Андрей Мальгин (avmalgin) wrote,
Андрей Мальгин
avmalgin

Как Миша Вербицкий ровно год назад боролся с DDoS-атакой

Вечером 4 декабря математик Михаил Вербицкий, приглашенный прочесть курс лекций по дифференциальной геометрии в университет бразильского города Кампинас, обнаружил, что стал жертвой нешуточной агрессии хакеров. Вернувшись с лекции в гостиницу кампуса, он попытался проверить электронную почту, но оказалось, что его сервер lj.rossia.org лег под потоком 50 000 запросов в минуту, приходящих примерно с 20 000 компьютеров во всех частях света. «Масштаб акции потрясающий, — по горячим следам писал в блоге Вербицкий, — нас атакуют из всего мира, от Таиланда до Туниса. Промышленное производство. Некоторые из доменов, которые я вообще ни разу не видел, типа .gh (Гана, что ли?), .do (Доминиканская Республика, очевидно) и .tt (наверное, Тринидад и Тобаго). Зимбабве и Вьетнам тоже были»...

...

Когда плотность атак достигла 100 000 запросов в секунду, Вербицкий стал делать контругрозы. «Все, что они нам направляли, приходило просто на адрес lj.rossia.org и могло быть отзеркалено в любой другой IP-адрес. Причем это отзеркаливание абсолютно недоказуемо и не детектируется. Когда я понял это, то почувствовал, что у меня в руках бомба, которую я могу направить на что угодно, и это что угодно немедленно разорвется на сотню маленьких обугленных микросхем», — объясняет Михаил. Для пробы он перенаправил атаку всего на полторы минуты на volgota.com, но «Вольготе» этого хватило: сайт лег. ...

...

«Кончилась атака следующим замечательным образом, — рассказывает Вербицкий. — Я не просто поставил защиту, но и лично логи просматривал с целью выяснить паттерны атак. В какой-то момент там был некий атакованный URL, который вел на сайт казино vegasonline.ru. Понятно было, что, если я напишу в это казино, они найдут атакующих и с ними разберутся своими методами. Я не стал писать им, но выложил эту информацию в блог. Противники какое-то время оправдывались на «Вольготе», объясняя, что это не они, что это подстава и что это я атаковал это казино собственноручно — как, видимо, и себя самого. То есть полностью отказались от собственной первоначальной версии, что это они меня «наказывают». И после того как они заявили, что я атакую казино, я туда все-таки написал: мол, друзья, это не я вас ддосил, посмотрите туда-то и туда-то, чтобы убедиться».

...

Например, тот факт, что из России запросов не было — притом что русские зараженные компьютеры стоят гораздо дешевле. Логично предположить, что человек, который это дело организует, сидит в России и опасается судебного процесса, связанного с заражением русских компьютеров, поэтому их особо и не заражает. У меня есть чувство, что этим все-таки какой-то большой конгломерат людей занимался. Этакий спамерский холдинг. Одно крыло этого холдинга занималось шантажом казино, а другое — нецелевым расходованием средств на меня, инсце нируемым через какую-то структуру. Но когда я выяснил, что это один и тот же холдинг, то при этом, видимо, выплыла какая-то важная для них информация, и они испугались и перестали атаковать. Я все-таки подозреваю, что это была контора, которая связана с государством. Очередная проверка, насколько этим способом можно эффективно бороться с интернетом».

...

Факт, что на нас не нападали компьютеры из России, заставляет подозревать именно российских хакеров. С которыми органы заключили джентльменское соглашение: вы не нарушаете законов России, а мы вас не трогаем. Законов России они не нарушают, поскольку преступление по заражению компьютеров осуществлялось в далеких экзотических странах. В России и Украине живут 70—80% держателей ботнета. Глупо считать, что спецслужбы не в курсе. Просто крышуют, и небескорыстно, думаю. А вместо того чтобы сажать, предпочитают использовать — с целью патриотической бомбежки антиправительственных сайтов».
На деле главная опасность ботнетов, видимо, заключается не в угрозе оппозиционным веб-ресурсам, а в их тотальной доступности в сочетании с чудовищной мощью.


Читать полностью здесь: http://www.bg.ru/article/8398/
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 4 comments