Что такое ддос в сампе
Тема: Виды ддоса в самп
Опции темы
Отображение
Думаю будет полезно владельцам серверов в сампе
Флуд
Флуд, это атака типа отказ в обслуживании, связанная с конечностью каких либо ресурсов. В сампе наиболее неприятная атака на чат (как общий, так и через личные сообщения).
За время содержания сервера встречались 2 сценария проведения подобных атак:
Наиболее распространенный: просто с помощью специальной программы в общий чат печатается, какой либо текст в очень большом объеме (иногда доходит до 2000 строк в секунду). Часто есть механизмы, делающие соседние сообщения разные (чтобы сервер не мог просто блокировать повторяющиеся сообщения). Могут слаться и личные сообщения.
Второй алгоритм: специальная программа подключается к серверу вместо клиента, отсылает 1 – 2 сообщения, отключается и начинает цикл заново. Имя подключившегося игрока может меняться. Против такой атаки обычно беспомощны стандартные механизмы антифлуда.
Программы для флуда способны полностью заблокировать возможность пользоваться общим чатом сервера.
Подбор пароля rcon
В самп сервере администраторы могут подключиться через консоль к серверу и выполнять rcon команды. Для этого не требуется установленной ГТА или самого сампа, нужна лишь программа rcon.exe, которая идет в поставке сампа. Чтобы удостовериться, что подключился именно администратор, с каждой командой посылается пароль rcon.
Эту особенность часто используют программы для подбора пароля rcon: они посылают множество команд консоли с разными паролями и ждут, пока подберут пароль. Обычно пароль подобрать они не могут (нужно перебрать очень много комбинаций, при условии, что пароль rcon на сервере нормальный, а не 12345), но они создают нагрузку на сервер (могут увеличиться пинги всех игроков) и захламляют лог сервера (могут увеличивать лог сервера на несколько десятков мегобайт в день).
В SA-MP 0.3 имеется возможность отключить удаленную консоль (rcon)
Программы подбора пароля ркон могут увеличивать пинг и заполнять файл лога большим объемом ненужных данных.
Атака невидимыми игроками
В самп сервере есть понятие слота: это ячейка, которую занимает игрок, подключившийся к серверу. Когда игрок отключается от сервера, то эту ячейку может использовать вновь подключившийся игрок. Количество слотов в сампе лимитировано и задается в файле настройки сервера – это определяет, сколько одновременно игроков может быть на сервере.
Поскольку для игры в самп используется, как правило, сеть интернет, которая по своей сути не стабильна и в ней могут происходить кратковременные и долговременные потери связи, то на сервере есть понятия тайт аута. Программа самп клиента может не посылать на сервер данные в течение какого-то времени и при этом не происходит отключение игрока. Если сервер данные от клиента не получает больше заданного времени (в текущей версии RakNet, сетевого движка сампа, это 10 секунд), то игрок считается потерявшим связь и выбрасывается с сервера.
На этой особенности построен данный тип атак: специальная программа подключается к серверу в бесконечном цикле. Но подключение проходит только начальную стадию, когда сервер выделяет слот, но еще не создает игрока. Сервер думает, что к нему подключается игрок и ждет остальных данных от клиента в течение тайм аута (10 секунд). Пока тайм аут не вышел, сервер не может отдать другим игрокам данный слот. Поскольку атакующая программа подключается в бесконечном цикле к серверу, то довольно быстро на сервере заканчиваются свободные слоты, и он не может разрешить подключение новых игроков, не смотря на то, что в списке свободные слоты есть.
Часто данную атаку проводят сразу несколько человек с разных компьютеров, что увеличивает эффективность атаки.
Диагностировать данный тип атак можно по большому числу подключений в короткий момент времени с 1 ip адреса. В логе сервера данная атака никак не фиксируется. Если штатными средствами сампа забанить ip адрес атакующего(их) то атака будет отбита.
Удачно проведенная атака почти полностью блокирует работу самп сервера на время, пока атака проводится.
Атака через неправильный тюнинг (модификацию) транспорта
В GTA SA на транспорт можно устанавливать дополнительные компоненты (гидравлику, азот, менять колеса). На каждый вид транспорта можно установить определенный тип компонентов тюнинга. Если установить не правильный компонент, то игра скорей всего упадет с ошибкой. Серверу неправильные компоненты как правильно не вредят, и он их благополучно синхронизирует со всеми игроками: то есть если на сервере оказался неправильно затюненный транспорт, то с ошибками будут вылетать все игроки. Чтобы это проверить, можно поставить азот на мотоцикл. Обычно тюнинг происходит на стороне игрока, и передается на сервер, что дает возможность проводить данный тип атак.
