Исследователи изучают странные «шумы» в мировом трафике - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
 Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
 Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
 «Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
 Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
 Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
 В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
 Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
 Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
 Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Исследователи изучают странные «шумы» в мировом трафике - «Новости»

✔Исследователи изучают странные «шумы» в мировом трафике - «Новости»

21 сентября 2024 366 Новости / Отступы и поля / Изображения / Преимущества стилей / Добавления стилей 0

Специалисты компании GreyNoise сообщили, что с января 2020 года они наблюдают крупные волны «шумовых бурь» (Noise Storms), которые содержат искаженный интернет-трафик. Несмотря на тщательный анализ и годы наблюдений, исследователи так и не сумели установить происхождение и назначение этих «шумов».


Аналитики полагают, что «шумы» могут быть связаны с некими секретными коммуникациями, сигналами для координации DDoS-атак, скрытыми каналами управления вредоносными программами или вообще могут являться результатом неправильных настроек.


Интересным аспектом происходящего является и наличие ASCII-строки «LOVE» в наблюдаемых ICMP-пакетах, что еще больше запутывает ситуацию.


GreyNoise опубликовала свои догадки о «шумовых бурях» в надежде, что мировое сообщество ИБ-специалистов поможет разгадать эту загадку и выяснить причину возникновения аномалий в трафике.


Исследователи рассказали, что наблюдают волны поддельного интернет-трафика, исходящие с миллионов спуфинговых IP-адресов из различных источников, включая CDN китайских платформ QQ, WeChat и WePay.


Такие «бури» порождают масштабные волны трафика, направленные на конкретных провайдеров (например Cogent, Lumen и Hurricane Electric), при этом избегая других, в частности — Amazon Web Services (AWS).


В основном такой трафик сосредоточен на TCP-соединениях (особенно через порт 443), но также наблюдается множество ICMP-пакетов, в последнее время содержащих встроенную ASCII-строку «LOVE», как показано на скриншоте ниже.





Также отмечается, что в TCP-трафике изменяются такие параметры, как размер окна, для эмуляции различных ОС, что позволяет сделать эту активность более незаметной и с трудом поддающейся обнаружению.


Значения Time to Live (TTL), которые определяют, как долго пакет находится в сети, прежде чем будет отброшен, установлены в диапазоне от 120 до 200, чтобы имитировать настоящие сетевые переходы.


Исследователи говорят, что в целом, формат и характеристики этих «шумовых бурь» скорее выглядят как целенаправленная работа компетентного человека, а не как масштабные побочные эффекты от неправильных конфигураций.


То есть странный трафик имитирует обычные потоки данных, а его истинное предназначение все еще остается загадкой.


Аналитики GreyNoise уже опубликовали на GitHub PCAP-данные двух недавних «шумовых бурь», приглашая других ИБ-исследователей присоединиться к расследованию и поделиться своими соображениями о происходящем.


Детальный рассказ о своих выводах относительно «шумовых бурь» эксперты GreyNoise опубликовали и на YouTube.



Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалисты компании GreyNoise сообщили, что с января 2020 года они наблюдают крупные волны «шумовых бурь» (Noise Storms), которые содержат искаженный интернет-трафик. Несмотря на тщательный анализ и годы наблюдений, исследователи так и не сумели установить происхождение и назначение этих «шумов». Аналитики полагают, что «шумы» могут быть связаны с некими секретными коммуникациями, сигналами для координации DDoS-атак, скрытыми каналами управления вредоносными программами или вообще могут являться результатом неправильных настроек. Интересным аспектом происходящего является и наличие ASCII-строки «LOVE» в наблюдаемых ICMP-пакетах, что еще больше запутывает ситуацию. GreyNoise опубликовала свои догадки о «шумовых бурях» в надежде, что мировое сообщество ИБ-специалистов поможет разгадать эту загадку и выяснить причину возникновения аномалий в трафике. Исследователи рассказали, что наблюдают волны поддельного интернет-трафика, исходящие с миллионов спуфинговых IP-адресов из различных источников, включая CDN китайских платформ QQ, WeChat и WePay. Такие «бури» порождают масштабные волны трафика, направленные на конкретных провайдеров (например Cogent, Lumen и Hurricane Electric), при этом избегая других, в частности — Amazon Web Services (AWS). В основном такой трафик сосредоточен на TCP-соединениях (особенно через порт 443), но также наблюдается множество ICMP-пакетов, в последнее время содержащих встроенную ASCII-строку «LOVE», как показано на скриншоте ниже. Также отмечается, что в TCP-трафике изменяются такие параметры, как размер окна, для эмуляции различных ОС, что позволяет сделать эту активность более незаметной и с трудом поддающейся обнаружению. Значения Time to Live (TTL), которые определяют, как долго пакет находится в сети, прежде чем будет отброшен, установлены в диапазоне от 120 до 200, чтобы имитировать настоящие сетевые переходы. Исследователи говорят, что в целом, формат и характеристики этих «шумовых бурь» скорее выглядят как целенаправленная работа компетентного человека, а не как масштабные побочные эффекты от неправильных конфигураций. То есть странный трафик имитирует обычные потоки данных, а его истинное предназначение все еще остается загадкой. Аналитики GreyNoise уже опубликовали на GitHub PCAP-данные двух недавних «шумовых бурь», приглашая других ИБ-исследователей присоединиться к расследованию и поделиться своими соображениями о происходящем. Детальный рассказ о своих выводах относительно «шумовых бурь» эксперты GreyNoise опубликовали и на YouTube.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: