DDoS TORа и бан дескриптора на нодах

[Dread Pirate Roberts]

когда блек кэт тор домен угнали показывало то их сайт, то фбр.
может есть вариант запустить на нескольких серверах сайтик с одним P KEY
так сделать распределение нагрузки некое?

скорее всего так и делается антидудос - поднимается один хостнейм на куче серверов, потом трафик с этих серверов собирается на один (или более) лоадбалансер(ов), и с него(них) идёт на один(или более) бэкенд(ов)

 

[7teen]

Да, но у меня нет например 5 терабит в секунду, от которых загнется любой IP в любой AS (в клирнете), а у некоторых есть. С тобой это обсуждалось, но многие здесь не знают в чем соль. Поясняю:

1. Челик предлагает защиту на базе кастомных JS, под которые нет обходов ни у кого вообще, поскольку это малоизвестный скажем так сервис по защите от дудоса, который ни кто нихуя не знает.
2. По его же заявлению он может менять JS челленджи хоть каждые пол часа, соответственно даже если написать обход для одного челледжа - он выкатит тут же другой, и так по кругу. Такие маневры возможны когда у тебя небольшая база клиентов, а когда у тебя будут тысячи и десятки тысяч клиентов - такие маневры будут нереальны, по многим причинам, одна из которых - хуевая конверсия, из-за чего можно потерять огромное количество клиентов. Поэтому у многих антидудосилок популярных - один челлендж который они обновляют/меняют дай бог раз в год.
3. Если у него будет стабильно 1-3 челленджа которые не меняются и будет высокий спрос на ддос сайтов находящихся у него под защитой - этим челленджам пизда, напишут хуеву тучу методов байпасса, как под CloudFlare, ddos-guard.net и прочие.
4. Сейчас его антидудос держится на двух столпах: первый - он малоизвестен и нет спроса на атаки сайтов которые у него защищаются, второй (прямо коррелирует с первым) - он быстро меняет челленджи, пока ты напишешь обход под один из них - он выкатит еще 5 заготовок. Оба этих столпа будут постепенно разрушены как только у него начнется сильный рост клиентуры.
5. Новый рекорд атаки по L4 - 5 TBPS, и это не амп, это ботнет. По L4 если такая хуевина заглянет к тебе - ничего кроме нуллрута тебя не ждет, где бы ты не хостился, попросту ни одной антидудос конторе нерентабельно тебя защищать за условные $500 в месяц, когда им выливают такой объем трафика который стоит в сотни раз дороже твоего тарифа.


Это не так. Весь 23 год были запросы на атаку меги, соляриса, рутора. Деньги большие, до $30k в сутки предлагали например за мегу, за солярис до $1m за месяц даунтайма, разумеется не только мне. Ну и хули? Ни кто их так и не ебнул. Если было бы все так просто то этих всех нарко-площадок не существовало бы, потому что их заебали бы атаками с вымогательствами все кому не лень, поскольку бабки там крутятся такие, что любой рансом курит в сторонке, торчки со всего СНГ ежеденевно миллионы баксов загоняют на эти площадки.

1. Верно, каждая защита это кастомная проверка и не должна копировать другую какую-либо из проверок браузера
2. Верно, могу, потому что это делается легко и удобно (в моём случае), как в случае ддг или клоуда не знаю, возможно там всё куда сложнее и труднее сделано, от того и проблемы внедрить для одиночного клиента какой-то прикол с защитой
3. Первый челленедж не менялся 2 года (версия V2), никто за 2 года не написал байпасса (не знаю почему) и в новой версии v3 новый байпас, который просто работает быстрее чем V2 (в браузере), а фундаментальных отличий как таковых нет
4. Дак вот именно что, никто не будет писать байпасы, потому что защита это не только JS в браузере
5. 5тбит ты не сможешь лить куда угодно и без ограничений, потому что такие ботнеты сразу же косятся трехбуквенными организациями. Ни один апстрим у кого 1тбит+ каналы держать не будет этот траффик и сам его порежет у себя (ему так выгоднее будет, чем лежало бы всё)

Ну, а вообще исходя из вышесказанного можно подтвердить только то что реально сложно сложить кастом, а не общедоступное решение которое байпасят все на каждом стрессере и падают от высокого rps )) Ну это ведь так...

