Про социальные сети и сервисы:
Возможно, это заинтересует:


    Рекомендуем:
Недавно на сайте смотрели:


    Настройка монитора Через монитор человек, работающий с компьютером, воспринимает всю выводимую информацию. Правильность ее отображения зависит, прежде всего, от настроек ...
    Все что надо знать о Team Viewer TeamWeaver-програмное обеспечение, которое используется для удаленного доступа к компьютеру через Интернет. С помощью Team Viewer можно управлять любым ...
    Компьютерные колонки. Выбор акустических систем Если вам нужно выбрать акустику для компьютера, то эта информация будет полезна. Статья посвящена обзору основных моментов при выборе современных моделей ...
    Выбор клавиатуры Очень часто, когда люди выбирают компьютер, они зациклены на мощности и скорости работы компьютера. Они считают, что самое главное, это выбрать детали с ...
    "В Контакте" или "Одноклассники". Битва социальных сетей Здравствуйте, дорогие читатели! В данной статье речь пойдет о двух самых крупнейших социальных сетях в России «В Контакте» и «Одноклассники». Как вы уже ...
2 247

Невинных посетителей сайта обманом втянули в ДДОС-атаку

категория: IT-технологиидата: 17 июня 2014




Исследователи обнаружили новую атаку на отказ в обслуживании, применявшую невиданную ранее технику, чтобы тайком заставить тысячи обычных пользователей интернета бомбить цель огромным количеством мусорного трафика.

Эксплуатировалась уязвимость веб-приложения на одном из крупнейших и наиболее популярных видеосайтов интернета. Вредоносный jаvascript, внедренный в иконки учетных записей, созданных злоумышленниками, заставил всех, кто просматривал посты пользователей, выполнять атакующий код, приказывавший их браузеру отправлять жертве DoS-атаки один запрос в секунду. Данный прием заставил 22,000 простых веб-пользователей невольно завалить цель 20 миллионами GET запросов.

Один запрос в секунду – немного, но если речь идет о видео длиной 10, 20 или 30 минут с тысячами просмотров ежеминутно, атака быстро становится очень крупной и крайне опасной. Понимая это, нарушитель продуманно прокомментировал популярные видео, тем самым создав самоподдерживающийся ботнет, состоящий из десятков тысяч захваченных браузеров и управляемый невинными посетителями сайта, пришедшие посмотреть забавные видео с кошками.

Новую атаку позволило осуществить наличие уязвимости хранимого межсайтового скриптинга (XSS) на видеосайте, входившем в список 50 лучших сайтов Alexa. Эксплойты XSS позволяют злоумышленникам хранить на сайте вредоносный jаvascript, вызываемый при каждом посещении сайта кем-либо. Зловредные иконки пользователей содержали тег iframe, загружавший вредоносные команды с контролируемого злоумышленниками управляющего сервера. Зловредные команды вынуждали браузеры незаметно затопить цель DDoS чрезвычайно большим количеством запросов GET. Последствия атаки удалось смягчить с помощью сочетания поступательных проверок и поведенческих защитных алгоритмов.

Помните червь Samy?

Атаки, использующие колоссальную мощь уязвимостей XSS, - не новость. Они вошли в моду в 2005 с появлением червя Samy. Названный в честь его создателя, хакера по имени Samy Kamkar, XSS-эксплойт вывел из строя MySpace на день, заставив всех, кто просмотрел профиль хакера, стать его друзьями на MySpace. Менее чем за 24 часа Kamkar, позже отсидевший в тюрьме за свою выходку, приобрел более миллиона подписчиков.

Суть хранимого XSS в том, что хакеру не нужно нацеливаться на определенных пользователей. Вредоносный jаvascript хранится на сайте и воспроизводится для всех, кто посещает его в дальнейшем. Данный конкретный jаvascript вынуждал каждый выполнявший его браузер ежесекундно делать запрос.

В прошлом году специалисты продемонстрировали экспериментальную рекламную сеть, создавшую ботнет на базе браузера с помощью методики, подобной произошедшей эксплуатации уязвимости XSS.

Механизм доставки в наблюдавшейся атаке был иным, так как происходил из хранимой XSS на сайте, а не в рекламной сети. Единственное отличие заключалось в том, как вредоносный jаvascript выполнялся в браузере пользователя(бота). Вместо тегов изображений злоумышленники использовали теги, делавшие один запрос каждую секунду, тогда как в эксперименте загружалось как можно больше изображений во время выполнения кода jаvascript.

