Embed Size (px)
DESCRIPTION
Александр Лямин, генеральный директор компании HLL, рассказывает о способах противодействия "оружию массового поражения" группы Anonymous в рамках семинара компании HLL "DDoS-атаки и защита от них" (RIGF, 14 мая 2012, Москва). LOIC / HOIC / JS LOIC / OWA / SLOWPOST — технически нового тут ничего нет. Обычный DDoS, на самом деле, гораздо лучше скоординирован и технически более совершенен. Так почему злободневно? Причиной тому стали 5 важных факторов: социальность, массовость, плохой дизайн инфраструктуры, ужасающий дизайн веб-приложений и фактор X.
Citation preview
2/35
Предисловие
«Cпециалисты определили, что речь идет об электромагнитном воздействии на сайт». «Причем, количество атак составляет порядка 1300 в секунду»
???
3/35
Электромагнитноевоздействие
4/35
Target down
Май 2012 #OpDefiance• Kremlin.ru• Government.ru• Premier.gov.ru• NTV.ruФевраль 2012 #ОpRussia• Взломы почтовых ящиков
«НАШИ»
5/35
Target down permanently?
Апрель 2011 #OpSONY:• Серия DDoS атак • Серия взломов• Утечка персональных данных
PSN
Февраль 2010 #OpAssange• Paypal, Visa, MasterCard,
Amazon
6/35
Anonymous?
7/35
Серьезные парни
8/35
История2006–07 (3) Habbo raids, Hal Turner raid, Chris Forcand arrest
2008 (3) Project Chanology, Epilepsy Foundation,SOHH and AllHipHop
2009 (3) No Cussing Club, Iranian elections, OpDidgeridie
2010 (5) OpTitstorm, Oregon Tea Party raid, OpPayback, OpAssange, OpBradical, OpLeakspin, Zimbabwe
2011 (24) Fine Gael , Arab Spring Activities, HBGary Federal, OpOuraborus, Wisconsin protests, OpEmpireStateRebellion, OpSony, Spanish Police, Indian Anti-corruption OpMalaysia, OpOrlando, OpIntifada, OpAnti-Sec, OpFacebook, OpBAR, OccupyWallStreet, OpSyria, OpDarkNet, LosZetas, OpBrotherhoodTakedown, OpMayhem, Lt. John Pike, OpStratfor, OpPharisee
2012 (13+) OccupyNigeria, OpMegaupload,Anti-ACTA, OpRussia, Syrian Government Email Hack, AntiSec Leak and CIA Attack, Interpol Attack ,AIPAC Attack, Vatican website Attacks, Monsanto's Hungarian website, Anonymous China, OpBahrain and F1, OpDefiance, Independence Hall Tea Party Hack
9/35
О чем не пишет пресса
• Facebook• Первый канал• НТВ (+)• Режиссер Никита Михалков ;)• Другие неудачи о которых мы
не узнаем…
10/35
И еще вот это…
http://vk.com/anonymousГруппа ВКОНТАКТЕ?
ANONYMOUS?ВЫ
ЭТО СЕРЬЕЗНО?
11/35
Это тоже Anonymous
12/35
Как это работаетГайд по LOIC: http://pastebin.com/vB5u9MsAСкачать LOIC: http://sourceforge.net/projects/loic/ Скачать OWA: http://code.google.com/p/owasp-dos-http-post/downloads/list Инструкция для HOIC:1) скачать HOIC отсюда http://www.mediafire.com/?3i5i02qsl34pcvs2) нажать +, вставить адрес сайта (http://www.government.ru/ — 6 мая
2012, 15.00 по московскому времени; http://premier.gov.ru/ — 7 мая 2012, 11.55)
3) выбрать High4) выставить GenericBoost.hoic5) нажать ОК6) Targets должно быть около 47) Big Bada Boom! Так же приветствуется программа «Slow Post».Вы можете скачать его здесь http://www.rapidshare.ru/2804170Просто введите сайт, поставьте кол-во запросов на 900 и рандомную
задержку.
13/35
Еще проще!
14/35
Еще проще!
15/35
Как это работает
1. Скачать2. Дождаться часа Ч3. Нажать4. ???5. Причаститься
16/35
JS LOIC
17/35
LOIC UDP
18/35
LOIC TCP
19/35
LOIC HTTP
20/35
HOIC
21/35
HOIC
OLD BOOSTED HOTNESS.// populate listuseragents.Append "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.8.1.6)
Gecko/20070725 Firefox/2.0.0.6"useragents.Append "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"useragents.Append "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR
1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)”// populate referer listreferers.Append "http://www.google.com/?q="+URLreferers.Append URLreferers.Append "http://www.google.com/"referers.Append http://www.yahoo.com/// Add random headersrandheaders.Append "Cache-Control: no-cache"randheaders.Append "If-Modified-Since: Sat, 29 Oct 1994 11:59:59 GMT”// populate rotating urls// IF YOU WANT TO IMPROVE THE ATTACK, ADD URLS BELONGING TO THIS DOMAIN OR
RELATED SUBDOMAINS!!! PRO-TIP: You should create anew target and .HOIC randURLs.Append "http://qrator.net/"randURLs.Append "http://qrator.net/solutions/"randURLs.Append "http://qrator.net/contacts/"
22/35
Вредные советы
• HTTP/1.0 + заголовок Host• Порядок заголовков• Двойные пробелы• Mod_Security• Snort
23/35
OWASP / SLOWPOST
24/35
LOIC / HOIC / JS LOIC
LOIC / HOIC / JS LOIC / OWA / SLOWPOST
=
ничего нового(технически)
25/35
Обычный DDoS
• Лучше скоординирован• Технически совершеннее
26/35
Что нового?
СОЦИАЛЬНОСТЬ
27/35
Почему это работает
• Плохой дизайн веб-приложений
• Плохой дизайн инфраструктуры
• Массовость• Фактор X
28/35
Фактор X
Профессионалы Соучастники
29/35
Фактор X
Профессионалы Соучастники
• Организуют• Вооружают• Наносят
основной урон
• Причащаются• Отвлекающий
удар• Численная
безопасность
30/35
Численная безопасность
31/35
Выводы
Социальный протест обрел новую форму -
социальный DDoS.
32/35
Выводы
DDoS является действенным способом заблокировать
распространение информации.
33/35
Выводы
Любая DDoS-атака имеет радиус «осколочного поражения» и может оказывать негативное воздействие на целые сегменты сети.
34/35
Выводы
Глупо пилить сук, на котором сидишь.