Обычный алгоритм проведения атаки: игрок с помощью специальной программы устанавливает неправильный компонент тюнинга (часто и неправильную аэрографию (paintjob) (часто на весь транспорт сервера. Притом он может успеть сделать это (затюнить весь транспорт) несколько раз 
Обычно на это уходит не более 2х секунд. После этого обычно атаковавший сам вылетает со всеми остальными игроками сервера.
Успешно проведенная атака блокирует возможность играть на сервере до пересоздания транспорта (или перезагрузки сервера).
DoS SA-MP сервера на сетевом уровне
Подобным атакам подвержены все сервера, которые предоставляют, какие либо услуги. Никакими программными средствами противостоять таким атакам нельзя. Есть аппаратные решения, но они довольно дороги. Правда, как показывает практика, атаки подобного класса очень редко проводятся на SA-MP сервера, поэтому просто будем знать, что подобное можно провести.
Автор/Дмитрий [Владелец сервера Gta paradise]
Что такое ддос в сампе
Быстрый переход в группу «Пользователи», без надобности написания постов и ожидания.
Покупка дает возможность:
Маппинг для сервера
Моды для сервера
Огромный выбор различных модификаций для Вашего сервера. Пролистайте эти темы! Возможно именно там Вы найдете то, что искали уже давно.
Модификации SA
Хотите разнообразить свою игру в San Andreas? Смелее в наш раздел. Отличный сборник готовых решений. Играйте с удовольствием
Salvage
Заблокирован
Здравствуйте, дорогие пользователи pawno-info.ru
Данный мануал поможет вам избежать атаку конкурентов, и школьников, которые с радостью испортили все ваши старания, но не спешите закрывать свой сервер, мы приготовили для вас уникальную защиту.
И так, приступим, и первым нашем шагом будет отключение лога. Зачем? Спросите вы, ответ очень прост, при большом онлайне, в лог записывается огромное число букв и цифр, различной информации о работе сервера, при DDoS атаке, этот лог забивается на столько, что сервер просто не может так часто открывать огромный файл лога, а это приводит к крашу (выключению) сервера.
Как помочь?
В конфиге вашего сервера, добавьте строку «logqueries 0» без скобок. Данная защита спасет вас от различных видов атак программами, типа «Baba Shura, Deda Vanya», и других программ с одной структурой.
Либо вы можете с помощью дополнительных плагинов удалять server_log.txt каждые 20 секунд, это не даст заполниться логу настолько, что бы сервер упал при чтении
1 этап выполнен, переходим ко 2 виду защиты, это «iptables». Если у вас сервер стоит на ВДС, то он никак не защищен от флудом пакетами, мы собрали оптимальное правило, код можете посмотреть ниже. Если вы находитесь на хостинге, сообщите хостеру ссылку на данную тему, и скажите, что данные правила значительно улучшат защиту вашего сервера.
3. Собственный антифлуд на Callback’и (Автоматически выполняемые функции), К примеру «OnDialogResponse, OnPlayerPickupPickup, OnPlayerEnterCheckPoint и др.
И так, поговорим о автоматически выполняемых функциях. Представьте, в вашем моде к примеру в OnPlayerText находится огромный код из проверок, функций и возможностей, и какой нибудь читер будет писать 10, 100 а то и 1000 сообщений в секунду, из за этого есть огромная вероятность, что сервер станет работать не корректно, т.к в среднем, игрок не может написать 100 сообщений в чат за 1 секунду. Решение очень просто:
Это пример защиты, который определит читерский флуд в чат. Аналогично можно не только с этой функцией.
Защита от PizDoS_Bot
Разработчик данной программы был настолько помешан на славе, что допустил большую ошибку, при начале атаки, программа выводит рекламное сообщение в чат, которое легко определить, а пользователя программы забанить.
Код защиты (вставить в начало OnPlayerText)
Что такое DDoS?
Работаю в хостинге: размещаем сайты пользователей на своих серверах.
Ввиду гигантского количества вопросов, которые нам задают и начинающие, и опытные пользователи, при помощи Пикабу хочу разъяснить некоторые принципы, аспекты и особенности этого ответвления IT-сферы. Не уверен, что количество вопросов от наших пользователей уменьшится, но попытаться стоит.
