Авторские статьи DDoS атаки или новый взгляд на Server-Kill

Discussion in 'Статьи' started by OnlyOn, 26 Apr 2011.

  1. OnlyOn

    OnlyOn Banned

    Joined:
    18 Oct 2010
    Messages:
    252
    Likes Received:
    89
    Reputations:
    36
    [​IMG]
    В данной статье я не буду открывать велосипед!
    Я знаю что запрещена тематика DDoS-атак, но если внимательно прочитать статью, то можно понять что я призываю к ответственности за поступки, а не к организации данных атак.
    Я постараюсь описать то, что обычно в мануалах упускается

    [Enter]​


    О DDoS-атаках пожалуй слышал каждый кто каким либо образом связывают свою жизнь с интернетом как с бизнесом или как с местом развития бизнеса.
    Уже не раз писались статьи что такое DDoS-атаки, где они используются и какие разновидности существуют. Я лишь постараюсь дополнить упущенные моменты =)

    Вспомним: DoS (Denial of service) - отказ в обслуживании. Как вы понимаете - данные термин определяет той или иной сбой в системе. Классическим примером является сервер, на котором размещен сайт. Если начинается DDoS-атака на данный сайт - вероятнее всего, что при отсутствии защиты со стороны сервера (в частности безобидности сисадмина) - сайт ляжет (точнее сервер на котором он стоит или же бывает что модули типа ngnix, apache или панели ISP перерезают доступ к определенному сайту спасая при этом сервер).

    Если покопаться в истории, то мы узнаем что DoS раньше использовался сисадминами для проверки "прочности" своих серверов, но попав данная идея в руки РУССКИХ хакеров - весь мир тут-же обзавелся ботнетами и теперь мы можем увидеть сотни предложений за скромненькие суммы убить сайты конкурентов и так далее.


    [It just...DDoS?]​


    Атаки DoS делятся на 2 основных типа:
    1) Использование уязвимостей в веб-сервере или определенном скрипте, что в большинстве случаев вызывает зависание в последствии переполнения буфера или не правильной обработки каким-либо модулем запроса.
    Ярким примером есть PHP-include и бездарная настройка связки apache + php при которой тяжеловесный цикл вызовет зависание сервера.

    Спасением будет лишь перезагрузка сервера.

    2) Забивание канала или HTTP-get атаки.
    Об этом способе довольно таки много чего рассказано. Я лишь хочу выделить несколько моментов:
    Во-первых для каждого сервера подбирается свой тип атаки:
    Что касается древних времен, то думаю все имевшие с этим дело помнять программу sprut =)
    Эта программа выполнялась на одном компьютере посылая на сервер кучу запросов. Ее преимуществом на то время было в том, что о защите от DDoS никто и не думал, потому убить сайт было проще всего.


    Поподробнее о syn:

    Наиболее простым способом проведения DoS-атак является SYN-наводнение. Происходит это по следующей схеме. Атакующий компьютер посылает SYN-пакет жертве и, соответственно, получает обратно SYN/ACK-пакет. Если атакующий подтвердит ACK-пакетом факт получения ответа, то машины посчитают, что соединение установлено. Однако если атакующий не будет подтверждать этот факт, а продолжит постоянно передавать SYN-пакет на соединение, то запись о незавершенной процедуре подключения будет добавлена в буфер жертвы до истечения тайм-аута ответа. Когда в буфере накопится достаточное количество запросов, произойдет переполнение. После этого жертва перестанет отвечать на пользовательские запросы. Вот, собственно, и вся схема атаки. Чтобы не быть голословным, приведу пример заголовка пакета при данной атаке:

    Аналогичные примеры разбросаны по всему Интернету, поэтому я не удивлюсь, если ты его уже где-то встречал или же постил сам. Обрати внимание на fragment_off, то есть на смещение фрагмента. В некоторых случаях использование длинных пакетов с большой фрагментацией дает желаемый результат намного быстрее приведенного метода.

    Вот еще хороший пример нашей атаки. Нам потребуются, как минимум, два компьютера :). Мы посылаем пакет на порт 7 (echo) атакуемого хоста. При этом надо подменить адрес отправителя (кстати, об этом позже), который будет указывать у нас на порт 19 (chargen) другого хоста. Между двумя хостами произойдет процесс передачи информации постоянным потоком. То есть пакет, как феерический заяц-забегаец, начнет прыгать от одного хоста к другому, переключая все внимание серверов на себя. Таким образом, они буквально забомбят себя до состояния вантуза. Как итог — отказ в обслуживании.


