![]() |
http://i.piccy.info/i5/45/82/1428245/1.png В данной статье я не буду открывать велосипед! Я знаю что запрещена тематика DDoS-атак, но если внимательно прочитать статью, то можно понять что я призываю к ответственности за поступки, а не к организации данных атак. Я постараюсь описать то, что обычно в мануалах упускается [Enter] О DDoS-атаках пожалуй слышал каждый кто каким либо образом связывают свою жизнь с интернетом как с бизнесом или как с местом развития бизнеса. Уже не раз писались статьи что такое DDoS-атаки, где они используются и какие разновидности существуют. Я лишь постараюсь дополнить упущенные моменты =) Вспомним: DoS (Denial of service) - отказ в обслуживании. Как вы понимаете - данные термин определяет той или иной сбой в системе. Классическим примером является сервер, на котором размещен сайт. Если начинается DDoS-атака на данный сайт - вероятнее всего, что при отсутствии защиты со стороны сервера (в частности безобидности сисадмина) - сайт ляжет (точнее сервер на котором он стоит или же бывает что модули типа ngnix, apache или панели ISP перерезают доступ к определенному сайту спасая при этом сервер). Если покопаться в истории, то мы узнаем что DoS раньше использовался сисадминами для проверки "прочности" своих серверов, но попав данная идея в руки РУССКИХ хакеров - весь мир тут-же обзавелся ботнетами и теперь мы можем увидеть сотни предложений за скромненькие суммы убить сайты конкурентов и так далее. [It just...DDoS?] Атаки DoS делятся на 2 основных типа: 1) Использование уязвимостей в веб-сервере или определенном скрипте, что в большинстве случаев вызывает зависание в последствии переполнения буфера или не правильной обработки каким-либо модулем запроса. Ярким примером есть PHP-include и бездарная настройка связки apache + php при которой тяжеловесный цикл вызовет зависание сервера. Спасением будет лишь перезагрузка сервера. 2) Забивание канала или HTTP-get атаки. Об этом способе довольно таки много чего рассказано. Я лишь хочу выделить несколько моментов: Во-первых для каждого сервера подбирается свой тип атаки: Цитата:
Эта программа выполнялась на одном компьютере посылая на сервер кучу запросов. Ее преимуществом на то время было в том, что о защите от DDoS никто и не думал, потому убить сайт было проще всего. Поподробнее о syn: Наиболее простым способом проведения DoS-атак является SYN-наводнение. Происходит это по следующей схеме. Атакующий компьютер посылает SYN-пакет жертве и, соответственно, получает обратно SYN/ACK-пакет. Если атакующий подтвердит ACK-пакетом факт получения ответа, то машины посчитают, что соединение установлено. Однако если атакующий не будет подтверждать этот факт, а продолжит постоянно передавать SYN-пакет на соединение, то запись о незавершенной процедуре подключения будет добавлена в буфер жертвы до истечения тайм-аута ответа. Когда в буфере накопится достаточное количество запросов, произойдет переполнение. После этого жертва перестанет отвечать на пользовательские запросы. Вот, собственно, и вся схема атаки. Чтобы не быть голословным, приведу пример заголовка пакета при данной атаке: Цитата:
Вот еще хороший пример нашей атаки. Нам потребуются, как минимум, два компьютера . Мы посылаем пакет на порт 7 (echo) атакуемого хоста. При этом надо подменить адрес отправителя (кстати, об этом позже), который будет указывать у нас на порт 19 (chargen) другого хоста. Между двумя хостами произойдет процесс передачи информации постоянным потоком. То есть пакет, как феерический заяц-забегаец, начнет прыгать от одного хоста к другому, переключая все внимание серверов на себя. Таким образом, они буквально забомбят себя до состояния вантуза. Как итог — отказ в обслуживании. Slow HTTP Post Совсем недавно был открыт новый метод DoS, который практически сделал революцию в многолетнем стаже DDoS атак как классических. Чтобы понять суть данного метода стоит всего лишь вдуматся в его название: медленный HTTP пост-запрос. На практике это выглядит следующим образом: Клиент передает серверу "Content-Length", а после удачного запроса начинает ОЧЕНЬ медленно передавать сам post-запрос. При этом на сервере потребляется большое количество ресурсов что в конечном итоге приводит к зависанию. Имеется ввиду что для 1 такого запроса требуется намного больше времени. Если организовать ботнет, то в теории получится смесь http-get и syn флуда. Цитата:
[Happy End?] Цитата:
