DDOS атака на Яндекс

Аватар пользователя Александр Мичуринский

Из новостей:

«Яндекс» подвергся крупнейшей в истории рунета DDoS-атаке.

Нападение реализовано через новый ботнет, маскирующийся под обычных пользователей. В августе и сентябре 2021 г. наблюдается рост числа DDoS-атак на компании из самых разных секторов экономики – от небольших бизнесов до крупнейших корпораций. Заказчики этих атак разные, а вот исполнитель, судя по всему, один, и оперирует он недавно появившимся в индустрии ботнетом.

 DDoS-атака стоит денег. Крупнейшая атака стоит крупных денег. С чего бы это Яндекс подвергся атаке?


Моя гипотеза, что поводом для атаки стало то, что

Поисковик «Яндекс» удалил сайт проекта «Умное голосование» и его «зеркала» из поисковой выдачи после того, как Роскомнадзор включил их в реестр запрещенных сайтов.

Авторство: 
Авторская работа / переводика
Комментарий автора: 

Интересно будет посмотреть, удастся ли в ходе расследования выйти на заказчиков этой атаки.

Комментарии

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

моё мнение как программиста - серверы яндекса тупо не справились с ростом числа пользователей, вернувшихся из отпусков и начавших гуглить в связи с учёбой школьников

поэтому и пишут "Нападение реализовано через новый ботнет, маскирующийся под обычных пользователей." - это и есть обычные пользователи

Аватар пользователя Ден_Боб
Ден_Боб(3 года 10 месяцев)

да , вполне возможно это обычная жадность 

Аватар пользователя Александр Мичуринский

Что-то я засомневался в Вашей квалификации программиста

Активность нового ботнета Qrator Labs наблюдает не только в России, но и в Европе, США, Индии, на Ближнем Востоке, в регионе APAC, в Латинской Америке, отмечает Лямин: «Атаки коснулись крупнейших банков, e-commerce компаний, интернет-сервисов по всему миру, и ущерб от них уже вышел на уровень миллиардов рублей».

По числу запросов в секунду этот ботнет ставит абсолютные рекорды, развивая потрясающие скорости – в десятки миллионов запросов в секунду, что превышает скорости рядовых атак прошлых лет на два порядка, отмечает Лямин: «Трафик может максимально походить на трафик обычных пользователей, поэтому с ней [атакой] справляются не все представленные на рынке решения, защищающие от DDoS-атак».

Скольким школьникам надо вернуться с каникул, чтобы лупить десятки миллионов запросов в секунду?

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

вы верите джентельменам из яндекса на слово ?  про миллионы запросов в секунду :)

а миллионы - это от одного пользователя или от всех ?

Аватар пользователя Александр Мичуринский

А вы не верите джентльменам из американской фирмы?

Рекордный масштаб кибератаки был подтвержден американской компанией Cloudflare, которая специализируется на отражении кибератак и сотрудничает с «Яндексом».

 А вопрос

а миллионы - это от одного пользователя или от всех ?

мене убеждает, что если Вы и программист, то какой-нибудь "программист мышкой". Гуглите, что такое бот-нет, и что означает первая буковка D в слове DDOS.

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

вы, кстати, смешали в кучу две разных новости:

1. IT-компания (Яндекс) не сообщила дополнительных подробностей DDоS-атаки, а также откуда она была зафиксирована, ее инициаторах и возможных целях.

2. В конце августа 2021 года Cloudflare рассказала, что предотвратила крупнейшую из зарегистрированных ранее DDoS-атак — в пике до 17,2 млн запросов в секунду. Cloudflare пояснила, что атака была нацелена на одного из клиентов компании, занимающимся финансовыми операциями. Злоумышленник задействовал в ней ботнет из более чем 20 тыс. зараженных устройств в 125 странах мира, чтобы отправлять HTTP-запросы в сеть клиента в течение нескольких часов. Судя по IP-адресам, большинство запросов в ходе атаки приходило из Индонезии, Индии и Бразилии.