 

[7teen]

скорее всего так и делается антидудос - поднимается один хостнейм на куче серверов, потом трафик с этих серверов собирается на один (или более) лоадбалансер(ов), и с него(них) идёт на один(или более) бэкенд(ов)

ТС об этом и говорил методе, но блокается сам домен на уровне выше его HiddenService, то есть за рамками его досягаемости (тса).

 

[c0d3x]

5. 5тбит ты не сможешь лить куда угодно и без ограничений, потому что такие ботнеты сразу же косятся трехбуквенными организациями. Ни один апстрим у кого 1тбит+ каналы держать не будет этот траффик и сам его порежет у себя (ему так выгоднее будет, чем лежало бы всё)

Да ладно, поливают из этого шланга уже 2 месяца, ни какие организации ни кого не косят. 4.8 TBPS средний поток, 5.1 максимально доходило.

 

[7teen]

Да ладно, поливают из этого шланга уже 2 месяца, ни какие организации ни кого не косят. 4.8 TBPS средний поток, 5.1 максимально доходило.

По сколько минут? Часами льют? Или так, пульнули 100 сек и отпустили

 

[c0d3x]

По сколько минут? Часами льют? Или так, пульнули 100 сек и отпустили

600 секунд потолок, поскольку в процессе до +-30% ботов отваливается (это нормально в таких ботнетах), во вторых достаточно и 2-3 минут что-бы занулить таргет.

5тбит ты не сможешь лить куда угодно и без ограничений

Да льют куда угодно, я и сам поливал и .mil и .gov, и нихуя ничего не происходит, годами. Максимум домен сдохнет, это не проблема. Нейтрализацией таких ботнетов начинают заниматься только после резонанса, поэтому аккуратнее надо работать, по минимуму внимания привлекать к себе, не класть всякие амазоны, твиттеры и прочую популярную пиздоту которую юзают сотни тысяч и миллионы, сразу все СМИ выть начнут.

 

[gliderexpert]

Торовский POW , побрякушка для лохов, толку с него ноль

Нет, не ноль - он действительно блокирует дескрипторы и уменьшает нагрузку на бекенд.
Можно например иметь один бекенд и несколько фронтендов с включенным PoW. ДДОС на один фронтенд/зеркало не положит канал бекенду. Остальные адреса/фронтенды (у который другой закрытый ключ) продолжат работать.
В этом смысл PoW - но, к сожалению - его применение эффективно далеко не для всех задач.

 

[Dart]

gliderexpert, спасибо за исследования. слышали что-то про ipfs? идельная основа для фо, как мне кажется

 

[gliderexpert]

gliderexpert, спасибо за исследования. слышали что-то про ipfs? идельная основа для фо, как мне кажется

Слышал. Не люблю экзотические решения.

 

[Xowak]

Похоже что правильное решение - это Onionbalance с выключенным PoW, но фронтенд его должен работать на быстром канале и отдавать дудосеру какой-нибудь очень "легкий" ответ, чтобы не загружать основной сервер по трафику и запросам. Т.к. фронтенд онионбаланса однопоточный

То есть выходит, что в итоге весь трафик "сходится" на фронтенд на однопоточный процесс..
Бэкенды берут на себя часть работы, чтобы фронтенду было полегче, но узкое место всеравно на фронтенде: забиваем ему канал, и аля-улю, сервис недоступен.
Окей, включаем PoW, отваливаются бэкенды, но легчает фронтенду. Нагрузка перераспределяется по бэкендам, она растет на каждый из оставшихся и они отваливаются, сервис недоступен.
Блин, а что изменилось? Разрабы преподносили pow как решение проблемы ддоса.
Цель дудосера достигнута - сервис лежит, никаких доп затрат он не понес.
С pow только владельцу сервиса чуть легче, у него сервер без нагрузки. Но и без посещений.