Даже если вы не пользуетесь хостингом, предположу, что эта информация может быть познавательна.
Немного о наболевшем. DDoS-атаки. Последние несколько недель наша площадка была целью довольно сильной DDoS-атаки, из-за чего мы потеряли несколько хороших клиентов, много часов сна и несколько десятков нервных клеток. Если точнее, как выяснилось чуть позднее, целью был один из клиентских сайтов, хостящийся на одном из наших серверов.
Но, с самого начала. Что такое DDoS-атака? По традиции, вольное определение в условиях моей работы. DDoS — это атака на хостинг-сервер, целью которой является вывод из рабочего состояния какого-либо веб-сайта или сервиса, размещённого на атакуемом сервере.
Аббревиатура DDoS означает Distributed Denial of Service (распределённый отказ в обслуживании). «Распределённый» означает, что атака ведётся с большого числа компьютеров и других устройств, имеющих доступ в Сеть.
Почему я не ограничиваю атакующих только компьютерами? В моей практике были случаи, когда атакующие был определёны, как МФУ, например HP. Это, собственно говоря, уже не вызывает удивления, т. к. почти любое современное устройство имеет собственную ОС, набор протоколов в ней, командную строку и, в общем-то, весь необходимый функционал для управления устройством, как непосредственно с самого устройства, так и удалённо.
Что происходит во время такой атаки? Некоторое количество устройств (от нескольких десятков до нескольких миллионов) с определённой частотой направляет запрос к какому-либо сайту. Какой запрос? Да, в общем-то, любой. Например, если действительно говорить об атаке сайта, устройства запрашивают у этого сайта главную страницу.
Ну и что ж в этом такого страшного? Обращения к сайтам есть всегда. Ничего страшного в самом обращении к сайту нет. Беда кроется в количестве таких обращений. Хорошо настроенный хостинг-сервер, поддерживающий 1500-2000 сайтов, комфортно работает в диапазоне 0-4000 пакетов в секунду. В случае с DdoS эти цифры возрастают в сотни раз, и сервер начинает «тормозить» или «умирает».
Попробую пояснить. Представьте, что сервер — это станция метро. В вестибюле станции есть некоторое количество входов и выходов — это каналы связи нашего сервера с Сетью. В обычном режиме станция обслуживает N-ое количество входящих пассажиров (сетевых пакетов с обращениями к серверу) в секунду. В часы пик количество становится довольно большим, и перед входом на станцию скапливается некоторое количество людей. Примерно такая же ситуация при работе сервера под большой нагрузкой. А теперь представьте, что станция находится рядом со спортивным или концертным комплексом. Когда мероприятие закончилось, на станцию хлынул огромный поток людей. Толпа стоит перед входом, движение очень медленное. Все негодуют и ругают власть.
Сравнение, конечно, очень грубое. Но картина должна представиться примерно понятной. Когда один из серверов хостера атакуют, в лучшем случае перестаёт нормально работать только атакуемый сервер. В худшем случае «лечь» могут все сервера, использующие тот же сетевой маршрутизатор, что и атакуемый сервер. Это может произойти если ёмкость атаки превышает возможности канала связи всей технической площадки.
Под ёмкостью атаки подразумевается суммарный объём данных, которые направляют атакующие устройства на атакуемый сервер.
В качестве примера: несколько лет назад, когда я работал в другой хостинг-компании, ёмкость одной из атак составила 50 Гб/с. На тот момент суммарная пропускная способность всех каналов той компании была в 5 раз меньше, то есть выделенный ЦОДом канал связи для всех серверов этого хостера был около 10 Гб/с. Соответственно, всё сервера, стоявшие в том ЦОД стали недоступны из внешней сети.
Работа серверов в обычном режиме (визуализация).
Как проводится такая атака? Очень грубая схема: есть некоторый набор устройств, имеющих доступ в глобальную Сеть. Компьютеры, смартфоны, МФУ, чайники, холодильники и т. д. Они взломаны злоумышленником. Но владельцы этих устройств об этом не знают и, скорее всего, никогда не узнают. Такое устройство в IT-сфере называют «зомби». Группа таких зомбированных устройств называется «бот-нет». Вирус, размещённый на устройстве, никак себя не выдаст, т. к. в противном случае бот-нет потеряет бойца. Как только зомбированное устройство получает инструкции для атаке, оно начинает действовать. Как я уже говорил ранее, например, запрашивать главную страницу атакуемого сайта.
