Несколько дней назад появилась новость на Habr и других ресурсах о том, что сервера MTProxy атаковали иранского облачного провайдера Arvan Cloud.
С одной стороны новость не совсем соответствует действительности. Но с другой стороны до меня дошла гениальность подхода хакеров!
Долго не мог понять с какой целью публикуют бесплатные прокси-сервера. Ведь это надо быть тупым альтруистом, чтобы расшарить своё интернет соединение для всего мира. А в РФ за действия третьих лиц через этот прокси могут посадить владельца прокси, как получилось с создателем Kate Mobile.
В данном случае я не рассматриваю ломанные устройства, которые используют без ведома владельца.
Оказалось всё гениальное — просто!
Как это работает.
- Хакерская организация принимает заказ на DDoS какого-то ресурса (чаще всего сайта).
- Создаётся доменное имя, в котором в качестве A записи в ДНС указывается ip адрес реального сервера. При этом TTL ставится минимальный.
- На своих серверах запускается прокси-сервер (MTProxy, socks и т.д.)
- В качестве порта прокси указывается целевой на атакуемом сервере.
- Публикуют списки своих «бесплатных» и ждут набора «клиентов» на прокси.
- В нужное время хакеры меняю A запись на необходимом количестве своих доменов, которые раздавали как прокси, на ip адрес атакуемого сервера.
Клиенты прокси серверов начинают пытаться установить соединения по указанным портам. И это происходит до тех пор, пока владелец устройства не заметит, что прокси «поломался».
Проведя атаку, хакеры возвращают A запись своих доменов на реальный прокси.
Таким образом, человек может и не заметить «пропадания» прокси, а клиенты сохранят «клиентскую» базу для дальнейших атак.
Учитывая, что в РФ Телеграм используют более 3 млн человек и устройств, то при блокировке все начнут пользоваться прокси. Сколько устройств можно перенаправить для DDoS?
В телеграм много групп, которые раздают «бесплатные прокси».
И как видно, халявщиков достаточно много.
Даже если человек увидел, что прокси поломался, то он выберет новый из этого же канала телеграма и останется в рядах ботнета.
В чём фэйковость новости?
Сами по себе MTProxy не могут атаковать по следующим причинам:
1. Это экономически не выгодно. Смысл хакерам «палить» источник атаки. Да и их количества не хватит, чтобы провести полноценную DDoS атаку.
2. Дуров не дурак, чтобы использовать MTProto для таких низких целей. Даже если и есть какие-то скрытые задачи данного протокола, то их не будут использовать для атаки какого-то мелкого провайдера.
Кто виноват?
Государства (в данном случае Иран), пытаются контролировать жизнь своих граждан и блокируют ресурсы, которые не подходят под их управленческие шаблоны.
Но граждане стараются получить то, что им необходимо и ищут способы обхода запретов. А хакеры просто пользуются естественными потребностями людей в своих целях.
Получается, что правительство, пытаясь «закручивать гайки», само создало оружие против себя и своих граждан.
Единственный способ сделать так, чтобы Телеграмом перестали пользоваться — создать то, что будет круче и удобней него.
Но тактика правительства только «запретить», а не «создать лучше»…
Поэтому прежде, чем использовать бесплатный прокси, настоятельно рекомендую проверить его надёжность!
Или купить/создать свой персональный…
ссылка на оригинал статьи https://habr.com/ru/post/476104/
Добавить комментарий