Өнгөрсөн 7 хоногт УИХ болон НИТХ сонгууль амжилттай болж өнгөрөв. Харин энэ сонгуулиар нэгэн сонирхолтой үйл явдал мэдээлэл технологийн салбарт болж өнгөрөв. Манайхан анзаарсан бол сонгуулийн сүүлийн 10-аад хоногт Монголын томоохон мэдээллийн сайтууд, ганц нэг намын веб сайтууд ар араасаа унав. Харин үүний шалтгаан нь тэдгээр бүх сайтуудруу HTTP Post flood гэх нэг төрлийн DDoS халдлага явуулсанд байсан юм. Харамсалтай нь Монголын мэдээллийн аюулгүй байдал маш дорой байгаа нь энэ жижигхэн дайралтаас харагдав. Нэг л газар өөрийн мэдээллийн аюулгүй байдалд анхаарал тавьж байсны хүчинд энэ халдлагын эсрэг хариу арга хэмжээ авч даван гарав. Харин энэ халдлагыг хийж байсан ботнетийн хувьд хэдий том биш ч манай улсын мэдээллийн технологийн салбарт хангалттай гай болох хэмжээний буюу ойролцоогоор 2k-3k орчим ботуудыг бүрдүүлсэн этгээд байсан юм.
Зорилго нь юу байв?
Таамгаар бол энэ халдлагын цаанаа улс төрийн зорилготой явагдсан байж болох юм. Өөрийн эрх ашигт таалагдаагүй мэдээллийн сувгуудыг жагсаалаас түр гаргаж. тухайн сайтын хэрэглэгчид мэдээлэл хүргэхгүй байх үндсэн зорилготой байсан болов уу.
Хохирол, хохирогч гарсан уу?
Магадгүй та “ямар хохирол учирсан гэж? хэдэн мэдээллийн л сайт байсан” гэж бодож болох юм. Тэгвэл үгүй, шалтгаан нь энэ халдлага банк санхүү, төрийн байгууллагын системрүү яваагүй ч гэсэн бидний хамгийн чухал сонголт хийх үед /УИХ cонгуулиар/ эрх тэгш тэнцвэртэй мэдээлэл авах сувгуудыг минь хааж байсанд асуудал нь байна. Үндсэндээ хохирогчид нь тухайн сайт гэхээсээ илүүтэй тухайн сайтын хэрэглэгчид /сонголт хийх иргэд/ биднийг мэдээлэл авах боломжгүй болж байсан нь юм шүү дээ. Та төсөөлөөд үзээрэй Монголд нэг л мэдээллийн сайт байна гээд… Яг л тэр нэг 7 сарын хэдэн өдөр зөвхөн Үндэсний ТВ л гарч юу ч болоогүй мэт… тийм л байх байсан болов уу.
Хэдий хэмжээний зардал гарсан бол?
Мэдээж ийм хэмжээний 14k-18k боттой ботнетээр DDoS хийлгүүлнэ гэдэг нь цаанаа төлбөр мөнгө төсөв шаардсан эд байсан нь ойлгомжтой. Орост нэг веб сайтыг 24цагийн турш унагах ханш ойролцоогоор $40 орчим байсан болов уу. Миний мэдэж байгаагаар 5н веб сайт дээр дээрх халдлага болсон. Үүнээс 3н нь 1-3 өдрийн турш унасан гэж үзвэл $300-$500 орчим төсөвтэй халдлага байсан байж болох юм. Халдлага нь өглөө 11, орой 18 цагийн үед тус тус дахин идэвхжиж байсан /хамгаалж байх үед/. Харин тухай веб серверийн сүлжээ хамгаалалтгүй үед серверийг бүрэн унатал үргэлжилж байсан юм.
HTTP Post flood халдлагыг хэрхэн таних?
Энэ халдлага танай сервер дээр гарсан, гарч байгаа эсэхийг хялбархан шалгаж болно. өөрийн веб серверийн access log дээрээс POST хүсэлтийг хайх. хэрэв их хэмжээний POST хүсэлт ирсэн log байвал тухайн log-ийн Referer хэсэгт asdassad.co, wersdege.info … гэх мэт замбараагүй тэмдэгтүүд бүхий referer бүртгэгдсэн байвал танай веб сервер дээр HTTP Post flood халдлага болсон байна гэж ойлгож болно.
Энэ HTTP Post flood хэрхэн ажилладаг юм?
Маш энгийн зарчимтай. HTTP 1.0 Протоколоор POST хүсэлт илгээх үед хэрэглэгч талаас илгээж байгаа өгөгдлийн хэмжээг зааж Content-length гэсэн толгой мэдээллийг илгээдэг. Харин сервер нь POST-оор ирсэн хүсэлтийн өгөгдлийн хэмжээг Content-length-тай харьцуулан өгөгдөл бүрэн болтол тухайн холболтын session-ийг тодорхой хугацаанд хүлээдэг байна. Энэ асуудлыг ашиглан серверлүү халдагч нь өөрийн илгээсэн өгөгдлөөс илүү Content-length-ийг зааж өгөх замаар олон хүсэлт илгээж серверийн холболтыг дүүргэдэг юм.
Ямар ботнет халдав?
Энэ DDoS-ийн хувьд надад яг баттай мэдээлэл алга. Харин HTTP Post flood-ийг хийсэн байдлаар харвал Dirt Jumper гэх ботнетийг шинэчилсэн хувилбар байх өндөр магадлалтай байгаа. Учир нь нь Dirt jumper-ийн v3 дээр байхгүй маш олон шинэ user-agent-уудыг энэ халдлага дээр ашиглаж байсан юм.
Хэн хийв?
DDoS халдлагын цаад эздийг олох маш төвөгтэй, манайх шиг мэдээллийн аюулгүй байдал дээр сул улсын хувьд боломжгүй зүйл!. Гэхдээ элдэв цахим шуудангаас халдлага хийлгэх хүсэлтүүд IT-гийн хүмүүст ирсэн гэсэн сураг хэд хэдэн найз нөхдөөс минь дуулдсан. Тийм болохоор энэ халдлагыг манайхан/Монголчууд/ ХАР ЗАХ дээрээс захиалж хийлгэсэн болов уу гэж таамаглав.
Цаашид юу болох бол?
Юм юм л болох байх даа :)
Цэрэг эрсийг 1000н өдөр хооллоод нэг өдөр л ашиглана гэдэг шиг мэдээллийн аюулгүй байдалдаа одооноос л анхаарч байх хэрэгтэй!
