• XSS.stack #1 – первый литературный журнал от юзеров форума

Режимы работы DDoS-ботов

Отслеживать
pic4a

pic4a

HDD-drive
Пользователь
Регистрация
09.01.2015
Сообщения
32
Реакции
18
Продолжая тему ботнетов, хотелось бы получить от людей в теме ответы на некоторые вопросы. Я буду очень признателен, если отвечающие выделят отдельно Windows и *.nix боты. :baby:

Итак, какие режимы работы наиболее актуальны на сегодня?
Часто ли ботнет используется не по прямому назначению? (речь о DDoS)
И последний вопрос, в последнее время появляется софт, который обходит различные сервисы защиты. Суть сводится к более-менее внятной эмуляции работы браузера. Так вот, допустим есть софт, который имитирует работу браузера (исполнение js тоже имеется, либо частичное). Какой смысл от всех остальных типов атак, если можно рандомно ходить по страницам и подгружать ресурсы с рандомной скоростью?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
pic4a
Так вот, допустим есть софт, который имитирует работу браузера (исполнение js тоже имеется, либо частичное). Какой смысл от всех остальных типов атак, если можно рандомно ходить по страницам и подгружать ресурсы с рандомной скоростью?
Скорее всего, скорость атаки. Если речь идет о ддос-атаке через СОМ - объект того же IE (или подобное), то это в разы медленнее, чем get-post запросы через winsock/wininet.
Далеко не везде стоит антиддос или хотя бы какие-то примитивные фильтры, многие ресурсы можно подвесить тупым http флудом.
Ну и надо учитывать, что реализовать ддос на каком-то вининете в разы легче, чем работать с СОМ.
 
Немного странный вопрос и в целом не особо понятен.
Давайте разберемся в нем.
Для старта хочется попробовать вспомнить какие linux боты имеются... Из ддоса - три решения на текущем рынке. Это шторм, мэйхэм и мигера. Все имеют на борту модульность. Что умеют? Да много чего. Но все же направлены на основное задание. Так же имеются кучка скриптовых типа халка и т.п. сделанных для нагрузочного тестирования. Даже если откинуть возможности udp syn флуда - остается простейший механизм http флуда. Это по-сути запрос страницы без его распарсивания. Т.е. боты скачивают пагу, но не эмулируют при этом поведение пользователя. Там нет обработки js или движуний мышью или клацанья по имеющимся в паге ссылкам. Я слышал варианты использования ддос-ботов для накрутки счетчиков посещаемости или для накрутки вариантов голосовалок. Но вот куда еще их применять??? Может все-же применять для прямого назначения эффективнее всего? Потому и не пытаются с их помощью марсоходы строить...
 
Хорошо, точка зрения понятна. Однако, насколько мне известно, запрос страницы без подгрузки ресурсов любыми маломальскими системами защиты рассматривается как атака. А резкий наплыв подобных "юзеров" со схожими запросами (меняются только заголовки да и то не все, хорошо если хотя бы что-то кроме User-Agent) сводит на нет подобную атаку. Пару лет назад я встречал статью, что делается такая защита не тяжело и вроде бы не требуется установка дополнительного софта (т.е. все решается на уровне настройки веб-сервера). Т.е. для обхода уже приходится загружать страницу полностью, а не только разметку.
Второй момент, правильная обработка ответа от сервера. Тут конечно кто на что горазд, но как правило нет даже банальной установки куков (вот кстати еще один вопрос, нужно ли притворяться уникальный посетителем, или выгоднее генерить кучу новых).
И последний момент, это исполнение кода в браузере. Это актуально не только для ДДоС, но для накруток конечно же :D Банально веб-приложение может сравнивать заголовки с теми данными, которые приходят от js (а как известно, узнать можно многое).

Понятно, что в принципе, любой софт может положить чей-то бложик или сайт конторы, которая отдала его на аутсорс говно-студии. Речь немного о другом целевом сегменте (где как минимум есть админ, который получает зп за доступ к сайту или эти же деньги отдают на защиту от ДДоС-атак. ). Т.е. где присутствуют некоторые защитные механизмы.

Цель всех этих мыслей понять примерное соотношение качества обхода защиты к качеству атаки (т.е. генерируемой на веб-сервер нагрузки).

Ну и конечно хотелось бы и счетчики понакручивать. :D Чего машинам простаивать?
 
Я подкину вам самую большую ложку дегтя.
Если делать ддос на linux то ни о каком js, скачивании картинок, и установка кук - это все мимо.
Если бот начнет все это обрабатывать - он загнется первее сервера. Линуховые боты создаются именно для того что бы генерить миллионы запросов (т.к. серваки сидят за широкими каналами) и при этом не читать ответы. Если использовать плечё в виде dns/ntp ампликации - то количество генерируемых пакетов возрастает многократно. Такие атаки легко отбиваются любым фаерволом. НО суть этих атак не в том что бы нагрузить сервер-жертву. А в том что бы забить канал сервера-жертвы. Ибо суммарно 3-4 атакующих сервера практически гарантированно создадут поток больше чем прием у жертвы. Единственный вариант противодействия - циска на канале дата-центра или магистральщика. Но для этого их админы должны поднять свои задницы.

Если говорить о эмулировании всего выше написанного - то вам необходимо смотреть в сторону win-ботнетов. Их нужно строить на стандартных библиотеках системы (windows). Это даст огромную нагрузку на процессоры ботов. Метод тупиковый для ддоса, как мне кажется. Городить подобный софт стоит в случае написания кликалки или накрутчика опросов. Опять же, на каждый лом....
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ar3s
согласен, линукс ботнеты - это udp, syn и прочие атаки, где упор идет на количество трафика (а не на качество). Т.е. создать по максимуму мусора и забить канал жертвы.

Если нужен http флуд - только винда. И дело даже не в нагрузке на сервер (для парсинга, в конце концов, существует много хороших либ, к примеру сверхбыстрый picohttpparser). Проблема в другом - если будет идти много правильных http запросов, но с 1 IP-адреса - его быстро забанят (мы же обсуждаем случаи, когда какие-то админы присутствуют). Если же брать шеллы / прокси и подобное - это полумеры, виндовых ботов по любому будет больше.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх