, tidak ada perlindungan dari kontrol eksternal yang diberikan, dan akses Internet tidak selalu terikat ke jaringan lokal. Setidaknya panel admin dapat diakses melalui Internet, dan ini sudah cukup untuk menggunakan perangkat keras kecil untuk menghasilkan lalu lintas. Dan, meskipun satu kamera tidak akan dapat menghasilkan banyak - ia memiliki saluran kecil - ada puluhan dan ratusan ribu perangkat seperti itu, dan tersebar secara maksimal di seluruh dunia. Bahaya serangan semacam itu, dari sudut pandang metode pertahanan tradisional, sangat tinggi. Ini dimanfaatkan oleh penulis Mirai dan mereka yang mengikuti mereka dengan menyalin dan menempelkan pendekatan ini dan menyebarkan botnet mereka. 2016-17 adalah lonjakan nyata dalam hal serangan amplifikasi,yang menggunakan botnet semacam ini sebagai sumber utama lalu lintas. Kisah ini berlanjut sekarang: kotak-kotak baru terus bermunculan, dan keamanannya terhadap peretasan dan eksploitasi tetap pada tingkat yang sama, karena murahnya dan produksi massal adalah yang utama. Hal lain adalah bahwa dunia telah belajar untuk mempertahankan diri sedikit lebih baik terhadap mereka, seperti dalam kasus serangan SYN Flood. Agak sulit untuk mengarahkan aliran lalu lintas seperti itu dari IPTV, petugas keamanan sudah terlalu terbiasa dengan cerita seperti itu.seperti serangan SYN Flood. Agak sulit untuk mengarahkan aliran lalu lintas seperti itu dari IPTV, petugas keamanan sudah terlalu terbiasa dengan cerita seperti itu.seperti serangan SYN Flood. Agak sulit untuk mengarahkan aliran lalu lintas seperti itu dari IPTV, petugas keamanan sudah terlalu terbiasa dengan cerita seperti itu.
Mengenai "memanggil para pahlawan dengan nama" - Saya, sayangnya, tidak dapat / tidak akan melakukan ini. Tapi informasi ini, pada prinsipnya, publik, Anda dapat membaca investigasi tentang Mirai. Jika seseorang tertarik, penyelenggara akan memiliki kontak saya - saya dapat membagikan tautan ke materi yang menarik, termasuk yang saya pelajari sendiri, dan yang ditulis oleh perusahaan kami tentang topik ini. Namun cerita dengan Mirai, kamera dan bagaimana aktivitas ini ditemukan sudah menjadi warisan sejarah, dan Anda dapat menemukannya di banyak tempat.
β Salah satu cara atau yang lain, kisah ini belum berakhir dengan cara apapun.Hal lain adalah bahwa metode serangan lain telah berhenti dalam bahaya dan intensitasnya seperti yang ditunjukkan Mirai pada tahun 2016. Serangan pada waktu itu sekitar 600-700 gigabit per detik bandwidth, pada waktu itu - angka yang belum pernah terjadi sebelumnya. Ini hampir 10 kali lipat dari serangan yang terlihat di alam liar. Sekarang Anda tidak akan mengejutkan siapa pun dengan angka seperti itu: sejak awal Mirai, pertumbuhan kecepatan serangan telah lama melampaui terabit per detik dan terus bertambah. Koneksi broadband dan tulang punggung penyedia yang andal berkontribusi dalam hal ini.
β Adapun apa yang kita lihat dari kegiatan ini.Terlepas dari kenyataan bahwa Mirai sebagian besar adalah cerita Barat, sepotong mencapai klien kami di Rusia. Ini terjadi pada tahun berikutnya setelah kejadiannya: serangan terbesar untuk Federasi Rusia pada waktu itu, yaitu sekitar 500 gigabit per detik, terbang ke kami. Tentu saja, setengah terabit sudah menjadi sosok yang cukup populer di DDoS-ology global, tetapi untuk situs Runet, yang infrastrukturnya berlokasi di Rusia dan terhubung ke penyedia kami, itu adalah sesuatu dengan sesuatu. Untungnya, kami dengan cepat dan efektif merobohkan serangan itu, dan pertemuan berikutnya dengan botnet semacam itu tidak lagi mengejutkan baik bagi kami maupun bagi pelanggan kami.