Три месяца назад хакеры использовали другой новый метод, чтобы резко увеличить объем DDoS атак на онлайн-игры и другие сайты. Вместо того чтобы непосредственно заваливать целевые сайты потоками данных, злоумышленники отправляли мелкие запросы данных на серверы синхронизации времени, работающие по протоколу сетевого времени. Подделывая запросы так, чтобы они казались поступившими от одного из игровых сайтов, хакеры смогли резко увеличить мощь атаки. Техника, использующая протокол сетевого времени, дает 58-кратный прирост интенсивности атаки или даже больше. Негодяи давно эксплуатируют незащищенные сервера службы доменных имен для увеличения объема мусорного трафика в ходе DDoS атак.

Вышеуказанная атака говорит о постоянно развивающейся природе интернет-атак и показывает, как единственная уязвимость на сайте может иметь серьезные последствия для всего интернета, даже для тех, кто никак не касается дефектного сайта.

Теги:

Добавить комментарий

Имя:*
E-Mail:
Комментарий:
Вопрос:
Сколько будет: 24 плюс пять ? Ответ цифрой.
Ответ:*
Введите то, что показано на изображении: *

Возможно, Вас заинтересуют похожие тематические статьи и рекомендации:

  • YouTube с 20 февраля 2018 года изменяет правила монетизации видеоВ компании Google приняли решение в 2018 году изменить требования, предъявляемые к пользователям сервиса YouTube, претендующим на участие в партнерской программе, где за демонстрацию рекламы
  • Обнаружен "сюрприз" в процессорах от IntelИз-за фундаментальной ошибки, возникшей при проектировании современных процессоров от Intel, вредоносное программное обеспечение может получать определенный доступ к конфиденциальной информации
  • Правила безопасности в сети ИнтернетВ век популярности Интернет технологий среди работодателей и прочих персон распространилось мошенничество. Не удивительно, что на мошеннические схемы попадаются порой даже самые бдительные
  • Что такое Twitter? Особенности работы с сервисом ТвиттерВряд ли на просторах Интернета остались еще те, кто не слышал о Twitter. У многих там имеется учетная запись и они ей активно пользуются. Кто-то предпочитает общаться и знакомиться с действительно
  • Насколько важна мобильная версия сайта?На сегодняшний день повсеместно наблюдается рост использования интернета посредством мобильных устройств. Существует огромное количество прогнозов и предсказаний по поводу того, что эксплуатация
  • Как сделать правильную оптимизацию статьи для поисковой системы?Чтобы сайт набирал популярность и было достаточно поискового трафика, просто необходима оптимизация статей под ключевые запросы. Как это правильно делать? Читайте в статье! Многие начинающие
  • Новая уязвимость в Internet ExplorerАвторитетный новостной портал Professional FireEye сообщил, что компьютерные системы довольно большого количества жертв новой уязвимости в популярном браузере Internet Explorer были инфицированы
  • Пользователям Facebook грозит новый вирус, раскрывающий паролиНа просторе глобальной сети начал распространяться совершенно новый пользовательский вирус, который маскируется злоумышленниками под обычное видео, которое размещается в социальной сети Facebook.
  • Поведенческие факторыПоказатель отказов. Когда пользователь заходит на сайт и быстро его покидает, не перейдя на другую его страницу, это расценивается как "отказ". Воздействие поведенческих факторов бывает негативным,
  • Как уберечься от фишинга - самого опасного мошенничества в Интернете?В настоящее время распространенным интернет - мошенничеством, является фишинг. Это один из видов мошенничества, целью, которой является получение доступа к конфиденциальным данным, за счет

Темы, отмеченные пользователями:

Как написать текст для сайта?
Как написать для сайта такой текст, который был бы интересен читателю вашего блога и заинтересовал также поисковые машины? Многие легкомысленно относятся к написанию текстов для сайтов, считая, что главное в статьях – это наличие ключей. Но это совершенно не соответствует действительности. Чтобы

Профессия Копирайтер
Если вы уже устали от постоянной и нудной работы в офисе, то, возможно, вы рассматриваете вариант с удалённой работой. Как вы, наверное, знаете, её видов – огромное множество. В Интернете часто можно встретить положительные отзывы о работе копирайтером. Насколько выгодно быть им и сколько можно

Как создать свой веб-сайт?
«Создание сайтов с нуля», «Создай свой собственный сайт за 10 минут и зарабатывай на нём!» - такие лозунги становятся всё более популярными в последнее время. Часто их можно видеть в контекстной рекламе сайтов. Действительно, множество людей уже решили иметь свой собственный сайт в Интернете. Зачем