ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Статьи (https://forum.antichat.io/forumdisplay.php?f=30)
-   -   DDoS атаки или новый взгляд на Server-Kill (https://forum.antichat.io/showthread.php?t=271687)

OnlyOn 27.04.2011 00:18

http://i.piccy.info/i5/45/82/1428245/1.png

В данной статье я не буду открывать велосипед!

Я знаю что запрещена тематика DDoS-атак, но если внимательно прочитать статью, то можно понять что я призываю к ответственности за поступки, а не к организации данных атак.

Я постараюсь описать то, что обычно в мануалах упускается

[Enter]​


О DDoS-атаках пожалуй слышал каждый кто каким либо образом связывают свою жизнь с интернетом как с бизнесом или как с местом развития бизнеса.

Уже не раз писались статьи что такое DDoS-атаки, где они используются и какие разновидности существуют. Я лишь постараюсь дополнить упущенные моменты =)

Вспомним: DoS (Denial of service) - отказ в обслуживании. Как вы понимаете - данные термин определяет той или иной сбой в системе. Классическим примером является сервер, на котором размещен сайт. Если начинается DDoS-атака на данный сайт - вероятнее всего, что при отсутствии защиты со стороны сервера (в частности безобидности сисадмина) - сайт ляжет (точнее сервер на котором он стоит или же бывает что модули типа ngnix, apache или панели ISP перерезают доступ к определенному сайту спасая при этом сервер).

Если покопаться в истории, то мы узнаем что DoS раньше использовался сисадминами для проверки "прочности" своих серверов, но попав данная идея в руки РУССКИХ хакеров - весь мир тут-же обзавелся ботнетами и теперь мы можем увидеть сотни предложений за скромненькие суммы убить сайты конкурентов и так далее.

[It just...DDoS?]​


Атаки DoS делятся на 2 основных типа:

1) Использование уязвимостей в веб-сервере или определенном скрипте, что в большинстве случаев вызывает зависание в последствии переполнения буфера или не правильной обработки каким-либо модулем запроса.

Ярким примером есть PHP-include и бездарная настройка связки apache + php при которой тяжеловесный цикл вызовет зависание сервера.

Спасением будет лишь перезагрузка сервера.

2) Забивание канала или HTTP-get атаки.

Об этом способе довольно таки много чего рассказано. Я лишь хочу выделить несколько моментов:

Во-первых для каждого сервера подбирается свой тип атаки:

Цитата:

Сообщение от None
Для мощный серверов что защищаются Анти-DDoS'ом может подойти лишь забивание канала syn'ом, udp или icmp типами флудов.
Против syn и udp поможет КАЧЕСТВЕННАЯ настройка сервера. Против syn нужно установить максимальный лимит подключений и максимальное время ответа в 2-200мс.
Для UDP лучше всего отключить лишние службы.
Для ICMP отключить пинг.
Для мощных без антиддоса пробуют сначало HTTP-get, но для этого нужен не хилый ботнет хотябы в 2-3к ботов.
Позже уже пробуют то что выше.
Для шареда идеально подходит HTTP-get, по скольку В ОСНОВНОМ сисадмины защищаются от данного типа отключением сайтов, что хакерам и надо.

Что касается древних времен, то думаю все имевшие с этим дело помнять программу sprut =)

Эта программа выполнялась на одном компьютере посылая на сервер кучу запросов. Ее преимуществом на то время было в том, что о защите от DDoS никто и не думал, потому убить сайт было проще всего.



