DDoS攻撃：ガベージトラフィックはどこから来てどこに行くのですか？

QratorLabsのプロダクトマネージャーであるGeorgyTarasovは、先週ソーシャルメディアで講演しました 。



Georgyはモスクワ州立大学を卒業し、2012年からQratorチームで働いています。彼は開発、プロジェクト管理に携わり、社内でプリセールスエンジニアのチームを編成しました。現在、彼はQratorで新製品、つまりオンラインボットに対する保護を開発しています。

放送と録音のトランスクリプトをあなたと共有します。

---

❒ みなさん、こんにちは。私の名前はGeorgyTarasovです。私は QratorLabsで働いており、DDoS攻撃とこれらの脅威に対抗する方法について1つか2つ知っています。基本的には、私自身の経験から、DDoS攻撃に苦しんでいる、またはDDoS攻撃から発生する脅威について知っているクライアントと協力した経験から、事前に防御を構築し、対策を適用して、そのような活動に備えることを決定します。

数十、次に数百（現在はおそらく1,000を超える）のさまざまな組織と通信することで、攻撃がどこから来たのか、なぜ発生したのか、どのようなビジネスアクションがこれにつながるのかについて、かなり興味深い画像が作成されます。そしてもちろん、問題の技術的な側面：被害者側で何が起こっているのか、ネットワーク上で被害者に転送中に何が起こっているのか、他に攻撃の影響を受ける可能性があるのか​​、その他多くのことがあります。

今日、私たちは十分に非公式に話し合うと思います。一般的な真実には触れず、DDoS攻撃の影響を調べ、それらが発生する理由と、DDoSに直面したときの行動方法を理解しようとします。あなたのリソース、プロモーションサイト、またはあなたが行っているビジネスのサイトに侵入した攻撃者。



❒ まず、私自身について少しお話しします。私の名前はGeorgyTarasovです。モスクワ州立大学のCMC学部で学び、分散コンピューティングやスーパーコンピューターを夢見ていましたが、人生は少し違ったものになりました。卒業後、私は素晴らしい人々の会社に加わりました。彼らは当時は少なかったのですが、十数人強でした。そして彼らは私に言った：あなたはDDoS攻撃について何か聞いたことがありますか？最初は目を転がしました。どのようなDDoS攻撃ですか？ハッキング、サイバー犯罪、それは何ですか？彼らはすぐに私に説明しました、私は材料の初期量を研究し、記事を読みました。当時（2012年）、DDoSとそれらに対する保護の観点から、完全な「ワイルドウェスト」が君臨していました。つまり、サービスはまだ中小企業の擁護者の支配的な地位を占めておらず、誰もが即興の手段で身を守り、ファイアウォールを設定するために専門家を雇いました。そしてその真っ只中にその会社があった私が訪れたのは-そして彼女は、そのように適用され経済的なものが適用される小さなサイトと、はるかに大きな脅威に直面した大企業の両方に対して、ほぼ同等の高品質のサービスを確立するために努力しました。



❒ 年々、私の仕事の道は私をクライアント自身、彼らのケース、彼らのつながりのある物語にますます近づけました。その結果、やがて販売前の仕事をするようになりました。つまり、顧客が来ます-彼はすでに攻撃を受けているか、それを待っているか、または単に彼のビジネスのための安全なインフラストラクチャを構築したいと思っています。彼はサービスに接続し、攻撃から身を守り、追加のサービスを購入したいと考えています。彼は相談を受け、自分に最も適したものを見つけ、現在のリスクと予想されるリスクに耳を傾け、山と山を組み合わせる必要があります。技術的には、どの範囲のサービス、どのセットアップかを理解する必要があります。そして組織的な用語は、彼が来た痛み、緊張、トラブルを和らげるために他のものよりも適しています。



❒ 私たちのものは必ずしも単純で速いとは限りませんでした。時々、クライアントは何ヶ月も接続し、彼らと通信しなければなりませんでした。ホワイトボード、チャート作成、反復アプローチ（「うまくいかなかった、別の方法を試してみてください」）はすべて、非常に楽しいアクティビティであることが判明しました。それに加えて、インターネット活動のすべての分野、すべての市場セグメント、ビジネスからではなくビジネスからの組織、トレーニングなどの組織の連絡先の巨大なデータベース。それぞれ-独自のインフラストラクチャ、目標、目的、およびDDoS攻撃に関連する問題があります。これから面白いパズルが浮かび上がり、今ではこの経験を振り返り、当社が製品の多様化、新しいものの立ち上げを支援することができます。たとえば、私にとって最も重要なトピックは、スクレーパーとの戦いです。つまり、公然と害を及ぼすボットの中からボットを使用します。スクレーピングが違うからです。私たちは特に、こすり、強引に、解析し、私たちに来るクライアントを傷つける人々と戦います。これは、完全に直接関連しているわけではありませんが、同様の関連するDDoS保護活動です。重要なのは、プラットフォームと技術スタックが似ているということです。



❒DDoS 攻撃に戻りましょう。今日、DDoS攻撃について話します。また、6か月前にも話し合い、毎年何度も話しますが、それでも、どこにも消えることはありません。彼らはまだ私たちと一緒です。

技術用語の進化にもかかわらず、新しいベクトルの出現、帯域幅の拡大、攻撃の強度の増加、DDoS攻撃が使用するツールとアプローチは、過去30年間あまり変わっていないと言わなければなりません。これを、ハッカーの活動、ハッキング、穴の検索、脆弱性、他の誰かのアプリケーションの保護を貫通してそこからデータを抽出するさまざまな方法と比較してみましょう。フレームワーク、コンポーネント、社内アプリケーションに脆弱性があります。そこに穴があります。それを悪用する攻撃ベクトルがあります。研究者がやってくる、ホワイトハットがやってくる、あるいは本当の攻撃が起こる。開発者、セキュリティスペシャリストが穴を塞いでいます。後で、フレームワークの新しいバージョンまたは同様のソリューションのどこかに、変更された形式で再び表示される可能性がありますが、特定のエピソードは履歴に残ります。文字通りの繰り返しは見られそうにありません。



