yastheme
January 2nd, 2017, 15:14
سال ۲۰۱۶ سال پر فراز و نشیبی در حوزه امنیت سایبری مخصوصا حملات DDoS بوده است که برجسته ترین موضوع آن استفاده از دستگاه های متصل به اینترنت(غیر تلفن های همراه و رایانه ها) به عنوان بات جهت حملات DDoS بوده است، که در این خصوص می توانید در پست قبلی ما آن را مطالعه کنید:
هکر ها با تستر آشپزخانه ها به جنگ می آیند (http://central-hosting.com/blog/%d9%87%da%a9%d8%b1-%d9%87%d8%a7-%d8%a8%d8%a7-%d8%aa%d8%b3%d8%aa%d8%b1-%d8%a2%d8%b4%d9%be%d8%b2%d8%ae%d8%a7%d9%86%d9%87-%d9%87%d8%a7-%d8%a8%d9%87-%d8%ac%d9%86%da%af-%d9%85%db%8c-%d8%a2%db%8c%d9%86/)
در این پست قصد داریم دو حمله بزرگ در سال ۲۰۱۶ را معرفی نماییم، این حملات نسبت به بزرگترین حملات سال ۲۰۱۵ رشد چند برابری داشته اند!
در تاریخ ۲۰ سپتامبر ۲۰۱۶ کاربران دیتاسنتر معروف و بزرگ OVH شاهد اختلالاتی در شبکه شدند که سرویس دهی را تا حدی با مشکل مواجه کرده بود، مشکلات حل شدند اما سوالی که مطرح شده بود این بود که مشکل چه بود؟
روز بعد Octave Klaba موسس شرکت OVH در تویتر خود خبر از یک حمله DDoS داد! او اسکرین شاتی از حملات DDoS منتشر کردکه نشان داد در دو حمله همزمان ترافیکی بیشتر از ۱ ترابایت بر ثانیه به سمت شبکه های این دیتاسنتر هدایت شده است؛
http://central-hosting.com/blog/wp-content/uploads/2017/01/Cs71-RvXgAAibci.jpg
خبر حمله ای معادل ۱Tbps یک شوک عظیم برای تمامی افراد فعال در حوزه امنیت شبکه است ؛ چرا که دیتاسنتر ها یا شبکه هایی که بتوانند در مقابل این حمله ایمن باشند در دنیا انگشت شمارند.
این حمله توسط بات نتی از دوربین ها و DVR های متصل به اینترنت (۱ تا ۳۰ مگابیت بر ثانیه از هر دستگاه) انجام شد که ظاهرا این بات نت قادر است حمله ای معادل ۱٫۵Tbps را هدایت کند. این حملات از نوع tcp/ack, tcp/ack+psh, tcp/syn بودند.
می توان حمله به OVH را بزرگترین حمله DDoS در طول تاریخ اینترنت تا این لحظه دانست که نسبت به بزرگترین حمله سال ۲۰۱۵ که ۵۰۰ گیگابیت بود رشد دو برابری داشته است.
البته بسیاری از فعالین حوزه امنیت این حمله DDoS را غیر واقعی می دانند، البته نه به این معنی که موسس OVH دروغ گفته باشد،بلکه معنقدند شبکه OVH بسیار بزرگ و چندین کشور را شامل می شود و این ترافیک ۱Tbps احتمالا مجموع چند ده حمله بزرگ همزمان و غیر مرتبط با یکدیگر است که مجموع آن به ۱Tbps رسیده است و نمی توان آن را یک رکورد و یک حمله مستقل به حساب آورد.
بعد از OVH رکورد دومین حمله بزرگ در تاریخ ۲۱ دسامبر به شبکه incapsula انجام شد.
incapsula مدعی شد صبح ۲۱ دسامبر برخی از آی پی های Anycast این شبکه مورد حمله DDoS قرار گرفتند.
http://central-hosting.com/blog/wp-content/uploads/2017/01/650gbps-ddos-attack.png
این حمله در اوج خود رکورد ۶۵۰Gbps را زده بود که حدود ۱۵۰ میلیون پکت در ثانیه ارسال شده بود. از آن جایی که آی پی ها جعلی بودند قابل ردگیری نبودند و پیدا کردن منشا حملات و حدود جغرافیایی مبدا حملات سخت و تقریبا غیر ممکن بود. تنها نکته قابل بررسی در این حمله توسط شرکت incapsula بررسی و انالیز payload (محموله / پکت های ارسال شده) جهت یافتن سرنخ و شناسایی بات نت بود.
