Tag Archives: Internet

Атаки с распределенным отказом в обслуживании DDoS

DDoS

Атаки с распределенным отказом в обслуживании DDoS 

Это постоянно растущая угроза для предприятий малого и среднего бизнеса, которые ежегодно расширяются по масштабам и частоте. 10-й ежегодный Всемирный отчет по безопасности инфраструктуры Arbor Network (WISR), обзор людей в рамках оперативной безопасности сообщества, только подтверждает эту реальность.

Более трети (38%) респондентов в 2014 году сообщили о 21 нападении DDoS в месяц с более чем 25% в 2013 году. Это не те телые 8 Гбит / с, к которым мы привыкли. Самая большая зарегистрированная атака в 2014 году составила 400 Гбит / с, а некоторые другие сообщили со скоростью более 100 Гбит / с.

 

application-layer targets DDoS

Поскольку атаки DDoS выросли в размерах, они также становятся все более изощренными в своей эффективности и реализации, и их гораздо труднее обнаружить, чем в прошлые годы. Инфраструктура, которая позволяет эти атаки, также выросла.

Как и Amazon Web Services (AWS), злоумышленники могут легко приобретать бот-сети по требованию для атак DDoS и взлома паролей в рутине — среди других задач. Ниже мы рассмотрим наиболее распространенные типы DDoS-атак, испытанных сегодня, и выделим несколько существенных результатов отчета Arbor. Типы DDoS-атак

DDoS Тип №1: объемные атаки Volumetric

Наиболее распространенные типы DDoS -атак, составляющие около 65% от общего числа зарегистрированных, согласно Arbor. Эти атаки используют несколько зараженных систем, которые часто являются частью бот-сети, для наводнения сетевых уровней значительным количеством, казалось бы, законного трафика.

Это потребляет чрезмерное количество полос пропускания внутри и / или за пределами сети и приводит к тому, что сетевые операции становятся болезненно вялыми или просто нефункциональными. Поскольку волюметрические атаки по существу «объединяются с бандой» в сети, их гораздо труднее смягчить, чем атаки из одного источника. Объемные атаки бывают разных форм, в том числе:

• Потоки протокола пользовательских дейтаграмм (UDP).

Случайные порты на сервере заливаются UDP-пакетами, заставляя сервер многократно проверять и реагировать на несуществующие приложения в портах. В результате потопа UDP система не может реагировать на законные приложения.

• Наводнения ICMP.

Сервер заливается ICMP-эхо-запросами из нескольких поддельных IP-адресов. Поскольку целевой сервер обрабатывает и отвечает на эти ложные запросы, он в конечном итоге перегружен и не может обрабатывать действительные запросы эхо-запросов ICMP.

DDoS Тип №2. Атаки на уровне приложения

Атаки уровня приложения составляют около 17% всех зарегистрированных DDoS -атак. Они нацеливают пакеты веб-приложений, чтобы нарушить передачу данных между хостами. Например, HTTP Flood использует несколько зараженных компьютеров, чтобы заставить тратить чрезмерное количество ресурсов при ответе на HTTP-запрос.

С точки зрения злоумышленника потоп HTTP — это гораздо более эффективная угроза, чем другие типы атак, поскольку для наружного использования сервера не требуется использовать большую пропускную способность.

Хотя HTTP-потоп обычно является наиболее распространенной атакой на уровне приложения, это всего лишь один из многих доступных инструментов атаки на уровне приложений. Таблица ниже из Arbor демонстрирует, как злоумышленники постоянно находят новые способы скомпрометировать прикладной уровень.

 

Поскольку потоки HTTP и другие атаки DDoS на уровне приложений имитируют поведение человека и пользователя, их также гораздо труднее обнаружить, чем другие типы атак.

Кроме того, атаки уровня приложения могут также поступать с одной машины, что приводит к сбою трафика. В свою очередь, эти атаки часто попадают под радар систем обнаружения.

Хотя HTTP и DNS-сервисы являются основными целями атак на уровне приложений, HTTPS и SMTP также были ориентированы в 2014 году, хотя и реже, согласно отчету

Arbor Network. В приведенной ниже таблице показано процент респондентов, получивших атаки на перечисленные цели на уровне приложения.

 

Application-layer attacks

Application-layer attacks

 

 

DDoS Тип №3. Активизация состояния

Также известные как атаки протокола, атаки на состояние истощения нацелены на таблицы состояний соединения в брандмауэрах, серверах веб-приложений и других компонентах инфраструктуры. По словам Арбора, атаки на состояние истощения происходят несколько чаще, чем атаки на уровне приложений, на которые приходится около 20% зарегистрированных DDoS-атак в 2014 году.

Одной из наиболее распространенных атак с изнашиванием состояния является печально известная ошибка смерти, в которой 65,536-байтовый пакет ping дефрагментируется и отправляется на целевой сервер как можно быстрее. Как только цель собирает большой пакет, обычно происходит перегрузка буфера. В вероятном сценарии, в котором цель пытается реагировать на пинги, потребляется еще больше полосы пропускания, что в конечном итоге приводит к сбою целевой системы.

Важно отметить, что эти типы DDoS-атак часто используются в сочетании друг с другом для компрометации одной цели. 42% респондентов из отчета Arbor Networks утверждают, что в 2014 году они подверглись нападению с множественной угрозой, что на 3% больше, чем в 2013 году.

Мотивы DDoS -атаки

В то время как любое лицо или организация могут быть объектом атаки DDoS, атаки обычно служат для вымогательства денег или нарушения работы частного или государственного предприятия.

