Если вы считаете, будто в интернете все спокойно - вам сюда!, Для тех, кто не видит других проблем веба, кроме СХ Опции

[ALigned]

Итак, тема для тех, кто не видит других проблем в интернете, кроме СХ, а если и видит, то считает их незначительными, не препятствующими, не стоящими и не несущими.

http://blog.cloudflare.com/65gbps-ddos-no-problem

Сотрудник компании Cloudflare в своем блоге рассказал о том, что в последнее время были зафиксированы DDoS-атаки необычной силы: до 65 Гбит/с. Эксперты выяснили, что в данном случае использовался один из методов умножения запросов. Умножение осуществлялось за счёт отражения DNS-запросов (DNS reflection ) через DNS-резолверы, которые установлены у каждого провайдера.

Обычно DNS-резолверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их сконфигурировали, так что резолверы принимают запросы от любого пользователя интернета. Здесь http://dns.measurement-factory.com/surveys...rts/latest.html список неправильно сконфигурированных резолверов, так называемых «открытых DNS-резолверов». Специалисты Cloudflare обнаружили в интернете 68459 открытых DNS-резолверов, в том числе 862 в России.

Схематично метод выглядит так: DNS-запросы обычно идут по протоколу UDP, где можно легко подделать заголовок с обратным IP-адресом. Соответственно, ддосеры направляют к открытым DNS-резолверам поток DNS-запросов с IP-адресом атакуемого ресурса, а резолвер отвечает на указанный адрес. Чтобы максимально усилить трафик, составляются запросы, которые требуют максимально объёмного ответа: например, запрос списка всех DNS-записей в определённой зоне. В отчете приводится пример. Вы можете отправить такой запрос размером 64 байта на один из открытых DNS-резолверов.
dig ANY isc.org x.x.x.x,
где x.x.x.x — это IP-адрес резолвера. Ответ будет аж 3223 байта.

Таким образом, DDoS-атаку можно усиливать в десятки раз, умножая трафик с помощью DNS-резолверов. В данном случае усиление составляет 3223/64≈50 раз. Любопытно, что в значительной мере усиление DDoS-атаки достигнуто благодаря большим ключам DNSSEC, которые включены в тело ответа, а ведь протокол DNSSEC внедрялся с целью повысить безопасность системы DNS.
17 сентября 2012

Кстати, один из коментаторов блога предлагает: "Perhaps the internet overlords should start cutting off DNS servers that behave badly."

[ALigned]

В минувшем квартале Prolexic Technologies довелось отразить 7 DDoS-атак мощностью свыше 20 Гб/с, направленных на ресурсы ее клиентов. Некоторые из них были проведены злоумышленниками с помощью php-бота itsoknoproblembro.

«В прошлом году DDoS-атака выше 20 Гб/с была немыслимой, а сегодня воспринимается как рядовое явление», ― комментирует Стюарт Шолли (Stuart Scholly), президент Prolexic. ― «Для справки: в мире бизнеса мало кто располагает сетевой инфраструктурой, способной выдержать такие нагрузки по трафику».

http://www.securelist.com/ru/blog/20776429...novitsya_normoy

[udofun]

Да, известный тип атаки на сервера незащищенные от UDP.
Часто с ним сталкиваемся.
Не далее чем часов 12 назад разрулили 2Гб+ ДДОС на IP адрес хостинг сервера. Причем понять не можем до сих пор кого досили.

Самое больше что удалось отбивать - 16Гб/с.

В целом на защищенных IP сетях типовое решение - это обрезать UDP/ICMP на аплинках для нужных сетей.

[ALigned]

Как известно, с 31 декабря 2012 года вступают в силу новые положения Закона «О национальной платежной системе», согласно которым банк будет обязан вернуть владельцу деньги, в случае, если тот не подтверждает конкретную транзакцию. Причем вернуть, не дожидаясь окончания расследования. Сегодня в России интернет-банкинг использует каждый десятый пользователь сети.

По оценкам экспертов, ежегодные потери от онлайн-преступлений в России составляют порядка 900 млн. руб. Популярность интернет-банкинга растет, а значит, будут расти и эти потери. В первое время после вступления в силу новых положений Закона «О национальной платежной системе» можно ожидать роста мошеннических атак на системы интернет-банкинга: найдутся люди, которые захотят воспользоваться гарантией возврата денег и удвоить свои счета, вступив в сговор с хакерами. По разным оценкам, рост атак может составить до 10%.