Работа серверов под DdoS-атакой (визуализация)
Что делает хостер, когда под DdoS попал один из его серверов? В большинстве случаев, вычисляется атакуемый сайт, владельцу которого в последствии высылается отказ в обслуживании, а сам сайт и его домен принудительно отключаются. Но процесс вычисления атакуемого может занять несколько часов. Всё это время все остальные сайты, размещённые на атакуемом сервере, скорее всего, работать не будут. Что и вызывает тонны негодования, криков, жалоб и раскалённый добела телефон со стороны владельцев всех размещаемых на этом сервере сайтов.
Как защищаться от DdoS? К сожалению, никак. Безусловно, есть сервисы, которые предоставляют защиту от такого рода атак. Но они зачастую не дают каких-то гарантий, и защитить от атак ёмкостью более 1 Тб/с (а сейчас атаки постепенно переходят именно на такой уровень) и 80-100 млн пакетов в секунду уже мало кто сможет. Услуги таких сервисов обычно стоят довольно больших денег и, соответственно, нет большого смысла в защите сайта, размещённого на шаред-хостинге.
У самих хостеров, всё же есть некоторая защита от «первой волны», когда DdoS ещё не набрал большие обороты, и можно успеть вычислить и отключить атакуемый сайт. Обычно, подробной информации о первом рубеже хостера вам никто не даст, т. к. это гарантирует самому рубежу его работоспособность.
В завершении хотелось бы обратиться к тем, кто использует любой платный хостинг. Если вдруг ваш сайт перестал работать, а на ваш вопрос «WTF?!» тех. поддержка говорит «Извините за неудобства, нас атакуют», потерпите немного. Поверьте, они делают всё возможное, чтобы как можно быстрее возобновить работу сервера. Это в их же интересах.
И я вас умоляю: не просите «ПРЕДУПРЕЖДАТЬ О ТАКИХ ВЕЩАХ ЗАРАНЕЕ». Это всё равно, что предупреждать вас о том, что вы простудитесь. Рано или поздно такое произойдёт, но в чаще всего предугадать такую ситуацию просто невозможно.
Спасибо, что прочли. Есть вопросы? Жду в комментариях.
Что делает хостер, когда под DdoS попал один из его серверов? В большинстве случаев, вычисляется атакуемый сайт, владельцу которого в последствии высылается отказ в обслуживании, а сам сайт и его домен принудительно отключаются.
С такой политикой у вас вообще есть клиенты?))
А как узнать, не зомби ли мой пука? Может долбаный мультиплеер инквизиции глючит по страшному из-за того, что кто-то кого-то дудосит моим компом. Ну или биовары ублюдки.
Это утверждение, не верно.
«Смешались в кучу кони, люди»
Если уж начал рассказывать так рассказывай нормально. А не как первая линия поддержки.
Смешаны в кучу L5-L7 атаки с атаками на канал L3 и L4
Первые отсечь во общем то обычно проблем нет. Просто хостерам это на фиг не надо. Оно и правильно, клиенту нужно пусть платит деньги.
«Как защищаться от DdoS? К сожалению, никак. «
Были бы деньги защититься проблем нет. Но стоит это до хрена, почему так. Просто что бы отфильтровать трафик его нужно принять. А это стоит бабла. Собственно поэтому же и отключение «сайта» при этих атаках не даст нужного результата. Только вычисление ip на который идет атака передача этой инфы аплинкам и нульроут его там. При нормальной настройке оборудования и netflow это процедура занимает минут 5-10 в автоматическом режиме столько и составит недоступность ЦОД/стойки/сервера, нужное подчеркнуть.
В большинстве случаев, вычисляется атакуемый сайт, владельцу которого в последствии высылается отказ в обслуживании, а сам сайт и его домен принудительно отключаются.
Я надеюсь, временный? Владелец сайта же не виноват, что его дудосят.
И ещё вопрос, на сколько хорошо антивирусники чистят подобных вирусов, которые твой комп в зомби превращают? Слышал что это используется ещё и что бы биткоины для хозяев заразы зарабатывать и прочее. Как от этого спастись?
*не стала читать умный холивар выше* автор, дай есчо постов, это познавательно и нужно
а какая цель у таких атак? положить конкретный сайт?
