Известный исследователь и блогер Данчо Данчев обнаружил в сетевом андеграунде рекламу нового бота-самоделки (DIY, do-it-yourself), предназначенного для проведения DDoS-атак. По уверениям автора, его детище является модификацией популярного в криминальной среде инструмента Dirt Jumper.
Данчев приписывает новинке российское происхождение, хотя приведенный им скриншот панели управления это не подтверждает (впрочем, и не опровергает):
По свидетельству Данчева, новый бот поддерживает такие техники, как SYN flood, HTTP flood, POST flood и в качестве самозащиты от анти-DDoS средств может использовать особый тип flood-атаки. Он также имеет встроенный антивирус для удаления конкурентов и защиту от файрволла, развернутого на базе хоста. Более того, согласно рекламе, DIY вариант Dirt Jumper способен отследить и предотвратить свой запуск на виртуальной машине.
Интересно также такое свойство нового инструмента, как способность рандомизировать http-запросы при использовании множества пользовательских агентов. Эта функция позволяет ему обойти анти-DDoS защиту на атакуемом узле. Автор DIY-бота заявляет, что у него есть исходный код Dirt Jumper, однако Данчеву не удалось проверить эту информацию за отсутствием этих исходников itw, как и предложений продажи доступа к ним.
Оригинальный Dirt Jumper, по данным Arbor Networks, является результатом эволюции Russkill, бота российского происхождения. Летом прошлого года Dirt Jumper использовался как часть специализированного сервиса для проведения заказных DDoS-атак типа SYN flood и HTTP flood на ряд российских сайтов, включая электронную торговую площадку «Росэлторг».
Панель управления Dirt Jumper версии 1 (Arbor Networks)
По данным DeepEnd Research, эта версия Dirt Jumper устанавливается как системный сервис. Она является многопотоковым приложением, поддерживает http и https, использует разные пользовательские агенты и способна одновременно атаковать несколько мишеней.
Версия 2 Dirt Jumper владеет техниками HTTP flood, SYN flood (эффективна при числе потоков более 150), Downloading flood (множественные запросы на скачивание файлов) и POST flood. В последнем случае бот одновременно посылает запросы GET и POST, т.е. может создать мощный трафик, посылая в веб-формы произвольные логины и пароли.
Панель управления Dirt Jumper версии 2 (из блога DeepEnd Research)
В сентябре прошлого года команда DeepEnd Research обнаружила еще одну версию Dirt Jumper, третью по счету, которую ее авторы окрестили «September» ― «сентябрьской».
Панель управления Dirt Jumper версии 3 (скриншот DeepEnd Research)
По данным исследователей, третья версия бота предназначена для проведения DDoS-атак против компаний и организаций разного профиля и разной национальной принадлежности. В ее арсенале были обнаружены такие техники, как многоцелевой flood, особые HTTP flood и POST flood. Многоцелевой (multipurpose) flood возможен в 2-х вариантах: упрощенном и полнофункциональном. В первом случае бот, используя разные агенты, отсылает на атакуемый сервер пакеты произвольного размера и содержания, получает и отсылает куки, меняет время ожидания ответа и скорость отправки. Полноценный multipurpose flood проводится так же, но с добавлением POST запросов, требующих длительной обработки на стороне сервера. Такая техника позволяет также обойти типовые анти-DDoS механизмы, так как имитирует произвольные запросы веб-браузера.
Нестандартный HTTP flood, интегрированный в «сентябрьский» Dirt Jumper, является, если верить его автору, уникальной разработкой. Этот метод, по его словам, представляет собой «нечто среднее между http и udp» и может использоваться для проведения атак на порты. Он использует синтаксис http://IP:PORT/ с числом потоков от 300 до 500. Таков же POST flood, но при этом бот отсылает данные с помощью POST запросов с интервалом, заданным в настройках.
Dirt Jumper эволюционировал до версии «сделай сам»?