СоХабр закрыт.

С 13.05.2019 изменения постов больше не отслеживаются, и новые посты не сохраняются.

H Как «заказывают» DDos-атаки: история из жизни в черновиках

Ниже история о том, как на e-commerce платформу заказали DDos-атаку, исполнители решили больше «заработать» — известили жертву, запросили больше денег. После того как не договорились — началась атака, а потом “случайно” пришло еще одно письмо с предложением по “защите” от DDos-атак, подробнее заметка о том, как у нас «заказывают» сайты.

*В целях конфиденциальности все личные данные скрыты

Эта эпичная история началась с письма, в котором администрация сайта извещалась о том, что конкуренты заказали на них DDos-атаку.



Администрация, естественно, пыталась договорится с хакерами чтобы выяснить — кто “заказал” атаку? Ответа на письмо не последовало, т.е. договорится с хакерами не удалось. Эта переписка происходила 17 октября 2016 в конце рабочего дня – первое письмо об атаке пришло около 16:00.

На следующий день начались атаки, вначале это была атака по сценарию UDP флуд, для разминки так сказать. После того как эта атака была отбита, последовала вторая волна атак по сценарию HTTP флуд. Но все атаки были отбиты самим провайдером.

Маленький штрих: вишенка на торте!


Но вот еще что интересно, 17 октября, за день до атаки, через час после первого письма о готовящейся атаке (в 17:08), “случайно” пришло письмо с предложением о защите от DDoS:)


А слоган какой, забыли смайлик добавить!

Как говорится «Совпадение? – не думаю!». Навряд ли хакеры и «спецы по безопасности» – одна и таже компания, так как не просто совмещать сразу 2 роли — и «взломщика» и «специалиста по безопасности», продающего решение от DDos-атак. Но тот, кто послал письмо, скорее всего, знал о готовящейся атаке от самих же хакеров и решил еще и заработать на уязвимом положении жертвы будущей атаки (точно это неизвестно, поэтому скрыты все контакты «специалиста по безопасности»). С другой стороны, вполне может быть что «хакеры» решили заработать не отрабатывая заказанную атаку.

В случае с сайтом этого клиента целью атаки был недельный (!) перерыв в доступе к сайту – чтобы вышибить сайт из поискового индекса. На восстановление прежних, до атаки, позиций сайта в поисковиках у администраторов сайта ушло бы до 1 месяца или больше, что для клиента равносильно катастрофе.

Мораль сей басни такова, что лучше не тратить деньги и время на атаки конкурентов, а гораздо выгоднее вложить эти средства в развитие/продвижение собственного сайта/сервиса.

UPD:
1. Интересно и занятно почитать некоторых комментаторов-конспирологов в отношении «многоходовочки провайдера»

2. История получила продолжение, как говорится. Со мной связалася, как он говорит, автор второго письма. И сообщил нечто важное. Вообщем, смотрите, сами оценивайте что к чему. Скрины переписки:


комментарии (8)

+8
dmitry_dvm ,  
Многоходовочка от провайдера в датацентре
0
sashaboyko ,  
А смысл это делать провайдеру? И, кстати, смотрите апдейт.
+4
bavial ,  
Ну положил он на неделю своего конкурента, заплатил 3К $… Да, конкурент не работал, всего неделю, но не работал. После чего снова начнет функционировать. Часть клиентов может отпадет, но если магазин хороший, и есть постоянная аудитория, с которой правильно взаимодействуют по всем каналам, то все восстановится быстро. Так-же такую атаку можно использовать для пиара в свою пользу — как минимум дать понять что «нас ложат, потому что мы классные и кому-то мешаем», а это все таки не плохой показатель.

Но вот ответочку слать и быть готовым вывалить в два раза больше — это личные амбиции, лишняя и не рациональная трата ресурсов, которые можно перенаправить на скидки и бонусы клиентам, или на развитие самого функционала сайта, увеличение юзабилити и т.д.

В общем в таких ситуациях надо в первую очередь не опускаться на тот-же уровень конкурента, а во вторых использовать это во благо себе!
Всем добра!
0
it_manager ,   * (был изменён)
До боли знакомый сценарий :-) Тоже были в похожей ситуации. Но фактических, 100 процентных доказательств нет, есть только косвенные, поэтому не обратились в «органы». Только у нас последовательность была другая, сначала предложение о защите инфраструктуры и сайтов — потом атака.
0
+1 –1
saw_tooth ,  
Вспомнил знакомого, который работал на СТО в провинции, который по утрам ходил на близ лежащий мост рассыпать гвозди.
0
sashaboyko ,  
А смысл? до поры до времени как говорится, имидж — очень многое, а не дай бог узнают — не отмоешься!
0
saw_tooth ,  
Смысл заработать денег, а методы уже второстепенное… имею ввиду в моей ситуации
0
z62 ,  
Сомневаюсь что так можно выкинуть из индекса