С учетом сказанного, понимание мотивов DDoS имеет важное значение для создания эффективного метода смягчения ущерба от этих атак.

Участники опроса Arbor Networks спросили, какие мотивы, по их мнению, лежат в основе DDoS-атак, которые они испытали в 2014 году. Результаты следующие:

DDoS attack motivations

DDoS attack motivations

Основываясь на этих мотивах, легко понять, почему атаки DDoS стали более сложными, широко распространенными и трудными для обнаружения на протяжении многих лет.

200 000 MikroTik маршрутизаторов заражены майнинговым скрипт Coinhive

MikroTik маршрутизаторов заражены майнинговым скрипт Coinhive

Сразу несколько ИБ-специалистов и компаний зафиксировали волну атак, направленную против маршрутизаторов MikroTik по всему миру. Первым на происходящее обратил внимание бразильский исследователь, известный под ником MalwareHunterBR.

Посмотреть изображение в ТвиттереПосмотреть изображение в ТвиттереПосмотреть изображение в Твиттере

Дело в том, что сначала атаки концентрировались на территории Бразилии, но затем распространились и на другие страны, что уже привлекло внимание Trustwave. По данным аналитиков компании, по информации на 1 августа 2018 года неизвестные злоумышленники скомпрометировали более 72 000 роутеров MikroTik в одной только Бразилии. На тот момент подобные атаки практиковала всего одна хакерская группа, так как специалистам удалось выявить только один Coinhive-ключ.

Исследователи пишут, что хакеры эксплуатируют свежую уязвимость, которая была обнаружена в составе компонента Winbox в апреле текущего года. Хотя инженеры MikroTik оперативно устранили этот опасный RCE-баг, владельцы роутеров, к сожалению, по-прежнему не спешат устанавливать обновление на свои устройства. Между тем, для уязвимости уже были опубликованы PoC-эксплоиты (12) и подробные анализы.

После взлома устройства используются для манипуляций с трафиком: роутеры заставляли внедрять во все страницы, всех сайтов майнинговый скрипт Coinhive. Хуже того, по данным экспертов, атаки затронули не только пользователей устройств MikroTik. Дело в том, что некоторые бразильские провайдеры используют уязвимые маршрутизаторы в своих основных сетях, и в результате их компрометации инъекции Coinhive затронули большой процент трафика. Также такие инъекции опасны не только для пользователей напрямую. К примеру, если некий сайт размещается в локальной сети за роутером MikroTik, его трафик так же окажется заражен майнером Coinhive.

Однако злоумышленники быстро поняли, что встраивать майнер буквально повсюду – не слишком хорошая идея, так как подобное поведение привлекает чересчур много внимания. Тогда операторы вредоносной кампании решили ограничиться только страницами ошибок, которые возвращают роутеры. При этом массовость атак не снижается. После того как кампания распространилась за пределы Бразилии, количество зараженных майнинговым скрипт Coinhive маршрутизаторов MikroTik превысило 180 000.

Простое обращение к поисковику Shodan показывает, что в интернете можно обнаружить более 1,7 млн роутеров компании MikroTik, то есть атакующим определенно есть где развернуться.

Журналисты Bleeping Computer сообщают, что по данным известного ИБ-эксперта Троя Марша (Troy Mursch), специалистам удалось выявить второй ключ Coinhive, внедряемый в трафик устройств MikroTik. Вторая вредоносная кампания затронула по меньшей мере 25 000 роутеров, то есть в общей сложности уже были скомпрометированы свыше 200 000 устройств.

MikroTik маршрутизаторов заражены майнинговым скрипт Coinhive

DNS rebinding attack 500 000 000 IoT-устройств уязвимы перед ними

DNS rebinding attack

Специалисты компании Armis стали известны всему миру в 2017 году после обнаружения уязвимости BlueBorne, представлявшей угрозу для 5,3 млрд устройств, работающих с различными имплементациями Bluetooth.

Теперь аналитики Armis обратились к другой проблеме и подсчитали, что около полумиллиарда «умных» устройств по-прежнему уязвимы перед старой проблемой перепривязывания DNS rebinding attack (DNS rebinding).

Эксперты полагают, что атакующие могут использовать этот нюанс для атак на корпоративные сети, куда IoT интегрирован весьма серьезно. Напомню, что на прошлой неделе стало известно, что злоумышленники, атаковавшие российский ПИР банк, использовали для проникновения в сеть финансового учреждения всего один уязвимый роутер.

Внимание специалистов к данной проблеме привлекли участившиеся в последнее время случаи обнаружения уязвимостей в различных продуктах, напрямую связанных сDNS rebinding attack. К примеру, только в 2018 году ошибки, связанные с перепривязыванием DNS, устранили разработчики BlizzarduTorrent,  Google Home и так далее.

Атаки типа DNS rebinding attack  устроены весьма просто:

  • Атакующий поднимает собственный DNS-сервер на вредоносном домене.
  • Затем злоумышленник обманом вынуждает свою жертву обратиться по ссылке к этому вредоносному домену, используя фишинг, социальную инженерию, XSS и так далее.
  • Браузер пользователя запрашивает у домена настройки DNS, и вредоносный DNS-сервер отвечает, после чего браузер кэширует адрес вида XX.XX.XX.XX.
  • Но DNS-сервер атакующего настроен таким образом, чтобы его ответы содержали очень короткое время жизни (TTL) записей, предотвращая кэширование ответа. Как правило значение равно одной секунде. В результате браузер через секунду обращается к домену с еще одним DNS-запросом.
  • DNS-сервер злоумышленников присылает в ответ вредоносный IP-адрес (к примеру, YY.YY.YY.YY), как правило, соответствующий домену в частной сети устройства.
  • Атакующие продолжают использовать вредоносный DNS-сервер для разных IP, чтобы собрать как можно больше данных из частой сети, которые затем могут использовать для самых разных целей.