    Slow HTTP Post

    Совсем недавно был открыт новый метод DoS, который практически сделал революцию в многолетнем стаже DDoS атак как классических.
    Чтобы понять суть данного метода стоит всего лишь вдуматся в его название: медленный HTTP пост-запрос.
    На практике это выглядит следующим образом: Клиент передает серверу "Content-Length", а после удачного запроса начинает ОЧЕНЬ медленно передавать сам post-запрос. При этом на сервере потребляется большое количество ресурсов что в конечном итоге приводит к зависанию.
    Имеется ввиду что для 1 такого запроса требуется намного больше времени. Если организовать ботнет, то в теории получится смесь http-get и syn флуда.
    Подробнее на хабре

    [Happy End?]​

    Вот такие вот мы теперь крутые, можем устроить свой DDoS, да и вообще все замечательно. Однако не следует забывать, что повесить яндекс с диалапа не так просто, как кажется на первый взгляд. В принципе, можешь попытаться. Умные люди для этих целей используют свои армии затрояненных машин - DDoS ботнеты.

    Еще не конец!

    Всего, конечно же, не опишешь, однако я хотел рассказать про самую суть, чтобы ты узрел, наконец, в корень проблемы, а не в стебель конопли. Как видишь, нет ничего сверхсложного в технологии DDoS. Написать своего DDoS-бота можешь даже ты. Другое дело, что люди в погонах тебе спасибо не скажут, но это уже дело твое.


    И в итоге:

    Хотелось бы "внедрить" Вам лишь одно: Я работаю в данной сфере уже на протяжении 3 лет. Занимаюсь как и проведением DDoS-атак, так и настройкой серверов для защиты от них.
    Но за это время я для себя выделил 3 вещи:
    1) Не существует защиты, которая могла бы одолеть КАЧЕСТВЕННУЮ DDoS-атаку. Все зависит от Ваших рук и мозгов. Если ВЫ не настроете сервер качественно, то конец будет довольно печальным.
    2) Не существует бота, который мог бы обойти умного сисадмина.
    3) Нужно делать все во благо) Лично я беру заказы на DDoS лишь если там сайты с легальными наркотиками, педофилами и прочей нечестью.
    Я даже, бывает, за бесплатно DDoS'ю некоторое время, пока не появится другой заказ.

    Так что дорогие! Живите правильно, думайте умно и не забывайте 7 раз отмерять и 1 раз настроить.

    Всем удачи!
    Спасибо за внимание =)
    С Вами был IsteriQ (OnlyOn)


    [UPDATE]​

    Прошу прощения!
    Когда делал шапку для статьи, хотел написать как в теории можно было бы завалить дата-центр google с помощю одного DDoS-зомби.

    Так вот:
    Если принять во внимание что у google есть свой дата-центр, который оснащен явно мощными серверами и причем в больших количествах, то выводы о анти-ддосе и канале напрашиваются сами по себе.
    Как я описывал выше, единственным выходом остается забить канал.
    Канал google примерно 1тБайт/с (Не путать с Бит).
    Если взять во внимание что к ПОИСКОВОЙ системе google постоянно обращается народ, то в запасе остается примерно 100 гБайт/c.

    Теоритично можно запустить syn, icmp, udp флуд с таким траффиком и google загнется.
    Но если все таки подумать головой, то проще организовать ботнет:
    1 средняя машина зомби имеет канал 512кбайт/c.
    100гБайт * 1024 * 1024 / 512 = 204800 машин.
    Что в современном мире является огромнейшим ботнетом!
    За историю 21 века известно всего 3 ботнета что по мощности равнялись выше указаным размерам, но только 1 из них был заточен под DDoS (Те кто знают что админы ботнета натворили - поймут о чем я).

    В любом случае в планетарных масштабах все очень просто, а вот с организацией будет сложновато.
     
    #1 OnlyOn, 26 Apr 2011
    Last edited: 27 Apr 2011
    3 people like this.
  2. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Про "Slow HTTP POST" забыл написать (OWASP 2010 Application Security Conference)
     
  3. koyan

    koyan Member

    Joined:
    10 Jun 2010
    Messages:
    61
    Likes Received:
    14
    Reputations:
    5
    OnlyOn
    Вспомнилась история, когда Яндекс положили...)
    О статье: интересная, мне понравилась, но бывают моменты просто ни о чем...
    Ну а в целом гуд, очень познавательно :)
    з.ы. коян одобряэ :D
     
  4. OnlyOn

    OnlyOn Banned

    Joined:
    18 Oct 2010
    Messages:
    252
    Likes Received:
    89
    Reputations:
    36
    давай по чуточке уходить из этой темы, а то модераторы по **** надают.

    Удаляем все посты кроме первых.

