これは2008年の初め、ウクライナの大手銀行のIT部門でエンジニアとして働いていたときに起こりました。 年末年始の賑わいが眠りに落ち、テクニカルサポートユニットの負荷がわずかに減少したため、私に報告しているWebサーバーの1つがディスク上の場所を知らせてくれました。 簡単な分析では、銀行の公共支払いシステムの1つが回転しているIISサーバーのログが急速に成長していることが示されました。 私の恐れは正当化されました-サーバーでDDOS攻撃が始まりました。
攻撃の形式は次のとおりです。GETメソッドを使用して、1秒あたり150〜200リクエストの速度で、同じURLが多数のIPアドレスからアクセスされました。 つまり 小さな国際的なボットネットが機能しました。 サーバー自体と銀行のファイアウォールは攻撃に完全に対処したため、攻撃を調査し、攻撃を排除するためのアクションプランを作成するのに十分な時間がありました。
私が最初にしたことは、攻撃しているIPアドレスの地理を分析することでした。 強度は国全体に均等に分散し、地域をブロックすることはできませんでした。世界中の顧客が銀行のWebサービスを使用し、セグメントをブロックすると銀行の財務上の損失になります。 さらに、攻撃の強度が増加する可能性があると仮定して、攻撃されるページのサイズを最小限に最適化しました。 サーバーとファイアウォールの負荷が低下しました。これには時間がかかりませんでした。 ボットネットを制御したハッカーは、攻撃されたURLのアドレスを変更し、攻撃はGIF画像に変換されました。これは、サイトの最も膨大な要素の1つです。 これらの行動は私に良いリードを与え、私は反作用の準備を徹底しました。 LogParserを使用して、Webサーバーのログを処理し、クライアントの「異常な」動作を検出する多数のスクリプトを作成しました。 「異常」は、銀行の顧客にもボットネットにも固有ではない順序でページにアクセスしていると見なされていました。 LogParserはギガバイトのログにうまく対処してくれたので、迅速な対応が可能になりました。
この時点で、攻撃は毎秒500リクエストに達しました。 したがって、私は準備をして餌を投げました-攻撃された画像の名前を変更し、404番目のエラーで返されたページを最小限にして待機しました。 しばらくして、攻撃は一時的に停止しました。 その有効性がゼロに低下したため、ハッカーはブラウザを介して手動でボリューム要素の存在をサイトに「プローブ」し始めました-LogParserはそのような「異常な」動作をすぐに検出しました。 これで十分でした。ハッカーのIPアドレスが手元にあり、驚くことに、匿名のプロキシサーバーではなく、ウクライナのホスティング業者の1つであるだけでなく、この銀行のウェブサービスの優れたクライアントでもありました。
-こんにちは、セルゲイ・イワノビッチ、こんにちは、<%bank_name%>に邪魔されています。サイトからのDDOS攻撃の調整はサーバーから来ています。
-こんにちは。 IPを教えてください
-XXX.XXX.XXX.XXX
-はい、クライアントはこのサーバーのターミナルセッションで動作しています。切断し、サーバーへのアクセスを許可します。 これらのフリークは戦う必要があります。 ところで、私には彼の連絡先の詳細があります。
-ありがとう、私は銀行のセキュリティサービスに通知します、彼らはあなたに連絡します。
...継続する(ICQのハッカーとの対話、ワームの頭を「切断」する、経済犯罪と戦うための部門での私の証言、そして実際にはそれがどのように終わったか)
UPD: banzegのアドバイスにより、 情報セキュリティに移行
UPD:ここに続く: ハッカーを捕まえた方法2
ハッカーを捕まえた方法
All Articles