Расследование DDoS Цензор.нет


 

 

По инициативе ProtectMaster, занялось расследование DDoS атаки Цензор.нет. Мы списались с Цензор.нет и начали анализировать логи работы их серверов во время атак в период Революции Достоинства. В ходе анализа мы выяснили следующее.

Сначала злоумышленники пытались атаковать Цензор обычным типом атаки - HTTP-флуд. Боты были разбросаны по всему СНГ, заказ на подобную атаку мог сделать каждый, кто обладал 30-50$ на оплату услуг.Естественно, это не доставляло особых проблем Цензору, и было «отбито» путём введения ряда javascript-проверок. 

Далее атаковать стали «тяжелые», с точки зрения нагрузки, местам сайта. Введя дополнительные меры фильтрации и подключив AntiDDoS-сервисы, Цензор снова вышел в онлайн. 

Самое интересное, что  удалось выяснить - это то, что Цензор.нет начал ДДоСить Крым, буквально весь Крым внезапно стал одним большим ботнетом, который стал атаковать сервера Цензора. Специалисты компании ProtectMaster детально вникли в анализ логов и начали разбираться, как это так вышло, что весь Крым внезапно оказался переполнен зараженными машинами.

После анализа логов и сетевого трафика мы смогли обнаружить спуфинг атаку, если быть точнее, то это был DNS-spoofing. Всё дело в том, что кто-то сменил всем жителям Крыма IP-адреса популярных сервисов статистики посещений сайта и ряда высоконагруженных ресурсов. Суть атаки на Цензор сводилась к тому, что кто-то на уровне провайдеров заменил адрес популярных сервисов статистики LiveInternet и Google Analytics, которые есть почти на каждом сайте, на адреса Цензора. Это привело к тому, что когда пользователь из Крыма открывал любую страницу, которая имела код счетчика, он автоматически открывал еще и страницу Цензора, и обновлял её десятки раз в минуту. Таким образом, весь трафик жителей Крыма лавиной обрушился на сервера Цензора.

В результате расследования были выявлены предполагаемые личности, как заказчик, так и исполнители, причастные к этому, и методы, которые они использовали для этой атаки.



Поделиться или сохранить: