И так, решил написать свою первую тему и выбрал для этого данный форум.
Цель данной статьи не научить вас делать методы, а лишь объяснить как работает большинство атак
На данном форуме видел лишь ворованные статьи, так что думаю пойдет.
Термины которые я буду использовать
layer - OSI model
layer7/l7 - Application layer (сайт)
ddos - думаю знаете
bypass - обход защит
host/hostname/хост - домен сайта (google.com)
CloudFlare/клоудфлейр/кф - крупнейшая кампания по защите веб сайтов
запрос/рекьест/request - будем считать за "заход на сайт"
правила/rule/rules/рулы - Условия при которых пользователь будет допущен к сайту/заблокирован/получит капчу
Threat Score - Как cloudflare оценивает ваш запрос (0-100)
детект/detect - обнаружение
User Agent/юзерагент - Строка содержащая нформация о вашем браузере (название, версия, и устройство с которого он запущен)
headers/заголовки - Строки в HTTP запросе предназначенные для передачи каких либо опций
В данной теме в основном опишу про layer7 атаки
Начнем полностью с начала, а потом уже доберемся до всяких защит по типу CloudFlare
Изначально, заходя на сайт, сервер выполняет много операций по типу формирование ответа, чтения файла который вы запрашиваете, записи в логи и т.д
цель при атаке, эмулировать очень запросов на сайт. Далее веб сервер будет вынужден много раз выполнять действия описанные выше, в результате чего ему не хватит ресурсов. Сервер будет отвечать на "мусорные" запросы игнорируя реальных посетителей.
Обходы CloudFlare
Если не углубляться, то клоудфлейр имеет HTTP-DDoS (защита не заметная для пользователя), UaM (что то по типу Interactive Challenge, только может пропустить вас без клика(и Interactive Challenge (Та самая кнопка которую вы нажимаете для захода на сайт), и Custom Rules (Владелец сайта может сам добавлять правила)
Способы обхода HTTP-DDoS
он изучает большее количество информации о вашем запросе, например
TLS Fingerprint (ваши TLS настройки)
Ваши заголовки запроса
HTTP/2 Настройки
Ваш IP Адрес (ASN и Местоположение)
TLS Fingerprint: через Wireshark получают настройки TLS сокета от какого нибудь популярного браузера, например chrome
Заголовки запроса: так же через Wireshark могут получить список заголов от браузера. Так же могут добавлять какие нибудь свои заголовки для большего Threat Score
HTTP/2 Настройки: тут ничего сложного, так же используются дефолтные настройки браузеров полученные через Wireshark
Ваш IP Адрес: тут уже вариантов мало, использовать хорошие прокси
Так же, при написании методов нужно избегать идентификационных данных, по которым клоудфлейр может отличить ваши запросы от реальных пользователь (заголовки, path атаки, ip адреса (для этого и используются прокси) и т.д)
Я не думаю что кто то, прочитав данную статью тут же пойдет разрабывать свой собственный метод без использования различных библиотек для облегчения работы с запросами, так что сильно углублятся в работу HTTP/1.1, HTTP/2, Заголовков не буду
Что бы вы понимали как работает детект вашей атаки, приведу пару примеров
Заголовки: К примеру, если в вашем запросе ваш User-Agent равняется юзерагенту хрома то можно просмотреть наличие Заголовка "sec-ch-ua", это специальный заголовок от chrome браузера в котором хранится информация о вашем браузере. Так же, не все люди могут правильно заполнять все заголовки, где нибудь они могут совершить ошибку
Hostname: К примеру, раньше можно было задетектить много атак лишь потому что их заголовок Hostname содержит порт, пример (Hostname: google.com:443). На данный момент, если порт равен 443 то браузеры отправляют hostname без порта (Hostname: google.com)
Большинство детектов атак строится лишь на неправильных заголовках, настройках TLS/HTTP2
Способы обхода Interactive Challenge
В данный момент, мало кто способен обойти капчу от клоудфлейра не эмулируя реальный браузер.
Немного объяснений перед рассказом. При нажатие кнопки, CloudFlare запоминает ваш IP Адрес, браузер и выдает вам специальный куки (cf_clearance). При следующем запросе с данного айпи адреса, юзер агенты и с куки файлом клоудфлейр автоматически пропустит вас и не выдаст вам капчу
Поэтому самый популярный способ байпасса данной защиты это запуск реального браузера, и средствами автоматизации (Тем кто интересно, называется CDP, можете прочитать подробнее) переходят на сайт, нажимают на кнопку, ожидают завершения проверки и автоматически собирают данные о браузере который прошел капчу (Cookie, IP Адрес, Юзер Агент). Далее, данная информация передается в "модуль" флудера, который подделывает запросы браузера, в следствие чего не получает капчу
По поводу custom rules мне сказать нечего, так как там все отличается на каждом сайте
желаю удачи всем прочитавшим
Цель данной статьи не научить вас делать методы, а лишь объяснить как работает большинство атак
На данном форуме видел лишь ворованные статьи, так что думаю пойдет.