❒DDoS 攻撃は異なります。まったく同じ攻撃ベクトルが、同じプロトコルを使用し、トラフィックのシグネチャまで同じ方法で、何十年にもわたってサイトとネットワークを攻撃し続けています。それらがシーンを離れることはめったにありません。デバイスで閉じられている完全に古いプロトコルを使用するベクターのみが離れます。時々冗談がありますが。増幅を使用した大規模なボリューム攻撃で使用されるUDPトランスポートプロトコルを介したアプリケーションプロトコルのリストを見ると、TNS、ATP、SSDBとともに常に使用されている興味深い展示が見られます。たとえば、MotD、RIPv1プロトコルがあります。いずれかの会社に行き、DevOpsまたは管理者に尋ねてください-これを使用するリスニングまたは書き込みを行うコンポーネントまたはエンドポイントが少なくとも1つありますか？最も可能性が高い、彼らはあなたをワシントン・アーヴィングのリップ・ヴァン・ウィンクルのように見ます。彼は100年間眠り、無関係な博物館のでたらめを求めます。それにもかかわらず、穴があれば、水は確かにそこに入ります。このプロトコル用に開いているポートがどこかにあり、神が禁じている場合、このポートでリッスンできる標準のシステムコンポーネントがあれば、攻撃はそこに進む可能性があります。したがって、DDoSを組織化するためのソリューションの動物園は、ポイントAからポイントBに歴史的な規模で移動することはありません。ポイントAから、新しいプロトコルが出現、開発、実装されるにつれて、あらゆる種類の新しい方法で幅と深さが拡大し続けます。大企業によるものであり、プロトコルを読んでいる受信者を傷つけるためのトリックやスキームが含まれています。100年間眠り、無関係な博物館のでたらめを求めた人。それにもかかわらず、穴があれば、水は確かにそこに入ります。このプロトコル用に開いているポートがどこかにあり、神が禁じている場合、このポートでリッスンできる標準のシステムコンポーネントがあれば、攻撃はそこに進む可能性があります。したがって、DDoSを組織化するためのソリューションの動物園は、ポイントAからポイントBに歴史的な規模で移動することはありません。ポイントAから、新しいプロトコルが出現、開発、実装されるにつれて、あらゆる種類の新しい方法で幅と深さが拡大し続けます。大企業によるものであり、プロトコルを読んでいる受信者を傷つけるためのトリックやスキームが含まれています。100年間眠り、無関係な博物館のでたらめを求めた人。それにもかかわらず、穴があれば、水は確かにそこに入ります。このプロトコル用に開いているポートがどこかにあり、神が禁じている場合、このポートでリッスンできる標準のシステムコンポーネントがあれば、攻撃はそこに進む可能性があります。したがって、DDoSを組織化するためのソリューションの動物園は、ポイントAからポイントBに歴史的な規模で移動することはありません。ポイントAから、新しいプロトコルが出現、開発、実装されるにつれて、あらゆる種類の新しい方法で幅と深さが拡大し続けます。大企業によるものであり、プロトコルを読んでいる受信者を傷つけるためのトリックやスキームが含まれています。このプロトコル用に開いているポートがどこかにあり、神が禁じている場合、このポートでリッスンできる標準のシステムコンポーネントがあれば、攻撃はそこに進む可能性があります。したがって、DDoSを組織化するためのソリューションの動物園は、ポイントAからポイントBに歴史的な規模で移動することはありません。ポイントAから、新しいプロトコルが出現、開発、実装されるにつれて、あらゆる種類の新しい方法で幅と深さが拡大し続けます。大企業によるものであり、プロトコルを読んでいる受信者を傷つけるためのトリックやスキームが含まれています。このプロトコル用に開いているポートがどこかにあり、神が禁じている場合、このポートでリッスンできる標準のシステムコンポーネントがあれば、攻撃はそこに進む可能性があります。したがって、DDoSを組織化するためのソリューションの動物園は、ポイントAからポイントBに歴史的な規模で移動することはありません。ポイントAから、新しいプロトコルが出現、開発、実装されるにつれて、あらゆる種類の新しい方法で幅と深さが拡大し続けます。大企業によるものであり、プロトコルを読んでいる受信者を傷つけるためのトリックやスキームが含まれています。ポイントAから、新しいプロトコルが出現し、開発され、大企業によって導入され、プロトコルを読んでいる受信者を傷つけるために独自のギャグとスキームが含まれているため、あらゆる種類の新しい方法で幅と深さが拡大し続けています。ポイントAから、新しいプロトコルが出現し、開発され、大企業によって導入され、プロトコルを読んでいる受信者を傷つけるために独自のギャグとスキームが含まれているため、あらゆる種類の新しい方法で幅と深さが拡大し続けています。



