Про социальные сети и сервисы:
Возможно, это заинтересует:


    Рекомендуем:
Недавно на сайте смотрели:


    Выбор видеокарты Видеокарта – устройство, преобразующее данные для вывода на монитор. Это отдельный процессор, который призван разгрузить центральный процессор (CPU). Обычно ...
    Удалять ненужные объекты с фото стало проще Movavi – отличный графический редактор для работы с цифровыми фотографиями. Если на фотографиях оказались ненужные элементы (незнакомые люди, тени от ...
    Обзор хостинга Инферно: выгодные VPS/VDS по доступной цене Хостинг Inferno Solutions хорошо знаком многим вебмастерам. Начиная с 2005 года он предлагает виртуальные, а также выделенные серверы, расположенные в ...
    19 способов грамотно «озадачить» Google Многие пользователи поисковика Google зачастую даже не догадываются о той массе скрытых возможностей в поиске нужных им слов или словосочетаний, сокрытых в ...
    Wi-Fi разгрузит мобильные сети Крупные представители сотовой связи пробуют снова увеличить свои пропускные мощности. Для этого вышеупомянутые сотовые компании решили качественно ...

4 412

Невинных посетителей сайта обманом втянули в ДДОС-атаку

категория: IT-технологиидата: 17 июня 2014




Исследователи обнаружили новую атаку на отказ в обслуживании, применявшую невиданную ранее технику, чтобы тайком заставить тысячи обычных пользователей интернета бомбить цель огромным количеством мусорного трафика.

Эксплуатировалась уязвимость веб-приложения на одном из крупнейших и наиболее популярных видеосайтов интернета. Вредоносный jаvascript, внедренный в иконки учетных записей, созданных злоумышленниками, заставил всех, кто просматривал посты пользователей, выполнять атакующий код, приказывавший их браузеру отправлять жертве DoS-атаки один запрос в секунду. Данный прием заставил 22,000 простых веб-пользователей невольно завалить цель 20 миллионами GET запросов.

Один запрос в секунду – немного, но если речь идет о видео длиной 10, 20 или 30 минут с тысячами просмотров ежеминутно, атака быстро становится очень крупной и крайне опасной. Понимая это, нарушитель продуманно прокомментировал популярные видео, тем самым создав самоподдерживающийся ботнет, состоящий из десятков тысяч захваченных браузеров и управляемый невинными посетителями сайта, пришедшие посмотреть забавные видео с кошками.

Новую атаку позволило осуществить наличие уязвимости хранимого межсайтового скриптинга (XSS) на видеосайте, входившем в список 50 лучших сайтов Alexa. Эксплойты XSS позволяют злоумышленникам хранить на сайте вредоносный jаvascript, вызываемый при каждом посещении сайта кем-либо. Зловредные иконки пользователей содержали тег iframe, загружавший вредоносные команды с контролируемого злоумышленниками управляющего сервера. Зловредные команды вынуждали браузеры незаметно затопить цель DDoS чрезвычайно большим количеством запросов GET. Последствия атаки удалось смягчить с помощью сочетания поступательных проверок и поведенческих защитных алгоритмов.

Помните червь Samy?

Атаки, использующие колоссальную мощь уязвимостей XSS, - не новость. Они вошли в моду в 2005 с появлением червя Samy. Названный в честь его создателя, хакера по имени Samy Kamkar, XSS-эксплойт вывел из строя MySpace на день, заставив всех, кто просмотрел профиль хакера, стать его друзьями на MySpace. Менее чем за 24 часа Kamkar, позже отсидевший в тюрьме за свою выходку, приобрел более миллиона подписчиков.

Суть хранимого XSS в том, что хакеру не нужно нацеливаться на определенных пользователей. Вредоносный jаvascript хранится на сайте и воспроизводится для всех, кто посещает его в дальнейшем. Данный конкретный jаvascript вынуждал каждый выполнявший его браузер ежесекундно делать запрос.

В прошлом году специалисты продемонстрировали экспериментальную рекламную сеть, создавшую ботнет на базе браузера с помощью методики, подобной произошедшей эксплуатации уязвимости XSS.

Механизм доставки в наблюдавшейся атаке был иным, так как происходил из хранимой XSS на сайте, а не в рекламной сети. Единственное отличие заключалось в том, как вредоносный jаvascript выполнялся в браузере пользователя(бота). Вместо тегов изображений злоумышленники использовали теги, делавшие один запрос каждую секунду, тогда как в эксперименте загружалось как можно больше изображений во время выполнения кода jаvascript.

