学校のDDoSとそれを恐れるかどうか

現代のインターネットは、400の比較的正直な方法でお金を稼いでいます。 残念ながら、利益を欲するすべてのキャラクターがそれらに限定されるわけではありません。 幸いなことに、深刻な危害を引き起こす資格があるのはごく少数です。 それにもかかわらず、準備のできていない人々に対する彼らの行動は非常に破壊的です。 カットの下では、脅威、恐mail、裏切り攻撃、および伝統的な映画のハッピーエンドを伴う悲惨な物語が見つかります。



顧客の1人がコンピューター機器を販売するオンラインストアを持っています。 11月25日金曜日の朝、彼は脅迫状を受け取りました。

こんにちは



あなたは200ドルを支払う必要があります（ウクライナグリブナの同等額は1600グリブナです）。 ターミナルに行き（スーパーマーケットで見つけることができます）、WebMoney支払いを選択する必要があります。 ウォレットに資金を直接送金する必要はなく、必要な金額のバウチャー（vmカード）を購入する必要があるという事実に注意を促します。 ターミナルで、WebMoneyの支払いを選択してバウチャーを購入すると、小切手にバウチャーの番号とコードがあり、手紙で送る必要があります。 すべての端末でバウチャーvmを購入できるわけではありませんが、ほとんどの場合はご注意ください。 支払いは24時間以内に行わなければなりません。そうしないと、サイトは強力なDDoS攻撃の攻撃を受けます。そのため、サイトは長期間、数週間またはそれ以上利用できなくなります。 攻撃は止まりません。

-スペルと句読点が保存されました。



攻撃者は各被害者に別々の手紙を送ることを気にしませんでした。



彼の自然な反応は丁寧な拒否ではなかった。 事件が解決したと考えて、彼はそれを安全に忘れました...夕方まで。



夜の17:09にDDoS攻撃が開始されましたが、小規模ですがサイトに混乱を引き起こすには十分です。 15分以内に、謙虚な僕に何かが起こっていることが通知されました。



Apacheログをざっと見てみると、攻撃者の行動のパターンがすぐに明らかになりました。

XXXX - - [25/Nov/2011:17:19:17 +0200] "GET //user-agreement.html HTTP/1.1" 200 32283 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.6.30 Version/10.63" YYYY - - [25/Nov/2011:17:19:18 +0200] "GET //user-agreement.html HTTP/1.1" 200 32283 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.6.30 Version/10.63" ZZZZ - - [25/Nov/2011:17:19:17 +0200] "GET //user-agreement.html HTTP/1.1" 200 32283 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.6.30 Version/10.63"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Webサーバーの設定に精通している人は、次に何が起こるか既に知っていると思います。 しかし、もし既製のレシピが誰かに役立つとしたらどうでしょう。



攻撃が複数のIPアドレスから実行されたという事実にもかかわらず、ブラウザーの攻撃されたURLとユーザーエージェントが同じように使用されたことがすぐに明らかになります。 害虫をスクリーニングするためにこのデータを使用すること自体に頼みます。 通常のユーザーを小さな競合からできるだけ保護したいので、幸いなことに、かなり古いバージョンのオペラからコピーされたUser-Agentのみを使用します。



攻撃者のプライドを楽しませるために、単純なコンテンツを含むスタブファイルout-of-order.htmlがサイトのルートに作成されました。

 <h1>Our site is temporarily unavailable</h1>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

.htaccessには5行追加されます。

 RewriteEngine On RewriteBase / RewriteCond %{HTTP_USER_AGENT} ^Opera/9.80\s\(Windows\sNT\s5\.1\;\sU\;\sru\)\sPresto/2\.6\.30\sVersion/10\.63$ RewriteRule ^(.*)$ out-of-order.html
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その後、指定されたUser-Agentを持つすべてのリクエストに小さな静的ファイルが与えられ始めました。 その瞬間から、攻撃はサーバーに重大な影響を与えなくなりました。



しかし、私たちの闘いはまだ終わっていません！ 攻撃者のIPアドレスの1つが選択され、whoisを使用してwhoisが決定されました。 呼び出しに応答した管理者は、攻撃が実際にこのアドレスから実行されたかどうかを確認することに親切に同意しました。 念のため、彼は加入者に電話をかけて、起こっている怒りについて知らせた。 管理者によると、加入者は自分の罪悪感を強く否定しましたが、Wi-Fiのパスワードを変更することを約束しました。 数分後、攻撃はこのIPからだけでなく、他の都市を含む他のすべてのIPからも停止しました。 （購読者はそれとは何の関係もないことを今でも覚えています！）



元気で、私たちは脅迫状を受け取ったすべての人に保護のための処方箋を送り、満足した人は家に帰りました。