❒ 古い方法はアリーナを離れていません。簡単な例：歴史を少し見てみると、90年代半ばから後半に最初に記録された大規模なDDoS攻撃のケースでは、すでにニュースになっています。つまり、歴史家や研究者は何年も気づいていませんでしたが、すぐに見出しを作りました-TCPSYNフラッドベクトルが使用されました。つまり、これらはTCPSYNパケットを使用した攻撃でした。 DDoS攻撃のトピックに少しでも精通している人、このトピックに関する本を読んだり、プレゼンテーションや記事を見たことがある人は、おそらく最初のページでそのような攻撃の説明を見たでしょう。これは、かなり大量の安価なトラフィックを生成する教科書のケースであり、サーバー側での処理コストは、攻撃者側で作成するコストよりもはるかに高いことが判明します。ボットネット、それが使用するいくつかのデバイス。たとえば、2020-21年の攻撃の統計を見ると、TCP SYNフラッドはどこにも行かず、そのような攻撃はまだ実際に発生しており、大小のビジネスプレーヤーによって使用されていることがわかります。 TCPトラフィックを生成するツールとボットネットもどこにも行きません。なぜなら、この攻撃は、コンピューターのパフォーマンスとインターネットチャネルおよび企業ネットワークの帯域幅が過去30年間でどのように変化したかを調整した後でも、同様に効果的な結果につながるからです。 ..それをあきらめても意味がありません。もう一つのことは、世界はすでに彼らから少しでも自分自身を守ることを学んでいるということですが、ここにもいくつかの留保があります。この攻撃は、コンピューターのパフォーマンスとインターネットチャネルおよび企業ネットワークの帯域幅が過去30年間でどのように変化したかを調整した後でも、同様に効果的な結果を生み出しているため、TCPトラフィックを生成するものはまだ存在します。それをあきらめても意味がありません。もう一つのことは、世界はすでに彼らから少しでも自分自身を守ることを学んでいるということですが、ここにもいくつかの留保があります。この攻撃は、コンピューターのパフォーマンスとインターネットチャネルおよび企業ネットワークの帯域幅が過去30年間でどのように変化したかを調整した後でも、同様に効果的な結果を生み出しているため、TCPトラフィックを生成するものはまだ存在します。それをあきらめても意味がありません。もう一つのことは、世界はすでに彼らから少しでも自分自身を守ることを学んでいるということですが、ここにもいくつかの留保があります。



防御については少し後で説明しますが、とりあえず数字を見て、「なぜ攻撃が発生するのか」という質問に答えてみましょう 。これは、過去2年間に協力してきたクライアント、組織、企業から取得した履歴データの一部です。





攻撃はある種の予定された行動ではなく、自然災害のようなものであることは明らかです。あなたはそれがいつ起こるかわかりませんが、あなたは常にそれに会う準備ができているべきです。通常、長くは続かない-後で検討する特定の場合を除いて。彼女が存在しなかったかのように、飛び込んで、すべてを壊し、ゴミをいたるところに積み上げて、姿を消しました。被害者に残されているのは、サーバーを再起動し、データベースを再起動して、リソースをオンラインに戻すことだけです。

▍DDoS攻撃

❒私たちが何とか見つけたDDoS攻撃の 動機は、ある程度、このトピックについて金持ちになる機会に基づいています。この話についてはそのようなデータがあります。





つまり、誰かが別のDDoS攻撃を組織化できるというこれらすべての点は、非常に理解しやすいものです。個人的な恨み、政治的問題および信念。不公正な競争-これは別の話になるでしょう。おそらくすでに何度も話しましたが、私たちの空中にいるすべての人がそれを聞いたわけではないかもしれません。これで、ある銀行が別の銀行にDDoS攻撃を命じる状況が発生する可能性は低くなります。情報フィールドで共存する方が、お互いを配置しようとするよりも有益です。それは両刃の武器です。大規模な小売店について話している場合でも、DDoS-itトラフィックが異なるオンラインストアが表示される可能性はほとんどありません。



それにもかかわらず、私たちの若者の夜明けに興味深いエピソードがあり ました：杉樽のオンラインストアが1つありました。彼は松の実油や松の実を販売していませんでした-彼は特に食品労働者による工業用の樽を販売しました。これが彼らの主な事業であり、サイトを通じて樽を販売していました。彼らはこれを最初に行ったと言えます。そして、私たちがクライアントに彼への攻撃について話したとき、杉の樽の他のオンラインストアがあり、それらの間には本当の血の争いがあることがわかりました：競合他社は常にお互いのサイトをノンストップモードでDDoS攻撃しようとしています顧客の流れを止めるため。さて、杉樽には多くのお客様がいらっしゃいますが、同じ人がどこかへ来て、一度に両方の場所で注文する可能性は低いと言えます。したがって、このクライアントの細流は生死にかかわる闘いでした。



❒ 私たちの国でも起こった競争とDDoS攻撃の歴史からの別の面白いケースは、マジシャン、ウィザード、難解な人、占い師、シャーマン、魔法使いなど...いわばこの分野のビジネスマンのサイトです。顧客をそらし、世間の評判を侵害するために、お互いに損害、邪眼、あらゆる種類の呪いをかける代わりに、彼らはより現代的で技術的な方法を使用して、DDoSersにお互いのサイトを攻撃するように命じました。



❒ これら2つのケース他の法的な市場セグメントでは、同じレベルのビジネスの戦争を見たことがないので、私はそれを非常によく覚えています-特定のビジネスがそのような不謹慎な方法を使用して互いに戦っているとき。もちろん、私たちが会社として協力していない灰色の領域もあります。率直に言って、DDoS攻撃が1時間ごとに発生する違法な活動もありますが、これはそれらに関するものではありません。



❒ 今日のDDoS攻撃の顔について私たちは何を知っていますか？それは寄生ロードクロックですか、それともルータをノックダウンする5秒のトラフィックバーストですか？実際、遺体安置所と火葬場を考慮に入れて病院の平均をとると、どちらも得られません。何かが仲介した。年次報告書によると、昨年の期間の中央値は約5分でした。



非常に大規模な攻撃がここに該当することは明らかです。特に、数十または数百ギガビットの帯域幅に対する大規模な攻撃は、何時間も保持するのに非常に費用がかかるためです。理由-ここで説明します。

▍ボットネットとそれらの現代のDDoSランドスケープへの関与に関して。

私たちが観察し、クライアントを攻撃から保護した最大のボットネットは、約20万のソースです。これらは一意のIPアドレスです-攻撃の容量から推測できるトラフィックソースについてではなく、有効なセッションが使用される攻撃について話します。この場合、ソースはTCPハンドシェイクまたはより高いレベルのプロトコルを介して自身を確認する必要があります。とセッション。つまり、これらはDDoSトラフィックが被害者に届いたインターネットユーザーの有効なデバイスです。