 

Видео, созданное специалистами Armis, подробно рассказывает о том, как работают атаки с перепривязкой DNS и какие риски они могут нести. По данным аналитиков Armis, миллионы IoT-устройств являются идеальными целями для атак DNS rebinding attack. Эта проблема опасна почти для всех «умных» устройств: телевизоров, роутеров, камер видеонаблюдения, принтеров, IP-телефонов и так далее. Хуже того, в настоящее время «умные» гаджеты плотно интегрированы в корпоративные сети и могут выступать удобным плацдармом для злоумышленников. Примерное соотношение уязвимых устройств обозначено на инфографике ниже.

DNS rebinding attack

DNS rebinding attack

Исследователи отмечают, что создание и выпуск патчей для этого сонма гаджетов, скорее всего, является попросту невыполнимой задачей. Дело в том, что многие производители не спешат исправлять в своих продуктах даже более тривиальные баги (например, XSS и CSRF), так что у проблемы DNS rebinding attack шансов немного. В Armis полагают, что искать новые устройства на замену уязвимым и проводить многочисленные аудиты, это тоже не вариант. По мнению экспертов, проще и дешевле будет эффективно интегрировать IoT-устройства с уже использующимися продуктами для мониторинга кибербезопасности.

«Антонов» и СБУ подписали меморандум об обмене данными о DDoS атаках

DDoSAttack

«Антонов» и СБУ подписали меморандум об обмене данными о DDoS атаках ,кибератаках.

DDoS-Antonov

Документ обеспечит структурам возможность обмениваться техническими данными в режиме реального времени/ меморандум об обмене данными о DDoS атаках

СБУ и государственное предприятие «Антонов» подписали меморандум о совместной работе над системой кибербезопасности. Об этом сообщил пресс-центр СБУ в Facebook.

Новости по теме: СБУ за совершенствование противодействия угрозам нацбезопасности в информсфере для блокировки российских кибератак

«Документ должен обеспечить обмен в режиме реального времени технологическими данными о киберинцидентах с использованием платформы MISP-UA. Специалисты спецслужбы уверены, что данные с MISP-UA будут способствовать повышению защищенности государственного предприятия стратегического значения и эффективному реагированию со стороны СБУ и других субъектов обеспечения кибербезопасности на атаки высокой степени сложности», — говорится в сообщении.

Новости по теме: Украина без крыльев: Почему «Антонов» ушел в крутое пике

Система сбора и обработки информации об инцидентах кибербезопасности на базе платформы MISP была создана сотрудниками Ситуационного центра обеспечения кибербезопасности СБУ. Специалисты Службы сообщают, что платформа используется для обеспечения кибербезопасности и обмена техническими данными во всем мире, в том числе основными международными субъектами в сфере кибербезопасности — FIRST, CIRCL, CiviCERT и NATO NCI Agency.

DDoS-атаки в первом квартале 2018 года

DDoS-атаки в первом квартале 2018 года

Обзор новостей

В начале января произошел почти анекдотичный случай, когда хакеру-любителю чуть не удалось создать новый DDoS-ботнет “из подручных материалов”. С помощью советов и информации с форумов этот самородок изготовил троянца, использующего уязвимость “нулевого дня” в маршрутизаторах Huawei, и выпустил его в Сеть. Деятельность злоумышленника быстро пресекли, но его самого поймать не удалось.

Другие известия были серьезнее: во-первых, эксперты сообщили о росте ботнета Reaper, или IoTroop (не путать с северокорейской хакерской группировкой Reaper), впервые обнаруженного еще в прошлом квартале. Во-вторых, на ресурсах, посвященных IT-безопасности, появилась информация о новых “штаммах” Mirai и Satori (последний, так называемый Okiru, предназначен для ARC-процессоров), но пока без подробностей. Кроме того, в начале февраля был обнаружен и обезврежен сервис, который продавал услуги ботнета JenX, использующего в качестве C&C фанатский сервер для игры GTA: San Andreas. Особой мощностью JenX не отличался, но оригинальность его создателей заслуживает упоминания. Говоря об интересных зомби-сетях, стоит отметить также DoubleDoor: впервые “в дикой природе” был найден зловред, использующий для распространения сразу две бреши в IoT-устройствах.

Что касается новых методов и уязвимостей, то помимо растиражированной дыры в Memcached, в прошлом квартале стало известно об уязвимости в WordPress, которая позволяет легко “положить” веб-сервер. К счастью, “в дикой природе” таких атак замечено не было.

Цели, для которых злоумышленники использовали весь этот арсенал в прошедшем квартале, практически не изменились. Главным мотивом DDoS по-прежнему остается прибыль (количество атак только на российский бизнес за 2017 год выросло в два раза), хотя громких “коммерческих” кампаний за последние три месяца было отмечено не так много.

В начале февраля в течение трех дней игроки Final Fantasy сталкивались с проблемами при входе в некоторые сервисы. Примерно в то же время аналогичные трудности более недели испытывала информационная компания BusinessWire: ни редакция, ни их читатели не могли получить доступ к новостному порталу. В обоих случаях злоумышленники не требовали выкупа, поэтому можно предположить, что их целью было вывести из строя конкурента.