Serangan DDoS di darknet
β Saya memiliki sebuah pertanyaan yang menarik pada agenda saya:berbicara tentang apa yang terjadi dalam serangan DDoS di darknet. Artinya, organisasi, perilaku, metode, metode perlindungan. Topik serangan DDoS di darknet tidak pernah menjadi perhatian khusus kami sebagai perusahaan: untuk alasan yang jelas, klien darknet tidak datang kepada kami untuk membela diri. Spesifik pekerjaan di mana mereka mendapatkan uang, dan basis pengguna mereka sendiri yang datang ke sumber daya mereka, tidak cenderung masuk ke dalam hubungan semacam ini dengan layanan keamanan. Tentu saja, ada pengecualian di dunia. Jelas bahwa di mana ada permintaan, ada penawaran, dan persaingan di darknet memiliki jenis dan kedok yang kurang lebih sama seperti di jaringan publik. Oleh karena itu, serangan DDoS sebagai cara untuk mematikan pesaing atau membuat seseorang membayar uang tebusan untuk menghentikan serangan DDoS, secara bertahap meninggalkan berita utama artikel berita di Internet publik,terus berkembang subur di jaringan Tor dan di darknet pada umumnya.
Jelas bahwa struktur Tor agak berbeda dari apa yang kita miliki di jaringan publik. Koneksi darknet dengan Internet publik, yang dilakukan melalui node keluar (guard node), itu sendiri merupakan hambatan dan tidak memiliki sejumlah besar lalu lintas yang mengalir dari darknet ke publik (dan sebaliknya). Namun demikian, di zaman kuno (2012-14), hal seperti menyembunyikan pusat C&C botnet yang ada di jaringan publik di dalam jaringan Tor terjadi. Artinya, seorang peretas menyimpan komputer C&C-nya di darknet, mengirimkan lalu lintas kontrol melalui Tor ke botnet yang terletak di jaringan publik, dan serangan terhadap situs terjadi di jaringan publik. Untuk penyerang, keuntungannya adalah jika C&C di jaringan publik dapat ditangkap - ada metode khusus yang digunakan oleh spesialis keamanan informasi dan forensik untuk menemukan pusat kendali,mencegat mereka dan menemukan pemiliknya jauh lebih sulit dilakukan di darknet. Tapi toko ini tidak bertahan lama, karena beberapa alasan. Pertama, pekerjaan C&C, mengirimkan lalu lintas kontrol ke puluhan, ratusan atau ratusan ribu mesin untuk memulai serangan - bahkan beban seperti itu, yang kecil dari sudut pandang jaringan publik (lalu lintas titik kontrol), adalah sangat terlihat dan signifikan untuk Tor. Pada tahun 2013, ketika salah satu botnet utama menetapkan pusat C&C-nya pada sumber daya bawang, lalu lintas yang dihasilkannya cukup terlihat untuk memperlambat seluruh segmen jaringan Tor. Tidak semua orang menyukainya, tentu saja. Dan yang paling penting, jika serangan telah terjadi atau dicegah, dan lembaga penegak hukum, perusahaan keamanan informasi, ahli forensik terlibat dalam penyelidikan serangan, maka jika botnet telah disusupi,benang mengarah ke simpul keluar dari torus. Dan, seperti biasa dalam kasus ini, pemilik node keluar mendapat batasan. Peretas sendiri tidak secara langsung terancam, tetapi menutup simpul keluar dan meminta pertanggungjawaban pemilik (walaupun pemilik tidak secara khusus terkait dengan serangan ini) membuat infrastruktur Tor tidak dapat digunakan di masa mendatang, termasuk untuk tindakan serupa lainnya. Oleh karena itu, agar tidak memotong cabang tempat penyelenggara serangan itu sendiri duduk, mereka meremehkan kegiatan ini, dan sekarang tidak lagi terlihat.tetapi menutup simpul keluar dan meminta pertanggungjawaban pemilik (walaupun pemilik tidak secara khusus terkait dengan serangan ini) membuat infrastruktur Tor tidak dapat digunakan di masa mendatang, termasuk untuk tindakan serupa lainnya. Oleh karena itu, agar tidak memotong cabang tempat penyelenggara serangan itu sendiri duduk, mereka meremehkan aktivitas ini, dan sekarang tidak lagi terlihat.tetapi menutup simpul keluar dan meminta pertanggungjawaban pemilik (walaupun pemilik tidak secara khusus terkait dengan serangan ini) membuat infrastruktur Tor tidak dapat digunakan di masa mendatang, termasuk untuk tindakan serupa lainnya. Oleh karena itu, agar tidak memotong cabang tempat penyelenggara serangan itu sendiri duduk, mereka meremehkan kegiatan ini, dan sekarang tidak lagi terlihat.
