воскресенье, 23 октября 2016 г.

СОИБ. Анализ. Одна DDoS атака

После одной из предыдущих статей про DDoS атаки получил несколько ссылок на отчет NexusGuard за 2 квартал 2016 года, в котором говорится что Россия вышла на первое место по атакуемым узлам, показав рост в 1992%.  

Захотелось копнуть этот отчет подробнее.  
Оказалось, что подавляющее большинство случаев выло связанно с непрерывной двухдневной DDoS атакой на все IP-адреса провайдера Starlink. Что такого интересного было размещено у Starlink-а?


Вполне можно было бы nslookup-нуть или сделать reverse dns запросы на все ip адреса. К сожалению, оказалось, что нет бесплатных сервисов, которые позволяли выполнить такие запросы для целой сети. В OSSINT сервисах типа Maltego – ограничения на reverse dns запросы в 2 тыс IP адресов. А нам надо 65 тыс.

Подходящим вариантом оказалась довольно старая утилитка FastResolver, а также возможность заскриптовать запросы к online сервису reverse dns (за один раз не более 256 ip)
for /L %i IN (0,1,255) DO curl http://api.hackertarget.com/reversedns/?q=77.50.%i.0/24 >> 1.csv

Далее нам надо понять какие TOP web сайты или TOP компании есть в полученном списке. Убираем все домены третьего уровня типа *.starlink.*. Для доментов типа mail.*.ru, mx.*.ru, ns.*.ru делаем -> *.ru с таким расчетом что мы проверяем компанию и не исключаем вероятность что в момент ddos атаки там могли находится сайты www.*.ru, а потом были перенесены или скрыты.

 Получили список из порядка 80 доменов. Как автоматически найти TOP среди них? Посмотреть pagerank от google, ТИЦ от Яндекса и популярность ресурса от Alexa top site. Много сервисов позволяют сделать проверку для одного домена. К сожалению, ни один бесплатный не позволяет проверять неограниченное количество доменов сразу. Максимальное что мне удалось найти – 250 доменов на prlog.ru. В моем случае этого вполне достаточно. Результат анализа тут.

Как показывают результаты анализа, расположенные в сети starlink домены далеки от TOP. Pagerank <50%, ТИЦ не более 1200, alexa rank – ниже 16000 по России.  

Наиболее разумным объяснением такого количества атак на ip адреса сети starlink вижу следующее – либо была атака на самого провайдера starlink (который “входит в десятку лучших интернет-провайдеров Москвы”), либо злоумышленники проводили атаку на ресурс, который, по их мнению, точно был подключен к сети starlink, но точного ip-адреса которого они не имели.  

В любом случае NexusGuard ошиблись посчитав это как 74442 отдельных DDoS атаки. Это была 1 атака.

PS: если у вас есть какие-либо подробности об этом инциденте, напишите в комментарии или лично – буду благодарен.
PPS: интересный анализ недавних DDoS атак от Сергея Сторчака 


1 комментарий:

А.А. комментирует...

Интересный случай.