Payload های ترافیک حمله در مجموع دو نوع مختلف SYN پکت را شامل می شدند.
۱- پکت های SYN منظم از ۴۴ تا ۶۰ بایت.
۲-بسته های SYN بزرگ غیر طبیعی از ۷۹۹ تا ۹۳۶ بایت.
در شروع حمله هدف برای رسیدن به تعداد پکت های بالا (MPps) بود ولی در نهایت با افزایش حجم هر پکت به حمله ای معادل ۶۵۰ گیگابیت بر ثانیه رسید. هدف این حمله از کار انداختن سویچ های شبکه بود.
در ادامه تحقیقات نوعی الگوی ساختگی در پکت ها شناسایی شد که می توان از آن به عنوان “امضا” اتکر یاد کرد.این امضا در حقیقت نوعی نظم در بین پکت های SYN بود. در مقادیر ارسالی در هیدر پکت های TCP عدد “۱۳۳۷” خودنمایی می کرد! به صورت واضح مشخص بود که اتکر قصد داشته به نوعی خود را معرفی کند.
http://central-hosting.com/blog/wp-content/uploads/2017/01/1337-packet-ddos-attack.jpg
که با تحقیقات در خصوص این عدد به یک پست در سایت معروف urban dictionary دست یافتند:
Hacker “Sp33k” for leet, or elite. Originating from 31337 “eleet”, the UDP port used by Dead Cow Cult, a hacker group, to access Windows 95 using Back Orifice, a notorious hacking program.
۱۳۳۷ h4x0rz pwn j00!
by Cal Webster April 24, 2003
لینک این پست (http://www.urbandictionary.com/define.php?term=1337)
مورد بعدی که در بررسی مشخص شد محتوای پکت های بزرگ که ظاهرا مقادیری از کارکتر های تصادفی بود ولی در برخی از این پکت ها مقادیری همانند آدرس آی پی های ناقص مشاهده شد. ظاهرا با بد افزاری روبرو هستیم که به برخی فایل های لوکال (مثل Access Log) دسترسی دارد و از آنها برای ساخت محموله های ارسالی در پکت ها استفاده می کند.این روش برای دور زدن سیستم های امنیتی که روش آنها مبتنی بر شناسایی شباهت ها در پکت ها برای Mitigation حملات است کارآیی دارد. http://central-hosting.com/blog/wp-content/uploads/2017/01/large-payload-content-ddos-attack.png
این حملات نشان از رشد روز افزون بات نت ها و قدرت بی حد و مرز آنها برای انجام حملات مخرب تر در آینده است.
هکر ها با تستر آشپزخانه ها به جنگ می آیند (http://central-hosting.com/blog/%d9%87%da%a9%d8%b1-%d9%87%d8%a7-%d8%a8%d8%a7-%d8%aa%d8%b3%d8%aa%d8%b1-%d8%a2%d8%b4%d9%be%d8%b2%d8%ae%d8%a7%d9%86%d9%87-%d9%87%d8%a7-%d8%a8%d9%87-%d8%ac%d9%86%da%af-%d9%85%db%8c-%d8%a2%db%8c%d9%86/)
در این پست قصد داریم دو حمله بزرگ در سال ۲۰۱۶ را معرفی نماییم، این حملات نسبت به بزرگترین حملات سال ۲۰۱۵ رشد چند برابری داشته اند!
در تاریخ ۲۰ سپتامبر ۲۰۱۶ کاربران دیتاسنتر معروف و بزرگ OVH شاهد اختلالاتی در شبکه شدند که سرویس دهی را تا حدی با مشکل مواجه کرده بود، مشکلات حل شدند اما سوالی که مطرح شده بود این بود که مشکل چه بود؟
روز بعد Octave Klaba موسس شرکت OVH در تویتر خود خبر از یک حمله DDoS داد! او اسکرین شاتی از حملات DDoS منتشر کردکه نشان داد در دو حمله همزمان ترافیکی بیشتر از ۱ ترابایت بر ثانیه به سمت شبکه های این دیتاسنتر هدایت شده است؛
http://central-hosting.com/blog/wp-content/uploads/2017/01/Cs71-RvXgAAibci.jpg
خبر حمله ای معادل ۱Tbps یک شوک عظیم برای تمامی افراد فعال در حوزه امنیت شبکه است ؛ چرا که دیتاسنتر ها یا شبکه هایی که بتوانند در مقابل این حمله ایمن باشند در دنیا انگشت شمارند.
