СОИБ. Анализ. Одна DDoS атака

После одной из предыдущих статей про DDoS атаки получил несколько ссылок на отчет NexusGuard за 2 квартал 2016 года, в котором говорится что Россия вышла на первое место по атакуемым узлам, показав рост в 1992%.  

Захотелось копнуть этот отчет подробнее.  
Оказалось, что подавляющее большинство случаев выло связанно с непрерывной двухдневной DDoS атакой на все IP-адреса провайдера Starlink. Что такого интересного было размещено у Starlink-а?


Вполне можно было бы nslookup-нуть или сделать reverse dns запросы на все ip адреса. К сожалению, оказалось, что нет бесплатных сервисов, которые позволяли выполнить такие запросы для целой сети. В OSSINT сервисах типа Maltego – ограничения на reverse dns запросы в 2 тыс IP адресов. А нам надо 65 тыс.

Подходящим вариантом оказалась довольно старая утилитка FastResolver, а также возможность заскриптовать запросы к online сервису reverse dns (за один раз не более 256 ip)
for /L %i IN (0,1,255) DO curl http://api.hackertarget.com/reversedns/?q=77.50.%i.0/24 >> 1.csv

Далее нам надо понять какие TOP web сайты или TOP компании есть в полученном списке. Убираем все домены третьего уровня типа *.starlink.*. Для доментов типа mail.*.ru, mx.*.ru, ns.*.ru делаем -> *.ru с таким расчетом что мы проверяем компанию и не исключаем вероятность что в момент ddos атаки там могли находится сайты www.*.ru, а потом были перенесены или скрыты.

 Получили список из порядка 80 доменов. Как автоматически найти TOP среди них? Посмотреть pagerank от google, ТИЦ от Яндекса и популярность ресурса от Alexa top site. Много сервисов позволяют сделать проверку для одного домена. К сожалению, ни один бесплатный не позволяет проверять неограниченное количество доменов сразу. Максимальное что мне удалось найти – 250 доменов на prlog.ru. В моем случае этого вполне достаточно. Результат анализа тут.

Как показывают результаты анализа, расположенные в сети starlink домены далеки от TOP. Pagerank <50%, ТИЦ не более 1200, alexa rank – ниже 16000 по России.  

Наиболее разумным объяснением такого количества атак на ip адреса сети starlink вижу следующее – либо была атака на самого провайдера starlink (который “входит в десятку лучших интернет-провайдеров Москвы”), либо злоумышленники проводили атаку на ресурс, который, по их мнению, точно был подключен к сети starlink, но точного ip-адреса которого они не имели.  

В любом случае NexusGuard ошиблись посчитав это как 74442 отдельных DDoS атаки. Это была 1 атака.

PS: если у вас есть какие-либо подробности об этом инциденте, напишите в комментарии или лично – буду благодарен.
PPS: интересный анализ недавних DDoS атак от Сергея Сторчака 


Комментарии

А.А. написал(а)…
Интересный случай.
25 октября 2016 г. в 03:39
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп...
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его ...
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...
Далее...