Это произошло в начале 2008 года, когда я еще работал в крупном украинском банке инженером ИТ-отдела.
Только что утихла предновогодняя предпраздничная суета и немного снизилась нагрузка на отделы технической поддержки, когда один из подчиняющихся мне веб-серверов сообщил, что у меня заканчивается дисковое пространство.
Быстрый анализ показал, что логи IIS сервера, на котором работает одна из публичных платежных систем банка, быстро росли.
Мои опасения оправдались — на сервер началась DDOS-атака.
Формат атаки был следующий: на скорости 150-200 запросов в секунду методом GET осуществлялся доступ к одному и тому же URL с большого количества IP-адресов.
Те.
работал небольшой международный ботнет. Сам сервер и межсетевой экран банка достаточно хорошо справились с атакой, поэтому у меня было достаточно времени для изучения атаки и разработки плана действий по ее устранению.
Прежде всего, я проанализировал географию атакующих IP-адресов.
Интенсивность была равномерно распределена по странам, и заблокировать какой-либо регион было невозможно — банковским веб-сервисом пользовались клиенты со всего мира, и блокировка любого сегмента означала бы финансовые потери для банка.
Далее, предполагая возможное увеличение интенсивности атаки, я оптимизировал размер атакуемой страницы до минимума.
Нагрузка на сервер и фаервол упала, что не заставило себя долго ждать.
Хакер, управлявший ботнетом, изменил адрес атакованного URL, а атака была преобразована в GIF-изображение — один из самых объемных элементов сайта.
Эти действия дали мне хорошее преимущество, и я был тщательно подготовлен к противодействию.
Я написал несколько сценариев, используя ЛогПарсер , обработка журналов веб-сервера и выявление «ненормального» поведения клиента.
«Аномальным» считался доступ к страницам в последовательности, не свойственной ни клиентам банка, ни ботнету.
LogParser успешно справился с гигабайтными логами, что дало мне хорошие шансы на оперативный ответ. На данный момент атака достигла 500 запросов в секунду.
Таким образом, я подготовился и закинул наживку — переименовал атакуемый образ, сделал возвращаемую страницу с ошибкой 404 минимальной и стал ждать.
Через некоторое время атака на мгновение прекратилась.
Поскольку его эффективность была сведена к нулю, хакер начал вручную, через браузер, «прощупывать» сайт на наличие крупных элементов — LogParser быстро выявил такое «ненормальное» поведение.
Мне этого было достаточно — IP-адрес хакера был у меня в руках и, что удивительно, он принадлежал не анонимному прокси-серверу, а одному из украинских хостеров, а также хорошему клиенту веб-сервиса этого самого банка.
— Здравствуйте, Сергей Иванович, добрый день, вас беспокоят <%bank_name%> , DDOS-атака на наш сайт координируется с вашего сервера - Привет. Скажи мне IP — ХХХ.
ХХХ.
ХХХ.
ХХХ — Да, клиент сейчас работает в терминальной сессии на этом сервере, я его отключу и дам вам доступ к серверу.
С этими монстрами нужно бороться.
Кстати, у меня есть его контакты.
- Спасибо, я сообщу в службу безопасности банка, они с вами свяжутся.
…продолжение следует (диалог с хакером в аське, «отрезание» головы червю, мои показания в УБЭП и, собственно, чем все закончилось) UPD: по совету Банзег переехал в Информационная безопасность UPD: продолжение здесь: Как я поймал хакера 2 Теги: #ddos #logparser #атака #ubep #информационная безопасность
-
Споры Вокруг Корпоративного Блоггинга
19 Oct, 24 -
Невангер
19 Oct, 24 -
Angling Masters - Социальная Сеть Рыболовов
19 Oct, 24 -
404Fest – Фотоотчет
19 Oct, 24 -
«Персонал» [Пилот]
19 Oct, 24 -
Знаете Ли Вы, Что Такое Фидо?
19 Oct, 24