Аватар пользователя Fdrme
Fdrme(8 лет 3 недели)

Мужик, ты обосрался, хватит уже

Комментарий администрации:  
*** Уличен в злостной дезинформации ***
Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

«Яндекс» подтвердил, что кибератаку отразила защитная сетевая инфраструктура и система фильтрации нежелательных запросов компании. По уточнению «Яндекса», попытка вмешательства не повлияла на работу сервисов

Аватар пользователя ExMuser
ExMuser(11 лет 3 недели)

Яндех в голандии зареген, емнип. Но совет директоров вроде как наш.

Аватар пользователя gadyuka
gadyuka(7 лет 7 месяцев)

Жентельмены из амерских фирм и не только постоянно воют про кибератаки, кибервойска,  фабрики тролоей и кучу чего ещё...

Комментарий администрации:  
*** отключен (розжиг, провокатор) ***
Аватар пользователя Александр Мичуринский

Сами-то реальный трафик хоть раз в жизни снифферили или просто так тут не мешки ворочаете?

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

> Что-​то я засомневался в Вашей квалификации программиста

 

конечно я маленький программист...  это так, хобби с детства, вот моя статеечка на хабре про один из моих проектиков,   на АШ тоже писал про него

Аватар пользователя Александр Мичуринский

Да-да, я угадал. Программисты на Дельфи это как раз "программисты мышкой".

(Сервис написан на Паскале (Lazarus), с применением компонента Raudus (который, к сожалению, стал уже платным)).

Raudus is a web-framework and component set for Delphi and Lazarus

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

ага, попробуйте мышкой программу на дельфи написать, без тысяч строчек кода, будем посмотреть

на ассемблере, звиняйте, не пишу с тех пор как перешёл со Спектрума на IBM PC, нет нужды - быстродействия хватает

Аватар пользователя Александр Мичуринский

За соседним столом товарищ писал на Дельфи. Программу для составления школьных расписаний. Что это такое, и чем отличается от нормального программирования, особенно если Вы пытаетесь коснуться вопросов информационной безопасности, я представляю.

 

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

на дельфи можно даже вирусы писать, вообще без окон/форм и прочего,  это к упомянутой вами "информационной безопасности"

 

Аватар пользователя Er0p
Er0p(9 лет 2 месяца)

автоматически сбалансировать школьное расписание с учетом пожелания всех сторон - весьма нетривиальная задача, при решении которой важен алгоритм, а не язык реализации.

Аватар пользователя neama
neama(6 лет 11 месяцев)

мда... то что главное алгоритм а написать это можно даже на 1с не к ночи упомянуто будет... 

народ как всегда поверхностен... впрочем другого народа у нас нет... 

Аватар пользователя Александр Мичуринский

Согласен, что моя фраза оказалась слишком длинной и потому не совсем доступной для понимания.

Было два тезиса.

1. Я представляю, что такое программирование на Дельфи. Душевный случай. Перестала у этого товарища программа работать, падает на ровном месте. Беру его ехешник, прогоняю под отладчиком. Выясняю, что в одном месте он передает параметры по адресу, а принимает по значению. Или наоборот - неважно. О, спасибо. В каком-то месте не там мышкой кликнул. Кликнул по-другому - заработало. 

То, что сбалансировать расписание вещь нетривиальная я согласен. Но не такая уж сложная. Для реально продающейся программы важнее - удобный интерфейс. Как объяснить программе, что от неё хотят. Сдвоенные уроки, предметные кабинеты, разделение классов на подгруппы по разным языкам и т. д. и т. п. Язык реализации, вместе с библиотеками и доступными компонентами должен  быть адекватен решаемой задаче. И проектирование программы начинается с выбора наиболее подходящего языка.

2. Что можно, и что нельзя сделать в парадигме "програмирования  мышкой" (которая не исключает дописывания какого-то кода и на клавиатуре). ИБ всего лишь обозначена как возможный пример. Написание вирусов  не показатель. Один из самых известных хакеров Митник вообще орудовал методами социальной инженерии и ему в большинстве случаев было достаточно простого телефона с тоновым набором. Я о том, что из готовых компонент Дельфи, да, с дописыванием какого-то кода, можно что-то слепить. И оно даже может начать работать. Попробуйте потом это сертифицировать по всем требованиям.

