Хто і чому атакує “Громаду Приірпіння”: маєш право знати
— 29 Березня 2016 0Ботнет атаки на сайт громади тривали увесь лютий. “Громада Приірпіння” перебуває під захистом Deflect. Цей звіт містить інформацію про атаки незалежного новинного ресурсу Приірпіння (Україна), зокрема у перші два тижні лютого 2016 року.
Для того, щоб покласти сайт, використовувались кілька методів атак. Ці атаки не були результативними.
“Громада Приірпіння” – медіаплатформа, яка існує з 2010 року. Створена місцевими журналістами та громадськими активістами після того, як місцева влада роздерибанила Біличанський ліс. Сайт розміщує місцеві новини, політичні огляди й проводить антикорупційні розслідування. Під захист програми Deflect сайт потрапив наприкінці 2014 року. ( Атаки розпочалися під час виборчого періоду до ВРУ, коли кандидувався екс-регіонал Анатолій Федорук – чинний міський голова Бучі – прим. ред.)
Сайт ведеться українською мовою. За день вебсайт отримує 80 – 120 тисяч хітів з України, Нідерландів та США.
Профайл атаки
Атаки розпочалися 1 грудня. Зростання “хітів” проти вебсайту зафіксували з В’єтнаму. Можливо, це була пробна атака. Вона не була успішною. 6 лютого понад 1 мільйон 300 тисяч “хітів” були зафіксовані протягом одного дня.
Наша система захисту від ДДОС-атак заблокувала кілька ботнетів (мережі зламаних комп’ютерів), найбільша з яких включала 500 зламаних комп’ютерів. Ми використали інструмент ‘Timelion’, щоб виявити аномалії в мережі, подібні до ДДОС атак, можна побачити значне відхилення відсередньої кліькості переглядів сайту (на діаграмі нижче, хіти відображені червоним, тоді як синійколір показує рухоме середнє значення за 7 днів плюс 3 стандартні відхилення, жовті прямокутники позначають аномалії).
Той факт, що відхилення від норми тривало протягом тижня (з 1 до 8 лютого) вказує на те, що атаки відбувалися кілька разів. Цей звіт покликаний з’ясувати чи окремо взяті атаки пов’язані між собою і відобразити характеристику атак. Ми також прагнемо з’ясувати причини атак та їхнє походження.
Профайл атаки за 6 лютого
Ця атака тривала 1 годину 11 хвилин. Це була найбільш масована атака за весь період якщо брати кількість хітів за хвилину.
Статистика інциденту
Ось статистика, яку ми отримали з нашої deflect-labs system.
Дані показують, що інтенсивність атаки та тип атаки (GET/POST/Wordpress/other), targeted URLs, як і number of GEOIP та IP information related to the attaker(s):
- client_request host:”www.kotsubynske.com.ua”
- хіти від 24000 і до 72000 за хвилину
- Загальна кількість хітів протягом періоду атаки: 1643581
- Атака розпочалася: 2016-02-06 13:34:00
- Атака закінчилася: 2016-02-06 14:45:00
- Тип атаки: GET атака (боти запитують сторінку з сайту)
- Цільова URL: www. kotsubynske. com.ua
- Першочерговий запит: “http://kotsubynske.com.ua/-”
Більша кількість “хітів” надходила з В’єтнаму, України, Індії, Кореї, Бразилії, Пакистану.
Herewith are the stats for the top five countries starting with the most counts and descending: geoip.country_name Count Vietnam 817,602 Ukraine 216,216 India 121,405 Romania 70,697 Pakistan 61,201
Перехресний аналіз інцидентів
Ми досліджували 3 місяці атаки на сайті «Громада Приірпіння» – з січня по березень. У нас зафіксовано 5 випадків з 1 по 8 лютого. Ми порівнювали дані для того, щоб зрозуміти, чи ці атаки є пов’язаними. Це може допомогти зрозуміти, хто стоїть за цими атаками й що між ними спільного. Наприклад ми бачимо, що відносно незначна кількість ІР-ардес з’являється більше, ніж раз, але кожен інцидент має схожий розмір ботнету та шаблон атаки.
Таблиця 1. Вдалося визначити ідентичні IPs у випадках всіх атак.
