DonOperInfo & CASBT OSINT :: Як отруїти кацапських свиней власною зброєю? | Над такими завданнями працюють хактивісти з усього світу.
Українські програмісти влаштовують DDoS-атаки на російські сайти. Як приєднатись?
Що потрібно зробити?
НВ поговорив з одним із програмістів disBalancer, який розповів нам, як будь-який користувач може приєднатися до кібератаки.
- Завантажити цей архів на комп’ютер
- Розархівувати його
- Відкрити програму disBalancer
- Якщо ви перебуваєте на території України, запустіть VPN ( росіяни активно блокують українські IP-адреси).
- Вітаємо, що ви стали солдатом української кіберармії!
Що таке DDoS-атака та як вона працює?
Це хакерська атака, головна мета якої — змусити сайт відключитися. Це один із найпопулярніших методів кібератаки, який практично не залишає слідів про її виконавців.
Коли ви запускаєте програму, вона починає надсилати величезну кількість запитів на один із російських сайтів. Чим більше користувачів одночасно запускають програму, тим більше запитів відправляється на сайт, тому важливо тримати програму відкритою стільки, скільки ви можете. Коли запитів стане дуже багато, сервер не витримує напруги, і веб-сайт відключається.
Точні цілі для атак програмісти називати поки що відмовляються — єдиним винятком став Сбербанк. Таким чином вони хочуть, щоб противник не міг підготуватися до атаки та захиститися. Інформацію про успішні атаки планують публікувати вже після їхнього скоєння.
Зараз програма працює лише на Windows. Софт для Mac OS знаходиться в активній розробці — до команди вже приєдналося відразу кілька добровольців, які допомагають прискорити створення програми.
Команда disBalancer залишається на зв’язку з НВ, ми доповнюватимемо матеріал у міру своїх можливостей.
DDOS будь-якого сайту за допомогою Google Spreadsheet
Google використовує свого павука FeedFetcher для кешування будь-якого контенту в Google Spreadsheet, вставленого через формулу =image(link) .
Наприклад, якщо в одну із клітин таблиці вставити формулу
=image("http://example.com/image.jpg")
Google надішле павука FeedFetcher завантажити цю картинку та закешувати для подальшого відображення в таблиці.Однак якщо додавати випадковий параметр до URL картинки, FeedFetcher завантажуватиме її кожного разу заново. Скажімо, наприклад, на сайті жертви є PDF-файл розміром в 10 МБ. Вставка подібного списку в таблицю призведе до того, що павук Google завантажить один і той самий файл 1000 разів!
=image("http://targetname/file.pdf?r=1")
=image("http://targetname/file.pdf?r=2")
=image("http://targetname/file.pdf?r=3")
=image("http://targetname/file.pdf?r=4")
...
=image("http://targetname/file.pdf?r=1000")
Це може призвести до вичерпання ліміту трафіку у деяких власників сайтів. Будь-хто, використовуючи лише браузер з однією відкритою вкладкою, може запустити масовану HTTP GET FLOOD-атаку на будь-який веб-сервер.
Атакуючого навіть необов'язково мати швидкий канал. Оскільки у формулі використовується посилання на PDF-файл (тобто не на картинку, яку можна було б відобразити в таблиці), у відповідь від сервера Google атакуючий отримує лише N/A . Це дозволяє досить просто багаторазово посилити атаку [Аналог DNS та NTP Amplification – прим. перекладача] , що становить серйозну загрозу.
З використанням одного ноутбука з декількома відкритими вкладками просто копіюючи-вставляючи списки посилань на файли по 10 МБ, павук Google може завантажувати цей файл зі швидкістю більше 700 Мбіт/c. У моєму випадку це тривало протягом 30-45 хвилин, доки я не вирубав сервер. Якщо я правильно підрахував, за 45 хвилин пішло приблизно 240GB трафіку.
Я здивувався, коли побачив обсяг вихідного трафіку. Ще трохи, і я думаю, вихідний трафік досяг би 1 Гбіт/с, а вхідний 50-100 Мбіт/с. Я можу тільки уявити, що станеться, якщо кілька атакуючих використовуватимуть цей метод. Павук Google використовує не одну IP-адресу, і хоча User-Agent завжди той самий, редагувати конфіг веб-сервера може бути занадто пізно, якщо атака застане жертву зненацька. Завдяки простоті використання атака легко може продовжуватися годинами.
Коли виявився цей баг, я почав гуглити інциденти з його використанням, і знайшов два:
Стаття , де блогер описує , як випадково атакував сам себе і отримав величезний рахунок за трафік. [ Переклад на хабре – прим. перекладача] .
• Інша стаття описує схожу атаку за допомогою Google Spreadsheet, але спочатку автор пропонує спарсити посилання на всі файли сайту і запустити атаку за цим списком з використанням декількох акаунтів.
Я знаходжу трохи дивним, що ніхто не здогадався спробувати додати до запиту довільний параметр. Навіть якщо на сайті є лише один файл, додавання випадкового параметра дозволяє зробити тисячі запитів до цього сайту. Насправді це трохи лякає. Проста вставка кількох посилань у відкриту вкладку браузера не повинна призводити до такого.
Вчора я надіслав опис цього бага в Google і отримав відповідь, що це не вразливість і не проходить за програмою Bug Bounty. Можливо, вони заздалегідь знали про нього, і чи справді не вважають це багом?
Тим не менш, я сподіваюся, що вони пофіксують цю проблему. Просто трохи дратує, що будь-хто може змусити павука Google доставити стільки проблем. Простий фікс полягає в тому, щоб завантажувати файли, пропускаючи додаткові параметри в URL [На мій погляд, це дуже поганий фікс. Можливо, варто обмежити пропускну здатність або лімітувати кількість запитів та трафік в одиницю часу і при цьому не завантажувати файли більше за певний розмір – прим. перекладача] .
Коментарі
Дописати коментар
Олег Мічман в X: «Donations and support for media resources, bloggers, projects, and individuals. https://t.co/HPKsNRd4Uo https://t.co/R6NXVPK62M» / X
https://twitter.com/olukawy/status/1703876551505309973