 

Аватар пользователя essamu
essamu(7 лет 6 дней)

с другой стороны, ДДОС атака совершается с ботнетов, где ботами выступают зараженные компьютеры обычных пользователей. Ботнеты на несколько миллионов машин не такое уж и чудо для опытных хакеров.

 

ЗЫ: почему сразу заказчик? Есть и идейные ребята в подполье :)

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

В таких случаях сразу пишут название бота, выкатывают обновления для антивирусов и просят юзеров обновить антивирусные базы.  Но в этом плане тишина

Аватар пользователя essamu
essamu(7 лет 6 дней)

кто пишет название бота? Разработчик? И как это интересно поможет антивирус, когда экзешник шифруется по несколько раз на дню? Антивирусы совершенно бесполезны против актуальных поддерживаемых в рабочем состоянии вирусов.

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

ты не шаришь,  названия дают те, кто находит вирус

и второе - антивирусники бесполезны только против тех вирусов, которые ещё не найдены, которые ещё неизвестны.   Стоит вирус изучить в антивирусной лаборатории - сразу в базу добавляют всё необходимое для его обезвреживания:  сигнатуры и другие признаки.   Шифроваться он может сколько угодно, но во время работы он в памяти в расшифрованном виде, иначе не сможет работать

 

Аватар пользователя essamu
essamu(7 лет 6 дней)

Кажется ты не шаришь :D

Сигнатуры и другие признаки у поддерживаемого вируса меняются по несколько раз в день и соответственно обновляются на машинах юзеров также часто. Что толку, если антивирус спалит старые неактуальные сигнатуры. Обычно так и происходит, с момента обнаружения вируса, анализа его сигнатур проходит несколько часов/дней, в зависимости от массовости распространения вируса. За эти несколько часов у вируса уже новые сигнатуры. Хакеры тут на шаг впереди антивирусов, так как сигнатуры можно хоть раз в пол часа обновлять.

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

О великий гуру, покажи священные пруфы на разбор вируса, мутирующего несколько раз в день до полной неузнаваемости ?

Аватар пользователя essamu
essamu(7 лет 6 дней)

вот пример дешевого крипт сервиса - http://crypt.guru/

возьми какой-нибудь паблик вирус, закриптуй его и погоняй на разных антивирусах. Правда, затасканные паблики тяжелее прятать, но это уже нюансы.

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

Ты тему не меняй, покажи вирус который несколько раз в день меняет свою сигнатуру будучи развёрнутым и работающим в памяти заражённого компутера, ты же про такие говорил, именно против них бесполезно сигнатуру искать, ведь антивирус сканирует работающие процессы, а не только скаченные упакованные файлы

Аватар пользователя essamu
essamu(7 лет 6 дней)

что значит покажи? может сразу в отдел К прийти с покаянием ?

еще раз, читай внимательно. На машину заливается вирус, который не спалился антивирусом. Через Х минут/часов вирус перекриповывается и перезаливается. Старая версия удаляется, остается свежая версия крипта. Что тебе еще нужно? Рассказать технические подробности, как выгружать процесс из памяти и загружать новый?

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

Закриптованный вирус сначала раскриптовывается при каждом запуске - и тут-то его тело всегда одинаково, пока хакер его полностью не перепишет, т.е. пока не сочинит абсолютно новый вирус.

Так что если вирус изучен антивирусистами - то как его не криптуй, антивирус его вычислит во время его работы, когда он декриптован.

Не существует вирусов, работающих в закриптованном виде.   Это как книгу txt читать в нераспакованном RAR виде, сможешь ?

Аватар пользователя Александр Мичуринский

Закриптованный вирус сначала раскриптовывается при каждом запуске

Детский сад, штаны на лямках.

Понятно, что в процессор команда должна попасть в расшифрованном виде. Но расшифрование может вестись динамически, по мере исполнения фрагментов кода. И ничто не мешает встроить в код обфускатор, чтобы тело вируса менялось динамически, без помощи извне.

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

У тебя есть пруфы на реальный разбор хотя бы одного такого вируса ?

Аватар пользователя Александр Мичуринский

Сколько достойный 0day стоит сам знаешь?