В 2011 году самым популярным способом хищений денег с банковских счетов было использование троянских программ. Эта тенденция сохранится и в будущем, так как количество пользователей онлайн-банкинга и в России, и во всем мире постоянно увеличивается. В 2012 году чаще стали применять узконаправленные атаки. Реквизиты кредитных карт и банковских счетов во все большем количестве предлагаются на виртуальных черных рынках. Наиболее эффективными сегодня атаками являются атаки типа Man in the Middle (имеет субкатегории Man in the Browser и Man in the Mobile). Они требуют применения новых средств защиты.

В поиске таких средств российские банки уже перешли на систему скретч-карт или систему паролей на бумажных носителях, но степень надежности этих систем сомнительна. Большого смысла в заранее заготовленном на любом носителе списке паролей, нет: носители неудобны, да и сам априори не защищен. 70% атак на систему дистанционного банковского обслуживания происходит при хранении ключей на незащищенных носителях.

Весьма популярной является генерация пароля через смс, но смысла в этом еще меньше, ибо канал связи не защищен, смс-сообщения легко перехватываются, да и вовсе могут быть отправлены с компьютера злоумышленника.

Посмотрим, как эта проблема решается в странах с развитой экономикой. В Европе банки в массовом порядке переходят на внедрение нового типа защиты - многофакторных систем строгой аутентификации, способных к тому же функционировать в агрессивной среде интернета даже при ненадежном соединении.

Система включает собственный аутентификационный сервер, интегрированный во фронт-офис банка и управляющий дополнительными системами аутентификации. Помимо введения пароля и логина, пользователь обязан ввести уникальный код, который генерируется лишь однажды для конкретной операции. Это генерация уникального одноразового пароля по схеме «запрос-ответ». Система запускается путем ввода специального кода на карте с дисплеем – как правило, в Европе сейчас используются сложные коды из 12-14 символов.

Распространение этой технологии в Европе сегодня достаточно широко. Она используется уже не только в банковской сфере, но и во всех остальных, где требуется надежное подтверждение той или иной операции. Впечатляющий пример использования в Европе технологии генерации одноразового пароля дает и страховой бизнес: чтобы сократить время на обработку требований, не заниматься длительным анализом и подтверждением легальности требований к страховой компании, решение о выплате в пользу страхователя принимается после прохождения им процедуры строгой аутентификации. Проблема возмещения мелких убытков и выплат по дорожно-транспортным происшествиям решается автоматически.

Внедрение новых систем защиты происходило в Европе постепенно. Оно не носило директивного характера и осуществлялось весьма деликатно, на уровне контроля над бизнес-процессами. Статистика красноречива: два года назад, в 2010-м, 80% банков считали процессы аутентификации наиболее рискованными, 65% банков не имели сколь-нибудь эффективной защиты этих процессов, полагаясь на имя пользователя и пароль, и почти 50% страдали от тех или иных атак. Постепенное внедрение многоуровневой аутентификации привело к тому, что в 2012 году эта статистика сократилась вдвое.

Вернемся к закону, защищающему права клиента банка. В свое время в Европе также был принят подобный закон. Закон назывался Директивой о платежных услугах. Подобно внедрению новых систем защиты от злоумышленников, Директива вступала в силу поэтапно: сначала несколько лет велось ее обсуждение, причем банки были активно в это обсуждение вовлечены, затем Директива адаптировалась к законодательству отдельных европейских стран, после чего была принята на уровне ЕС. Весь процесс занял в общей сложности около восьми лет. Половину от этого времени европейские банки занимались поиском и внедрением новых способов информзащиты.

В России все быстрее и суровее. Что делает информзащиту еще востребованнее. В особенности учитывая высокую квалификацию российских хакеров, общий ущерб от деятельности которых оценивается в 2,5 млрд. евро лишь за прошлый год.

http://lf.rbc.ru/news/card/2012/09/07/214926.shtml

В России все быстрее и суровее, потому как запад уже этот этап прошел, и зачем изобретать велосипед.
Перекладывать ответственность за украденные деньги на банки - иначе видимо никак их не заставить беспокоиться о безопасности клиентов. Создавать черные списки, иначе видимо никак не заставить провайдеров беспокоиться о безопасности и содержимом их же серверов. Ну и надеюсь, что на этом этапе государство долго не задержится, и шагнет дальше, вслед за ФБР и спамхаусом, прекращая играться в игрушки вроде листинга нарко-педо-сайтов и начиная серьезно работать с киберпреступностью.

Да, известный тип атаки на сервера незащищенные от UDP.
Часто с ним сталкиваемся.
Не далее чем часов 12 назад разрулили 2Гб+ ДДОС на IP адрес хостинг сервера. Причем понять не можем до сих пор кого досили.

Самое больше что удалось отбивать - 16Гб/с.

Сколько это отбитие стоит?