Три месяца назад хакеры использовали другой новый метод, чтобы резко увеличить объем DDoS атак на онлайн-игры и другие сайты. Вместо того чтобы непосредственно заваливать целевые сайты потоками данных, злоумышленники отправляли мелкие запросы данных на серверы синхронизации времени, работающие по протоколу сетевого времени. Подделывая запросы так, чтобы они казались поступившими от одного из игровых сайтов, хакеры смогли резко увеличить мощь атаки. Техника, использующая протокол сетевого времени, дает 58-кратный прирост интенсивности атаки или даже больше. Негодяи давно эксплуатируют незащищенные сервера службы доменных имен для увеличения объема мусорного трафика в ходе DDoS атак.

Вышеуказанная атака говорит о постоянно развивающейся природе интернет-атак и показывает, как единственная уязвимость на сайте может иметь серьезные последствия для всего интернета, даже для тех, кто никак не касается дефектного сайта.

Теги:

Добавить комментарий

Имя:*
E-Mail:
Комментарий:
Вопрос:
Сколько будет: 10 минус три ? Ответ цифрой.
Ответ:*
Капча: *

Возможно, Вас заинтересуют похожие тематические статьи и рекомендации:

  • Обнаружен "сюрприз" в процессорах от IntelИз-за фундаментальной ошибки, возникшей при проектировании современных процессоров от Intel, вредоносное программное обеспечение может получать определенный доступ к конфиденциальной информации
  • Что такое Twitter? Особенности работы с сервисом ТвиттерВряд ли на просторах Интернета остались еще те, кто не слышал о Twitter. У многих там имеется учетная запись и они ей активно пользуются. Кто-то предпочитает общаться и знакомиться с действительно
  • Новая уязвимость в Internet ExplorerАвторитетный новостной портал Professional FireEye сообщил, что компьютерные системы довольно большого количества жертв новой уязвимости в популярном браузере Internet Explorer были инфицированы
  • Поведенческие факторыПоказатель отказов. Когда пользователь заходит на сайт и быстро его покидает, не перейдя на другую его страницу, это расценивается как "отказ". Воздействие поведенческих факторов бывает
  • Как уберечься от фишинга - самого опасного мошенничества в Интернете?В настоящее время распространенным интернет - мошенничеством, является фишинг. Это один из видов мошенничества, целью, которой является получение доступа к конфиденциальным данным, за счет
  • Как сделать правильную оптимизацию статьи для поисковой системы?Чтобы сайт набирал популярность и было достаточно поискового трафика, просто необходима оптимизация статей под ключевые запросы. Как это правильно делать? Читайте в статье! Многие начинающие
  • Правила безопасности в сети ИнтернетВ век популярности Интернет технологий среди работодателей и прочих персон распространилось мошенничество. Не удивительно, что на мошеннические схемы попадаются порой даже самые бдительные
  • Пользователям Facebook грозит новый вирус, раскрывающий паролиНа просторе глобальной сети начал распространяться совершенно новый пользовательский вирус, который маскируется злоумышленниками под обычное видео, которое размещается в социальной сети Facebook.
  • YouTube с 20 февраля 2018 года изменяет правила монетизации видеоВ компании Google приняли решение в 2018 году изменить требования, предъявляемые к пользователям сервиса YouTube, претендующим на участие в партнерской программе, где за демонстрацию рекламы
  • Насколько важна мобильная версия сайта?На сегодняшний день повсеместно наблюдается рост использования интернета посредством мобильных устройств. Существует огромное количество прогнозов и предсказаний по поводу того, что эксплуатация

Темы, отмеченные пользователями:

Как написать текст для сайта?
Как написать для сайта такой текст, который был бы интересен читателю вашего блога и заинтересовал также поисковые машины? Многие легкомысленно относятся к написанию текстов для сайтов, считая, что главное в статьях – это наличие ключей. Но это совершенно не соответствует действительности. Чтобы текст нравился и читателям и ПС, нужно знать несколько важных факторов. О них мы сейчас и поговорим.

Профессия Копирайтер
Если вы уже устали от постоянной и нудной работы в офисе, то, возможно, вы рассматриваете вариант с удалённой работой. Как вы, наверное, знаете, её видов – огромное множество. В Интернете часто можно встретить положительные отзывы о работе копирайтером. Насколько выгодно быть им и сколько можно зарабатывать?

Как создать свой веб-сайт?
«Создание сайтов с нуля», «Создай свой собственный сайт за 10 минут и зарабатывай на нём!» - такие лозунги становятся всё более популярными в последнее время. Часто их можно видеть в контекстной рекламе сайтов. Действительно, множество людей уже решили иметь свой собственный сайт в Интернете. Зачем и с чего начать вам, если такая мысль посетила и вас?