Θύμα επίθεσης από τους Anonymous φέρεται να έπεσε το site της ΤτΕ

[nnn]

Το site της Τράπεζας της Ελλάδος, φέρεται να είναι το πρώτο θύμα επίθεσης DDoS -για μερικά λεπτά την Τρίτη (μέχρι να αντιμετωπιστεί επιτυχώς από τα συστήματα ασφαλείας)-, της συλλογικότητας Anonymous, στο ξεκίνημα μιας εκστρατείας διαρκείας ενός μήνα, εναντίον των κεντρικών τραπεζών διαφόρων χωρών ανά την υφήλιο.

Σε video που ανέβηκε στο YouTube, στο οποίο "αναλαμβάνουν" την ευθύνη, η καμπάνια επιθέσεων τους έχει την κωδική ονομασία "#OpIcarus - Shut Down the Banks" και σαν στόχοι αναφέρθηκαν οι ΗΠΑ, Ηνωμένο Βασίλειο, Κίνα, Πακιστάν και Ιράν, μεταξύ άλλων.

Πηγή : Cnet

[nOiz]

Η επίθεση είναι ακόμα σε εξέλιξη

[mojiro]

ε άμα έχουν να πάρουν νέα firewall από την εποχή της Ολυμπιάδας λογικό..
με κανά ξεχασμένο checkpoint θα είναι...

[GigaSat]

Μια χαρά παίζει το site της εθνικής τράπεζας.

[nnn]

Μια χαρά παίζει το site της εθνικής τράπεζας.

Μίλησε κανένας για Εθνική?

[GigaSat]

Μίλησε κανένας για Εθνική?

Ουπς λάθος αλλά και της ΤτΕ δουλεύει μια χαρά.

[nOiz]

Ουπς λάθος αλλά και της ΤτΕ δουλεύει μια χαρά.

Σε δυο τρεις προσπάθειες που έκανα έκανε time out, μετά από λίγο άνοιξε και μετά ξανά time out. Το παλεύουν μάλλον ακόμα

Κώδικας:

This site can’t be reached

The connection was reset.

Try:
Reloading the page
Checking the connection
Checking the proxy and the firewall

ERR_CONNECTION_RESET

[iml]

Εμείς όταν θέλουμε τις κλείνουμε μόνοι μας τις τράπεζες, τι θέλουν και ασχολούνται με Ελλάδα μεριά?

[aiolos.01]

Ω τι χαρά... θα μας σώσουν τα script kiddies...

[eyw]

Δεν θα'ναι απο τους Anonymous, απο τους κουρεμένους είναι.

Να έχουμε και κάποιον να κατηγορούμε όταν οι τράπεζες θα κλείσουν απ'αόριστον.

[DVader]

Ακόμα κάτω είναι ..Την πάτησαν για τα καλά !

[konig]

ε άμα έχουν να πάρουν νέα firewall από την εποχή της Ολυμπιάδας λογικό..
με κανά ξεχασμένο checkpoint θα είναι...

ναι αυτο φταιει αλλα και αλλα πιο σοβαρα site επεφταν δεν θα πεσει η ττε?

[Thodoris92]

Ω τι χαρά... θα μας σώσουν τα script kiddies...

Ακριβώς αυτό μπήκα να γράψω..με πρόλαβες

[Cha0s]

ε άμα έχουν να πάρουν νέα firewall από την εποχή της Ολυμπιάδας λογικό..
με κανά ξεχασμένο checkpoint θα είναι...

Στην προκειμένη περίπτωση η ΤτΕ είναι hosted στην Forthnet - τουλάχιστον το www.bankofgreece.gr - (συγκεκριμένα στο DC του Χρηματιστήριου Αθηνών όπου μεταφέρθηκε το DC του Αγ. Στεφάνου τον Αύγουστο-Σεπτέμβριο) και AFAIK η Forthnet είναι η μόνη στην Ελλάδα που έχει ειδικό εξοπλισμό για προστασία για DDoS (αν και τελευταία φορά με ενημέρωσαν πως τίθεται θέμα ορίου πόσα Gbit attack μπορεί να κάνει handle με το License που έχουν).

Δεν ξέρω βέβαια αν χρησιμοποιούταν ο συγκεκριμένος εξοπλισμός για την ΤτΕ (ή μπήκε εκ των υστέρων να κοπεί το attack ή και καθόλου).

Σε μεγάλα DDoS attacks τα «συμβατικά» firewalls δεν μπορούν να κάνουν πολλά αν δεν θες να είσαι down όσο τρως το attack. Ειδικά αν δεν έχεις μπουριά να απορροφήσεις την κίνηση.

