Порнушники разработали новый DDoS

Александр Панасенко 06 Февраля 2009 - 16:12

...

Недавний конфликт двух порносайтов показывает, что киберпреступники осваивают новую разновидность DDoS-атак, сообщает PC World. Во второй половине января нью-йоркский провайдер ISPrime стал подвергаться распределённой DoS-атаке, которая, как выяснилось, была инициирована неким порносайтом, чьи владельцы пытались задавить конкурента, хостившегося на ISPrime.

Через день атака повторилась и продлилась в течение трёх суток. Эта атака была примечательна сравнительно малым количеством атакующих компьютеров, генерирующих в конечном итоге очень заметный трафик. По оценкам специалистов, около 2000 компьютеров с помощью поддельных UDP-пакетов сумели задействовать порядка 750000 легитимных DNS-серверов, так что суммарный трафик доходил до 5 Гбит/с.

Детальное изучение инцидента показало, что атакующие пользовались новой техникой, которую эксперт из SecureWorks Дон Джексон (Don Jackson) называет нерекурсивным DNS-усилением. DNS-усилением (DNS amplification) как таковым злоумышленники балуются уже достаточно давно. При этом используются рекурсивные запросы к серверам имён, что позволяет из запроса небольшого объёма получить на выходе довольно большое "эхо", обрушивающееся на серверы жертвы. Однако способ противодействия таким атакам тоже не нов, поэтому атаки с рекурсивными запросами проходят не всегда. В данном же случае усиление происходило без какой-либо рекурсии, то есть в обход традиционной защиты. Джексон опубликовал подробный (и достаточно популярный) анализ нового типа атаки, в основе которой лежит простой принцип: DNS-серверы, использующиеся атакующими для генерации "эха", получают короткие запросы вида ".", то есть запросы к корневому домену.

Для того чтобы дать ответ на такой запрос, серверу имён не нужно "консультироваться" с другими DNS-серверами, а значит, не требуется и рекурсия. Однако ответ от него обычно заметно больше запроса, а поскольку атакующие подделывают этот запрос так, чтобы отправителем считался компьютер, принадлежащий жертве атаки, последнему мало не покажется. Джексон приводит и практическое решение, позволяющее бороться с этой разновидностью DNS-усиления путём существенного уменьшения размеров ответа от сервера имён.

При правильной настройке DNS-сервера вместо эффекта усиления может наблюдаться даже затухание, что сводит на нет усилия злоумышленников. Эксперт уверен, что новая техника будет набирать у киберпреступников всё большую популярность, поэтому имеет смысл укрепить оборону как можно скорее.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 03 Апреля 2026 - 09:53

Корпорации Государство Системы мониторинга событий безопасности SIEM-системы

Банки и корпорации чаще строят ИБ-решения сами, а не покупают у вендоров

Российские компании и банки, особенно крупные, всё чаще разрабатывают решения в области информационной безопасности собственными силами. Основной причиной такого подхода становится недовольство продуктами с открытого рынка: ряд участников прямо заявляет, что не готов приобретать сторонние решения из-за их несоответствия внутренним требованиям.

Эта тенденция явно проявилась на форуме «Территория безопасности», организованном группой ComNews.

Так, вице-президент «Т-Банка» Дмитрий Гадарь рассказал об опыте разработки SIEM-системы силами ИТ-департамента. Специалисты по ИБ подключились позже — уже на этапе создания правил корреляции и других функциональных модулей.

По словам Гадаря, около 90% пользователей системы составляют ИТ-специалисты: «Мы переводим в SIEM процессы управления инцидентами по данным, внутренний фрод, а также систему, предотвращающую попадание фродерских мобильных устройств в продукты. Это уже сервис для бизнеса, а не только для информационной безопасности. Для нас SIEM — гибкий инструмент».

Директор по информационной безопасности «Райффайзен Банка» Георгий Руденко среди причин перехода к собственной разработке назвал экономику и функциональность. В ряде случаев создание решений внутри компании обходится дешевле, чем покупка. Кроме того, критически важные функции в коммерческих продуктах иногда приходится ждать годами. В качестве примера он привёл внутреннюю платформу управления уязвимостями.

«ИБ-продукты — это ключевой инструмент защиты интеллектуальной собственности и ноу-хау, обеспечивающих конкурентные преимущества. Чем выше уровень защищённости бизнеса, тем выше его прибыль и привлекательность для инвесторов», — отметил директор дирекции по экономической безопасности «Диайпи», советник заместителя генерального директора по безопасности — начальника СЭБ «Трубной металлургической компании» (ТМК) Александр Савостьянов.

О собственных разработках и внедрении ИБ-инструментов также рассказали представители VK и Wildberries&Russ. В их числе — решения классов SIEM и ASPM.

Даже относительно небольшие компании идут по этому пути. Например, в HeadHunter, по словам директора по информационным технологиям и кибербезопасности Татьяны Фомичёвой, используются собственные инструменты защиты контейнерной инфраструктуры, хотя в целом компания по-прежнему опирается на тиражные решения.

При этом объём разработок, выполненных внутренними командами крупных компаний, по итогам 2025 года лишь незначительно уступил выручке независимых вендоров. Как отмечает президент ассоциации «Руссофт» Валентин Макаров, кэптивные разработчики уже создают серьёзную конкуренцию рынку — и эта конкуренция не всегда идёт ему на пользу.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!