Нельзя не упомянуть прогремевшие в начале марта атаки на GitHub, а также на неизвестного поставщика услуг, во время которых были зафиксированы рекордные объемы мусорного трафика — свыше 1 Тб/с. Такой мощности удалось достичь за счет использования плеча Memcached, популярного сервиса кэширования для Linux-серверов. Интересно, что в некоторых из этих атак сам мусорный трафик включал в себя требования выкупа в Monero.

Политические мотивы распространены меньше, однако в силу своей злободневности чаще попадают в поле зрения общественности. Самым резонансным происшествием, конечно, стала серия атак — вероятно, DDoS, — едва не сорвавшая церемонию открытия Олимпиады в начале февраля. Еще до этого, в конце января, Министерство обороны США отразило наплыв спама, а в конце марта DDOS-атаку пришлось пережить и их российским коллегам. Кроме того, эксперты сообщают о росте и расширении северокорейской группировки The Reaper. Пока она не проявляла DDoS-активности, но движение в этом направлении может начаться в ближайшем будущем.

Еще одну громкую DDoS-атаку, мишенью которой стали крупные финансовые учреждения Нидерландов, сперва сочли политической, однако при ближайшем рассмотрении она оказалась чистой воды хулиганством: голландской полиции удалось арестовать подростка, который в течение недели умудрялся мешать работе нескольких банков, просто чтобы доказать, что это возможно.

DDoS как средство личной мести тоже становится все популярнее. Так, в Калифорнии был признан виновным в организации атаки Дэвид Гудеар (David Goodyear), который пытался наказать форум астрономов-любителей, где его заблокировали за мат. Правда, нельзя сказать, что он не пробовал другие средства, прежде чем обратиться к ботам: Гудеар неоднократно возвращался на форум под разными никами, но каждый раз зарабатывал бан за грубое поведение.

Тенденции квартала

Атаки с использованием Memcached из-за своей мощности и сравнительной доступности стали самым громким потрясением прошедшего квартала. Однако есть вероятность, что это короткоживущая тенденция, и вот почему.

В конце февраля в службу поддержки Kaspersky DDoS Protection обратилась компания с жалобой на странную перегрузку каналов связи. Предприниматели подозревали, что находятся под DDoS-атакой, и надеялись на помощь “Лаборатории Касперского”.

На первый взгляд, картина выглядела типичной для DDoS-нападения: канал связи был полностью забит, и пользователи не могли получить доступ к ресурсам компании. Однако исследование показало, что на одном из серверов клиента был установлен дистрибутив CentOS Linux с уязвимым сервисом Мemcached. Этот сервис, использованный злоумышленниками при атаке, генерировал большие объемы исходящего трафика, что приводило к перегрузке канала. Иными словами, клиент оказался не мишенью, а случайным пособником DDoS-нападения: злоумышленники воспользовались его сервером как усилителем. После выполнения рекомендаций экспертов “Лаборатории Касперского” вредоносный паразитный трафик прекратился.

Такая ситуация типична для атак с использованием Мemcached: оказавшись в числе пострадавших, владельцы уязвимых серверов, через которые проводятся атаки, быстро замечают повышение нагрузки и стараются оперативно ставить патчи, чтобы не терпеть еще больше убытков из-за нестабильной работы сервисов. Таким образом, количество уязвимых серверов, которыми могут воспользоваться злоумышленники, стремительно сокращается, благодаря чему, скорее всего, Мemcached-атаки достаточно быстро сойдут на нет.

И все же наблюдаемая в первом квартале картина показывает, что популярность атак “с усилением”, которая было пошла на спад, снова набрала обороты. Попытки увеличить мощность воздействия через NTP и DNS практически прекратились, так как большинство уязвимых сервисов уже пропатчены. Вероятнее всего, злоумышленники продолжат упорно искать другие, нестандартные методы усиления помимо Memcached. Например, в прошедшем квартале нами был зафиксирован достаточно редкий, несмотря на свою эффективность, вид атаки типа amplification, где в качестве усилителя использовался сервис LDAP. Наряду с Memcached, NTP и DNS этот сервис обладает одним из самых больших коэффициентов усиления. Возможно, несмотря на сравнительно небольшое количество доступных LDAP-серверов, именно этот вид атак станет хитом в теневом интернете в ближайшие месяцы.

Статистика DDoS-атак с использованием ботнетов

Методология

“Лаборатория Касперского” имеет многолетний опыт противодействия киберугрозам, в том числе и DDoS-атакам разных типов и разной степени сложности. Эксперты компании отслеживают действия ботнетов с помощью системы DDoS Intelligence.

Система DDoS Intelligence является частью решения Kaspersky DDoS Protection и осуществляет перехват и анализ команд, поступающих ботам с серверов управления и контроля, и не требует при этом ни заражения каких-либо пользовательских устройств, ни реального исполнения команд злоумышленников.

Данный отчет содержит статистику DDoS Intelligence за первый квартал 2018 года.

За отдельную (одну) DDoS-атаку мы принимаем ту, во время которой перерыв между периодами активности ботнета не превышает 24 часов. Так, например, в случае если один и тот же ресурс был атакован одним и тем же ботнетом в две волны с перерывом в сутки и более, это рассматривается как две атаки. Также за отдельные атаки засчитываются запросы на один ресурс, произведенные ботами из разных ботнетов.