Taблиця 2. Спільні ІР-адреси зустрічалися у таких парах випадків. Вони були заблоковані системою Deflect.
Тут ми порівнюємо всі випадки між собою парами, перевіряючи наявність спільних ІР і показуємо результати.
Аналіз 5 атак показує, що лише кілька ІР адрес із ботнету були застосовані повторно у подальшому. Наявність будь-якого ІР зі списку повторюваних може вказувати на те, що вони належать до підмережі, яка є частиною єдиного ботнету, або свідчить про те, що одні й ті ж комп’ютери інфіковані різними вірусами. Більше того, дані з геоІР (визначення місцезнаходження) і поведінка усіх ботнетів майже ідентична.
Наприклад, тоді як трафік протягом цього періоду виглядав нормально, як за кількістю відвідувачів так і за їхньою геолокацією, заблоковані ІРбули в основному з В’єтнаму, Індії, Пакистану та інших країн, що зазвичай не переглядають kotsubynske.com.ua . Це надійний показник зловмисного трафіку і міжнародного ботнету.
- 71.1% заблокованих ІР з В’єтнаму, Індії, Ірану, Пакистану, Індонезії, Саудівської Аравії, Філіппін, Мексики, Туреччини та Південної Кореї.
- 99.9% забанених ІР мали ідентичний рядок агента користувача: “Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)”
- У середньому кількість хітів з цих ІР була: 61.9 хітів/хв у порівнянні з 4.5 хітів/хв для всіх інших ІР.
Цей рядок агента користувача видається ідентичним у всіх 5 випадках при порівнянні заблокованого та дозволеного трафіку.
На діаграмі внизу помаранчевим позначено ідентичні рядки агентів користувача тоді як синім показані ІР з іншими агентами користувача. Забарвлені прямокутники містять 50 % ІР в середині кожної множини, а лінії в середині прямокутників показують медіани.
Не дивлячись на те, що ідентичних ІР ботнетів у всіх5 випадках не так багато, поведінка багатьох ботнетів в різних випадках дуже схожа. Ілюстрація, що подана нижче, показує деякі характеристики ботнетів (різними кольорами) у порівнянні зі звичайним трафіком (синій коріл).
Точкова діаграма сесій у тривімірному просторі:
- Дисперсія інтервалу між запитами
- Кількість помилок
- Співвідношення завантаженого тексту до завантажень зображень
Висновки звіту
2 лютого “Громада Приірпіння” оприлюднила статтю селищної голови Коцюбинського Ольги Матюшиної із зверненням до депутатів “Нових облич”, а також новину про протистояння громади за збереження парку “Дружба” у місті Ірпені, де міським головою обрано керівника партії “Нові обличчя”. Атаки на сайт почалися одразу.
Якщо порівнювати атаки, які ми спостерігаємо в мережі Deflect, ці атаки не були ані сильними, ані витонченими.
Ми припускаємо, що той, хто контролював ботнет атаку використовував просто різні доступні йому IPs, щоб уникнути блокування. Те, що в усіх п’яти випадках були використані ідентичні рядки агенту користувача і однакові схеми атаки , вказує на їх організацію одним користувачем.
Це перший звіт Deflect Labs initiative.
Наша мета викорінити безкарність для організаторів ботнетів й допомогти нашим клієнтам доносити інформацію до членів територіальної громади.
“eQualit.ie” – канадійська технологія. Ми колективно працюємо над тим, щоб захистити права людей в Інтернеті.
Колумністи
-
-
Буча – київське Беверлі Хілс, історія злету
— 2 Липня 2022 -
-
Чому Верховна Рада має блокувати збільшення меж Ірпеня?
— 27 Липня 2021 -
-
Клочка в клочки! Нардеп Клочко стає в.о. Дубінського в Приірпінні
— 10 Квітня 2021
Вас можуть попереджати про відключення води, світла і т.д
Ми на Facebook
Відео
Розклад руху приміських поїздів
Останні коментарі
- Анонім до Безкоштовна поїздка в Іспанію для дітей чорнобильської зони
- Маргарита до Іноді були тихі й спокійні ночі…
- Міка до Іноді були тихі й спокійні ночі…
Залишити відповідь