а как сбя показывает ввод капчи перед загрузкой сайта?
ЭТИ БАБЫ В КРАЙ ОХУЕЛИ!
И я вас умоляю: не просите «ПРЕДУПРЕЖДАТЬ О ТАКИХ ВЕЩАХ ЗАРАНЕЕ». Это всё равно, что предупреждать вас о том, что вы простудитесь. Рано или поздно такое произойдёт, но в чаще всего предугадать такую ситуацию просто невозможно.
Золотые слова. каждый 3й просит чтоб его заранее о Ддосе предупреждали, и совершенно не понимают что это не предсказуемо.
Здравствуйте! Очень интересная и доступная статья.
Хотелось бы узнать у вас совета. С чего и как начать изучение ИТ?
Если вам несложно ответьте пожалуйста, как сможете 🙂
хм. как круто иметь официальное сообщество вконтактике. нах хостинги.. нах ддосы..
все ясно понятно, но вопрос имею: в сводке новостей в связи с ДДОС атакой были похищены 100500 данных пользователей, а как хищение происходит?
Блокировать по IP после нескольких одинаковых запросов? Отвалиться и много реальных пользователей, но я вижу это как-то так.
Было бы интересно почитать подробнее о том, что предлагают сервисы по защите от таких атак.
Ностальгия. Где мой 97 год, когда я заказал на сайте письмо с вложенными 30 mp3-шками и на полдня положил канал провайдера.
Как защищаться от DdoS? К сожалению, никак. Ограничение количества запросов с одного ip за определенный промежуток времени можно выставить, и я уверен что это не единственный способ
на сколько я знаю канал для каждого клиента режется активным оборудованием, нагрузка на процессор и оперативка системой виртуализации. поэтому ложится только одна виртуальная машина кластера.
На сколько хлебная у Вас работа?
я у себя на хостинге cloudlinux os развернул, если и ддосят какой-то из сайтов, он просто отмирает, а остальные продолжают работать в штатном режиме
В Страсбурге сгорел дата-центр OVH SBG2
10 марта в 02:42 по московскому времени облачным провайдером OVH было опубликовано оповещение о деградации сервиса в дата-центре SBG1 в Страсбурге, которое позже было дополнено информацией о пожаре в здании SBG2:
«В настоящее время в нашем центре обработки данных в Страсбурге произошел серьезный инцидент, связанный с пожаром в здании SBG2. Пожарные немедленно прибыли на место происшествия, но не смогли справиться с возгоранием в SBG2. Все здание было изолировано, что влияет на все наши услуги на SBG1, SBG2, SBG3 и SBG4. Если ваш сервис хостится в Страсбурге, мы рекомендуем активировать План аварийного восстановления. Все наши бригады полностью мобилизованы вместе с пожарными. Мы будем держать вас в курсе по мере поступления дополнительной информации.»
SBG2 является частью кампуса SBG, состоящего из 4 ЦОД. В SBG2 предоставлялись услуги аренды выделенных серверов (dedicated) и облачные сервисы. И если облачным сервисам OVH должен был обеспечивать резервное копированием своими силами, то для арендаторов выделенных серверов эта ситуация в отсутствии резервных копий может быть фатальной.
Тем временем real-time мониторинг доступности выделенных серверов в SBG2 рапортует о полной доступности всего оборудования в ЦОД. Вероятно, сервера мониторинга располагались в том же дата-центре.
Среди облачных провайдеров, не входящих в «большую тройку» (AWS, Azure и Google Cloud), OVH является одним из наиболее популярных. Большинство из 27 дата-центров OVH расположены в Европе. Последняя крупная авария у OVH также произошла в кампусе SBG в 2017 году. В результате отключения электроэнергии весь кампус SBG был отключен. Сорок минут спустя другой кампус RBX (Рубе, Франция) потерял связь из-за несвязанной ошибки программного обеспечения в сетевом оборудовании.
Сочувствуем всем проектам, у кого сервера находились в данном дата-центре, а остальным напоминаем про давно известный чек-лист:
Храните бекапы в (сберегательных кассах) отдельных дата-центрах;
Периодически проверяйте работоспособность своих бекапов;
Имейте наготове план аварийного восстановления доступности сервиса.