Географическое расположение жертв DDoS-атак и серверов, с которых отправлялись команды, определяется по их IP-адресам. Количество уникальных мишеней DDoS-атак в данном отчете считается, исходя из количества уникальных IP-адресов в квартальной статистике.

Статистика DDoS Intelligence ограничена только теми ботнетами, которые были обнаружены и проанализированы “Лабораторией Касперского”. Следует также иметь в виду, что ботнеты – лишь один из инструментов осуществления DDoS-атак, и представленные в настоящем отчете данные не охватывают все без исключения атаки, произошедшие за указанный период.

Итоги квартала

  • В первом квартале 2018 года были зафиксированы атаки в 79 странах (в прошлом квартале — в 84 странах). Как всегда, подавляющее большинство из них (95,14%) произошло в странах первой десятки.
  • Что касается целей, то около половины традиционно были расположены в Китае (47,53%), хотя по сравнению с предыдущим кварталом их доля несколько уменьшилась.
  • Количество атак и мишеней заметно возросло, как и длительность кампаний. Наиболее продолжительная из них не утихала в течение 297 часов (больше 12 дней), став одной из самых долгих DDoS-атак за последние несколько лет.
  • Доля Linux-ботнетов слегка уменьшилась, составив 66% по сравнению с 71% в прошлом квартале.
  • Значительные пики по числу и мощности атак за истекший период наблюдались в середине января и начале марта, февраль прошел относительно спокойно.

География атак

Лидерство по числу атак в прошедшем квартале сохраняет Китай: его доля осталась практически неизменной, лишь незначительно повысившись с 59,18% до 59,42%. Вовлеченность США (17,83%), оставшихся на втором месте, возросла заметнее — на 1,83 п. п. Южная Корея сохранила за собой третью позицию, однако ее доля снизилась более чем на 2 п. п., с 10,21% до 8%.

Великобритания (1,30%) переместилась с четвертого места на пятое. Десятой в истекшем квартале оказалась Россия, чья доля уменьшилась с 1,25% до 0,76%. Ниже этого порогового значения опустились Нидерланды и Вьетнам, зато в ТОР 10 вернулись Гонконг, набравший солидные 3,67% против 0,67% в конце прошлого года, и Япония с 1,16%.

Распределение DDoS-атак по странам, Q4 2017 и Q1 2018

Что касается географического распределения целей атак, то первенство здесь тоже принадлежит Китаю, хотя его доля уменьшилась с 51,84% до 47,53%. Процент мишеней из США, которые по-прежнему находятся на втором месте, напротив, вырос с 19,32% до 24,10%. Тройку лидеров замыкает Южная Корея (9,62%). Значительно изменилась и статистика по целям во Франции: потеряв в этом квартале всего 0,65 п. п., эта страна опустилась с 5-го места сразу на 9-е.

Десятку самых атакуемых стран покинули Россия и Нидерланды, зато в нее вернулись Гонконг (4,76%), сразу занявший 4-е место, и Япония (1,6%), оказавшаяся на 6-м. В целом суммарная доля стран из ТОР 10 в этом квартале немного выросла, составив 94,17% вместо 92,9% в конце 2017 года.

Распределение уникальных мишеней DDoS-атак по странам, Q4 2017 и Q1 2018

Динамика числа DDoS-атак

Основная активность пришлась на первую и последнюю трети квартала. Максимальное количество атак наблюдалось 19 января (666) и 7 марта (687 атак). Вероятно, это связано с окончанием новогодних праздников (количество атак начало расти приблизительно со второй недели января) и мартовскими распродажами. В эти же периоды были зафиксированы и наиболее тихие дни: 16 января и 11 марта. Середина квартала прошла относительно ровно: ни значительных пиков, ни заметных спадов не наблюдалось.

Самым спокойным днем недели в новом квартале оказалось воскресенье — его преступники выбрали всего для 11,35% всех атак.

Распределение DDoS-атак по дням недели, Q4 2017 и Q1 2018

Типы и длительность DDoS-атак

Доля атак SYN-DDOS незначительно выросла (с 55,63% до 57,3%), но ситуация предыдущих кварталов не повторилась. Процент атак ICMP увеличился почти вдвое — с 3,4% до 6,1%. Соответственно, UDP, TCP и HTTP-флуд несколько сдали позиции: их доли сократились на 1-2 процентных пункта по сравнению с прошлым кварталом.

Распределение DDoS-атак по типам, Q1 2018

После некоторой передышки в конце 2017 года вернулись длительные атаки: самая долгая шла в течение 297 часов (12,4 дня). И хотя это нельзя назвать мировым рекордом, величина все же значительная: последний раз сопоставимую по продолжительности атаку мы наблюдали в конце 2015 года.

Доля всех остальных относительно продолжительных атак (не менее 50 часов) выросла более чем в 6 раз, с 0,10% до 0,63%. Также увеличился процент самых коротких атак продолжительностью от 9 часов и меньше: если в прошлом квартале они составляли 85,5% от всех нападений, то теперь — 91,47%. А вот количество атак от 10 часов до трех суток в новом квартале сократилось почти в два раза: с 14,85% до 7,76%.

Распределение DDoS-атак по длительности, часы, Q4 2017 и Q1 2018

Состав первой десятки стран по количеству командных серверов в прошедшем квартале был изрядно перетасован: ее покинули Канада, Турция, Литва и Дания, зато наверх поднялись Италия, Гонконг, Германия и Великобритания. Состав ведущей тройки остался почти неизменным: Южная Корея (30,92%), США (29,32%) и Китай (8,03%). Только Россия (2,01%), делившая с Китаем третье место в конце 2017 года, опустилась на девятую позицию.