これは、世界中のすべてのDDoSがそのような古典的なボットネットから来ているということではありません。ここで、後でこれにこだわらないように、一般的な真実の順序で、それらがどのように表示されるかについて簡単に説明します。ボットネットは、攻撃者によって制御されるデバイスのネットワークであり、攻撃者はこのネットワーク上の各デバイスで特定のアクションを実行することができます。たとえば、トラフィックを生成します。これにより、分散型サービス拒否攻撃が発生します。攻撃者がコマンドを実行すると、デバイスはさまざまな形式でさまざまなレベル（パケット、要求、ビット）でトラフィックを無効にしたいターゲットに送信します。これが私たちがDDoS攻撃を見るのに慣れている方法です。何千もの感染したマシンがあり、彼のC＆Cセンター（彼が制御するマシン）のハッカーが一元的にブロードキャストコマンドを送信します。たとえば、「UDPトラフィックをアドレスXに送信する」、それが起こるのです。しかし、攻撃のかなりの層がトラフィック増幅（増幅）アプローチを使用しているため、このプロセスは少し異なって見えるかもしれません。その考えは、ボットネットが被害者のリソースに直接トラフィックを送信しないというものです。ボットネットのタスクは、初期トラフィックフローを生成することです。これは、小さい場合があり（数百メガビットのオーダー）、UDPベースのアプリケーションプロトコル（DNSなど）の機能を利用して、多数のDNSサーバーを強制的に使用します。ネットワーク（多くのネットワークには、そのような攻撃での使用から保護されていない多数のDNSサーバーがあります）は、要求を実際に確認せずに受け入れて実行します。たとえば、数十キロバイトのドメインゾーンをあるアドレスに送信しますが、誰が属しているかは不明であり、このアドレスがこの要求を送信したかどうかも不明です。したがって、最初のトラフィックフローは、ハッカーが直接制御しない数千のDNSサーバーを通過します。これらのサーバーは単にインターネット上にあり、クエリの送信元を確認せずにクエリを処理する準備ができています。このスキームにより、攻撃者が比較的小さなボットネット（数十台のマシンのみ）を使用して生成した100メガビットのトラフィックは、これらのネームサーバーから被害者に向かって飛ぶ1秒あたり数十ギガビットの帯域幅になります。攻撃者が比較的小さなボットネット（数十台のマシンのみ）を使用して生成したものは、これらのネームサーバーから被害者に向かって飛ぶ帯域幅の1秒あたり数十ギガビットになります。攻撃者が比較的小さなボットネット（数十台のマシンのみ）を使用して生成したものは、これらのネームサーバーから被害者に向かって飛ぶ帯域幅の1秒あたり数十ギガビットになります。



❒ そのような場合はどうしますか？トラフィックの発信元を禁止する-このようにして、ハッカーやボットネットと直接の関係さえないため、インターネットの半分を禁止することができます。ここでは、このトラフィックに対抗するための他のメカニズムが必要です-少なくとも、攻撃を受けているマシンに乗らないように、またソースのアドレスを覚えておらず、適用しようとしないように、どこかに排出する必要がありますそれらへの制裁。

攻撃の中には、有効なセッションと有効なIPアドレスを使用するボットネットから直接発生するものもあれば、主に増幅方式を使用するものもあり、ボットネット自体からはまったく発生しないものがあります。ボットネットは、エンジンのスパークプラグとしてのみ使用されます。これは常に当てはまるわけではありません。増幅は比較的新しい話です。大規模なケースを見ると、このタイプの攻撃は過去10年間、おそらくそれよりも少ない期間しか発生していません。もう1つのことは、それらを非常に人気のあるものにし、従来の方法と同じくらい危険なものにした理由です。ここでは、おそらく、2016年に起こった最もよく知られた事例を検討するのは興味深いでしょう。その後、世界は、ボットネットがウイルスに感染したコンピューターであるだけでなく、IPTVカメラ、コーヒーメーカー、電子レンジ、「スマートホーム」でもあることを学びました。Wi-Fiなどを備えたゲート。ある時点で、「モノのインターネット」（インターネットにアクセスできるさまざまなデバイス）の開発、人気、普及は、サイバー犯罪者がより使いにくいPCや企業サーバーの代わりにそれらを使用することに興味を持つようになる臨界点に達しました。 、パブリックサーバーなど。トラフィックを生成します。



❒ 有名なMiraiボットネット同じファームウェアがインストールされた特定のメーカーの数万台のIPTVカメラに基づいており、外部制御からの保護は提供されておらず、インターネットアクセスは必ずしもローカルネットワークに関連付けられていませんでした。少なくとも管理パネルにはインターネット経由でアクセスできます。これは、トラフィックを生成するために小さなハードウェアを使用するのにすでに十分です。そして、1台のカメラで多くを生成することはできませんが（チャネルが小さい）、そのようなデバイスは数万から数十万あり、世界中に最大限に普及しています。従来の防御方法の観点から、このような攻撃の危険性は非常に高いです。これは、Miraiの作者と、このアプローチをコピーして貼り付け、ボットネットを展開することで彼らをフォローした人々によって利用されました。 2016-17は、増幅攻撃の点で本当に急増しました。この種のボットネットをトラフィックのルートソースとして使用しました。この話は今も続いています。新しい箱が出続けており、ハッキングや悪用に対するセキュリティは、そもそも安価で大量生産されているため、同じレベルにとどまっています。もう1つのことは、SYNフラッド攻撃の場合のように、世界はすでに彼らに対してもう少し防御することを学んでいるということです。 IPTVからそのようなトラフィックストリームを駆動することはかなり困難であり、セキュリティ担当者はすでにそのような話に慣れすぎています。SYNフラッド攻撃と同じように。 IPTVからそのようなトラフィックストリームを駆動することはかなり困難であり、セキュリティ担当者はすでにそのような話に慣れすぎています。SYNフラッド攻撃と同じように。 IPTVからそのようなトラフィックストリームを駆動することはかなり困難であり、セキュリティ担当者はすでにそのような話に慣れすぎています。