Ketika datang untuk menemukan pusat kendali botnet dan pemiliknya, itu bukan cerita kami. Kami menangani secara khusus perlindungan terhadap serangan, bukan investigasi dan pencarian penyelenggara, meskipun informasi yang kami miliki membantu perusahaan infosec melakukan pekerjaan mereka - khususnya, pencarian. Satu kasus seperti itu telah banyak berlalu di depan mata saya, jadi saya akan membagikannya dengan senang hati. Pada tahun 2014, salah satu klien kami - bank besar dengan kehadiran online yang besar - terkena serangkaian serangan DDoS, yang cukup hebat. Kami berhasil menyaringnya dan melindungi klien. Klien tidak berhenti di situ dan beralih ke spesialis informasi untuk menemukan sumber serangan dan penyelenggaranya. Mereka memiliki pertimbangan bahwa sejumlah serangan yang terjadi pada sumber daya mereka, menggunakan tumpukan teknis yang kurang lebih sama,bisa saja berasal dari tempat yang sama dan memiliki sifat yang sama - yaitu, kemungkinan besar, pelanggan dan penyelenggaranya sama. Apa yang dilakukan orang-orang dari infobesitas: mereka dengan cepat menemukan botnet itu sendiri, dari mana lalu lintas dihasilkan - ini adalah hal yang paling sederhana. Dan kemudian mereka mengaitkan honeypot mereka sendiri - mesin yang sama - ke dalam botnet ini untuk menangkap momen ketika tim kontrol datang untuk menyerang beberapa sumber daya. Selama kasus serangan berikutnya, mereka tidak hanya menemukan mesin yang mengontrol awal dan proses serangan, tetapi juga menemukan bahwa ada panggilan ke sumber daya yang diserang dari mesin yang sama. Artinya, penyerang-penyelenggara serangan, secara paralel dengan memutar kenop untuk mengirim lalu lintas sampah, sendiri datang ke sumber daya - untuk memeriksa bagaimana dia ada di sana, masih hidup atau jatuh. Pada dua tanda ini ia ditemukan, dibandingkan,menemukan pemilik mobil. Kemudian cerita berubah menjadi kasus kriminal; akhirnya agak membosankan, dan tidak ada hubungannya dengan bidang teknis. Namun, dapat dimengerti bahwa cerita serupa lebih sulit dengan darknet. Pintu keluar tentu saja akan menjadi pemilik simpul keluar, dan apa yang terjadi pada mereka di Rusia - sudah saya katakan.
Ini menyangkut serangan dari jaringan Tor di luar, sekarang - tentang apa yang terjadi di dalam darknet itu sendiri. Di sana DDoS mekar dalam warna yang subur, dari segala jenis dan garis. Yang menarik - misalnya, dalam statistik kami selama beberapa tahun terakhir, Anda dapat melihat serangan itu di level 7 - yaitu, di level aplikasi, yang menggunakan HTTP, permintaan HTTPS, pilih URL tertentu ...
T: Apakah Anda berhasil menanam? Jika tidak, mereka masih akan menyerang dengan impunitasYa, itu mungkin untuk membuktikan dan menuntut penyerang. Benar, ini tidak terjadi di Federasi Rusia, tetapi di negara tetangga.