Доля США выросла почти вдвое, что вплотную подвело их к бессменному лидеру рейтинга — Южной Корее. Кроме того, значительно увеличились доли Италии (6,83%), которая в прошлом квартале даже не вошла в десятку лидеров, Нидерландов (5,62%) и Франции (3,61%). Этот скачок объясняется тем, что резко выросло количество C&C-учеток для ботов Darkai (в США, Италии, Нидерландах и Франции) и AESDDoS (в Китае).

Распределение командных серверов ботнетов по странам, Q1 2018

Доля Linux-ботнетов в прошедшем квартале слегка уменьшилась по сравнению с концом 2017 года — 66% вместо 71%. Соответственно, количество Windows-ботнетов выросло с 29% до 34%.

Соотношение атак с Windows- и Linux-ботнетов, Q1 2018

Заключение

В первом квартале 2018 года наблюдался серьезный рост и общего числа, и продолжительности DDoS-атак по сравнению с последним кварталом 2017 г. Во многом за этот скачок ответственны новые ботнеты, Darkai (клон Mirai) и AESDDoS — оба для платформы Linux. Увеличилось и количество атак уже известного нам Xor. Windows-ботнеты тоже не остались в стороне; более того, в этом квартале им удалось слегка потеснить долю Linux в общем количестве атак. Особенно заметна была активность старого ботнета Yoyo, которая возросла практически в пять раз.

Также увеличилось количество смешанных атак, задействующих сразу несколько семейств ботнетов. Очевидно, продолжается тенденция, о которой мы говорили в конце прошлого года: чтобы оптимизировать свои затраты, злоумышленники используют для генерации мусорного трафика невостребованные части ботнетов, перебрасывая их с мишени на мишень.

На киберарену вернулись атаки с усилением, в частности через сервис Memcached. Однако мы полагаем, что владельцы серверов будут очень быстро замечать избыток мусорного трафика и закрывать уязвимости, что приведет к спаду популярности атак такого типа. На этом фоне организаторы DDoS-атак, скорее всего, будут активно искать другие возможности усиления. Одной из них могут стать LDAP-сервисы.

Чего украинцы хотят от соцсетей в свете 3G

Чего украинцы хотят от соцсетей в свете 3G

 

3g Ukraine

3g Ukraine

Чего украинцы хотят от соцсетей в свете 3G .Wave – это инструмент, который помогает находить глубокие инсайты поведения пользователей в социальных медиа и дает понимание, в каком направлении необходимо общаться с пользователями для достижения целей бренда. Исследование проводится по всему миру методом онлайн-анкетирования. В украинской панели участвовало 500 активных интернет-пользователей, опрос проводился в конце 2014 года.

Смартфоны и планшеты

Проникновение мобильных устройств в Украине растет. На момент проведения опроса 68% регулярных интернет-пользователей владели смартфонами, и 47% — планшетами.

Украина постепенно догоняет мировые показатели по уровню проникновения мобильных устройств. Смартфон сегодня воспринимается украинцами как необходимость.

Примечательно, что украинские интернет-пользователи меньше просматривают контент со смартфона, чем в целом по миру. Однако, как считают авторы исследования, это не значит, что он не важен. При использовании планшета такого расхождения нет.

Чего хотят пользователи

Действия пользователей в социальных сетях обусловлены, в первую очередь, стремлением получить признание, а не просто развлечься, как это было раньше. 50% пользователей хотят быть популярными онлайн, поэтому избирательно относятся к тому, что они размещают на своих страницах в социальных сетях. Также выросли потребности украинцев в развитии.

Для пользователей важно, чтобы их контент был оценен, признан.

Не всем контентом, который пользователи потребляют, они готовы делиться. Так, большинство из них потребляют обучающий контент, но делятся больше развлекательным или отображающим их точку зрения.

Как бренду общаться с пользователями

Разные типы контента работают на достижение разных целей бренда. Например, чтобы растить знание о бренде, важно использовать развлекательный контент, поскольку он работает на увеличение охвата.

Источник

 

Telnet Commands List (Ru)

Telnet Commands List

This table includes commands that you can run to help you debug the SSO Agent.

Command Telnet Message Description
help Show help Shows the list of all Telnet commands.
login <user> <password> Login user. Quote if space in credentials. Type the user credentials to use to log in to the SSO Agent with Telnet.
logout Log out. Log out of the SSO Agent.
get user <IP> Show all users logged in to <IP address> address.
Ex: get user 192.168.203.107
Shows a list of all users logged in to the selected IP address.
get timeout Show the current timeout.
get status Show status about the connections. Shows connection information used to analyze the overall load in your SSO environment.
get status detail Show connected SSO clients, pending, and processing IPs. Shows detailed connection information used to analyze the overall load in your SSO environment.
get domain Show the current domain filter. Gets information about the current domain filters from which the SSO Agent accepts authentication attempts.
get version <IP> Show the SSO component name, version, and build information for the IP address. Gets information about the SSO components (SSO Agent, SSO Client, Event Log Monitor) that are installed at the specified IP address. The information returned includes the version and build numbers for each installed SSO component.
get version all Show the SSO component name, version, and build information for all the monitored IP addresses. Gets information about the SSO components (SSO Client, Event Log Monitor) that are monitored by the SSO Agent. The information returned includes the version and build numbers for each installed SSO component.
log off <ip> Kill the IP session on Firebox and clear SSO EM internal cache Ends the session of the specified IP address and removes the active session details for that IP address from the SSO Exchange Monitor internal cache.
set domainfilter on Turn on domain filter. Permanently sets the domain filter to ON.
set domainfilter off Turn off domain filter. Permanently sets the domain filter to OFF.
set user Set artificial user information (for debugging). Changes the user information in the debug log files to a user name you select. This enables you to clearly track user information when you review debug log messages.
set debug on Save debug messages to a file in the same location as the .exe. Sets debug logging on the SSO Agent to ON. This setting sends debug log messages to the log file, which provides detailed information for troubleshooting.
Log file location:

