Kilka dni temu strona projektu www.metasploit.com, który zajmuje się dostarczaniem interesujących informacji dla ludzi zajmujących się testami penetracyjnymi, exploitami, systemami IDS, ale przede wszystkim jest to projekt znany z frameworku metasploit wspomagającego wyżej wymienionych – została zaatakowana zmasowanymi zapytaniami czyli rozproszonym atakiem odmowy usługi zwanym popularnie DDoS-em. Na blogu projektu możemy uzyskać bardziej szczegółowe dane dotyczące samego ataku.
Początkowo zostali zaatakowani pakietami na port 80 (WWW) symulującymi zwyczajne zapytania do serwera stron WWW. Odnotowali generowanie w ich stronę około 80 000 połączeń na sekundę z wykorzystaniem sieci botnet. Co najciekawsze – atak odbywał się na adres domenowy metasploit.com, a nie na adresy IP serwera WWW. Po zmianie wpisów domenowych w serwerze DNS, po kilku sekundach tysiące maszyn atakowały same siebie (adres 127.0.0.1 – localhost). Najśmieszniejsze w takich sytuacjach jest to, że jeśli boty są skonstruowane w ten sposób by często odpytywać DNS o adres IP atakowanej domeny – możemy (będąc ofiarami) w bardzo łatwy sposób, przekierować atak na dowolny inny adres IP. Gdybyśmy jeszcze wówczas znali adres sterującego botnetem ;]
Następnego dnia atak pojawił się ponownie, lecz tym razem już wymierzony bezpośrednio w adres IP. Jak widać ktoś uczył się na własnych błędach. Finalnie serwis otrzymywał ponad 15 Mbps samych pakietów SYN czyli przy średnim rozmiarze 66 bajtów per pakiet dostawali około 220 000 pakietów na sekundę w prezencie do ich serwera WWW.
7 komentarzy do
13 lutego, 2009 o godzinie 10:00
mogli w międzyczasie założyć bana po ip na dosujące maszyny. Przy kolejnym ataku mogłoby to znacznie pomóc..
13 lutego, 2009 o godzinie 12:58
Duch: w przypadku takiego ataku odfiltrowanie po adresie IP jest raczej niewykonalne, trzeba by wyciąć kilkanaście lub nawet kilkaset tysięcy adresów IP z całego świata a tak czy inaczej DDoS rozbiłby się o dostawcę sieci. Zrobili dobrze, wyłączyli domenę i zaczekali aż dzieciakom przejdzie ochota na zabawy. Niestety za drugim razem już dołożyli dobrze, po bo adresie IP.
13 lutego, 2009 o godzinie 14:48
faktycznie, o tym nie pomyślałem. Mogli chyba mimo wszystko zmienić host w dnsie na inny? Wtedy ataki szły by na ipka, a serwis zachowałby ciągłość działania
13 lutego, 2009 o godzinie 18:05
Tak dokładnie zrobili na początku. Ale potem atakujący wysyłał pakiety już tylko do docelowych adresów IP, nie korzystając z systemów DNS.
14 lutego, 2009 o godzinie 16:49
hmmm, nie pomyślałem o tym. A szkoda. Bym przekierował wtedy atak ddos na stronę atakującego (z znałem ją). Ale wtedy by pewnie tylko jego hosting by oberwał. Albo przekierować na stronę np. prezydenta USA. Może wtedy FBI by się zainteresowało :)
17 lutego, 2009 o godzinie 00:01
Warto dodać, że zmiana IP, o której piszesz, wymagała wcześniejszej (prewencyjnej) modyfikacji TTL rekordu DNS. I faktycznie, http://www.metasploit.com ma TTL=60 . Widocznie są bardziej przewidujący niż ja i autorzy HOWTO. :^)
17 lutego, 2009 o godzinie 00:14
Oczywiście masz rację. W sytuacji kiedy zależy nam na częstych zmianach wpisów DNS warto tę wartość zmniejszyć do przykładowo 60 sekund. Dzięki temu serwery DNS powinny przetrzymywać tę informację (cachować) przez 60 sekund, a następnie odpytać ponownie serwer macierzysty.