DDoS Альтернативный antiDDOS

[TrueUser]

Почитал сабж на хабре тут (с одного из постов у нас прогулялся) и посетило меня несколько мыслей.
Будем исходить из того что мы не аццкие ддосеры, а как раз наоборот нас решили посадить на бабло.
Ну так вот, на хабре прозвучала идея сменить А записи в днс на локалхост (127.0.0.1) и покурить. Теоретически такой заворот должен создавать ряд проблем для активно атакующих ботов ибо если нет толкового лимита на создание потоков - тачка просто сдохнет переваривая сама себя.
Если пораскинуть мозгами, то можно изобрести еще кучу методов, чтобы нагрузить тачку бота, отсюда - большие потери ботов у ддосера (я думаю постоянный зависон спровоцирует даже ленивого юзверя ребутиться и в конечном итоге похерить\полечить винду). Как только финансовые затраты на восстановление ботнета станут больше ожидаемой выгоды от шантажируемого, то любой разумный ддосер уйдет сам.

А как вы считаете? Может предложите какие то методы для организации предложенного метода antiDDOS, например зацикливание на уровне маршрутизации пакетов.. что еще может создать кучу проблем бестолково написанному боту?

 

[Ar3s]

Можно еще на 192.168.1.1. Там часто гэтвэи находятся. И 80 порт там открыт. Такая нагрузка просто повесит устройство.

 

[Pernat1y]

достать сэмпл бота и привязать ваш домен к их серверу =)

[mod][Ar3s] Интересно, а как ты собираешься это делать если твой хост лежит? это реально еще провернуть на самом первом этапе атаки. Когда ты еще можешь успеть собрать лог атакующих. Но в любом случае вопрос номер два звучит как "А чем ты собираешься пробить удаленную машину зараженную ботом?". Кантом? [/mod]

 

[DASM32]

Pernat1y
Но тогда легальные юзеры, которые будут пытаться открыть сайт, могут попасть(на форму входа в нее) в админку бота или даже мб на связку какую-нибудь

 

[Ar3s]

Если ботнет большой - он сам себя тупо захерит. Команду для ботов поменять не получится, т.к. серв будет мертвый. И отменить атаку не получится. Вообщем вполне приличное возмездие. (и не надо мне рассказывать что можно отключить httpd и в мускуле убить задание. Да, это можно сделать, но боты при обратном включении демона сами завалят серв и просто не смогут задание получить. Еще не забываем в данном случае про время между кноком на серв. Так что полюбому положат свою админку. Спасение - если есть дублирующая админка на другом хосте).

А по-поводу клиентов - да. Они до хоста не достучатся. Но я думаю при таком "маневре" ботовод сам прекратит попытки атаки при первой же возможности, дабы не потерять сам ботнет, который зачастую дороже стоимости атаки.

 

[Pernat1y]

Интересно, а как ты собираешься это делать если твой хост лежит? это реально еще провернуть на самом первом этапе атаки. Когда ты еще можешь успеть собрать лог атакующих. Но в любом случае вопрос номер два звучит как "А чем ты собираешься пробить удаленную машину зараженную ботом?". Кантом?

ну, для начала домен можно просто отвязать от своего сервера, зайти по айпишнику, забрать логи, дальше nmap + metasploit =)
если ботнэт немаленький, то шансы получить доступ хотя-бы к нескольким машинам довольно хорошие

 

[TrueUser]

Можно еще на 192.168.1.1. Там часто гэтвэи находятся. И 80 порт там открыт. Такая нагрузка просто повесит устройство.

Отличная идея надо над ней еще немного подумать - может чего и выгорит..
В том числе можно попытаться завалить сервер провайдера бота - производя редирект не на локалхост а обратно на айпишник с которого пришли - обычно это серв прова (в случае массированной атаки, когда ни один из скриптов не заведется вариант конечно никакой, но в остальном тоже вариант)

дальше nmap + metasploit =)
если ботнэт немаленький, то шансы получить доступ хотя-бы к нескольким машинам довольно хорошие

А с чего ты взял что бот будет вообще исполнять яваскрипт? А ведь это основное условие для срабатывания сплойта в большинстве случаев.