SSO Agent — \Program Files\WatchGuard\WatchGuard Authentication Gateway\wagsrvc.log

SSO Client — \Program Files\WatchGuard\WatchGuard Authentication Client\wgssoclient_logfile.log and wgssoclient_errorfile.log

set debug verbose Enable additional log messages. Includes additional log messages in the debug log files.
set debug off Sets debug logging on the SSO Agent to OFF.
flush <ip> Clear cache of <ip> address. Deletes all authentication information about the specified IP address from the SSO Agent cache.
flush all Clear cache of all <ip> addresses. Deletes all authentication information currently available on the SSO Agent.
list Return list of all IP in cache with expiration. Shows a list of all authentication information currently available on the SSO Agent.
list config Return list of all monitoring domain configurations. Shows a list of all domains the SSO Agent is connected to.
list user Return list of all registered users. Shows a list of all user accounts included in the SSO Agent configuration.
list eventlogmonitors Return list of all registered Event Log Monitors. Shows a list of all instances of the Event Log Monitor and the version of each instance.
get log <IP> Get SSO Client logs and dmp files (if have) in zip format. Download the SSO Client log files and DMP files in a ZIP file from the specified IP address.
get log <xxx.txt> Same as «get log <IP>’, but support multiple ip, full path of txt required and one ip each line in the txt file.
eg: get log C:\my test\ips.txt.
Download the SSO Client log files and DMP files in a ZIP file from each IP address specified in the TXT file. In the TXT file, each SSO Client IP address must be on a separate line and the full path to the log and dmp files for each SSO Client must be specified.
quit Terminate the connection. Closes the Telnet connection to the SSO Agent.

 

Эта таблица содержит команды, которые можно выполнять, чтобы помочь в отладке агента SSO.

Команда Telnet сообщение Описание
помогите Показать помощь Показывает список всех команд Telnet.
Войти <пользователь> <пароль> Войти пользователь. Цитата если пространство, в полномочиях. Введите учетные данные пользователя для использования, чтобы войти в Агентом SSO с Telnet.
выход Выход. Выйти Агента SSO.
получить пользователь <IP> Показать все пользователям, зарегистрированным в <IP-адрес> адрес.
Пример: получить пользовательский 192.168.203.107
Показывает список всех пользователей, зарегистрированных в к выбранному IP адресу.
получить тайм-аут Показать текущую тайм-аут.
получить статус Показать статус соединений. Показывает информацию о соединении используется для анализа общей нагрузки в вашей среде SSO.
получить деталь статус Показать подключенных клиентов SSO, в ожидании, и обработки IP-адреса. Показывает подробную информацию соединения, используемого для анализа общей нагрузки в вашей среде SSO.
получить домен Показать текущий фильтр домена. Получает информацию о текущих фильтров домена, с которого SSO агент для попыток аутентификации.
получить версию <IP> Показать имя компонента SSO, версия и информацию по сборке для IP-адреса. Получить информацию о компонентах SSO (SSO Agent, SSO клиента, Event Log Monitor), которые установлены на указанном IP-адрес. Информация, возвращаемая включает в себя версию и номер сборки для каждого установленного компонента единого входа.
получить версию все Показать имя компонента SSO, версия, и построить к информации для всех контролируемых IP-адресов. Получить информацию о компонентах SSO (SSO клиента, Event Log Monitor), которые контролируются агентом SSO. Информация, возвращаемая включает в себя версию и номер сборки для каждого установленного компонента единого входа.
выйти <IP> Убейте IP заседание по Firebox и ясной SSO EM внутреннего кэша Завершает сеанс указанных IP-адрес и удаляет активные детали сессия для этого IP-адреса из внутреннего кэша SSO Exchange Monitor.
установить domainfilter на Включите фильтр домена. Постоянно устанавливает фильтр домена в положение ON.
установить domainfilter от Выключите фильтр домена. Постоянно устанавливает фильтр домена в положение OFF.
Набор пользователя Установите искусственный пользовательской информации (для отладки). Изменяет информацию о пользователе в файлах журнала отладки на имя пользователя вы выберите. Это позволяет четко отслеживать информацию пользователя при просмотре сообщения журнала отладки.
установить отладки на Сохранить отладочных сообщений в файл в том же месте, что и .exe. Устанавливает журнала отладки на SSO Агента ON. Эта настройка посылает сообщения журнала отладки в файл журнала, который содержит подробную информацию для диагностики.
Расположение файла журнала:

SSO Agent — \ Program Files \ WatchGuard Шлюз \ WatchGuard аутентификации \ wagsrvc.log

SSO Клиент — Клиент \ Program Files \ WatchGuard \ WatchGuard аутентификации \ wgssoclient_logfile.log и wgssoclient_errorfile.log

установить отладки подробный Включить дополнительные сообщения журнала. Включает в себя дополнительные сообщения Войти файлов журнала отладки.
установить отладки от Устанавливает журнала отладки на SSO Агент OFF.
флеш <IP> Очистить кэш из <IP> адреса. Удаляет всю информацию аутентификации об указанном IP-адреса из кэша SSO Agent.
промойте все Очистить кэш всех <IP> адреса. Удаляет всю информацию аутентификации в настоящее время доступна на агента SSO.
список Вернуться список всех IP в кэше в связи с истечением. Показывает список всей информации аутентификации в настоящее время доступна на агента SSO.
Список конфигурации Вернуться список всех контрольных доменных конфигураций. Показывает список всех доменов SSO Agent подключен.
Список пользователей Вернуться список всех зарегистрированных пользователей. Показывает список всех учетных записей пользователей, включенных в конфигурации SSO Agent.
Список eventlogmonitors Вернуться список всех зарегистрированных в журнале событий Мониторы. Показывает список всех экземпляров Event Log Monitor, а также версию каждого экземпляра.
Получить журнал <IP> Получить журналов клиентов SSO и DMP-файлы (если есть) в почтовый формате. Скачать файлы журналов клиента SSO и DMP-файлы в ZIP-файл с указанного IP-адреса.
Получить журнал <xxx.txt> То же, что «Получить журнал <IP>», но поддерживает множественное IP, полный путь к TXT требуется, и одного IP Каждая строка в текстовом файле.
например: получить войти C: \ Мои Test \ ips.txt.
Скачать файлы журналов клиента SSO и DMP-файлы в ZIP файл из каждого IP адреса, указанного в файле TXT.В файле TXT, каждый SSO IP адрес клиента должна быть на отдельной строке, и полный путь к бревну и DMP-файлов для каждого SSO клиент должен быть указан.
выход Завершить соединение. Закрывает соединение Telnet Агенту SSO.

LTE от Ericsson работает на Wi-Fi частотах

LTE от Ericsson работает на Wi-Fi частотах

 

Сотовым операторам постоянно не хватает частот для сетей четвертого поколения, но, возможно, эти частоты находятся у них под самым носом, только они об этом не догадываются. Производитель сетевого оборудования Ericsson разработал технологию, в которой сети могут работать на частотах Wi-Fi. Это повышает и пропускную способность, и скорость соединения.

Новая технология получила название License Assisted Access (LAA). Ericsson на выставке CES особенно подчеркнула, что ее реализация поддерживает малые соты. Малая сота – это небольшая базовая станция, которая устанавливается в зоне действия более крупной станции для повышения пропускной способности сети в данной точке. Устанавливая малые соты с LAA, операторы могут повысить скорость передачи данных в сильно загруженных зонах, в частности в помещениях.


В LAA используется и еще одна передовая технология – агрегация несущих частот, в которой разные диапазоны LTE работают вместе. LAA может подключить и задействовать любые неиспользуемые полосы шириной от 5 ГГц, даже на нелицензированных частотах.

В LAA сеть LTE работает примерно на таких же принципах, как Wi-Fi: использовать имеющийся диапазон может любая сеть, для этого нужно лишь «договориться», чтобы не перекрывать друг друга. На практике это означает, что малая сота LAA постоянно сканирует нелицензированные частоты в поиске свободных каналов. Найдя канал, она создает на нем 4G-соединение.

Все, кто был на многолюдных мероприятиях (типа начавшейся вчера выставки CES), хорошо знают, как быстро может перегрузиться сеть Wi-Fi. От этой проблемы не застрахована и LAA, объясняет глава подразделения LTE в Ericsson Эрик Парсонс (Eric Parsons). Поскольку операторы не имеют эксклюзивный доступ к нелицензированным частотам, они не могут гарантировать определенную пропускную способность для своих потребителей.

Однако, сразу же оговаривается Парсонс, LAA-сеть никогда не будет перегружена так, как Wi-Fi, поскольку она может работать и на стандартной LTE-сети оператора с применением лицензированных волн.

Возьмем для примера LTE-сеть T-Mobile в Далласе. Она использует полосу в 20 МГц, что теоретически обеспечивает скорость загрузки до 150 Мбит/с. Однако малая сота LAA создает еще одну полосу в 20 МГц за счет нелицензированных частот. Теперь, в зависимости от загруженности этих частот за счет Wi-Fi-потребителей, прирост скорости может составить от нескольких мегабит до целых 150, что в идеале удваивает общую пропускную способность до 300 Мбит/с. Таким образом, T-Mobile может гарантировать своим абонентам 150 Мбит/с, однако при возможности, находясь в нужном месте в нужное время, они могут получить «бонус» в виде повышения скорости до 300 Мбит/с.

Кстати, T-Mobile – один из активных приверженцев новой технологии. Американский оператор уже заявил о планах внедрения LAA в своей сети, когда технология достигнет зрелости. Увы, пока сложно сказать, когда именно это произойдет. В Ericsson говорят, что малые соты LAA будут доступны для коммерческих сетей уже в этом году, однако пока нет телефонов и других устройств, способных работать на новых LTE-частотах.

Однако в T-Mobile не скрывают энтузиазма. Технический директор оператора Невилл Рэй (Neville Ray) считает, что с появлением LAA сотовые операторы получат мощное средство для повышения скорости своих сетей. Ведь, если подумать, добавление 550 МГц нелицензированных частот к нынешним 40 МГц, используемым в LTE, – это весьма и весьма недурно.

Источник