Atak na serwery Facebooka

Data publikacji: 25/08/2010, CERT Polska

Logo Facebook
Od dnia 23 sierpnia w systemie ARAKIS obserwujemy atak (D)DoS na serwery Facebooka. Dnia 24.08.2010 o godzinie 21 został wygenerowany alarm NSNORT mówiący o dopasowaniu reguły Snorta do przepływu. Oznacza to zwykle jakąś znaną formę ataku, która jednak nie była ostatnio rejestrowana przez system ARAKIS. Ta reguła to: ET POLICY facebook activity.

Patrząc na szczegóły przepływu [1] widać, że najpierw miało miejsce połączenie z adresu IP 69.63.181.11 należącego do Facebooka. Pierwszy pakiet jest pakietem protokołu TCP z ustawionymi flagami SYN (synchrnonize) oraz ACK (acknowledge), czyli jest najprawdopodobniej drugą fazą nawiązania połączenia TCP (three-way handshake). Adres docelowy wskazuje na jeden z ARAKIS-owch honeypotów, które same nie nawiązują połączeń. W związku z tym, że honeypot nie rozpoczął tego połączenia, odpowiedział, zgodnie z RFC793, pakietem z flagą RST (reset). Na tej podstawie można wywnioskować, że atakujący DOS-ując serwery Facebooka fałszował adresy źródłowe. Niektóre z nich wskazywały na honeypoty ARAKIS-a, dzięki czemu mogliśmy zaobserwowac ten atak.

Poniższej widać listę przepływów świadczących o omawianym ataku (zawiera jedynie unikatowe adresy źródła):

Data                    Źródło          Port    Cel         Port    Protokół
2010-08-23 11:16:55     69.63.189.34    80      XXX.XX.XX.66    41145   TCP
2010-08-23 11:53:15     69.63.190.22    80      XXX.XX.XX.95    4496    TCP
2010-08-24 07:58:15     69.63.190.18    80      XXX.XX.XX.89    1392    TCP
2010-08-24 08:10:25     69.63.189.16    80      XXX.XX.XX.89    2382    TCP
2010-08-24 08:27:13     69.63.190.10    80      XXX.XX.XX.89    3295    TCP
2010-08-24 08:50:21     69.63.181.52    80      XXX.XX.XX.66    27897   TCP
2010-08-24 09:29:59     69.63.189.11    80      XXX.XX.XX.66    47827   TCP
2010-08-24 14:48:19     69.63.181.16    80      XXX.XX.XX.66    10042   TCP
2010-08-24 22:46:10     69.63.181.11    80      XXX.XX.XX.8     1225    TCP
2010-08-25 08:52:49     69.63.181.15    80      XXX.XX.XX.66    12361   TCP
2010-08-25 09:24:32     69.63.181.49    80      XXX.XX.XX.66    29508   TCP
2010-08-25 09:40:56     69.63.189.31    80      XXX.XX.XX.90    2701    TCP
2010-08-25 14:01:42     69.63.181.12    80      XXX.XX.XX.90    4899    TCP
2010-08-25 15:29:28     69.63.180.48    80      XXX.XX.XX.5     8843    TCP
2010-08-26 08:20:19     69.63.180.44    80      XXX.XX.XX.5     24142   TCP
2010-08-26 08:26:00     69.63.190.14    80      XXX.XX.XX.66    37812   TCP
2010-08-26 09:15:32     69.63.181.50    80      XXX.XX.XX.66    8563    TCP
2010-08-26 09:50:52     69.63.181.51    80      XXX.XX.XX.106   1974    TCP
2010-08-26 10:18:31     69.63.189.26    80      XXX.XX.XX.66    44658   TCP

1.

21:03:41.804977 IP 69.63.181.11.80 > XXX.XX.XX.196.1225: S 141396233:141396233(0) ack 3955628010 win 4380
    0x0000:  4500 xxxx xxxx 4000 f406 xxxx xxxx b50b  E..,9L......E?..
    0x0010:  c1e3 xxxx 0050 04c9 xxxx 8909 ebc6 17ea  .....P...m......
    0x0020:  6012 111c acc7 xxxx 0204 05b4            `...........
21:03:41.805184 IP XXX.XX.XX.196.1225 > 69.63.181.11.80: R 3955628010:3955628010(0) win 0
    0x0000:  4500 xxxx xxxx 0000 4006 xxxx xxxx 83c4  E..([email protected]
    0x0010:  453f xxxx 04c9 0050 xxxx 17ea 0000 0000  E?.....P........
    0x0020:  5004 0000 xxxx 0000                      P...g$..