Поподробнее о syn:


Наиболее простым способом проведения DoS-атак является SYN-наводнение. Происходит это по следующей схеме. Атакующий компьютер посылает SYN-пакет жертве и, соответственно, получает обратно SYN/ACK-пакет. Если атакующий подтвердит ACK-пакетом факт получения ответа, то машины посчитают, что соединение установлено. Однако если атакующий не будет подтверждать этот факт, а продолжит постоянно передавать SYN-пакет на соединение, то запись о незавершенной процедуре подключения будет добавлена в буфер жертвы до истечения тайм-аута ответа. Когда в буфере накопится достаточное количество запросов, произойдет переполнение. После этого жертва перестанет отвечать на пользовательские запросы. Вот, собственно, и вся схема атаки. Чтобы не быть голословным, приведу пример заголовка пакета при данной атаке:

Цитата:

Сообщение от None
sock.ip.version=4; // Версия
sock.ip.ihl=5; // Длина заголовка
sock.ip.tos=0; // Тип сервиса
sock.ip.tot_len=htons(40); // Общая длина
sock.ip.id=getpid(); // ID
sock.ip.frag_off=0; // Смещение фрагмента
sock.ip.ttl=255; // Время жизни
sock.ip.protocol=IPPROTO_TCP; // Используемый протокол
sock.ip.check=0; // Контрольная сумма
sock.ip.saddr=saddress; // Адрес источника
sock.ip.daddr=daddress; // Адрес назначения

Аналогичные примеры разбросаны по всему Интернету, поэтому я не удивлюсь, если ты его уже где-то встречал или же постил сам. Обрати внимание на fragment_off, то есть на смещение фрагмента. В некоторых случаях использование длинных пакетов с большой фрагментацией дает желаемый результат намного быстрее приведенного метода.

Вот еще хороший пример нашей атаки. Нам потребуются, как минимум, два компьютера . Мы посылаем пакет на порт 7 (echo) атакуемого хоста. При этом надо подменить адрес отправителя (кстати, об этом позже), который будет указывать у нас на порт 19 (chargen) другого хоста. Между двумя хостами произойдет процесс передачи информации постоянным потоком. То есть пакет, как феерический заяц-забегаец, начнет прыгать от одного хоста к другому, переключая все внимание серверов на себя. Таким образом, они буквально забомбят себя до состояния вантуза. Как итог — отказ в обслуживании.



Slow HTTP Post


Совсем недавно был открыт новый метод DoS, который практически сделал революцию в многолетнем стаже DDoS атак как классических.

Чтобы понять суть данного метода стоит всего лишь вдуматся в его название: медленный HTTP пост-запрос.

На практике это выглядит следующим образом: Клиент передает серверу "Content-Length", а после удачного запроса начинает ОЧЕНЬ медленно передавать сам post-запрос. При этом на сервере потребляется большое количество ресурсов что в конечном итоге приводит к зависанию.

Имеется ввиду что для 1 такого запроса требуется намного больше времени. Если организовать ботнет, то в теории получится смесь http-get и syn флуда.

Цитата:

Сообщение от None
Атака была впервые продемонстрирована широкой публике на OWASP 2010 Application Security Conference. Исследователь Wong Onn Chee первый обнаружил атаку в 2009 совместно с командой исследователей из Сингапура. Позже были проведены исследования атаки (в том числе компанией Microsoft). Уязвимость в протоколе сейчас официально признана. Изначально атаки такого рода проводились в Китае. Для рекрутинга ботов использовались онлайн игры — компьютеры незадачливых игроков использовались для отправки специально сформированных HTTP-запросов целевой системе.

Подробнее на хабре

[Happy End?]​


Цитата:

Сообщение от None
Что дозволено Юпитеру - не дозволено быку

Вот такие вот мы теперь крутые, можем устроить свой DDoS, да и вообще все замечательно. Однако не следует забывать, что повесить яндекс с диалапа не так просто, как кажется на первый взгляд. В принципе, можешь попытаться. Умные люди для этих целей используют свои армии затрояненных машин - DDoS ботнеты.

Еще не конец!

Всего, конечно же, не опишешь, однако я хотел рассказать про самую суть, чтобы ты узрел, наконец, в корень проблемы, а не в стебель конопли. Как видишь, нет ничего сверхсложного в технологии DDoS. Написать своего DDoS-бота можешь даже ты. Другое дело, что люди в погонах тебе спасибо не скажут, но это уже дело твое.