「ヒーローを名前で呼ぶ」に関して-残念ながら、私はこれを行うことができません/しません。しかし、この情報は原則として公開されており、みらいに関する調査を読むことができます。誰かが興味を持っている場合は、主催者が私の連絡先を持っています-私自身が研究しているものや、私たちの会社がこのトピックについて書いているものを含む、興味深い資料へのリンクを共有できます。しかし、みらいちゃんの話、カメラ、そしてこの活動がどのように発見されたかは、すでに歴史の遺産であり、多くの場所で見つけることができます。



❒どういう わけか、この話は決して終わっていません。もう1つのことは、他の攻撃方法が、Miraiが2016年に示したものに危険と強度をもたらしたことです。当時の攻撃は、帯域幅の1秒あたり約600〜700ギガビットでした。これは、前例のない数です。これは、野生で見られる攻撃のほぼ10倍でした。これで、このような数字で誰も驚かないでしょう。Miraiの開始以来、攻撃率の増加は1秒あたりのテラビットをはるかに超えており、増加し続けています。ブロードバンド接続と信頼性の高いプロバイダーバックボーンがこれに貢献しています。



❒ この活動から見たものは。みらいちゃんは主に西洋の物語でしたが、ロシアのお客様に作品が届きました。これは発生の翌年に発生しました。当時のロシア連邦にとって最大の攻撃であった毎秒約500ギガビットが、私たちに飛来しました。もちろん、ハーフテラビットはすでにグローバルDDoS攻撃でかなり人気のある数字でしたが、インフラストラクチャがロシアにあり、プロバイダーに接続されているRunetサイトにとって、それは何かを伴うものでした。幸いなことに、私たちは迅速かつ効果的に攻撃をノックダウンし、その後のそのようなボットネットとの遭遇は、私たちにとっても顧客にとってももはや驚きではありませんでした。

▍ダークネットに対するDDoS攻撃

❒ 私の議題について興味深い質問があります。ダークネットに対するDDoS攻撃で何が起こるかについて話します。つまり、組織、行動、方法、保護の方法です。ダークネットに対するDDoS攻撃のトピックは、企業として私たちにとって特に興味深いものではありませんでした。明らかな理由から、ダークネットクライアントは自分たちを守るために私たちのところに来ることはありません。彼らがお金を稼ぐ職業の詳細、そして彼らのリソースに来る彼ら自身のユーザーの基盤は、セキュリティサービスとこの種の関係を結ぶ気にはなりません。もちろん、世界には例外があります。需要があり、供給があり、ダークネットでの競争は、パブリックネットワークとほぼ同じタイプと形をしていることは明らかです。したがって、DDoS攻撃を阻止するために、競合他社をオフにしたり、誰かに身代金を支払わせたりする方法としてのDDoS攻撃は、徐々に公共のインターネットにニュース記事の見出しを残します。Torネットワークと一般的なダークネットで青々と咲き続けています。



Torの構造がパブリックネットワークのものとは多少異なることは明らかです。出口ノード（ガードノード）を介して実行されるダークネットとパブリックインターネットの接続は、それ自体がボトルネックであり、ダークネットからパブリックに（またはその逆に）大量のトラフィックが流れることはありません。それにもかかわらず、古代（2012-14）には、Torネットワーク内のパブリックネットワーク上に存在するボットネットのC＆Cセンターを隠すようなことが起こりました。つまり、ハッカーは自分のC＆Cコンピューターをダークネット上に置き、Torを介してパブリックネットワークにあるボットネットに制御トラフィックを送信し、サイトへの攻撃がパブリックネットワークで発生します。攻撃者にとってのメリットは、パブリックネットワークのC＆Cを捕まえることができれば、情報セキュリティの専門家やフォレンジックがコントロールセンターを見つけるために使用する特定の方法があることです。それらを傍受して所有者を見つけることは、ダークネット上で行うのがはるかに困難です。しかし、この店はいくつかの理由で長くは続かなかった。まず、攻撃を開始するために制御トラフィックを数万、数十万、または数十万のマシンに送信するC＆Cの作業そのものです。このような負荷でさえ、パブリックネットワーク（制御ポイントトラフィック）の観点からは小さいものです。 Torにとって非常に目立ち、重要です。 2013年、主要なボットネットの1つがC＆Cセンターをタマネギリソースに定住させたとき、それが生成したトラフィックは、Torネットワークのセグメント全体の速度を低下させるほど顕著でした。もちろん、誰もがそれを好きだったわけではありません。そして最も重要なことは、攻撃がすでに発生または防止されており、法執行機関、情報セキュリティ会社、法医学の専門家が攻撃の調査に関与している場合、ボットネットが侵害されている場合、スレッドはトーラスの出口ノードにつながります。そして、この場合はいつものように、出口ノードの所有者が上限を取得します。ハッカー自身が直接脅かされることはありませんが、出口ノードを閉じて所有者に責任を負わせると（所有者はこれらの攻撃に特に関係していませんが）、他の同様のアクションを含め、将来的にTorインフラストラクチャを使用できなくなります。したがって、攻撃の主催者自身が座っている枝を切り落とさないために、彼らはこの活動を軽視し、今ではそれほど目立たなくなりました。ただし、出口ノードを閉じて所有者に責任を負わせると（所有者はこれらの攻撃に特に関係していませんが）、他の同様のアクションを含め、将来的にTorインフラストラクチャを使用できなくなります。したがって、攻撃の主催者自身が座っている枝を切り落とさないために、彼らはこの活動を軽視し、今ではそれほど目立たなくなりました。ただし、出口ノードを閉じて所有者に責任を負わせると（所有者はこれらの攻撃に特に関係していませんが）、他の同様のアクションを含め、将来的にTorインフラストラクチャを使用できなくなります。したがって、攻撃の主催者自身が座っている枝を切り落とさないために、彼らはこの活動を軽視し、今ではそれほど目立たなくなりました。



