LINUX.ORG.RU
ФорумTalks

О DDoS на сегодняшний день! Что же делать? Касается и LOR

 , , ,


0

1

Многие задумывались какими методами DDoS'еры осуществляют атаки, и как защититься от подбных атак?

В этом я вам помогу. Я расскажу про современные Streser (Booter) и ботнеты, а также примеры сервисов, которые помогают защититься от подобных атак (нам важны не сами сервисы, ибо я не рекламирую, а сами принципы и тех. реализация этих сервисов).

Как вы уже наверное знаете, Stresser (или, как его еще называют, Booter) - это совершенно законное использование Linux Machine. Если набрать в гугле «Stresser» незнающему человеку, он может подумать что это простой ботнет, не легальный и т.д. Хочу вам уверенно сказать, и копнуть глубже, что Stresser не использует заражённые компьютеры. Что бы рассказать что такое стрессер, нам нужно вернуться на несколько лет назад и рассказать о Линуксе. Около 7 - 10 лет назад, самым популярным способом DDOS'a были только вышедшие в свет программы в виде Loic/Hoic.

Спустя время, шла аналитика работы Spoofing, появился первый Stresser/Booter. Spoofing - это подмена ip адрессов, которую можно использовать в DDoS. Самый первый стрессер я не могу точно сказать какой был... Но с виду это обычный сайт, а если заглянуть так же глубже, то можно узнать что при нажатии на кнопку «Stress Test» post запрос реагирует на php скрипт атаки, тем самым в php скрипте лежат данные от дедика на линуксе, а они обычно от 1gbps до 100gbps канал, и на самом линуксе, лежат файлы атаки udp.c syn.c и т.д. Разобрав исходники некоторых стрессеров, и поняв это, я решил вам всё это рассказать. Все статьи УК РФ (273, 272, 274) никак не влияют на стрессеры, так как они полностью легальны в использовании, ведь создавались они от для тестирования своего оборудования, а след. любой может сослаться на случайную ошибку при вводе не того IP-адреса.

Чаще всего, стрессеры используют следующие методы атаки: UDP/SSYN. Многие стрессера пишут методы UDP,SYN,SSYN,ESSYN,TCP,XSSYN и т.д. Методы они маскируют под те же простые UDP и SSYN, не важно каким вы ддосите, TCP, SYN, SSYN, xSSYN, ESSYN, всё равно DDOS будет по ack-syn в альтернативе tcp. так же поговорим о UDP. UDP такой как в ботнетах, юзает метод прямого коннекта udp никак не изменяемый. Что касается стрессеров, при ддосе UDP, используется коннекты - DNS, IP4V, ICMP. эти три метода никак не похожи на UDP. Хотя почему то администрация стрессеров утверждают обратное. Chargen так же иногда метод я встречал, этот метод максимум что может, выключить интернет кому либо, больше он не на что не способен, ICMP пакеты, сильные, но не выключают ничего. Так же в панелях начал появляться метод xmlrpc. этот метод очень эффективен для ддоса сайтов, обьясню как он работает (может что то не правильно, сам не до конца разобрался) Любой сайт на wordpress был использован для атаки с помощью этого метода, как он работает? В данном случае сайты генерируют поток запросов Layer 7. Каждый из них способен отправлять сотни тысяч запросов в секунду. Линукс коммандой или программой можно отправить пост запрос на php скрипт xmlrpc в любом сайте wordpress, где это не пофикшено ещё, исходника атаки у меня нет, но по моим сведениям, в запросе должен быть сайт на который идёт атака. Так вот, как же ддосит с него стрессер? Они собирают в кучу около 1000 - 100 000 веб сайтов на wordpress и делают гет коннекты к сайту который мы указали. get коннекты идут именно с тех сайтов которые стоят на word press. xml rpc работает на

Методы атак GET/POST/HEAD работают только на x-amp, и юзают как полагается прокси. на остальных панелях они не рабочие. Или на столько слабые, что эффекта от них 0. Самый слабый сайт который ложится от 2 раза нажатия F5 это http://swissbeatbox.com на нём тестируете свои GET методы. Так же на restricted stresser и anonymous stresser есть методы - ARME SLOWLORIS RUDY GHP GET/POST/HEAD SOURCE GET/POST/HEAD Как выяснилось, они просто хвастаются этими методами, но на самом деле у них нет скрипта атаки их даже. Я разговаривал с администрацией -

[01.08.2014 12:53:05] TheBear: All don't work layer 7 attack. SOURCE/GHP Arme,Slowloris and Rudy.
[01.08.2014 12:53:31] TheBear: If you read that they work, give any site on which it is possible to make attack from these methods
[01.08.2014 12:53:55] restricted stresser: Yeah this method don't work r.
[01.08.2014 12:54:02] restricted stresser: we don't have script

Многие сейчас ищут защиту от DDoS, и тут я наткнулися на DDOS GUARD. ddos guard работает как и cloud flare, но в отличии от cloud flare, его обходить куда сложнее, но сложно, не значит невозможно.Сейчас я расскажу множество способов атаки и защиты, и как можно защититься на сегодняшний день. А. DDOS GUARD. DDG прикрывает реальный ip своим прокси сервером. Допустим сайт zorgee.ru (не реклама). Их реальный ip - 94.75.244.167 То что защищает этот ip - 186.2.161.177 Защищает он хорошо, если не смотреть на уязвимость обхода и краша DDG. Как обойти DDG? - С помощью любого логгера IP, который позволит узнать реальный IP (например тот же iplogger.ru)

XML-RPC метод - Его может использовать каждый, у кого стоит Linux. По данным, для его использования, достаточно найти сайты с уязвимостью в xmlrpc файле, на движке wordpress.