این حمله توسط بات نتی از دوربین ها و DVR های متصل به اینترنت (۱ تا ۳۰ مگابیت بر ثانیه از هر دستگاه) انجام شد که ظاهرا این بات نت قادر است حمله ای معادل ۱٫۵Tbps را هدایت کند. این حملات از نوع tcp/ack, tcp/ack+psh, tcp/syn بودند.
می توان حمله به OVH را بزرگترین حمله DDoS در طول تاریخ اینترنت تا این لحظه دانست که نسبت به بزرگترین حمله سال ۲۰۱۵ که ۵۰۰ گیگابیت بود رشد دو برابری داشته است.
البته بسیاری از فعالین حوزه امنیت این حمله DDoS را غیر واقعی می دانند، البته نه به این معنی که موسس OVH دروغ گفته باشد،بلکه معنقدند شبکه OVH بسیار بزرگ و چندین کشور را شامل می شود و این ترافیک ۱Tbps احتمالا مجموع چند ده حمله بزرگ همزمان و غیر مرتبط با یکدیگر است که مجموع آن به ۱Tbps رسیده است و نمی توان آن را یک رکورد و یک حمله مستقل به حساب آورد.
بعد از OVH رکورد دومین حمله بزرگ در تاریخ ۲۱ دسامبر به شبکه incapsula انجام شد.
incapsula مدعی شد صبح ۲۱ دسامبر برخی از آی پی های Anycast این شبکه مورد حمله DDoS قرار گرفتند.
http://central-hosting.com/blog/wp-content/uploads/2017/01/650gbps-ddos-attack.png
این حمله در اوج خود رکورد ۶۵۰Gbps را زده بود که حدود ۱۵۰ میلیون پکت در ثانیه ارسال شده بود. از آن جایی که آی پی ها جعلی بودند قابل ردگیری نبودند و پیدا کردن منشا حملات و حدود جغرافیایی مبدا حملات سخت و تقریبا غیر ممکن بود. تنها نکته قابل بررسی در این حمله توسط شرکت incapsula بررسی و انالیز payload (محموله / پکت های ارسال شده) جهت یافتن سرنخ و شناسایی بات نت بود.
Payload های ترافیک حمله در مجموع دو نوع مختلف SYN پکت را شامل می شدند.
۱- پکت های SYN منظم از ۴۴ تا ۶۰ بایت.
۲-بسته های SYN بزرگ غیر طبیعی از ۷۹۹ تا ۹۳۶ بایت.
در شروع حمله هدف برای رسیدن به تعداد پکت های بالا (MPps) بود ولی در نهایت با افزایش حجم هر پکت به حمله ای معادل ۶۵۰ گیگابیت بر ثانیه رسید. هدف این حمله از کار انداختن سویچ های شبکه بود.
در ادامه تحقیقات نوعی الگوی ساختگی در پکت ها شناسایی شد که می توان از آن به عنوان “امضا” اتکر یاد کرد.این امضا در حقیقت نوعی نظم در بین پکت های SYN بود. در مقادیر ارسالی در هیدر پکت های TCP عدد “۱۳۳۷” خودنمایی می کرد! به صورت واضح مشخص بود که اتکر قصد داشته به نوعی خود را معرفی کند.
http://central-hosting.com/blog/wp-content/uploads/2017/01/1337-packet-ddos-attack.jpg
که با تحقیقات در خصوص این عدد به یک پست در سایت معروف urban dictionary دست یافتند:
Hacker “Sp33k” for leet, or elite. Originating from 31337 “eleet”, the UDP port used by Dead Cow Cult, a hacker group, to access Windows 95 using Back Orifice, a notorious hacking program.
۱۳۳۷ h4x0rz pwn j00!
by Cal Webster April 24, 2003
لینک این پست (http://www.urbandictionary.com/define.php?term=1337)
مورد بعدی که در بررسی مشخص شد محتوای پکت های بزرگ که ظاهرا مقادیری از کارکتر های تصادفی بود ولی در برخی از این پکت ها مقادیری همانند آدرس آی پی های ناقص مشاهده شد. ظاهرا با بد افزاری روبرو هستیم که به برخی فایل های لوکال (مثل Access Log) دسترسی دارد و از آنها برای ساخت محموله های ارسالی در پکت ها استفاده می کند.این روش برای دور زدن سیستم های امنیتی که روش آنها مبتنی بر شناسایی شباهت ها در پکت ها برای Mitigation حملات است کارآیی دارد. http://central-hosting.com/blog/wp-content/uploads/2017/01/large-payload-content-ddos-attack.png
این حملات نشان از رشد روز افزون بات نت ها و قدرت بی حد و مرز آنها برای انجام حملات مخرب تر در آینده است.