P.S. а это - то, что находится за несколько секунд поиска в интернете. В качестве первоначального ликбеза.

https://xakep.ru/2011/03/09/54790/

Существуют вирусы, которые состоят из программных единиц - частей. Они постоянно меняются в теле и перемещают свои подпрограммы. Характерной особенностью такой заразы являются пятна. При этом в различные места файла записываются несколько блоков кода, что обуславливает название метода. Такие пятна в целом образуют полиморфный расшифровщик, который работает с кодом в конце файла. Для реализации метода даже не нужно использовать команды-мусор, подобрать сигнатуру будет все равно невозможно.

https://natural-sciences.ru/ru/article/view?id=27093

 

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

Причём тут 0day ?!?

И своб статью сам прочитай - такие вирусы тоже распознаются когда изучены антивирусистами

Аватар пользователя Александр Мичуринский

Я говорю - детский сад. Попробуй написать систему,  которая защищала бы от вирусов, которые ещё не изучены антивирусистами. И при этом ещё не угробила работоспособность машины.

Чушь

 тут-то его тело всегда одинаково,

нести больше не будешь?  Одинаковым тело будет у "программистов мышкой", которые пользуются готовыми навесными крипторами. smile3.gif

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

мы с самого начала ведём речь про атаку на яндекс и про то, что если бы это был вирус, то его давно бы за эти дни изучили и обновили антивирусные базы,

а не про гипотетические вирусы которые себя пока никак не проявили и поэтому никто не знает где их искать

Аватар пользователя Александр Мичуринский

Если мы с самого начала ведём речь про атаку на Яндекс, ты саму исходную статью, на которую была ссылка, хоть прочитал?

Некоторые игроки в отрасли уже заявили, что к нам вернулся ботнет Mirai, нашумевший пять лет назад и построенный на основе видеокамер. Посвятив изучению нового ботнета последние несколько недель, мы можем утверждать, что появился совершенно новый ботнет и построен он на сетевом оборудовании одного очень популярного вендора из Прибалтики. Он распространяется через уязвимость в прошивках и уже насчитывает до сотни тысяч зараженных устройств».

Ну и какие в жопу обновления антивирусных баз для прошивок видеокамер  и сетевого оборудования? smile3.gif

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

это тоже решается, но уже на стороне серверов яндекса

тем более что атака оказалась весьма слабоватой: ""На "Яндекс" действительно была осуществлена DDoS-атака, которую отразили наша сетевая инфраструктура и система фильтрации нежелательных запросов", - приводит газета слова представителя. По его словам, атака не повлияла на работу сервисов

Аватар пользователя Александр Мичуринский

Это не атака была слабовата, а Яндекс оказался достаточно силён. Примерно как и Сбербанк

1 сентября зампред правления Сбербанка Станислав Кузнецов сообщал, что на прошлой неделе (с 23 по 29 августа. – «Ведомости») «Сбер» успешно отразил самую мощную DDоS-атаку на финансовый сектор: «У нас не было ни остановки, ни приостановки ни на одну секунду наших сервисов, но мощность атаки позволяет сделать вывод о том, что, не имея такой защиты, как у нас, другие организации точно, к сожалению, могли бы остановить свою работу».

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

а я ещё сильнее, я отразил вчерась сверхсупермощнейшую ДДОС атаку на мой компутер, верьте мне на слово как и им

Аватар пользователя Александр Мичуринский

smile12.gif

Аватар пользователя essamu
essamu(7 лет 6 дней)

В описании крипт-сервиса указано, что шифруются файлы до 10мб. Реальный размер вируса - килобайты, написанные на ассемблере. Все остальное - различного рода шелуха, которая затрудняет обнаружение.

Если бы приходилось каждый день делать по несколько релизов абсолютно новых вирусов - тема хакинга никогда бы не взлетела. А так, до сих пор в подполье используется модифицированный код зевса. Понятно дело, что зевс изучен аверами вдоль и поперек, но даже спустя 10+ лет его существования он остается вполне рабочим решением для начинающих ботоводов. С кучей ограничений, но тем не менее.