Если Собирать около 300 - 700 сайтов, и с самих сайтов уже будут поступать GET методы с огромной скоростью, от этого DDOS GUARD и падает, сама прокси работает вместе с реальным ip адрессом, не работает и выключается сам домен. Б. Pro-Managet. Сервера стоят в том же дата центре что и DDOS GUARD. По этому убить его можно в точности так же. В.Cloud Flare. CF работает так же как и ddos guard, защищая реальный ip от атак в виде udp/tcp (не полностью). Если иметь ботнет или ntp сервер, так же как и linux сервер свыше 70gbps, то его можно убить методом ack-syn что имеет альтернативу tcp метода. и в отличии от ddos guard он защищает и от get и от xml-rpс методов атаки. Если включить в нём редиректинг, при заходе, они сначала коннектяться к прокси, а потом к сайту, это обойти сложно, и пока ещё никто не обошёл это. А прокси Cloud Flare саму, обойти легко. Иногда они не защищают конкретные ссылки к примеру есть сайт rp-gameworld.ru, у него не защищена ссылка mail.rp-gameworld.ru и там показывает реальный ip адресс (у него защищено всё, я просто показал пример) тем самым появились такие штуки как Cloud Flare Resolver которые чекают все ссылке.

Проведем аналитику сервисов защиты от DDoS.

Г.Qrator. Q. Простой гигабитный канал, у которого после 5 минут ддоса, включается фильтрация, и он не фильтрует опять же xml-rpc и get метод. Д.OVH. ОВХ на данный момент использует качетсвенную фильтрацию и проксирование, которую я встречал. Её обойти очень сложно. Некоторые, к примеру такие как bhf (не реклама) юзают ту же функцию проксирования ip, это обойти можно. Некоторые ботнеты бьют прямыми пакетами udp, способены положить любой сервер на ovh даже с 100 ботов.

Итак, собственно это всё, что я хотел вам рассказать. Теперь осталось качетсвенно защититься от этих самых распространенных и действенных методов атак, более того, атакующие почти не рискуют... Разве что, только те, которые написали сами ботнет, либо стрессер, ибо кто просто пользуется стрессеров, якобы для теста своего канала и т.п., то он не попадает под статьи..

Хорошо бы найти способ качественно фильтровать эти атаки. ЛОР, как я понял, пользует Qrator, однако он пропускает атаки. Переодические атаки на ЛОР тому подтверждение. Неужели сегодня нельзя никак качественно защититься от DDoS? Печально.

Ты лор с хабром перепутал.

Unnamed ★★ ()

Формально этому место в Admin, но там засмеют. Вообще простыня ни о чем, даже в ксакеп писали более грамотно.

leave ★★★★★ ()

Я могу это распарсить - но мне лень. И жаль тратить время на перевод «манной каши» в обычный русский язык.

Cyril ★★ ()

Что за школоло я сейчас прочитал?!

soomrack ★★★ ()
Ответ на: комментарий от bl

Больше на гуглобот похоже. Явно перевод с какого-то китайского.

Eddy_Em ☆☆☆☆☆ ()

Какой-то поток сознания. В качестве анти-ддос решения, там где оно нужно, использую вот этот платный сервис http://www.incapsula.com/ но он дороговат, хоть и аццки удобен.

Komintern ★★★★★ ()
Последнее исправление: Komintern (всего исправлений: 1 )

Мне это удалять как вызывающе невернцю информацию или как спам?

Shaman007 ★★★★★ ()

Разъяснение диванному аналитику: ЛОР защищается qrator'ом и атаки не пропускались. Если что, я вижу accesslog и по этому знаю лучше.

Shaman007 ★★★★★ ()
Ответ на: комментарий от Shaman007

Нет, у меня там никакого нет )) Клиенты в большинстве случаев одобряют предпоследний (Business+), т.к там есть поддержка кастомных SSL сертификатов, можно запиливать сертификат c EV, и они готовы платить эту сумму, чтобы забыть про DDOS и спать спокойно.

upd: хотя.. есть и энтерпрайз акаунт, да. с API и Load Balancing-ом.

Komintern ★★★★★ ()
Последнее исправление: Komintern (всего исправлений: 4 )
Ответ на: комментарий от Komintern

А какой там потолок по полосе и mpps? Как легитимную полосу биллят? Я из сайта не понял, но в то, что они 10Гб/с синфлуда примут за 300 баксов я не верю.

Shaman007 ★★★★★ ()
Ответ на: комментарий от Shaman007

да, там трафик выше какого-то порога оплачивается дополнительно. обьем сейчас не подскажу, может позже.

Komintern ★★★★★ ()
Ответ на: комментарий от garik_keghen

Кто-нибудь дочитал это?

Ага. Правда, примерно на середине мозг отключается и перестаёт критически воспринимать поступающую информацию. Это как по радио впаривают микстурки и аппараты от всех болезней. Также идёт потоком набор ключевых слов/фраз.

justAmoment ★★★★★ ()

А мне всегда было интересно зачем вообще DDoS'ят? Ну ладно когда конкуренты заказали. Это можно понять. А вот зачем атаковать ЛОР? Или любой другой похожий ресурс.

Loki13 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.