ボットネットコントロールセンターとその所有者を見つけることになると、それは実際には私たちの話ではありません。私たちは、調査や主催者の検索ではなく、攻撃に対する保護を具体的に扱っていますが、私たちが持っている情報は、情報セキュリティ企業が仕事をするのに役立ちます。具体的には、検索です。そのような事件の1つが私の目の前で大いに通過したので、私はそれを喜んで共有します。 2014年、私たちのクライアントの1つであるオンラインでの存在感が大きい大手銀行は、非常に激しい一連のDDoS攻撃に見舞われました。私たちはそれらを除外し、クライアントを保護することに成功しました。クライアントはそこで止まらず、情報スペシャリストに攻撃の原因とその主催者を探しました。彼らは、ほぼ同じ技術スタックを使用して、リソースに対して発生した多数の攻撃について考慮しました。同じ場所から来て、同じ性質のものである可能性があります。つまり、おそらく、顧客と主催者は同じでした。人々が情報から何をしたか：彼らはトラフィックが生成されたボットネット自体をすぐに見つけました-これは最も簡単なことでした。そして、制御チームがリソースを攻撃する瞬間を捉えるために、同じマシンである独自のハニーポットをこのボットネットに接続しました。次の攻撃ケースでは、攻撃の開始とプロセスを制御するマシンを見つけただけでなく、同じマシンから攻撃されたリソースへの呼び出しがあったこともわかりました。つまり、攻撃の攻撃者-主催者は、ゴミのトラフィックを送信するためにノブをひねるのと並行して、自分がリソースに来て、彼がどのようにそこにいたか、まだ生きているか、倒れたかを確認しました。これらの2つの兆候で、彼は発見され、比較されました。車の所有者を見つけました。その後、物語は刑事事件に変わりました。終わりはかなり乱暴で、技術的な領域とは何の関係もありません。ただし、ダークネットでは同様の話がより難しいことは理解できます。もちろん、出口は出口ノードの所有者になり、ロシアでそれらに何が起こるか-私はすでに言いました。

これは、ダークネット自体の内部で何が起こっているかについて、外部のTorネットワークからの攻撃に関係しています。そこにDDoSは、あらゆる種類と縞模様の青々とした色で咲きます。興味深いのは、たとえば、過去2年間の統計では、第7レベルでの攻撃、つまり、アプリケーションレベルで、HTTP、HTTPS要求を使用し、特定のURLを選択する攻撃であることがわかります...

Q：植えることはできましたか？そうでない場合でも、彼らは免責で攻撃します

はい、攻撃者を証明して起訴することは可能でした。確かに、これはロシア連邦ではなく、隣国で起こった。



...まあ、アプリケーションレベルの攻撃は現在、統計のごく一部しか占めていません。私たちが定期的に目にする攻撃のほとんどは、TCP、UDP、パケットフラッド、増幅です。つまり、組織内でより安価な、より原始的な方法であり、迅速に展開して開始するためのツールがさらに多くあります。彼らはサイトを攻撃する前に多くの準備を必要としません-犠牲者の一般的な方向にこの「銃」を配備し、それを追い出すだけで十分です。アプリケーション攻撃は常に予備調査であり、攻撃されるアプリケーションがどのように機能するか、インフラストラクチャがどのように機能するか、どこで最も効率的に攻撃するか、どのURI、どのアプリケーションコンポーネントに侵入するかを調べます。この作業は主催者に費用がかかり、費用の面では、そのような攻撃方法はジェネリック医薬品よりもはるかに高いです。また、ジェネリック医薬品は人気があり安価です。これは、ミライの時代から15〜16年にかけて、DDoS攻撃を組織化する業界、および一般的にこれに基づく活動がサービス業界になっているためです。





つまり、「DDoSを注文するように手配する」（ハッカーに手紙を書いて、特定の時間に特定のサイトを置くように指示する）などのことは、事実上なくなりました。ボットネットの所有者とボットネットの所有者は、自分たちの技術からお金を稼ぐためのより有益な方法を見つけたからです。サービスとしてのDDoSは、他の合法的なサブスクリプションサービスとほぼ同じように機能します（保護、CDN、サイトアクセラレーション）。ボットネットは共有形式でクライアントに提供されます。つまり、容量の一部は、特定の時間、特定の価格で使用するために顧客に提供されます。大きなストリークを伴う5分間の攻撃には、10ドルかかるとしましょう。所有者の限界が依然として高いことは明らかです。当局に引き渡される可能性のある疑わしい個人からの1回限りの注文よりもはるかに収益性が高くなります。サービス作業ははるかに仲介され、顧客に直接連絡することはありませんが、攻撃へのそのようなボットネットの関与ははるかに高くなります。つまり、感染したデバイスは、ジャンクトラフィックをはるかに効率的に生成するために使用されます。このようなサービス（「バター」とも呼ばれます）は、きのこのように成長します。それらは根絶され、取り壊され、主催者が見つかりますが、すぐに元に戻ります。 「バター」の最も有名な例は、vDOSと呼ばれるサービスです。これは、Miraiボットネットの一部を制御し、すべての人に共有形式で提供します。彼らはパブリックネットワーク上にウェブサイトを持っていて、かなり訪問しました、そして彼らは一般的にPayPalを通して支払いを受け入れました。実際、フォレンジックの専門家が主催者を見つけたのはPayPalを通じてでした。彼らは2人のイスラエル人学生であることが判明しました。勉強やキャリアの見通しのためにお金を稼ぐこの方法を好んだ人。彼らは裁判にかけられましたが、最新のニュースによると、すべてがコミュニティサービスに限定されていました。おそらく、私たちはまだそれらを新しいビジネスの化身で、またはすでにいくつかの州のシークレットサービスのサービスで見るでしょう。