... yah, serangan tingkat aplikasi sekarang hanya mencakup sebagian kecil dari statistik. Sebagian besar serangan yang kita lihat secara teratur adalah TCP, UDP, banjir paket, amplifikasi. Yaitu, metode yang lebih primitif yang lebih murah di organisasi, yang memiliki lebih banyak alat untuk diterapkan dan dimulai dengan cepat. Mereka tidak perlu banyak persiapan sebelum menyerang situs mana pun - cukup untuk menggunakan "senjata" ini ke arah umum korban dan menendangnya keluar. Serangan aplikasi selalu merupakan penelitian awal, mencari tahu bagaimana aplikasi yang akan diserang bekerja, bagaimana infrastruktur bekerja, di mana paling efisien untuk memalu - ke URI mana, ke dalam komponen aplikasi mana. Pekerjaan ini membutuhkan uang untuk penyelenggara, dan dalam hal biaya, metode serangan seperti itu jauh lebih tinggi daripada obat generik.Dan obat generik populer dan murah, juga karena sejak Mirai, 15-16, industri mengatur serangan DDoS dan, secara umum, aktivitas atas dasar ini telah menjadi industri jasa.
Yaitu, hal seperti "mengatur DDoS sesuai pesanan" - tulis ke beberapa peretas, suruh dia meletakkan situs tertentu pada waktu tertentu - ini praktis hilang. Karena pemilik botnet dan pemilik botnet telah menemukan cara yang lebih menguntungkan untuk menghasilkan uang dari kerajinan mereka. DDoS sebagai layanan bekerja dengan cara yang sama seperti layanan berlangganan legal - perlindungan, CDN, akselerasi situs. Botnet diberikan kepada klien dalam bentuk bersama: yaitu, beberapa kapasitas diberikan kepada pelanggan untuk digunakan selama waktu tertentu dengan harga tertentu. Katakanlah serangan 5 menit dengan rentetan yang signifikan akan menelan biaya $ 10. Jelas bahwa marjinalitas bagi pemilik masih tinggi: itu jauh lebih menguntungkan daripada pesanan satu kali dari individu yang meragukan, yang dapat diserahkan kepada pihak berwenang.Pekerjaan layanan jauh lebih dimediasi dan tidak menghubungi pelanggan secara langsung, sementara keterlibatan botnet semacam itu dalam serangan jauh lebih tinggi. Artinya, perangkat yang terinfeksi digunakan untuk menghasilkan lalu lintas sampah dengan lebih efisien. Layanan semacam itu - mereka juga disebut "mentega" - tumbuh seperti jamur; mereka dimusnahkan, mereka dihancurkan, penyelenggara ditemukan, tetapi mereka segera tumbuh kembali. Contoh paling terkenal dari "buters" adalah layanan yang disebut vDOS, yang mengontrol bagian dari botnet Mirai, menyediakannya dalam format bersama untuk semua orang. Mereka bahkan memiliki situs web di jaringan publik, cukup dikunjungi, dan mereka umumnya menerima pembayaran melalui PayPal. Sebenarnya, melalui PayPal para ahli forensik menemukan penyelenggara; mereka ternyata adalah dua mahasiswa Israel,yang lebih suka cara menghasilkan uang ini untuk studi dan prospek karier. Mereka dibawa ke pengadilan, tetapi, menurut berita terbaru, semuanya terbatas pada layanan masyarakat; mungkin kita masih akan melihat mereka baik dalam inkarnasi bisnis baru, atau sudah dalam pelayanan beberapa dinas rahasia negara.