 

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

10-ый раз тебе говорю - если вирус попал в антивирусную лабораторию, всё, как его не криптуй каждый день - его антивирус вычислит во время работы вируса на заражённом компе, т.к. команды попадают в процессор в расшифрованном виде

особенно если это бот запрограммированный ддосить конкретный адрес типа "yandex.ru" - антивирус будет блочить любую прогу которая обратится по этому адресу 100 раз в секунду и более

Аватар пользователя essamu
essamu(7 лет 6 дней)

В андерграунде существуют десятки кодов разных ботнетов, как открытых, так и полуприватных. И сотни-тысячи разных вариантов троянов, которые выполняют свои определенные задачи - ддосеры, банковские трои, локеры, стилеры и тд и тп. Качественный крипт позволяет скрыть вредонос на некоторое время от аверов. Как именно криптуют - этого тебе никто не расскажет, так как это бизнес и информация далеко не для средних умов.

Ты же пытаешься спорить и опровергать реальность. Зараженные машины остаются под контролем хакера от нескольких часов до месяцев и даже лет. Зависит от того, насколько большим дятлом является владелец машины, насколько активно используется ресурс компьютера, зависит от качества и регулярности применения криптографии, от того, какой именно вирус запускается, насколько активно он распространяется в сети и тд.

 

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

это я всё знаю

речь идёт, если ты забыл, об атаке на яндекс и о том, кто это сделал,  вирус который как ты говоришь невозможно изучить за прошедшие дни и внести его сигнатуры в антивирусники, или никакого вируса нет вообще ?

Если это вирус - у него есть характерная особенность - он мощно долбится по конкретному адресу, по этой характеристике его бы давно нашли и изучили

Аватар пользователя Александр Мичуринский

Если это вирус - у него есть характерная особенность - он мощно долбится по конкретному адресу, по этой характеристике его бы давно нашли и изучили

Угадал все буквы, не угадал всё слово. Повторяю: б-о-т-н-е-т.  Управляемый владельцем этого ботнета. По предварительной информации, заразил прошивки сетевого оборудования.

Как лечить прошивку знаешь?

Аватар пользователя essamu
essamu(7 лет 6 дней)

Мало ли каких софтов долбятся в яндекс, не блокировать же их все. Даже если вынести за скобки, что атака осуществлялась с видеокамер и предположить, что яндекс долбили со стационарных PC (что кстати крайне неэффективно, тк ширина каналов у домашних компов невелика, большую нагрузку создать не получится, а вот вероятность потерять бота - достаточно велика), так даже в этом случае, что мешает хакеру ограничить кол-во запросов с одной машины? Ну будет не 100 запросов в секунду, а 10. Если там ботнет на 10млн компов, это 100млн запросов в секунду. И простые запросы мало что дают. Нужно грузить трафик на сервера жертвы, чтобы провода поплавились от перегрузок.

Другое дело, что полноценные ботнеты редко используют для ддоса, тк этот вид деятельности не приносит много денег (если только не крупный заказчик, который компенсирует стоимость потерянных ботов). Да и методов защиты от ддоса достаточно, начиная от банального клаудфлара, до всяких нестандартных решений типа динамической замены ДНС серверов. Начинаешь долбить в один IP, через секунду у сервера уже другой IP, который нужно вычислить и перенаправить атаку на новый адрес.

 

Аватар пользователя DjSens
DjSens(5 лет 10 месяцев)

какие 10 миллионов ?   писали про сотни тысяч максимум

Пусть посчитают сколько они своих колонок с Алисой продали - те тоже долбятся на сервера яндекса,  может в своём софте накосячили ?

Аватар пользователя ЧленПартии
ЧленПартии(8 лет 6 месяцев)

Моя гипотеза, что поводом для атаки стало то, что

а меня модем 4ж-УСБ сдох, после 6-ти лет работы... а оказывается вот в чем причина.. smile3.gif

Аватар пользователя Александр Мичуринский

Сколько стоит Ваш модем и сколько стоит DDOS атака?

Сколько стоит DDoS построить? Подсчет стоимости DDoS-атаки

 

Аватар пользователя ЧленПартии
ЧленПартии(8 лет 6 месяцев)

Сколько стоит Ваш модем

при чем тут сколько стоит. ??? он сдох во время ДДОСа, значит  тоже пострадал в неравной борьбе smile3.gif

Страницы