Αν θυμάμαι σωστά το Arbor κάνει sample την κίνηση (Netflow) και όταν δει ότι υπάρχει attack κόβει τα «κακά» source addresses σε επίπεδο routing μέσω BGP στους upstream (ίσως να μου διαφεύγει κάποια λεπτομέρεια σε αυτό οπότε διορθώστε με αν κάποιος γνωρίζει περισσότερα).
Ένα ενδιαφέρον attack map από τα στοιχεία που συλλέγουν τα Arbor ανά τον κόσμο http://www.digitalattackmap.com/

Προς το παρόν πάντως πότε ανοίγει το site πότε τρώω connection reset (λογικά κάνουν reject με TCP Reset σε random connections? )

Κώδικας:

b-pi1:~# dig www.bankofgreece.gr

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> www.bankofgreece.gr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43780
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3

;; QUESTION SECTION:
;www.bankofgreece.gr.           IN      A

;; ANSWER SECTION:
www.bankofgreece.gr.    41      IN      A       193.92.49.214

;; AUTHORITY SECTION:
bankofgreece.gr.        10541   IN      NS      ns1.bankofgreece.gr.
bankofgreece.gr.        10541   IN      NS      ns0.internet.gr.
bankofgreece.gr.        10541   IN      NS      ns1.internet.gr.

;; ADDITIONAL SECTION:
ns0.internet.gr.        10541   IN      A       62.1.1.62
ns1.internet.gr.        10541   IN      A       62.1.1.92
ns1.bankofgreece.gr.    10541   IN      A       195.64.172.77

;; Query time: 4 msec
;; SERVER: 10.26.35.16#53(10.26.35.16)
;; WHEN: Thu May  5 19:17:01 2016
;; MSG SIZE  rcvd: 164

b-pi1:~# whois 193.92.49.214
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '193.92.49.0 - 193.92.49.255'

% Abuse contact for '193.92.49.0 - 193.92.49.255' is 'abuse@forthnet.gr'

inetnum:        193.92.49.0 - 193.92.49.255
netname:        INTERNET-HELLAS-DC
descr:          Block for NOC colocation Servers
descr:          23rd Km. N/Road Athens-Lamia
descr:          14565 Ag.Stefanos
remarks:        INFRA-AW
country:        GR
admin-c:        FP95
tech-c:         FP95
status:         ASSIGNED PA
mnt-by:         FORTHNETGR-MNT
created:        2007-11-06T08:26:03Z
last-modified:  2007-11-06T08:26:03Z
source:         RIPE

person:         FORTHnet PR
address:        FORTHnet SA
address:        Atthidon 4
address:        Kalithea
address:        Athens  176 71
address:        Greece
phone:          +30 2109559000
phone:          +30 2119559000
fax-no:         +30 2109559333
abuse-mailbox:  abuse@forthnet.gr
nic-hdl:        FP95
mnt-by:         FORTHNETGR-MNT
created:        2002-07-23T13:51:54Z
last-modified:  2011-01-13T12:38:50Z
source:         RIPE # Filtered

% Information related to '193.92.0.0/17AS1241'

route:          193.92.0.0/17
descr:          FORTHNET-CUSTOMERS
origin:         AS1241
mnt-by:         FORTHNETGR-MNT
mnt-lower:      FORTHNETGR-MNT
created:        1970-01-01T00:00:00Z
last-modified:  2012-05-08T09:06:59Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.86 (DB-2)


b-pi1:~# tracepath 193.92.49.214
 1:  b-pi1.cha0s.own                                       0.737ms pmtu 1500
 1:  rtr-awmn-core.cha0s.own                               0.439ms 
 1:  rtr-awmn-core.cha0s.own                               0.394ms 
 2:  rtr-core.cha0s.own                                    0.759ms 
 3:  rtr-core.cha0s.own                                    1.276ms pmtu 1416
 3:  gw-cha0s.okeanos.own                                 17.649ms 
 4:  no reply
 5:  83.212.120.3                                         18.177ms 
 6:  eier-ypepth-2-AE.backbone.grnet.gr                   17.785ms 
 7:  eier-kolettir-AE.backbone.grnet.gr                   31.798ms asymm  6 
 8:  forthnet.gr-ix.gr                                    29.619ms asymm  7 
 9:  194.219.253.194                                      21.430ms asymm  8 
10:  e1-19.host-ase-01.forthnet.gr                        20.743ms asymm  9 
11:  e1-19.host-ase-01.forthnet.gr                        20.584ms asymm  9 
12:  no reply
13:  no reply
14:  no reply
15:  no reply
16:  no reply
17:  no reply
18:  no reply
19:  no reply
20:  no reply
21:  no reply
22:  no reply
23:  no reply
24:  no reply
25:  no reply
^C
b-pi1:~# telnet www.bankofgreece.gr 80
Trying 193.92.49.214...
Connected to www.bankofgreece.gr.
Escape character is '^]'.
Connection closed by foreign host.
b-pi1:~# telnet www.bankofgreece.gr 80
Trying 193.92.49.214...
Connected to www.bankofgreece.gr.
Escape character is '^]'.
GET /
<h1>Bad Request (Invalid Hostname)</h1>Connection closed by foreign host.
b-pi1:~#

[SfH]

AFAIK η Forthnet είναι η μόνη στην Ελλάδα

Δεν είναι η μόνη. Κι άλλοι έχουν peakflow και pravail, αν και είναι ακριβούτσικα.

Πέρα αυτού, δε φτάνει μόνο ο εξοπλισμός. Θες κι άλλους πόρους και, το σημαντικότερο, ανθρώπινους. Δεν ξέρω κατά πόσο θα ήταν σκόπιμο να σπαταληθούν αυτά για την προστασία ενός site που δεν προσφέρει ( αν δεν απατώμαι ) κάποια internet-facing υπηρεσία. Μου θυμίζει λίγο αυτό .