Bagaimanapun, model seperti itu- yaitu, alih-alih mengembangkan metode serangan DDoS untuk korban tertentu, membuat layanan yang dapat Anda datangi, membayar dengan cryptocurrency, dan menyewa botnet untuk serangan selama 5 menit (atau 10, atau satu jam) - dan ini mengarah ke bahwa sebagian besar serangan ternyata sangat "generik". Mereka tidak spesifik baik untuk tujuan tertentu, atau untuk protokol, atau untuk spesifik generasi lalu lintas. Mereka tidak bertahan lama, karena tugas serangan DDoS terutama mencakup mengintimidasi korban. Jika ini bukan semacam cerita politik, maka tidak masalah apakah situs korban akan down selama 5 menit atau satu jam. Jika korban setuju untuk membayar uang tebusan atau pergi menemui penyerang, maka satu menit sudah cukup, dan jika demikian, mengapa membayar lebih. Serangan yang menonjol dari lanskap ini jauh lebih menarik,dan mereka hanya perlu belajar - dan kami melakukan ini.
β Itu adalah: landscape serangan DDoS telah berubah ke arah ini, dan hal-hal yang menonjol dari itu - secara kuantitatif maupun kualitatif - adalah dari bunga terbesar.
Ada cerita menarik lainnya tentang darknet. ... Tumpukan teknologi yang digunakan di sana melewati tahap evolusi yang sama dengan yang dilalui Internet publik beberapa dekade lalu. Kerentanan server web tertentu, kerentanan perangkat yang digunakan untuk meng-host sumber daya di web gelap hingga metode serangan DDoS yang paling primitif belum hilang. Secara bertahap dihilangkan, tetapi karena ini tidak dilakukan oleh perusahaan khusus, itu terjadi secara spontan dan perlahan. Ada banyak metode untuk membanjiri sumber daya yang dihosting di darknet - ada satu juta di antaranya, dan sekarang ada yang layak. Jika Anda pergi ke GitHub dan mencari alat yang dapat digunakan untuk menonaktifkan sumber daya yang dihosting di darknet, Anda dapat menemukan cara yang benar-benar aneh. Hal-hal primitif seperti serangan permintaan GET lambat yang dapat ditangani oleh siapa pun, bahkan yang gratis sekalipun.layanan untuk melindungi dari DDoS dan bot (dan jika yang gratis tidak mengatasinya, maka Anda dapat membayar $ 20 ke CloudFlare dan menyelesaikan masalah ini, atau mengkonfigurasi penyeimbang sendiri) masih efektif terhadap situs bawang beberapa tahun yang lalu. Metode tersebut tersedia untuk umum dan tidak memerlukan sumber daya yang besar, yaitu botnet besar, untuk mengatur serangan. Cerita yang cukup umum - bukan serangan DDoS yang datang ke sumber daya Tor, tetapi serangan DoS yang tidak terisi. Urutan permintaan tertentu dari satu mesin tertentu sudah cukup untuk mematikan server Tor.Cerita yang cukup umum - bukan serangan DDoS yang datang ke sumber daya Tor, tetapi serangan DoS yang tidak terisi. Urutan permintaan tertentu dari satu mesin tertentu sudah cukup untuk mematikan server Tor.Cerita yang cukup umum - bukan serangan DDoS yang datang ke sumber daya Tor, tetapi serangan DoS yang tidak terisi. Urutan permintaan tertentu dari satu mesin tertentu sudah cukup untuk mematikan server Tor.
Situasi ini terus berlanjut; Misalnya, browser Tor memperbaiki 0.4.2 menutup lubang yang memungkinkan permintaan dari browser ini membanjiri sumber daya apa pun di darknet, menghabiskan 0 rubel untuk serangan itu.
Pertahanan di darknet
Sejauh menyangkut perlindungan di darknet, ini juga merupakan cerita yang lucu. Pada akhirnya, komunitas adhoc-security yang ada di sana sampai pada kesimpulan bahwa perlu untuk mempertahankan diri. Ada yang namanya EndGame: ini adalah toolkit perlindungan DDoS pada mesin spesifiknya yang menerbitkan sumber daya di Tor.