UPD: В 9:20 по московскому времени пожар закончился. Судя по сообщениям Octave Klaba (основателя и владельца OVH) в Twitter, в связи с близким расположением зданий дата-центров SBG1, SBG3 и SBG4 к сгоревшему SBG2, пожарным пришлось их «охлаждать», в связи с чем в настоящий момент отсутствует доступ в эти здания и работа данных ЦОД сегодня восстановлена быть не может.
Как попасть в ИТ без знаний
Может быть интересно тем, кто хочет попасть в ИТ.
Обычно нужна многомесячная подготовка, но если у вас лоб крепок, стену можно попробовать пробить.
2013 год, прошел собеседование в техническую поддержку хостинга и меня взяли на стажировку.
Я был слаб, требовалась компетенция linux, а я знал всего 5-6 команд и как выглядит консоль.
Взяли меня тогда за горящие глаза, видимо.
Я сел и понял, что я вообще ничего не понимаю, не запомнил даже названия программ. У меня не было ни одной идеи, как это все установить.
Ледяной ужас окатил с ног до головы.
Google, как установить LAMP, куча статей и гайдов. Все на английском, на русском очень и очень мало. Я не знаю языка, гугл транслейт, корявищий перевод.
Простыни конфигураций и тонны абсолютно новой информации.
Стресса я хапнул на 2 месяца вперед.
Я пил только кофе, ничего не ел, чтобы не упустить драгоценные минуты, которых может не хватить для сдачи задания.
Команды, которые я запускал выдавали все новые и новые ошибки, им не было конца, я тонул без единой контрольной точки. Не работал ни один из сервисов.
Я хотел успеть все установить, чтобы потратить второй день на отладку, но навел такого бардака в системе, что решил все удалить и начать заново.
Вечер с гуглом подготовки, бессонная ночь, стресс зашкаливает.
До 12 я успел развернуть apache, php, nginx.
БД никак не поддавалась, для работы с ней требовалась минимальная компетенция, а не набор команд.
Экстренное гугление, ура есть инфа на русском, базовые навыки за 2 часа.
Ошибка, ошибка, ошибка …. запустилось. Твою мать, наконец то.
Установка CMS, без ошибок.
“Все ок, но не установлен SSL сертификат”
Это было задание на звездочку, но я этого не знал.
Погружение в мир сертификатов, выпуск free, привязка, готово.
Завис mysql, попытки привести его в чувство успехом не увенчались.
Я решил ребутнуть машину, чтобы запустить все сервисы заново.
Была общая проблема на хосте VPS серверов, я не виноват, но перезапуск был ошибкой.
В этот же момент он сказал, что я прошел.
Эйфория по пути домой, за 2 дня я смог настроить сервер, 95% информации о котором слышал впервые.
Конечно, я не получил компетенции, использовал копипасты команд и не мог точно сказать, как он работает.
Хостинг хорошо прокачал меня в администрировании linux, там же ступил на путь менеджмента, но это уже совсем другая история.
Но google ваш друг, он вытащит вас из любой жопы.
Опубликованы утилиты для DDoS-атак с применением Memcached
Одним из главных событий последних недель можно назвать мощнейшие DDoS-атаки, достигавшие мощности 1,7 Тб/сек за счет Memcached-амплификации. Теперь в сети были опубликованы PoC-утилиты для организации таких атак, а также IP-адреса 17 000 уязвимых серверов. Но практически одновременно с этим специалисты компании Corero Network Security сообщили, что нашли способ защиты.
Напомню, что злоумышленники научились использовать для амплификации DDoS-атак серверы Memcached, что позволяет усилить атаку более чем в 50 000 раз. Данный метод впервые был описан (PDF) в ноябре 2017 года группой исследователей 0Kee Team из компании Qihoo 360. Тогда эксперты предрекали, что из-за эксплуатации Memcached-серверов мы увидим DDoS-атаки мощностью вплоть до 2 Тб/сек.
Вновь о таком методе амплификации заговорили в конце февраля и начале марта 2018 года. Тогда компании Qrator Labs, Cloudflare, Arbor Networks и Qihoo 360 практически одновременно сообщили о том, что преступники действительно начали использовать Memcached для амплификации DDoS-атак, и отчитались от отражении атак мощностью 260-480 Гб/сек. Затем на GitHub обрушилась атака мощностью 1,35 Тб/сек, а также были зафиксированы случаи вымогательских DDoS-атак, тоже усиленных при помощи Memcached.
