Clever Geek Handbook

3つのボットネットがEkho Moskvyラジオ局のサイトを攻撃しました

Ekho Moskvy Webサイトに対するDDoS攻撃は、5月6日、モスクワ時間の8:45に始まりました。 5月5日、モスクワ時間の5時5分の前兆は、小規模かつ短期のSYNフラッドでした。



QRATORトラフィックフィルタリングネットワークは、3つの異なるボットネットを記録しています。







最初の2万台のマシンは、サイトのルートページへの頻繁なリクエストである従来のHTTP Floodを実行します。



午後には、45,000台の感染したコンピューターからなる2番目のネットワークが接続されました。 2種類の攻撃を実行します。1ギガビット以上の容量を持つUDP Floodと、1.5〜2秒ごとにボットが任意のページを要求するHTTP Floodです。



3番目のボットネットのサイズはわずか250台です。 この攻撃は、Webサーバーのリソースを使い果たすことを目的としています(TCPペイロードフラッド)。



ほとんどの感染したコンピューターは、アジア(中国、インド、インドネシア、タイ、フィリピン、韓国、イラン、イラク)およびアフリカ(エジプト、アルジェリア、スーダン)にあります。



ボットネットのサイズは増加しており、19:50現在、モスクワ時間は89,000台です。 サイトは正常に動作しています。 以前、攻撃者の新しい波をつなぐときに、リソースの可用性に不安定性がありました。 これは、違法なユーザーの振る舞いにおけるフィルターのトレーニングによるものです。



Echo of MoscowのWebサイトとアルメニアのメディアを攻撃するボットネットの重要な交差点が記録され、5月6日に議会選挙が行われます。



UPD:地理参照付きのストップリストチャートを追加しました



UPD2:技術。 労働者の要求に関する詳細:



1)ここでは簡単です:

GET / HTTP /1。{0,1}

ホスト:echo.msk.ru

禁止されるまで時間があります。



2.1)UDP Floodも簡単です:

できるだけ多くのキロバイトUDPパケットを送信すると、ペイロードペイロードがランダム化されます。



2.2)HTTP Flood:URLを選択したロジックは不明ですが、次のようになりました(1つのIPから)。

06/2012年5月:17:06:35 GET / top / HTTP / 1.1

06/2012年5月:17:06:35 GET / blog / zoldat / 885435-echo / HTTP / 1.1

06/2012年5月:17:06:37 GET /いいね/ e885530 HTTP / 1.1

06 / May / 2012:17:06:37 GET / blog / navalny / 885662-echo / HTTP / 1.1

06/2012年5月:17:06:38 GET /ブログ/ echomsk / HTTP / 1.1

06/2012年5月:17:06:40 GET /news/885730-echo.html HTTP / 1.1

06/2012年5月:17:06:44 GET /タグ/ 448 / HTTP / 1.1

06/2012年5月:17:06:45 GET /インタビュー/ HTTP / 1.1

06/2012年5月:17:06:48 GET / blog / maxkatz / 885466-echo / HTTP / 1.1

06/2012年5月:17:06:49 GET /polls/885608-echo/comments.html HTTP / 1.1

06/2012年5月:17:06:53 GET /いいね/ e885426 / HTTP / 1.1

06/2012年5月:17:06:53 GET /ブログ/ HTTP / 1.1

06/2012年5月:17:06:55 GET / blog / diletant_ru / 885131-echo / HTTP / 1.1

06/2012年5月:17:06:56 GET /いいね/ e885701 HTTP / 1.1

06/2012年5月:17:06:56 GET /news/885504-echo.html HTTP / 1.1

06/2012年5月:17:06:57 GET /タグ/ 32 / HTTP / 1.1

06/2012年5月:17:06:57 GET /プログラム/ galopom / HTTP / 1.1

06/2012年5月:17:06:57 GET / blog / greglake_ / HTTP / 1.1

06/2012年5月:17:06:58 GET /ブログ/ dgudkov / 885655-echo / HTTP / 1.1

06 / May / 2012:17:07:01 GET / blog / bornad / 885688-echo / HTTP / 1.1



3)どうやら、彼らは外出先でボットを追加したようです。なぜなら、最初は(同じボットから)異なるものが見えるからです。

\ x00flate、gzip、chunked、identity、トレーラー

\ x00:PHPSESSID = yjjmknexitxltizixmninfxskdjfjjns3kigefqenxqtmg

./ )

XGET / 4iqvdjjjx2ilxfzfgk HTTP / 0.0



18.00頃、人々はメモリの問題を解決し、オリジナルで考えられていたことが明らかになりました。



GET / xxidkmie2txz1niln2kx2xxl4ki1tvtmqyjjm4s311kxgvqignxs3e <...> HTTP / 1.1

+

要求の代わりに大量のゴミ(ゼロバイトの書き込み)

それでも時々、彼らは/stylesheets/all.css?5を尋ねます(理由は明らかではありません)。



このボットネットは小さいがメジャーであることに注意してください:カナダ、ドイツ、スペイン、フランス、イギリス、ギリシャ、イタリア、ポーランド、ポルトガル。


More articles:


All Articles