Ada satu aspek lagi, yang tidak terlalu teknis, yang mungkin penting di sini. Perlindungan DDoS untuk bisnis dapat diimplementasikan dengan berbagai cara. Ini bisa menjadi kotak yang menyaring lalu lintas. Ini bisa menjadi jaringan kotak besar yang menyaring di luar infrastruktur. Ini bisa menjadi baterai kotak penyedia layanan Internet yang melakukan hal yang sama - mencari anomali lalu lintas dan memblokir sumber yang buruk. Semua hal ini tidak diperlukan secara situasional: Anda harus mengambilnya bukan saat serangan sudah berlangsung. Maka sudah terlambat. Hal-hal ini harus selalu siap; pada kenyataannya, Anda dijual jaminan bahwa jika serangan terjadi, hal-hal ini akan mengatasinya, dan Anda, pengguna Anda, ketersediaan sumber daya Anda tidak akan terpengaruh secara negatif. Jaminan ini sangat tidak berlaku di web gelap, di mana tidak ada identitas khusus itu,siapa yang menyediakan sumber daya ini dan siapa yang membeli dan menggunakannya. Oleh karena itu, perlindungan adhoc pada mesinnya sendiri, yang akan membantu dari metode paling primitif, tetapi dengan serangan terdistribusi yang menghasilkan bandwidth besar, tidak akan dapat melakukan apa pun, digunakan di sana dan memiliki hak untuk eksis di sana. Cerita seperti itu.
β
Jika kita berbicara tentang kasus-kasus lucu dari pengalaman bekerja dengan klien, dari pengalaman terhubung - kita berbicara tentang jaringan publik, tentu saja. Saya sudah berbicara tentang persaingan, ini adalah kasus pokok kami, seperti yang mereka katakan ketika kami berbicara tentang segmen bisnis yang berbeda. Secara teknis, hal-hal yang terjadi pada klien kami pada tahap orientasi dan pada tahap pekerjaan percontohan, minggu dan bulan pertama terhubung ke perlindungan, juga lucu. Sebagai aturan, mereka terhubung dengan fakta bahwa beberapa pengguna - bahkan mungkin yang cukup sah - berperilaku sangat menarik, sangat berbeda dari orang lain. Hal yang sama dapat dikatakan untuk sumber daya yang kita lindungi. Beberapa sumber dengan cara yang sangat menarik mendekati masalah komunikasi dengan pengguna, memiliki interpretasi mereka sendiri tentang protokol HTTP. Terkadang hal ini menyebabkan kesalahpahaman dan insiden tertentu,yang diselesaikan bahkan tanpa saling negatif, tetapi dengan senyum dan tawa.
Ketika kita berbicara tentang lapisan aplikasi dan serangan pada lapisan ini, seringkali lalu lintas serangan ini sedikit berbeda dari permintaan yang dibuat oleh pengguna biasa. Ini adalah kepentingan dan kompleksitas serangan tersebut. Terlepas dari efek pekerjaan mereka dan sumber dari mana permintaan ini datang, mereka tidak dapat dibedakan dari pola pengguna normal. Di sini Anda harus menggunakan analisis perilaku yang lebih dalam, melihat sesi setiap pengguna dari jabat tangan hingga meninggalkan sumber daya, untuk memahami apa yang dia lakukan pada sumber daya secara umum - baik atau buruk, apakah dia melakukan kesalahan, apakah itu sisa pengguna menjadi buruk untuk permintaan dari sumber khusus ini? Otomatisasi kami harus menjawab pertanyaan seperti itu setiap detik untuk ratusan klien yang berbeda dan untuk ribuan situs.Terkadang kasus tepi perilaku pengguna menjadi perhatian sistem dan membuatnya gila.
Contoh sederhana adalah ketika pengguna dengan garis perilaku hukum yang mutlak, secara umum, bekerja sebagai penjadwal tugas, mengunjungi halaman berita di sumber daya pada waktu yang ditentukan secara ketat. Dimulai pada .00 di pagi hari, berakhir pada .00 di malam hari. Pada saat yang sama, tindakan yang dilakukan pengguna tidak membahayakan: ini bukan penguraian atau pengikisan, ia hanya menelusuri artikel, menulis komentar, dan menanggapinya.