Но вот неожиданным стал тот факт, что в стандартном LEMP имеет место быть memleak - постоянное, неконтролируемое увеличение объема занятой ОЗУ

А точно утечка? Бд (да и многий софт) часть данных в память переносит (при ее наличии). Чего памяти пустовать? Когда память заполняется - аппетиты уменьшаются, или garbage collector какой ходит чистит. "Неконтролируемое" по мне - это когда основную память заполняет и в своп начинает падать.

root@server:~# uptime
 21:49:07 up 837 days,  3:20,  1 user,  load average: 0.05, 0.10, 0.16
root@server:~# free -m
              total        used        free      shared  buff/cache   available
Mem:          32016        5742         525          21       25748       25787
Swap:          8191           9        8182

ubuntu 22.04, nginx (2-3к посещений в сутки), mariadb (бд около 1гб правда всего), tor нода. Если бы текло - то за 800+ дней натекло бы уже..

 

[gliderexpert]

То есть выходит, что в итоге весь трафик "сходится" на фронтенд на однопоточный процесс..

Нет, этот однопоточный фронтенд онионбаланса занимается только обновлением дескрипторов в DHT, нагрузку от ддоса он не принимает.

Бэкенды берут на себя часть работы, чтобы фронтенду было полегче, но узкое место всеравно на фронтенде: забиваем ему канал, и аля-улю, сервис недоступен.

Нагрузка распределиться между нодами онионбаланса равномерно, но забит окажется канал lemp сервера на который эти ноды обращаются.
Поэтому обращаться они должны за каким-то очень легким js-челленджем или капчей. Что собственно и делает EndGame.
Изначальная идея всей этой темы по замыслу разрабов - размещать отдельные lemp-инстансы на каждой onionbalance ноде. Тогда нагрузка между ними перераспределиться абсолютно равномерно, но подходит это только для статического контента.

Окей, включаем PoW, отваливаются бэкенды, но легчает фронтенду. Нагрузка перераспределяется по бэкендам, она растет на каждый из оставшихся и они отваливаются, сервис недоступен.
Блин, а что изменилось? Разрабы преподносили pow как решение проблемы ддоса.

Это работает если есть зеркала onion адресов. Заддосили 1 зеркало - бекенд не лёг, и соседние зеркала продолжили работать.

Цель дудосера достигнута - сервис лежит, никаких доп затрат он не понес.
С pow только владельцу сервиса чуть легче, у него сервер без нагрузки. Но и без посещений.

Банится только тот онион адрес который ддосят. Остальные зеркала продолжают работать, в том числе клирнет адрес, если конечно он есть на бекенде.

А точно утечка? Бд (да и многий софт) часть данных в память переносит (при ее наличии). Чего памяти пустовать? Когда память заполняется - аппетиты уменьшаются, или garbage collector какой ходит чистит. "Неконтролируемое" по мне - это когда основную память заполняет и в своп начинает падать.

Не знаю, пока не разбирался с этим моментом. В бд сейчас всего 140 строк, вряд ли она 3 гига памяти сожрет. Скорее всего это или nginx или php-fpm, на днях посмотрю и отпишу в чем была проблема.

 

[Veil]

Как успехи? Тема очень интересная.

 

[gliderexpert]

Как успехи? Тема очень интересная.

Пока немного отвлёкся на запуск GITа, скоро продолжу эксперименты с анти-DDoS'ом.

 

[Veil]

Хорошие книги на файлообменнике. Отличная коллекция, часть себе скачал.

 

[Super Crypt]

Пока немного отвлёкся на запуск GITа, скоро продолжу эксперименты с анти-DDoS'ом.

Есть успехи?

 

[jaskolka]

Tor 0day: Crashing the Tor Network - The Hacker Factor Blog

По теме DDos на Tor и защиты от него