Термины которые я буду использовать
layer - OSI model
layer7/l7 - Application layer (сайт)
ddos - думаю знаете
bypass - обход защит
host/hostname/хост - домен сайта (google.com)
CloudFlare/клоудфлейр/кф - крупнейшая кампания по защите веб сайтов
запрос/рекьест/request - будем считать за "заход на сайт"
правила/rule/rules/рулы - Условия при которых пользователь будет допущен к сайту/заблокирован/получит капчу
Threat Score - Как cloudflare оценивает ваш запрос (0-100)
детект/detect - обнаружение
User Agent/юзерагент - Строка содержащая нформация о вашем браузере (название, версия, и устройство с которого он запущен)
headers/заголовки - Строки в HTTP запросе предназначенные для передачи каких либо опций
В данной теме в основном опишу про layer7 атаки
Начнем полностью с начала, а потом уже доберемся до всяких защит по типу CloudFlare
Изначально, заходя на сайт, сервер выполняет много операций по типу формирование ответа, чтения файла который вы запрашиваете, записи в логи и т.д
цель при атаке, эмулировать очень запросов на сайт. Далее веб сервер будет вынужден много раз выполнять действия описанные выше, в результате чего ему не хватит ресурсов. Сервер будет отвечать на "мусорные" запросы игнорируя реальных посетителей.
Обходы CloudFlare
Если не углубляться, то клоудфлейр имеет HTTP-DDoS (защита не заметная для пользователя), UaM (что то по типу Interactive Challenge, только может пропустить вас без клика(и Interactive Challenge (Та самая кнопка которую вы нажимаете для захода на сайт), и Custom Rules (Владелец сайта может сам добавлять правила)
Способы обхода HTTP-DDoS
он изучает большее количество информации о вашем запросе, например
TLS Fingerprint (ваши TLS настройки)
Ваши заголовки запроса
HTTP/2 Настройки
Ваш IP Адрес (ASN и Местоположение)
TLS Fingerprint: через Wireshark получают настройки TLS сокета от какого нибудь популярного браузера, например chrome
Заголовки запроса: так же через Wireshark могут получить список заголов от браузера. Так же могут добавлять какие нибудь свои заголовки для большего Threat Score
HTTP/2 Настройки: тут ничего сложного, так же используются дефолтные настройки браузеров полученные через Wireshark
Ваш IP Адрес: тут уже вариантов мало, использовать хорошие прокси
Так же, при написании методов нужно избегать идентификационных данных, по которым клоудфлейр может отличить ваши запросы от реальных пользователь (заголовки, path атаки, ip адреса (для этого и используются прокси) и т.д)
Я не думаю что кто то, прочитав данную статью тут же пойдет разрабывать свой собственный метод без использования различных библиотек для облегчения работы с запросами, так что сильно углублятся в работу HTTP/1.1, HTTP/2, Заголовков не буду
Что бы вы понимали как работает детект вашей атаки, приведу пару примеров
Заголовки: К примеру, если в вашем запросе ваш User-Agent равняется юзерагенту хрома то можно просмотреть наличие Заголовка "sec-ch-ua", это специальный заголовок от chrome браузера в котором хранится информация о вашем браузере. Так же, не все люди могут правильно заполнять все заголовки, где нибудь они могут совершить ошибку
Hostname: К примеру, раньше можно было задетектить много атак лишь потому что их заголовок Hostname содержит порт, пример (Hostname: google.com:443). На данный момент, если порт равен 443 то браузеры отправляют hostname без порта (Hostname: google.com)
Большинство детектов атак строится лишь на неправильных заголовках, настройках TLS/HTTP2
Способы обхода Interactive Challenge
В данный момент, мало кто способен обойти капчу от клоудфлейра не эмулируя реальный браузер.
Немного объяснений перед рассказом. При нажатие кнопки, CloudFlare запоминает ваш IP Адрес, браузер и выдает вам специальный куки (cf_clearance). При следующем запросе с данного айпи адреса, юзер агенты и с куки файлом клоудфлейр автоматически пропустит вас и не выдаст вам капчу
Поэтому самый популярный способ байпасса данной защиты это запуск реального браузера, и средствами автоматизации (Тем кто интересно, называется CDP, можете прочитать подробнее) переходят на сайт, нажимают на кнопку, ожидают завершения проверки и автоматически собирают данные о браузере который прошел капчу (Cookie, IP Адрес, Юзер Агент). Далее, данная информация передается в "модуль" флудера, который подделывает запросы браузера, в следствие чего не получает капчу
По поводу custom rules мне сказать нечего, так как там все отличается на каждом сайте
желаю удачи всем прочитавшим