Tidak ada yang perlu disalahkan - kecuali bahwa setiap hari dia memulai dan mengakhiri pada saat yang sama, dan jumlah pekerjaan yang dia lakukan pada sumber daya jauh lebih besar daripada semua pengguna yang tidak diidentifikasi sebagai bot. Kami memiliki hipotesis yang berbeda pada skor ini; beberapa kali kami secara tidak sengaja melarangnya, setelah itu dia menulis kepada penyalahgunaan sumber daya tentang apa yang sebenarnya terjadi. Ujung-ujungnya kita menyerah - nggak pernah tahu, mungkin ini adalah content writer yang jelas-jelas bekerja dalam dua shift tanpa hari libur dan istirahat. Bagaimanapun, selama pengguna tersebut tidak membahayakan, kami tidak menganggap perlu untuk mengambil sanksi apa pun terhadap mereka.
β Kasus lain- di sisi lain, ini adalah saat sumber daya berperilaku aneh terhadap semua pengguna. Kami memiliki pelanggan, salah satu fungsi sumber daya yang menyediakan pengguna dengan laporan yang dihasilkan dalam bentuk file DOC. Setiap laporan tersebut memiliki berat sekitar 200 MB, dengan gambar dan tabel. Yang lucu adalah bahwa pembuatan laporan di server dimulai dengan mengklik tombol di halaman web. Setelah itu, server berpikir, membuat laporan dan, jika sudah siap, mengirimkannya secara utuh, tanpa dipotong-potong, melalui transfer file HTTP, sebagai bagian dari tanggapan atas permintaan tersebut. Leluconnya adalah bahwa file ini dibuat di server selama puluhan menit. Pada titik tertentu, layanan dukungan kami menerima permintaan dari klien dengan permintaan untuk menambah waktu tunggu untuk memproses permintaan ke proxy terbalik kami menjadi 20 menit.Pada awalnya, orang tidak mempercayai mata mereka dan mencari tahu: bagaimana bisa, 20 menit untuk batas waktu untuk permintaan? Kami pergi ke situs, memeriksa, ternyata persis seperti ini: sejak tombol ditekan, koneksi berlangsung 20 menit, setelah itu server akhirnya mengunggah file, dan Anda bisa mendapatkannya. Secara eksperimental - lebih tepatnya, bahkan dengan tampilan evaluatif yang sadar - menjadi jelas bahwa selusin pengguna yang secara bersamaan masuk ke situs dapat secara tidak sengaja mengatur DDoS dan sepenuhnya mengeluarkan server dari peredaran tanpa niat jahat, tenaga, atau biaya apa pun. Dan ini bukan "habraeffect", ketika puluhan ribu orang membobol sumber informasi pada saat yang sama, dan server tidak dapat memproses semuanya karena kurangnya kinerja; di sini hanya sebuah cerita yang menarik dengan tanggapan terhadap permintaan mengarah pada fakta bahwa server tidak dapat bekerja seperti itu. Untuk bagian kami, tentu saja, kami merekomendasikan untuk membagi file menjadi beberapa bagian,kirimkan dalam potongan, buat laporan di latar belakang, dan banyak lagi.
Ada sumber daya di Internet yang bekerja dengan prinsip yang sama - yaitu, secara desain, mereka rentan terhadap serangan dari berbagai intensitas dan kompleksitas organisasi. Secara umum, tidak ada yang diperlukan untuk menonaktifkan situs semacam itu. Ada API yang bekerja dengan cara yang sama (respons berat, permintaan API mahal untuk diproses, kerja API sinkron). Fakta ini mengarah pada fakta bahwa serangan DDoS terjadi di tempat yang berbeda bahkan tanpa partisipasi penyerang, peretas, tanpa motif tersembunyi. Ketika kami dihadapkan pada situasi seperti itu, kami mencoba memberi tahu pelanggan tentang di mana keanehannya dalam aplikasi dan bagaimana hal itu dapat diperbaiki. Dan, tentu saja, kami mengisi kembali pertunjukan aneh kami dari solusi arsitektur lucu, yang tidak akan kami rekomendasikan untuk diterapkan oleh siapa pun.
β .
β :
- vDOS:
- DoS Tor
- Endgame β Tor-:
- DDoS-
, #ruvds_
