Блог Сергея Борисова про ИБ

Наверное, многие слышали о мощных DDoS атаках в сентябре на ресурсы исследователя ИБ Брайана Кребса. История началась, когда в конце июля 2016 года Брайну удалось получить лог 150 тыс. заказов онлайн сервиса vDOS и другую информацию , благодаря которой были найдены и арестованы два владельца этого сервиса из Израиля. База с перечнем заказов vDOS также была опубликована и некоторое время доступна для скачивания. В предисловии к базе было написано “These are all the DDOS victims that were logged in the VDOS database dump. The news on their site claims: ‘not a DDoS service. You are prohibited from stressing internet connections and/or servers that you do not have ownership of or authorization to test. Abuse of our services or use in violation of our terms of service will result in being banned from our services. There shouldnt be an issue when it comes to spending slightly more than they used to.’  Decide for yourself . ”  То есть, vDOS официально представлялся ка...

После одной из предыдущих статей про DDoS атаки получил несколько ссылок на отчет NexusGuard за 2 квартал 2016 года , в котором говорится что Россия вышла на первое место по атакуемым узлам, показав рост в 1992%.   Захотелось копнуть этот отчет подробнее.   Оказалось, что подавляющее большинство случаев выло связанно с непрерывной двухдневной DDoS атакой на все IP -адреса провайдера Starlink . Что такого интересного было размещено у Starlink -а? Вполне можно было бы nslookup -нуть или сделать reverse dns запросы на все ip адреса. К сожалению, оказалось, что нет бесплатных сервисов, которые позволяли выполнить такие запросы для целой сети. В OSSINT сервисах типа Maltego – ограничения на reverse dns запросы в 2 тыс IP адресов. А нам надо 65 тыс. Подходящим вариантом оказалась довольно старая утилитка FastResolver , а также возможность заскриптовать запросы к online сервису reverse dns (за один раз не более 256 ip) for /L %i IN (0,1,255) DO curl...