とにかく、 そのようなモデル-つまり、特定の被害者向けのDDoS攻撃方法を開発する代わりに、アクセスできるサービスを作成し、暗号通貨で支払い、攻撃用のボットネットを5分間（または10、または1時間）レンタルします-これにより、ほとんどの攻撃は非常に「一般的」であることが判明しました。これらは、特定の目的、プロトコル、またはトラフィック生成の詳細のいずれにも固有ではありません。 DDoS攻撃のタスクには主に被害者を威嚇することが含まれるため、これらは長くは続きません。これが何らかの政治的な話ではない場合、被害者のサイトが5分または1時間ダウンするかどうかは問題ではありません。被害者が身代金を支払うか、攻撃者に会いに行くことに同意した場合は、1分で十分です。そうであれば、なぜ過払いになるのでしょうか。この風景から際立っている攻撃ははるかに興味深いです、そして彼らはただ学ぶ必要があります-そして私たちはこれをやっています。



❒ つまり、DDoS攻撃の状況はこの方向に変化しており、それから目立つもの（量的または質的）が最大の関心事です。



ダークネットについて別の興味深い話があります。 ..。そこで使用される技術スタックは、パブリックインターネットが数十年前に経験したのと同じ進化の段階を経ています。特定のWebサーバーの脆弱性、ダークWeb上のリソースをホストするために使用されるデバイスの、DDoS攻撃の最も原始的な方法に対する脆弱性は解消されていません。徐々に排除されつつありますが、専門企業によるものではないため、自発的かつゆっくりと発生しています。ダークネットでホストされているリソースを圧倒する方法はたくさんあります。数百万の方法がありましたが、今ではまともな方法があります。 GitHubにアクセスして、ダークネットでホストされているリソースを無効にできるツールを探すと、完全に興味深い方法を見つけることができます。遅いGETリクエスト攻撃のような原始的なものは、無料のものであっても誰でも処理できます。DDoSやボットから保護するサービス（無料のものが対応できない場合は、CloudFlareに20ドルを支払ってこの問題を解決するか、バランサーを自分で構成することができます）は、数年前もタマネギサイトに対して有効でした。このような方法は公開されており、攻撃を組織化するために大きなリソース、つまり大きなボットネットを必要としません。非常に一般的な話です。DDoS攻撃はTorリソースに発生するのではなく、割り当てられていないDoS攻撃です。 Torサーバーを消滅させるには、特定の1台のマシンからの特定の一連の要求で十分です。非常に一般的な話です。DDoS攻撃はTorリソースに発生するのではなく、割り当てられていないDoS攻撃です。 Torサーバーを消滅させるには、特定の1台のマシンからの特定の一連の要求で十分です。非常に一般的な話です。DDoS攻撃はTorリソースに発生するのではなく、割り当てられていないDoS攻撃です。 Torサーバーを消滅させるには、特定の1台のマシンからの特定の一連の要求で十分です。





この状況は続いた。たとえば、Torブラウザの修正0.4.2は、このブラウザからのリクエストがダークネット上のすべてのリソースを氾濫させ、攻撃に0ルーブルを費やすことを可能にする穴を塞ぎました。

▍ダークネットでの防御

ダークネットの保護に関する限り、これも面白い話です。結局、そこに存在するアドホックセキュリティコミュニティは、自らを守る必要があるという結論に達しました。EndGameのようなものがあります：それはTorでリソースを公開する特定のマシン上のDDoS保護ツールキットです。



NGINX用の無料ファイアウォールであるNexiなどのコンポーネント、およびNGINX構成とネットワークファイアウォール設定を使用します。パブリックネットワークで行われるこれらのストーリーの観点から、EndGameは笑い事です。これは、学生がインターネットセキュリティコースで最初に行うことを学ぶことです。 NGINXがそこで実行されている場合は、マシンにファイアウォールを構成します。遅い攻撃でファイアウォールを圧倒できないようにパラメーターを調整し、小さなSYNフラッドから保護します。ロケット科学はありません。これらはすべて、技術的および組織的な観点からは非常に単純なアクションです。そのような保護がダークネットで人気のある話になっているという事実は、そこで進化するにはまだ長い道のりがあることを示唆しています。おそらく、このようなネットワークのインフラストラクチャの分離が、こちら側にあるよりクールなソリューションという事実につながります。そこに根を下ろさないでください。



ここで重要になる可能性のある、技術的ではないもう1つの側面があります。企業向けのDDoS保護は、さまざまな方法で実装できます。トラフィックをフィルタリングするボックスである可能性があります。これは、インフラストラクチャの外部でフィルタリングするボックスの巨大なネットワークである可能性があります。それは、インターネットサービスプロバイダーの一連のボックスが同じことをしている可能性があります-トラフィックの異常を探し、悪いソースをブロックします。これらすべてのものは状況に応じて必要ではありません。攻撃がすでに進行中のときではなく、それらをつかむ必要があります。それでは手遅れです。これらのものは常に準備ができている必要があります。実際、攻撃が発生した場合、これらの事柄がそれに対処し、ユーザーであるあなたのリソースの可用性が悪影響を受けないという保証が販売されています。これらの保証は、特定のアイデンティティがないダークウェブにはあまり適用されません。誰がこのリソースを提供し、誰がそれを購入して使用するか。したがって、それ自体のマシンでのアドホック保護は、最も原始的な方法から役立ちますが、広い帯域幅を生成する分散型攻撃では何もできず、そこで使用され、そこに存在する権利があります。そんな話。