    А я чуть зажрался. как минимум 50$ в сутки порой беру =(
     
  5. koyan

    koyan Member

    Joined:
    10 Jun 2010
    Messages:
    61
    Likes Received:
    14
    Reputations:
    5
    тоже хочу :D
     
  6. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    Статья не о чем
    DDoS атаки или новый взгляд на Server-Kill
    Ничего нового не увидел

    P.S. Уровень ачата падает в геометрической прогрессии
     
  7. Chrome~

    Chrome~ Elder - Старейшина

    Joined:
    13 Dec 2008
    Messages:
    936
    Likes Received:
    162
    Reputations:
    27
    А по-моему как раз таки изобрели очередной велосипед и тему статьи не раскрыли полностью. Вы не описали здесь никаких особенных и эффективных схем атаки, о slow http post дали только ссылку на хабру, а часть статьи о syn флуде вообще скопирована из журнала "Хакер" за 2006 год (не велосипед ли?). Можно было также написать, что syn флуд на данный момент не являеться эффективным, его реализация может вызвать некоторые трудности, так как, например, Windows XP Service Pack 3 не поддерживает работу с "сырыми" сокетами.
    За 2 мс. успеет кто-нибудь ответить?
    В статье не написано о новом взгляде на Server-Kill, лично мое мнение.
     
  8. OnlyOn

    OnlyOn Banned

    Joined:
    18 Oct 2010
    Messages:
    252
    Likes Received:
    89
    Reputations:
    36
    server-kill - DDoS-attack. успеет если сайт для локальной сети. ты часто встречаешь хостинги на винде чтобы назвать син не еффективным?
     
  9. OnlyOn

    OnlyOn Banned

    Joined:
    18 Oct 2010
    Messages:
    252
    Likes Received:
    89
    Reputations:
    36
    кому как. уж простите. вечером дополню статью примерами настройки ботнетов
     
  10. SHYLLER

    SHYLLER Elder - Старейшина

    Joined:
    10 Mar 2006
    Messages:
    30
    Likes Received:
    6
    Reputations:
    0
    Почитал, довольно интересно но мало нового(
     
  11. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Ну что можно сказать, ТС меня сильно огорчил.
    Единственное, интересно было прочитать про SYN флуд.

    Либо расписать всё, либо самое основное, но никак не так.
     
  12. OnlyOn

    OnlyOn Banned

    Joined:
    18 Oct 2010
    Messages:
    252
    Likes Received:
    89
    Reputations:
    36
    Какие Вы все добрые.

    Вечером допишу статью о ботах и их х-ках
     
  13. Chrome~

    Chrome~ Elder - Старейшина

    Joined:
    13 Dec 2008
    Messages:
    936
    Likes Received:
    162
    Reputations:
    27
    Чувак, ты между строк читаешь чтоли?
    Я же написал:
    Реализация может вызвать трудности, потому что почти все боты на Windows! Про хостинги я вообще ничего не написал.
     
  14. OnlyOn

    OnlyOn Banned

    Joined:
    18 Oct 2010
    Messages:
    252
    Likes Received:
    89
    Reputations:
    36
    Прошу прощения за недопонимание, но мне кажется что я либо ничего в этой жизни не понимаю или же ты ошибаешся.

    "Сырые пакеты" - это программный метод передачи syn.
    У меня 80% ботнета на винде и все отлично работает
     
  15. Chrome~

    Chrome~ Elder - Старейшина

    Joined:
    13 Dec 2008
    Messages:
    936
    Likes Received:
    162
    Reputations:
    27
    http://www.insidepro.com/kk/230/230r.shtml
    (c) Крис Касперски
     
    1 person likes this.
  16. OnlyOn

    OnlyOn Banned

    Joined:
    18 Oct 2010
    Messages:
    252
    Likes Received:
    89
    Reputations:
    36
    Ты пользуешься официальным XP?)
     
  17. Chrome~

    Chrome~ Elder - Старейшина

    Joined:
    13 Dec 2008
    Messages:
    936
    Likes Received:
    162
    Reputations:
    27
    У меня вроде как сборка XP Service Pack 3 от Zver. Когда будет свободное время, проверю на нем возможность работы с сырыми сокетами и отпишусь.
     
  18. Ronax

    Ronax New Member

    Joined:
    22 Apr 2011
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    мне понравилось. А что админы ботнета натворили напишите пожалуйста!
     
  19. OnlyOn

    OnlyOn Banned

    Joined:
    18 Oct 2010
    Messages:
    252
    Likes Received:
    89
    Reputations:
    36
    мягко говоря: яндекс, маил, мс, яблоко............
     
  20. zapadlo_zapa

    zapadlo_zapa Banned

    Joined:
    18 Nov 2010
    Messages:
    30
    Likes Received:
    0
    Reputations:
    0
    Скачал с оф сайта Slow HTTP POST
    Но при запуске выдаёт ошибку :(
    И не в какую что я с ней уже только не далал :(