HackFresse писал(а):а как мы узнаем, что они переписали? считать-то надо частоту (т.е. количество на время), и знать, с какого хаба запросы валятся, чего на данном этапе нету
так будем считать.
я просто хочу сделать и базу сигнатур чтобы сразу отсечь текущий распространенный алгоритм ddos
Kimbo писал(а):KCAHDEP писал(а):А вы говорите ксандер досер ксандер досер
ну, после того как ты распространил дропбоксовскую ссыль на сие гавнище, появилось много верликов-ддосеров. Не порали закрыть ссыль?
P.S. Кстати, не знаю где ты там увидел, что в верлике 1 типа нельзя уже ддосить, но
[12:58:11] <Barabashka> Running Verlihub 1.0.0 build Fri Mar 30 2012 - сей хаб удачно шлёт ктмы юзерам
1. ссыль изначально битая была, акстись )))
2. это пытаются использовать давно закрытую уязвимость, я тоже поначалу перепугался, пошел у ролекса спрашивать как так, он объяснил что хаб меняет ип жертвы на ип атакера, то что видно в статусе это ип пользоователя который пытается использовать уязвимость в итоге ддосит сам себя
весь смысл и вся возможность ддоса - отсутствие задержки между выполнением команд дц-клиентами, их полная послушность ВСЕМ приходящим с хаба командам.
если будет фильтрация "не больше n команд на 1 dst-IP с одного хаба за m секунд" - вся проблема с ддосом угаснет сама собой, без гемора со всякими сигнатурами (пополнение, актуальность, проблемы с ошибочным срабатыванием)
KCAHDEP писал(а):2. это пытаются использовать давно закрытую уязвимость, я тоже поначалу перепугался, пошел у ролекса спрашивать как так, он объяснил что хаб меняет ип жертвы на ип атакера, то что видно в статусе это ип пользоователя который пытается использовать уязвимость в итоге ддосит сам себя
не знаю не знаю, тот хаб, что выше привёл в пример, удачно уложил жертву.
Скрин атак имеется.
Kimbo писал(а):KCAHDEP писал(а):само собой, я переименовал файл да и все, так что небыло ничего в паблике
Не знаю что ты там переименовал, но я даже сейчас удачно открыл по ссылке тот скрипт.
Нужно не переименовывать, а удалять ссылку из паблика... зайти в "Ссылки" и там нажать на Хрестик файла, что бы он не был в паблике.
Теперь в качестве ключа используется пара IP адресов - добавил IP адрес хаба от которого идет команда $Search.
Файл ddos.log будет пополняться намного реже.
[2014-01-17 09:38] <RoLex> зачастили потому что вернулся чел который использует эту штуку на 100% все еще веря в то что она работает
[2014-01-17 09:38] <RoLex> раньше было много хабов которые можно было эксплойтить, сейчас таких 3 штуки
[2014-01-17 09:38] <KCAHDEP> гм а кто это
[2014-01-17 09:39] <RoLex> the devil
[2014-01-17 09:39] <RoLex> бывший член teamelite
[2014-01-17 09:39] <KCAHDEP> если не русский то наврятли знаю))
[2014-01-17 09:39] <RoLex> собственно teamelite и нашли этот баг очень давно, а этот человек как будто завис в том времени
[2014-01-17 09:39] <RoLex> швед
[2014-01-17 09:40] <RoLex> у меля в сислоге тоже куча таких
не все на 1 версии сидят, если что.
slim-server.pp.ua:411 сидя на этом хабике часто дс у меня зависает... потому что ктм долбит и версия верли не 1. Да и сам админ это делает или кто дыру в верли юзает, может как-то старые версии взламывают или хз в общем...
flylinkdc, небольшой оффтоп
Может прикрутишь (если возможно) онлайн просмотр аудио, видео файлов в флай?
В данный момент можно только смотреть текстовики, открываю шару, жму пкм на txt файл Показать как текст и открывается содержимое файла, не плохо было бы так же и для аудио и видео сделать, что бы не скачивая файл на комп смотреть/слушать.
Я тут прикрутил лог передаваемой инфы по UDP
Заметил один момент - если юзер сидит на куче хабов и в свою очередь владелец файла тоже сидит на аналогичном кол-ве хабов
то в результате поиска на клиент в один и тот-же UDP порт юзера-1 улетают одномоментно почти дубликатные ответы на запрос в которых отличается только адрес хаба http://mydc.ru/topic915s20.html?p=6845#entry6845
если подобны ситуации отрабатывать заведя короткоживущий хеш-мап с ключем IP+Port+TTH и слать только один UDP пакет экономя траф и свой и клиентов...
по ADC по-моему ситуация аналогичная...
KCAHDEP писал(а):А как дела обстоят с linux/android версиями, планируется?
Я лично этим заниматься не планирую - мне хватает виндового флая + я к Visual Studio привык
под линукс одно время хотел попробовать с winlib, хотя за это линуксойды закидают какшками...
а потом появился нативный EiskaltDC++ - линукс-юзера вроде довольны.
flylinkdc писал(а):EiskaltDC++ - линукс-юзера вроде довольны
За всех пользователей Линукса говорить не буду, но не давно перешёл на Линукс. Попробовал линуксовские клиенты и... установил Wine - дальше пользуюсь ФлайЛинком.
Во Флае как-то более-менее решено с кодировкой. А у линуксовских не поймёшь, на одном хабе всё нормально, на другом хоть какую кодировку ставь, всё равно кирилица отсутствует.
Последний раз редактировалось slav 10 фев 2014, 13:45, всего редактировалось 1 раз.