И в итоге:


Хотелось бы "внедрить" Вам лишь одно: Я работаю в данной сфере уже на протяжении 3 лет. Занимаюсь как и проведением DDoS-атак, так и настройкой серверов для защиты от них.

Но за это время я для себя выделил 3 вещи:

1) Не существует защиты, которая могла бы одолеть КАЧЕСТВЕННУЮ DDoS-атаку. Все зависит от Ваших рук и мозгов. Если ВЫ не настроете сервер качественно, то конец будет довольно печальным.

2) Не существует бота, который мог бы обойти умного сисадмина.

3) Нужно делать все во благо) Лично я беру заказы на DDoS лишь если там сайты с легальными наркотиками, педофилами и прочей нечестью.

Я даже, бывает, за бесплатно DDoS'ю некоторое время, пока не появится другой заказ.

Так что дорогие! Живите правильно, думайте умно и не забывайте 7 раз отмерять и 1 раз настроить.

Всем удачи!

Спасибо за внимание =)

С Вами был IsteriQ (OnlyOn)


[UPDATE]​


Прошу прощения!

Когда делал шапку для статьи, хотел написать как в теории можно было бы завалить дата-центр google с помощю одного DDoS-зомби.

Так вот:

Если принять во внимание что у google есть свой дата-центр, который оснащен явно мощными серверами и причем в больших количествах, то выводы о анти-ддосе и канале напрашиваются сами по себе.

Как я описывал выше, единственным выходом остается забить канал.

Канал google примерно 1тБайт/с (Не путать с Бит).

Если взять во внимание что к ПОИСКОВОЙ системе google постоянно обращается народ, то в запасе остается примерно 100 гБайт/c.

Теоритично можно запустить syn, icmp, udp флуд с таким траффиком и google загнется.

Но если все таки подумать головой, то проще организовать ботнет:

1 средняя машина зомби имеет канал 512кбайт/c.

100гБайт * 1024 * 1024 / 512 = 204800 машин.

Что в современном мире является огромнейшим ботнетом!

За историю 21 века известно всего 3 ботнета что по мощности равнялись выше указаным размерам, но только 1 из них был заточен под DDoS (Те кто знают что админы ботнета натворили - поймут о чем я).

В любом случае в планетарных масштабах все очень просто, а вот с организацией будет сложновато.

M_script 27.04.2011 01:08

Про "Slow HTTP POST" забыл написать (OWASP 2010 Application Security Conference)

koyan 27.04.2011 01:46

OnlyOn

Вспомнилась история, когда Яндекс положили...)

О статье: интересная, мне понравилась, но бывают моменты просто ни о чем...

Ну а в целом гуд, очень познавательно

з.ы. коян одобряэ

OnlyOn 27.04.2011 02:29

Цитата:

Сообщение от koyan
мб мне тоже опьять в ддос уйти...а то для меня уже 10$ пздц большие деньги

давай по чуточке уходить из этой темы, а то модераторы по **** надают.

Удаляем все посты кроме первых.

А я чуть зажрался. как минимум 50$ в сутки порой беру =(

koyan 27.04.2011 02:37

Цитата:

Сообщение от OnlyOn
А я чуть зажрался. как минимум 50$ в сутки порой беру =(

тоже хочу

Redwood 27.04.2011 02:44

Статья не о чем

DDoS атаки или новый взгляд на Server-Kill

Ничего нового не увидел

P.S. Уровень ачата падает в геометрической прогрессии

Chrome~ 27.04.2011 02:53

Цитата:

Сообщение от OnlyOn
DDoS атаки или новый взгляд на Server-Kill

Цитата:

Сообщение от OnlyOn
В данной статье я не буду открывать велосипед!

