-
XSS.stack #1 – первый литературный журнал от юзеров форума
DDOS ботнеты
- Автор темы Marti71
- Дата начала
Не велите казнить, а разрешите слово молвить, господа.
Какие методы сработают на забивание канала? Это уровень L4 вроде или L3.
Если загрузить канал на сайте под завязку, то никакие фильтрации не сработают. Правильно мыслю, не? Поэтому ищу такие методы и скрипты в придачу.
- Автор темы
- Добавить закладку
- #23
В случае с каким нибудь cloudflaer или тип того, нужно знать реал ип чтоб забивать его L4.
UDP флуд в любых его вариациях
TCP/SYN - сработает если очень много PPS слать, 5~15~30 и так далее миллионов, опять же зависит все от канала таргета.
Из L3 методов более менее работающих я знаю GRE флуд вроде до сих пор работает, относительно эффективен против слабозащищенных таргетов.
Нет, UDP/TCP тоже много где фильтруется. Если фильтр аппаратный (Cisco, Juniper и пр.) то чем больше трафика наваливаешь на таргет тем быстрее фильтр задетектит атаку и отфильтрует, поэтому как я выше писал бороться с такими штуками можно только деликатными методами атак - это когда ты шлешь маленький поток (50-300 мб/с), фильтр ни чего плохого в твоих пакетах не видит, но таргет ахуевает конкретно. На гитхабе и где либо в паблике такие методы не найти, потому что если такой метод утекает в паблик то его быстро на этих самых фильтрах фиксят, это только у кого то покупать, либо нанимать кодера. Либо как я выше писал это убивать такие фильтры огромным ботнетом, проще говоря давить массой, но это не надолго тоже, для примера таргет висящий под Juniper'ом хетзнера с 200 гб/с ботнета (7к ботов) просто зануллили уже через 5 минут после начала атаки, далее таргет переехал на OVH, и тут уже этот же самый ботнет осилил только 20 минут, далее таргет уже ни как на мой траф не реагировал.
Знаю, родной. Есть ипы реальные за DDoS-GUARD и за Stormwall. Скинуть попробуешь? )
Реальные ипы висящие за антиддос проксями не обязательно валить через L3/L4. Можно атакововать их через L7 с правильным хидером Host:
GET https://127.0.0.1/ HTTP/1.1
Host: domain.com
Вместо локалхоста указывать реальный IP, в Host указывать домен таргета. И траф будет литься на реальный IP.
И в таком случае что может сделать владелец таргета? Запретить коннект к 80 и 443 порту всем, кроме подсетей своего антиддос провайдера. Вот тогда уже берете nmap, сканите порты на этом ипе, и ебашите на открытые что угодно, tcp, udp, gre.
А если владелец вообще поменяет IP? Об этом заранее надо позаботится: посмотреть по каким баннерам и на каких портах его детектит censys.io, далее взять посмотреть все подсети его провайдера, засунуть их в masscan, прогнать с парсингом баннеров открытые порты которые взяли с censys, и искать совпадения по баннерам.
Либо еще хуева гора методов как добыть IP. Просто перед атакой надо по максимуму сетевой разведки.
Последнее редактирование:
А по L7 можно забить канал? Наверно нет.
У меня одно время было 40 vps ов и я валил сайт за Cloudflare по доменному имени скриптами по L7. Потом они Stormwall поставили - вычислсл IP - также завалил по L7 атакой на IP.
Ну это так, к слову. Что типа не порожняки гоняю в топике а реально темой интересуюсь.
Можно. habr.com/ru/company/yandex/blog/577026/ - яндекс пол года назад ахуевал от http флуда. Опять же здесь все зависит от конфигурации сервера, канала, антиддоса на нем, количестве машин которые у тебя для этого задействовано. В целом это конечно возможно.
- Автор темы
- Добавить закладку
- #29
Я конечно мало ддосил, в основном всякими стрессерами и дирт джампами в 2015-16годах, но мне кажется вся соль в том что ЦПУ сервера всегда по 100% и оно не успевает запросы обработать, канал то мож не забьешь но сервер подгрузишь(я про л7) л4 наверное канал забивает, ну как в школьные годы скайп ресолвер-ддос-инета нема
Слезь с ведра. И юзай htop по контролю за ресурсами системы. Можно и из-под своей системы линуксовой запускать атаки через прокси.Я конечно мало ддосил, в основном всякими стрессерами и дирт джампами в 2015-16годах, но мне кажется вся соль в том что ЦПУ сервера всегда по 100% и оно не успевает запросы обработать, канал то мож не забьешь но сервер подгрузишь(я про л7) л4 наверное канал забивает, ну как в школьные годы скайп ресолвер-ддос-инета нема
Но я тебе этого не советовал. Если вычислят - говори меня не знаешь, а скрипт на bhf у барыг купил )))
Последнее редактирование:
Канал можно забить чем угодно, как бы любой сетевой запрос, даже хттп, так или иначе занимает место в трафике (грубо говоря). Традиционно юзали
Можно аргументы? На приватных проксях мне удается сутками удерживать сайты висящие на CloudFlare с включенной капчей + BotFight мод, бью напрямую, с обходом капчи. В районе месяца назад держал около 7 часов под атакой сервис по приему донатов который висел на ddos-guard.net
Не понимаю причину хейта прокси.