 

[Ar3s]

А с чего ты взял что бот будет вообще исполнять яваскрипт? А ведь это основное условие для срабатывания сплойта в большинстве случаев.

А ява тут при чем?

Все Pernat1y правильно написал. nmap-ом сканишь список атакующих с целью определения версии оси. А затем метасплоитом попытаться пробить одну из атакующих машин с целью посадить бэкдур или просто коммандную строку получить. НУ а дальше - дело техники.

 

[lisa99]

получить доступ хотя-бы к нескольким машинам

а что даст доступ к обычным машинам сети? - возможность сниффером узнать путь к серверу с админкой ботнета?

 

[1vanu4]

а что даст доступ к обычным машинам сети? - возможность сниффером узнать путь к серверу с админкой ботнета?

Можна вытащить бота и реверснуть(кажеться так)

 

[lisa99]

Можна вытащить бота и реверснуть(кажеться так)

я конечно не в курсе, но насколько я понимаю, реверсингом занимаются единицы, а с ботами борятся многие=)
т.е. проще отследить сетевую активность бота (нескольких) и свести к общей точке, чем включать ассемблер..имхо.

 

[1vanu4]

Я просто предложил вариант)

 

[TrueUser]

А еще лучше как нить по другому сократить численность ботнета... Например перегружая тачки самих ботов или натравливая на них локально прова или еще кого... в том то и фишка чтобы малой кровью отделаться от атаки. Реверсинг, снифинг, и собственно метасплойт - это решение не для каждого...

Подумал и вот:
Еще как вариант можно устроить пинг-понг на тех же серверах гугла (302 редирект туда-сюда для HTTP атак) чтобы открытый сокет у бота повисал за счет чужих ресурсов. Так как обычно винда существенно ограничивает максимальное количество открытых сокетов - канал юзера просядет резко и он начнет чесаться... Это тоже не ко всяким ддос ботам прокатит, но как вариант...

 

[1vanu4]

НА Хабре в коментах писали, что можно на МВД днс сменить)

 

[CannabiS]

А кто что скажет про борьбу с шеловыми досс ботами как с ними бороться ? Стучать тому хостеру откуда проводилась атака, думаю это будет долгий и утомительный процесс. Иль опять же тоже пытаться самому искать уязвимости где уставновлен шелл бот ???!!!

 

[TrueUser]

про борьбу с шеловыми досс ботами как с ними бороться ?

Тут первое что на ум приходит - на уровне ядра сервера заблочить айпишники шелловых ботов. Обычно их не так много но поток они конечно организуют лихой. Можно их смаршрутизировать обратно и посадить собственно сервак с шеллом. Админ прибежит и шелл выковырят в два счета

 

[Ar3s]

шеловые ботнеты хорошо фаерволом блочить. Быстро и практично.

 

[G100M]

грудью закрывайте -_-

а вообще я помню тут вроде волк выкладывал некоторые антиддос скрипты, которые через некоторое время были убраны.

 

[Zer0]

А с чего ты взял что бот будет вообще исполнять яваскрипт? А ведь это основное условие для срабатывания сплойта в большинстве случаев.

есть зашить от ддос реализованная именно явой боты яву не выполняют этож не браузер =)

народ посдкажите сколько надо ботов чтоб завалить середний хостерский сервер санфлудом ?
имхо оч хорошая атака с применением spofed ip вычеслить бота нереально ограничется фильтром на страны не реально пхп яваскрипт зашита не поможет
ограничение на иптаблесе нерально так как запросы с разных ип если тока забанить все =))))

 

[Ar3s]

Если найдешь такого бота - дай знать.