Типичные методы распространения DDOS

Discussion in 'AntiDDos - АнтиДДОС' started by ReduKToR, 24 Aug 2009.

  1. ReduKToR

    ReduKToR Active Member

    Joined:
    5 Jan 2009
    Messages:
    257
    Likes Received:
    179
    Reputations:
    4
    В этой статье я хочу рассмотреть типичные методы распространения DDOS, обсудить причины и сделать заключение о том, как можно предотвратить распространение DDOS ботов и выйти на их владельцев

    Классическое распространение DDOS ботов происходит постоянно, в автоматизированном или даже можно сказать, автоматическом режиме, без непосредственного вмешательства владельца. Инструментом служит тот-же самый ботнет.

    Все начинается с того, что обычный пользователь заходит на инфицированный сайт. Причиной может стать спам рассылка по email или icq, но чаще всего это сайт adult направленности, который привлекает любителей «клубнички», а в это время заражает компьютеры посетителей.

    Почему сайт стал инфицированным? Этому может быть несколько причин, наиболее обыденные из которых – воровство ftp доступа к сайту и последующее его заражение, использование уязвимости в правах файловой системы виртуального хостинга для заражения «соседей», и вебмастера, клюнувшие на предложение разместить у себя на сайте «безвредный iframe».

    Почему компьютер пользователя заразился? Как правило зараженные компьютеры работают под взломанной MS Windows, на которую, по причине взлома, обновления не устанавливаются, а антивирусные программы, если и есть, то не могут распознать специально написанные программы «загрузчики», которые не несут в себе никакой угрозы, срабатывают не всегда, тем самым обманывая эвристический анализ, и служат для загрузки остальных частей DDOS бота.

    Программа начинает закачивать части, которые могут выполнять следующие действия, которыми конечно, весь список возможностей не ограничивается:
    ожидание команды от координатора DDOS
    воровство emqil адресов, паролей от ftp доступов, сохраненных на компьютере пользователя
    рассылка спама по icq листу контактов и списку email, якобы от имени пользователя
    инфицирование сайтов при загрузке файлов на ftp (на компьютере пользователя все выглядит чисто, а на хостинге уже лежат инфицированные страницы)

    Таким образом, зараженный компьютер уже выступает не только как пассивная зомби-машина, ожидающая команды, но еще может выполнять автономные действия, которые ведут к дальнейшему распространению ботнета.

    Получив в свое распоряжение несколько тысяч, а то и десятков тысяч зараженных зомби-машин, владелец может управлять ими через координатор DDOS атак. Координатор представляет собой несложный PHP скрипт, который связан с базой данных IP адресов и открывает для владельца форму, где можно указать сайт и тип атаки.

    Скрипт начинает посылать запросы ботнету и «пробуждает» его для атаки на сайт. При этом владелец больше себя никак не проявляет. В некоторых случаях, ботнеты сами могут периодически запрашивать у координаторов какие действия им нужно предпринять. Например BlackEnergy именно так и поступает, посылая POST запросы файлу stat.php

    Компьютеры пользователей, выступающие в роли DDOS ботов начинают постоянно обращаться к атакуемому сайту. Если при обычной посещаемости на сайт идет 5-10 запросов в секунду, то ботнет поднимает эту частоту в несколько порядков и сервер не может их всех обработать. Заказчик атаки получил желаемое – сделал сайт недоступным.
    Ситуация с атакой еще усугубляется тем, что DDOS бот может сделать так называемый time_wait запрос, который представляет собой соеденение с окном нулевого размера, который только держит соединение открытым, но информации не передает. Это позволяет атакующим забивать сервера, защищенные файрволом.
    Что же делать для предотвращения распространения ботнета?

    Пользователям – следить за обновлениями для свой ОС и антивируса, использовать менее уязвимый браузер -FireFox, Opera. Конечно, это легче написать, чем сделать, но тем не менее, может быть после прочтения этой заметки вы смените браузер.

    Хостинг провайдерам – более внимательно отслеживать логи запросов к сайтам, выявляя IP зомби-машин и владельца ботнета. Зараженные IP отсылать к ISP провайдерам, а IP владельцев – в соответствующие организации. При этом все должно быть максимально унифицировано, автоматизированно и безбумажно.