▍

クライアントとの仕事の経験から、接続の経験から、面白いケースについて話す場合、もちろん、パブリックネットワークについて話します。私はすでに競争について話しました、これは私たちがさまざまな事業セグメントについて話すときに彼らが言うように、私たちの主なケースです。技術的には、オンボーディング段階とパイロット作業の段階、つまり保護に接続してから最初の数週間と数か月の間にクライアントに起こることも面白いです。原則として、それらは、一部のユーザー（おそらく非常に正当なユーザーでさえ）が他のすべてのユーザーとは完全に異なる非常に興味深い方法で動作するという事実に関連しています。私たちが保護する資源についても同じことが言えます。非常に興味深い方法でいくつかのリソースは、HTTPプロトコルの独自の解釈を持ち、ユーザーとの通信の問題にアプローチします。時々これは誤解や特定の事件につながりました、お互いに否定的でなくても、笑顔と笑いで解決しました。



アプリケーション層とこの層での攻撃について話すとき、これらの攻撃のトラフィックは、通常のユーザーが行う要求とほとんど変わらないことがよくあります。これは、そのような攻撃の関心と複雑さです。彼らの仕事の効果とこれらの要求が来るソースは別として、彼らは通常のユーザーのパターンと見分けがつかない可能性があります。ここでは、より深い行動分析を使用し、ハンドシェイクからリソースを離れるまでの各ユーザーのセッションを調べて、リソース全体でユーザーが何をしていたかを理解する必要があります-良いか悪いか、害を及ぼしたかどうか、残りのユーザーは、この特定のソースからのリクエストに対して悪くなりましたか？私たちの自動化は、何百もの異なるクライアントと何千ものサイトについて、毎秒そのような質問に答えなければなりません。ユーザーの行動のエッジケースがシステムの注意を引き、システムを狂わせることがあります。



簡単な例は、絶対的に一般的に合法的な行動をとるユーザーがタスクスケジューラとして機能し、厳密に定義された時間にリソースのニュースページにアクセスする場合です。朝の.00に始まり、夕方の.00に終わります。同時に、ユーザーが実行するアクションは害を引き起こしません。これは解析やスクレイピングではなく、記事をウォークスルーし、コメントを書き込んで応答するだけです。

彼が毎日同時に開始および終了し、リソースに対して彼が行う作業の量がボットとして識別されなかったすべてのユーザーのそれよりも比類のないほど多いことを除いて、欠点を見つけることは何もありません。このスコアにはさまざまな仮説がありました。数回、私たちは誤って彼を禁止しました。その後、彼は実際に何が起こっているのかについてリソースの乱用に手紙を書きました。結局、私たちはあきらめました-あなたは決して知らないでしょう、多分これは休日と休憩なしで2つのシフトで明らかに働くコンテンツライターです。いずれにせよ、そのようなユーザーが害を及ぼさない限り、私たちはそれらに対して制裁を加える必要があるとは考えていません。



❒ 別のケース-一方、これは、リソースがすべてのユーザーに対して奇妙に動作する場合です。リソースの機能の1つである顧客がいて、DOCファイルの形式で生成されたレポートをユーザーに提供していました。そのような各レポートの重さは約200MBで、写真と表が含まれています。面白いことに、サーバーでのレポートの生成は、Webページのボタンをクリックするだけで開始されました。その後、サーバーは考え始め、レポートを生成し、準備ができたら、リクエストへの応答の一部として、HTTPファイル転送を介してチャンクに分割せずに1つのピースに送信しました。冗談は、このファイルがサーバー上で数十分の間生成されたというものでした。ある時点で、サポートサービスは、リバースプロキシへの要求を処理するためのタイムアウト時間を20分に増やす要求を含む要求をクライアントから受信しました。最初、人々は自分の目を信じず、それを理解しようとしました。どうして、リクエストのタイムアウトに20分かかるのでしょうか。サイトにアクセスして確認したところ、ボタンが押された瞬間から接続が20分間続き、その後サーバーが最終的にファイルをアップロードして、取得できるようになりました。実験的に（むしろ、冷静な評価の見た目でも）、同時にサイトにアクセスした12人のユーザーが、悪意、労力、費用をかけずに、誤ってDDoSを手配し、サーバーを完全に流通から外す可能性があることが明らかになりました。そして、これは「ハブラ効果」ではありません。何万人もの人々が同時に情報リソースに侵入し、パフォーマンスの欠如のためにサーバーがそれらすべてを処理できない場合です。これは、リクエストへの応答がサーバーがそのように機能できないという事実につながる興味深い話です。もちろん、私たちの側では、ファイルをチャンクに分割することをお勧めします。分割して送信したり、バックグラウンドでレポートを生成したりできます。



同様の原則に基づいて機能するリソースがインターネット上にあります。つまり、設計上、組織のあらゆる強度と複雑さの攻撃に対して脆弱です。一般に、そのようなサイトを無効にするために何も必要ありません。同じように機能するAPIがあります（重い応答、処理するための高価なAPIリクエスト、同期API作業）。この事実は、攻撃者やハッカーの参加がなくても、DDoS攻撃がさまざまな場所で発生し、下心がないという事実につながります。このような状況に直面した場合、アプリケーションのどこに奇妙な点があるのか​​、どのように修正できるのかをお客様にアドバイスするようにしています。そしてもちろん、私たちは面白いアーキテクチャソリューションのフリークショーを補充しますが、これは誰にも実装することをお勧めしません。

– .

▍ :

• vDOS:
• DoS Tor
• Endgame — Tor-:
• DDoS-

, #ruvds_