Последнее редактирование:
Ключевое слово приватных. Просто многие парсят паблик листы и ддосят через них, думаю тут понятна причина моего хейта - какие там скорости? Какое качество?
на парсинге не выжить, скорость, объемы - 0
купить ща прокси не так уж и дорого относительно цен на ддос которые просят
Вот это я и хотел узнать.
Ну а так IP серверов побанят. Разве нет?
Сайты напрямую и за ддг падают. Первый раз да, часов на 7, потом включается капча и давайдасвиданиядудосер. Спустя время, по второй повторной атаке капча включается через часа 2-4. На третий раз уже никакие методы не работают. Он самообучающийся.
Шторм тот сразу банит прокси и потом всё ок у него. 150 тысяч проксей забанить ему надо было времени до часа. Потом даже смена проксей не помогала.
Тяжело на свете стало пастушонку Пете.
Последнее редактирование:
Спуфинг блокировкой по IP невозможно фильтровать, потому что пакеты летят с рандомных, поддельных IP. Используются другие методы детекта и отражения таких атак:
imperva.com/learn/ddos/syn-flood/
wallarm.com/what/what-is-syn-spoofing-or-tcp-reset-attack
И защита от спуфинга сейчас практически везде, по крайней мере у всех крупных хостеров, reg.ru, beget, hetzner, ovh, digital ocean и пр. Возьмите любой более менее свежий скрипт syn spoofing флуда и попробуйте запустить на свой сервер у этих провайдеров, вы увидите долетающие до вас пакеты только первые 2-5 секунд, после чего атака блочится автоматом средствами хостера, ибо у меня голый дебиан/убунту без каких либо скриптов защиты и правил в iptables. Я тестировал так, digital ocean, hetzner и ovh.
Если речь о приватных проксях то такое возможно только в одном случае - вы не контролировали рейт каждой прокси. Проще говоря, если атаковать с приватных проксей и сделать рейт (скорость) атаки с каждой прокси 0.5~1 r/s то перебанить 150к проксей за час это фантастика, такое нереально. Ну а если вы ебашите без ограничений, выжимая максимальное кол-во запросов в секунду из каждой прокси, то тогда тут не важно, паблик это или приват, на любом антиддосе такой всплеск будет быстро отфильтрован.
Для обхода рейт лимита ddg и шторма рекомендую не более 0.5 r/s, а желательно 0.2~0.3 (с каждой прокси 1 запрос раз в 3~5 секунд), в таком случае само собой понадобится огромное кол-во проксей дабы создать приемлемую нагрузку. Голые лендинги которые даже некуда нагрузить (нет ни каких скриптов на сайте) положить вообще невозможно, только в том случае если у тебя есть реальный IP.
Такого ни разу не видел, что-бы фильтр ddg реагировал только через 7 часов. Даже если выставляю 0.3~0.5 r/s с каждой прокси (интервал 1 запрос каждые 2~5 секунд), то уже через 2-3 минуты появляется JS челлендж + капча. Рейт лимит там и так по дефолту включен на всех защищаемых таргетах.
Последнее редактирование:
Умные, но не очень хорошо пока разбирающиеся в методах атак, головы, подумав, также пришли к такой идее.
Хорошо, как это реализовать? Только переписывать паблик скрипты. И тут мы плавно подходим к "самописы с уникальными методами атаки" по цене от 1500$ за кучку, а в кучке три штучки.
Ну и кстати, даже поставив рейт 0.2~0.3 вас все равно отфильтруют, догадались почему? Потому что будете на одну страницу трафик вваливать. Надо что бы еще проксики парсили сайт, и ходили по разным страницам.
В паблике таких скриптов нет, совершенно точно.
1) Эмуляция браузера + JS с детектом челленджа каждого антиддоса (CloudFlare, ddg, stormwall и.т.д.)
2) Обход капчи
3) Возможность настройки рейта
4) Парсинг директорий/страниц
В 2020 узнавал у одного товарища, он предлагал мне такой готовый за 8к$, и оно реально рабочее было, мы тестили вместе. Тут дело в том что и cloudflare, и ddg и вся остальная эта пиздобратия постоянно вносит корректировки в свои челленджи, капчи и так далее, поэтому таким скриптам требуются постоянные обновления, вплоть до нескльких раз в месяц. Так что здесь в любом случае придется платить, готовых бесплатных решений таких нет.
Здесь и пропадает весь смысл ддоса. Сайты платят 2 из 10. Чтобы на том конце им дошло, что не школьники, надо держать сайт 5 суток минимум положенным, за это время они перепробуют все возможные защиты и потом, может быть, соизволят.
Сколько стоит ддос в неделю со стрессеров? Сколько стоят спуфсервера? Сколько можно получить с сайта? Несложные подсчёты.