    ISP провайдерам и организациям по борьбе с к интернет-терроризмом – размещать на сайте формы, куда можно внести жалобы на IP адреса, замешанные в DDOS атаках

    В следующей статье я напишу о том, как можно защитить сервер самому от DDOS атаки среднего уровня.

    взято с hostinghelp.biz​


    пс....всетаки относится к антиддосу
     
    4 people like this.
  2. POS_troi

    POS_troi Elder - Старейшина

    Joined:
    1 Dec 2006
    Messages:
    1,569
    Likes Received:
    466
    Reputations:
    108
    ты или переименуй статью/цикл статей или пиши уже конкретно "Вычисляем DDos"ера"

    теории везде навалом.
     
  3. ReduKToR

    ReduKToR Active Member

    Joined:
    5 Jan 2009
    Messages:
    257
    Likes Received:
    179
    Reputations:
    4
    Сорь.....чет я намудил.....спс за комент
     
  4. HakaR

    HakaR Active Member

    Joined:
    23 Jul 2009
    Messages:
    301
    Likes Received:
    200
    Reputations:
    3
    Интересно, есть ли какой нибудь реально работающий способ отразить DDoS атаку???
     
  5. =Zeus=

    =Zeus= Member

    Joined:
    10 Aug 2009
    Messages:
    213
    Likes Received:
    54
    Reputations:
    5
    Это как? Что за окно нулевого размера? Обьясните пожалуйста.
     
  6. CX78

    CX78 Elder - Старейшина

    Joined:
    24 May 2008
    Messages:
    48
    Likes Received:
    6
    Reputations:
    0
    Для того, чтобы передающая сторона не отправляла данные интенсивнее, чем их может обработать приемник, существуют средства управления потоками- окна.
    Если приемник указал нулевой размер окна, то передача данных в направлении этого узла не происходит, до тех пор пока приемник не сообщит о большем размере окна.
     
  7. =Zeus=

    =Zeus= Member

    Joined:
    10 Aug 2009
    Messages:
    213
    Likes Received:
    54
    Reputations:
    5
    Тоесть передача данных не происходит, но сервер тратит ресурсы на поддержание соединения? Я правильно понял?
     
  8. CX78

    CX78 Elder - Старейшина

    Joined:
    24 May 2008
    Messages:
    48
    Likes Received:
    6
    Reputations:
    0
    Да, резервируя размер буфера под прием.
     
    1 person likes this.
  9. freelsd

    freelsd Elder - Старейшина

    Joined:
    25 Oct 2007
    Messages:
    108
    Likes Received:
    25
    Reputations:
    10
    ТЫ потратил 1 минуту времени большинства пользователей АЧ.
     
  10. !TNK!

    !TNK! Member

    Joined:
    13 Dec 2008
    Messages:
    50
    Likes Received:
    56
    Reputations:
    0
    опять на ip ali :D
     
  11. ReduKToR

    ReduKToR Active Member

    Joined:
    5 Jan 2009
    Messages:
    257
    Likes Received:
    179
    Reputations:
    4
    я уже просил модератора переименовать тему...... ждемс....
     
  12. Morgan-007

    Morgan-007 New Member

    Joined:
    15 Nov 2009
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    статейка мне понравилась)
     
  13. Radiator

    Radiator Active Member

    Joined:
    17 Mar 2009
    Messages:
    394
    Likes Received:
    143
    Reputations:
    24
    спасибо за статью
     
  14. [Dead]Demon

    [Dead]Demon Member

    Joined:
    7 Oct 2009
    Messages:
    60
    Likes Received:
    8
    Reputations:
    5
    спасибо за статью
     
  15. Le_Comte

    Le_Comte Member

    Joined:
    2 Aug 2009
    Messages:
    14
    Likes Received:
    9
    Reputations:
    5
    Ничего нового не узнал, но новичкам полезно будет.
     
  16. Life7

    Life7 Banned

    Joined:
    14 Jun 2009
    Messages:
    150
    Likes Received:
    54
    Reputations:
    0
    теоретически только можно.......
     
  17. DdoNbAsS

    DdoNbAsS New Member

    Joined:
    6 Apr 2010
    Messages:
    22
    Likes Received:
    3
    Reputations:
    0
    Спасибо Очень полезно.