Еще не конец! Всего, конечно же, не опишешь, однако я хотел рассказать про самую суть, чтобы ты узрел, наконец, в корень проблемы, а не в стебель конопли. Как видишь, нет ничего сверхсложного в технологии DDoS. Написать своего DDoS-бота можешь даже ты. Другое дело, что люди в погонах тебе спасибо не скажут, но это уже дело твое. И в итоге: Хотелось бы "внедрить" Вам лишь одно: Я работаю в данной сфере уже на протяжении 3 лет. Занимаюсь как и проведением DDoS-атак, так и настройкой серверов для защиты от них. Но за это время я для себя выделил 3 вещи: 1) Не существует защиты, которая могла бы одолеть КАЧЕСТВЕННУЮ DDoS-атаку. Все зависит от Ваших рук и мозгов. Если ВЫ не настроете сервер качественно, то конец будет довольно печальным. 2) Не существует бота, который мог бы обойти умного сисадмина. 3) Нужно делать все во благо) Лично я беру заказы на DDoS лишь если там сайты с легальными наркотиками, педофилами и прочей нечестью. Я даже, бывает, за бесплатно DDoS'ю некоторое время, пока не появится другой заказ. Так что дорогие! Живите правильно, думайте умно и не забывайте 7 раз отмерять и 1 раз настроить. Всем удачи! Спасибо за внимание =) С Вами был IsteriQ (OnlyOn) [UPDATE] Прошу прощения! Когда делал шапку для статьи, хотел написать как в теории можно было бы завалить дата-центр google с помощю одного DDoS-зомби. Так вот: Если принять во внимание что у google есть свой дата-центр, который оснащен явно мощными серверами и причем в больших количествах, то выводы о анти-ддосе и канале напрашиваются сами по себе. Как я описывал выше, единственным выходом остается забить канал. Канал google примерно 1тБайт/с (Не путать с Бит). Если взять во внимание что к ПОИСКОВОЙ системе google постоянно обращается народ, то в запасе остается примерно 100 гБайт/c. Теоритично можно запустить syn, icmp, udp флуд с таким траффиком и google загнется. Но если все таки подумать головой, то проще организовать ботнет: 1 средняя машина зомби имеет канал 512кбайт/c. 100гБайт * 1024 * 1024 / 512 = 204800 машин. Что в современном мире является огромнейшим ботнетом! За историю 21 века известно всего 3 ботнета что по мощности равнялись выше указаным размерам, но только 1 из них был заточен под DDoS (Те кто знают что админы ботнета натворили - поймут о чем я). В любом случае в планетарных масштабах все очень просто, а вот с организацией будет сложновато. |
Про "Slow HTTP POST" забыл написать (OWASP 2010 Application Security Conference)
|
OnlyOn
Вспомнилась история, когда Яндекс положили...) О статье: интересная, мне понравилась, но бывают моменты просто ни о чем... Ну а в целом гуд, очень познавательно з.ы. коян одобряэ |
Цитата:
Удаляем все посты кроме первых. А я чуть зажрался. как минимум 50$ в сутки порой беру =( |
Цитата:
|
Статья не о чем
DDoS атаки или новый взгляд на Server-Kill Ничего нового не увидел P.S. Уровень ачата падает в геометрической прогрессии |
Цитата:
Цитата:
Цитата:
В статье не написано о новом взгляде на Server-Kill, лично мое мнение. |
Цитата:
|
Цитата:
|
Почитал, довольно интересно но мало нового(
|
Ну что можно сказать, ТС меня сильно огорчил.
Единственное, интересно было прочитать про SYN флуд. Либо расписать всё, либо самое основное, но никак не так. |
Какие Вы все добрые.
Вечером допишу статью о ботах и их х-ках |
Цитата:
Я же написал: Цитата:
|
Цитата:
"Сырые пакеты" - это программный метод передачи syn. У меня 80% ботнета на винде и все отлично работает |
Цитата:
Цитата:
|
Цитата:
|
Цитата:
|
мне понравилось. А что админы ботнета натворили напишите пожалуйста!
|
Цитата:
|
Скачал с оф сайта Slow HTTP POST
Но при запуске выдаёт ошибку И не в какую что я с ней уже только не далал |
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
подскажи когда такое было?или линк на новость |
ничего нового.
Цитата:
как доcсят по железу? |
ТС ниочем.
где обзор легендарных ддос ботов? обход защит на тачках с реализацией открытия сырых сокетов? (хотябы, реализация в ботах gbot & armagedonn дада, надо еще реверс сделать - это статья) а так, убирай шумяшее название топа Цитата:
тупо копипаст с хабра\эксплоита(раздел ддос энциклопедии) Цитата:
на чем сервис? на блекэнерджи? |
посоветуйте серьёзные коды для атаки закон не имеет значение я не злопамятный (отомстил и забыл ) Izrael
|
А есть ли какой либо софт который можно использовать для проведения DDoS атак.
Не ботнет, который заражает компы, а потом они управляютсья с помощью админки, а именно софт который просто устанавливаеться на компе и производит атаку. |
Цитата:
Код:
shutdown.exe -r -f -t 20 -c "Don`t panic. The system will reboot in 20 seconds." |
Цитата:
Нужно просто вовремя ввести команду shutdown -a |
Цитата:
|
С одного компа может производиться только DoS
А для того что бы произвести DDoS нужно одну и ту же прогу запустить на нескольких компах, как вариант на дедиках. Вот если найти прогу для проведения DoS атак, запустить ее на нескольких дедиках, и тогда получиться очень неплохой DDoS с хорошим каналом |
Попробуй https://www.owasp.org/index.php/OWASP_HTTP_Post_Tool
|
Вообще то я подумал а модет ли быть многопоточный софт, с поддержкой IP спуфинга, что бы программа могла использовать сокс листы.
Так запустить на одном компе, а атака шла с нескольких IP адресов |
Может где-то и есть такой софт, но это будет неэффективно.
|
Почему?
|
а как отбивают ddos ? банят те ip атакующих?
|
Цитата:
Цитата:
|
Есть программа DosHTTP Pro v2.0
Официальный сайт http://www.socketsoft.net/ Что думайте? |
Цитата:
http://sourceforge.net/projects/loic/ http://ru.wikipedia.org/wiki/LOIC |
| Время: 08:17 |