А по-моему как раз таки изобрели очередной велосипед и тему статьи не раскрыли полностью. Вы не описали здесь никаких особенных и эффективных схем атаки, о slow http post дали только ссылку на хабру, а часть статьи о syn флуде вообще скопирована из журнала "Хакер" за 2006 год (не велосипед ли?). Можно было также написать, что syn флуд на данный момент не являеться эффективным, его реализация может вызвать некоторые трудности, так как, например, Windows XP Service Pack 3 не поддерживает работу с "сырыми" сокетами.

Цитата:

Сообщение от OnlyOn
Против syn нужно установить максимальный лимит подключений и максимальное время ответа в 2-200мс.

За 2 мс. успеет кто-нибудь ответить?

В статье не написано о новом взгляде на Server-Kill, лично мое мнение.

OnlyOn 27.04.2011 08:47

Цитата:

Сообщение от Chrome~
А по-моему как раз таки изобрели очередной велосипед и тему статьи не раскрыли полностью. Вы не описали здесь никаких особенных и эффективных схем атаки, о slow http post дали только ссылку на хабру, а часть статьи о syn флуде вообще скопирована из журнала "Хакер" за 2006 год (не велосипед ли?). Можно было также написать, что syn флуд на данный момент не являеться эффективным, его реализация может вызвать некоторые трудности, так как, например, Windows XP Service Pack 3 не поддерживает работу с "сырыми" сокетами.
За 2 мс. успеет кто-нибудь ответить?
В статье не написано о новом взгляде на Server-Kill, лично мое мнение.

server-kill - DDoS-attack. успеет если сайт для локальной сети. ты часто встречаешь хостинги на винде чтобы назвать син не еффективным?

OnlyOn 27.04.2011 08:49

Цитата:

Сообщение от Redwood
Статья не о чем
DDoS атаки или
новый взгляд
на Server-Kill
Ничего нового не увидел
P.S. Уровень ачата падает в геометрической прогрессии

кому как. уж простите. вечером дополню статью примерами настройки ботнетов

SHYLLER 27.04.2011 12:18

Почитал, довольно интересно но мало нового(

XAMEHA 27.04.2011 15:07

Ну что можно сказать, ТС меня сильно огорчил.

Единственное, интересно было прочитать про SYN флуд.

Либо расписать всё, либо самое основное, но никак не так.

OnlyOn 27.04.2011 15:55

Какие Вы все добрые.

Вечером допишу статью о ботах и их х-ках

Chrome~ 27.04.2011 17:45

Цитата:

Сообщение от OnlyOn
ты часто встречаешь хостинги на винде чтобы назвать син не еффективным?

Чувак, ты между строк читаешь чтоли?

Я же написал:

Цитата:

Сообщение от Chrome~
Можно было также написать, что syn флуд на данный момент не являеться эффективным,
его реализация может вызвать некоторые трудности
, так как, например, Windows XP Service Pack 3 не поддерживает работу с "сырыми" сокетами.

Реализация может вызвать трудности, потому что почти все боты на Windows! Про хостинги я вообще ничего не написал.

OnlyOn 27.04.2011 17:49

Цитата:

Сообщение от Chrome~
Чувак, ты между строк читаешь чтоли?
Я же написал:
Реализация может вызвать трудности, потому что почти все боты на Windows! Про хостинги я вообще ничего не написал.

Прошу прощения за недопонимание, но мне кажется что я либо ничего в этой жизни не понимаю или же ты ошибаешся.

"Сырые пакеты" - это программный метод передачи syn.

У меня 80% ботнета на винде и все отлично работает

Chrome~ 27.04.2011 17:57

Цитата:

Сообщение от OnlyOn
Прошу прощения за недопонимание, но мне кажется что я либо ничего в этой жизни не понимаю или же ты ошибаешся.
"Сырые пакеты" - это программный метод передачи syn.
У меня 80% ботнета на винде и все отлично работает

http://www.insidepro.com/kk/230/230r.shtml

Цитата:

Сообщение от None
Полноценная поддержка сырых сокетов в W2K вызвала настоящий фурор! Программисты перенесли многие хакерские программы (типа nmap) в Windows и необходимость ставить никсы отпала. По сети прокатилась волна атак. Сырые сокеты использовали не только хакеры, но и черви (например, червь Stumbler), в результате чего в XP функциональность сырых сокетов была существенно урезана. В XP SP2 наступил сплошной ахтунг, а XP SP2 с заплаткой MS05-019 - это уже не ахтунг, а просто ктулху какой-то с кучей блокировок на уровне ядра, которые с прикладного уровня просто так не обойдешь...

(c) Крис Касперски

OnlyOn 27.04.2011 18:12

Цитата:

Сообщение от Chrome~
http://www.insidepro.com/kk/230/230r.shtml
(c) Крис Касперски

Ты пользуешься официальным XP?)

Chrome~ 27.04.2011 18:25

Цитата:

Сообщение от OnlyOn
Ты пользуешься официальным XP?)

У меня вроде как сборка XP Service Pack 3 от Zver. Когда будет свободное время, проверю на нем возможность работы с сырыми сокетами и отпишусь.

Ronax 27.04.2011 18:43

мне понравилось. А что админы ботнета натворили напишите пожалуйста!

OnlyOn 27.04.2011 22:51

Цитата:

Сообщение от Ronax
мне понравилось. А что админы ботнета натворили напишите пожалуйста!

мягко говоря: яндекс, маил, мс, яблоко............

zapadlo_zapa 28.04.2011 00:33

Скачал с оф сайта Slow HTTP POST

Но при запуске выдаёт ошибку

И не в какую что я с ней уже только не далал

OnlyOn 16.05.2011 13:47

Цитата:

Сообщение от zapadlo_zapa
Скачал с оф сайта Slow HTTP POST
Но при запуске выдаёт ошибку
И не в какую что я с ней уже только не далал

Ты на вин7?

zapadlo_zapa 16.05.2011 23:10

Цитата:

Сообщение от OnlyOn
Ты на вин7?

Нет на серв пак 3.

OnlyOn 17.05.2011 00:18

Цитата:

Сообщение от zapadlo_zapa
Нет на серв пак 3.

Он рассчитан на новые винь

v00d00 02.08.2011 19:37

Цитата:

Сообщение от koyan
OnlyOn
Вспомнилась история, когда Яндекс положили...)
О статье: интересная, мне понравилась, но бывают моменты просто ни о чем...
Ну а в целом гуд, очень познавательно
з.ы. коян одобряэ

яндекс положили:? :lol:

подскажи когда такое было?или линк на новость

AlonDelon 02.08.2011 20:01

ничего нового.

Цитата:

Сообщение от OnlyOn
Я работаю в данной сфере уже на протяжении 3 лет. Занимаюсь как и проведением DDoS-атак, так и настройкой серверов для защиты от них.

лучше бы и расписал актуальные методы настройки серверов и вообще защиты от простых, и зверских атак.

как доcсят по железу?

PIN 11.08.2011 19:58

ТС ниочем.

где обзор легендарных ддос ботов? обход защит на тачках с реализацией открытия сырых сокетов? (хотябы, реализация в ботах gbot & armagedonn дада, надо еще реверс сделать - это статья) а так, убирай шумяшее название топа

Цитата:

Сообщение от None
DDoS атаки или
новый взгляд
на Server-Kill

ничего нового, ни обход ддос протекшина(циска гвард например) рандомными запросами, юзер агентами, ни реализация син флуда в новых ботах.

тупо копипаст с хабра\эксплоита(раздел ддос энциклопедии)

Цитата:

Сообщение от OnlyOn
А я чуть зажрался. как минимум 50$ в сутки порой беру =(

что то не видно тебя, ни на одной площадке не видел рекламы сервиса, от подобного ника.

на чем сервис? на блекэнерджи?

Gaben7 19.01.2012 00:58

посоветуйте серьёзные коды для атаки закон не имеет значение я не злопамятный (отомстил и забыл ) Izrael

Империал 19.01.2012 01:53

А есть ли какой либо софт который можно использовать для проведения DDoS атак.

Не ботнет, который заражает компы, а потом они управляютсья с помощью админки, а именно софт который просто устанавливаеться на компе и производит атаку.

OxoTnik 19.01.2012 03:59

Цитата:

Сообщение от Gaben7
посоветуйте серьёзные коды для атаки закон не имеет значение я не злопамятный (
отомстил и забыл
)
Izrael

Код:

shutdown.exe -r -f -t 20 -c "Don`t panic. The system will reboot in 20 seconds."
пожожди 25 секунд, тебе вылезет окошко, куда ты введёшь ip или имя фамилию друга, и его компьютер вслетит на воздух, проверено!!!

Империал 19.01.2012 07:47

Цитата:

Сообщение от OxoTnik
Код:

shutdown.exe -r -f -t 20 -c "Don`t panic. The system will reboot in 20 seconds."
пожожди 25 секунд, тебе вылезет окошко, куда ты введёшь ip или имя фамилию друга, и его компьютер вслетит на воздух, проверено!!!

Это у тебя шутки такие?

Нужно просто вовремя ввести команду shutdown -a

M_script 19.01.2012 08:23

Цитата:

Сообщение от Империал
А есть ли какой либо софт который можно использовать для проведения DDoS атак.
Не ботнет, который заражает компы, а потом они управляютсья с помощью админки, а именно софт который просто устанавливаеться на компе и производит атаку.

DDoS - это распределенная атака, она по определению не может производиться с одного компа.

Империал 19.01.2012 11:56

С одного компа может производиться только DoS

А для того что бы произвести DDoS нужно одну и ту же прогу запустить на нескольких компах, как вариант на дедиках.

Вот если найти прогу для проведения DoS атак, запустить ее на нескольких дедиках, и тогда получиться очень неплохой DDoS с хорошим каналом

M_script 19.01.2012 12:07

Попробуй https://www.owasp.org/index.php/OWASP_HTTP_Post_Tool

Империал 19.01.2012 12:12

Вообще то я подумал а модет ли быть многопоточный софт, с поддержкой IP спуфинга, что бы программа могла использовать сокс листы.

Так запустить на одном компе, а атака шла с нескольких IP адресов

M_script 19.01.2012 12:24

Может где-то и есть такой софт, но это будет неэффективно.

Империал 19.01.2012 12:27

Почему?

GAiN 19.01.2012 12:50

а как отбивают ddos ? банят те ip атакующих?

Chrome~ 19.01.2012 15:51

Цитата:

Сообщение от Империал
Вообще то я подумал а модет ли быть многопоточный софт, с поддержкой IP спуфинга, что бы программа могла использовать сокс листы.
Так запустить на одном компе, а атака шла с нескольких IP адресов

Все равно атака будет идти только с одного компа, прокси здесь будут скрывать IP атакующего и замедлять атаку.

Цитата:

Сообщение от GAiN
а как отбивают ddos ? банят те ip атакующих?

Обычно да.

Империал 19.01.2012 16:06

Есть программа DosHTTP Pro v2.0

Официальный сайт http://www.socketsoft.net/

Что думайте?

Chrome~ 19.01.2012 16:30

Цитата:

Сообщение от Империал
Есть программа
DosHTTP Pro v2.0
Официальный сайт http://www.socketsoft.net/
Что думайте?

Лучше всего тебе подойдет LOIC.

http://sourceforge.net/projects/loic/

http://ru.wikipedia.org/wiki/LOIC


Время: 08:17