Сразу три proof-of-concept утилиты для организации DDoS-атак с амплификацией посредством Memcached были опубликованы в сети.
Первая утилита — это написанный на Python скрипт Memcacrashed.py, который сканирует Shodan в поисках уязвимых Memcached-серверов. Скрипт позволяет пользователю сразу же использовать полученные IP-адреса для усиления DDoS-атаки. Автором данного решения является ИБ-специалист, ведущий блог Spuz.me.
Вторая утилита была опубликована на Pastebin еще в начале текущей недели, ее автор неизвестен. Инструмент написан на C и комплектуется списком из 17 000 IP-адресов, принадлежащих уязвимым Memcached-серверам. Скрипт запускает DDoS-атаку, используя адреса из списка для ее амплификации.
К сожалению, невзирая на терабитные DDoS-атаки, количество уязвимых Memcached-серверов в сети убывает очень медленно. К примеру, известный исследователь и глава GDI Foundation Виктор Геверс (Victor Gevers) уже более двух лет пытается исправить сложившуюся ситуация, связывается с владельцами проблемных серверов и объясняет им, как обезопасить себя и окружающих.
«Очень жаль видеть, что после двух лет предупреждений DDoS-атаки все-таки начали происходить. Иногда очень не хочется оказаться правым, — рассказал Геверс журналистам Bleeping Computer. — Находить владельцев [уязвимых серверов], предупреждать их о рисках и заставлять действовать, это очень практически тщетно. Дело в том, что риска утечки данных нет, и люди зачастую вообще не отвечают на наши электронные письма.
Угроза мощных DDoS-атак никуда не исчезнет. Теперь, когда написаны PoC-решения и опубликованы готовые списки [уязвимых серверов], уже на следующей неделе нас ожидает значительный рост амплифицированных посредством Memcached атак».
Хочется надеяться, что мрачные предсказания Виктора Геверса не воплотятся в жизнь, ведь далеко не все ИБ-специалисты работали над PoC-утилитами для организации атак. Например, эксперты компании Corero Network Security искали возможные способы решения проблемы и сообщают, что им удалось найти «рубильник», способный прекратить Memcached-DDoS.
Еще неделю назад один из разработчиков Memcached предложил использовать для защиты от уже начавшихся атак команды flush_all и shutdown, которые жертва может отправить на серверы, с которых исходит DDoS.
For what it’s worth, if you’re getting attacked by memcached’s, it’s pretty easy to disable them since the source won’t be spoofed. They may accept «shutdownrn», but also running «flush_allrn» in a loop will prevent amplification.
— dormando (@dormando) February 27, 2018
Этот совет оставался незамеченным вплоть до 7 марта 2018 года, пока специалисты Corero Network Security не опубликовали пресс-релиз, посвященный Memcached-атакам. Разработчики компании пишут, что их решение для защиты от DDoS-атак было обновлено и теперь содержит «стопроцентно эффективный» способ их пресечения. Как не трудно догадаться, специалисты взяли на вооружение совет разработчика Memcached, и используют flush_all, подчеркивая, что никаких минусов у данного метода просто нет.
Применить этот метод, в теории, может любая компания, даже если она не может позволит себе услуги специальных защитных сервисов. Достаточно создать скрипты, которые будут отсылать атакующим серверам команды shutdown и flush_all, заставляя те очистить кеш от вредоносных пакетов.
Также стоит отметить, что разработчики Memcached выпустили обновленную версию своего продукта, Memcached v1.5.6, в которой была исправлена уязвимость CVE-2018-1000115. Дело в том, что по умолчанию Memcached-серверы доступны через порт 11211, и именно эту особенность злоумышленники используют для амплификации атак. Своим исправлением разработчики изменили конфигурацию по умолчанию, отключив протокол UDP «из коробки».
Огласка в СМИ и патч, выпущенный разработчиками, похоже, делают свое дело. Так, специалисты компании Rapid7 сообщили, что количество уязвимых Memcached-серверов с открытым портом 11211 все же начало снижаться. По данным компании, 1 марта 2018 года их число равнялось 18 000, но уже 5 марта 2018 года оно снизилось до 12 000.
Похожую картину наблюдает и вышеупомянутый Виктор Геверс, о чем эксперт сообщил у себя в Twitter. Он пишет, что утром 8 марта 2018 года количество уязвимых серверов равнялось 107 431, согласно статистике Shodan, и постепенно продолжает снижаться.