Ддос атака с хаба

flylinkdc · Сообщение **flylinkdc** » 08 фев 2014, 16:31

HackFresse писал(а):а как мы узнаем, что они переписали? считать-то надо частоту (т.е. количество на время), и знать, с какого хаба запросы валятся, чего на данном этапе нету

так будем считать.
я просто хочу сделать и базу сигнатур чтобы сразу отсечь текущий распространенный алгоритм ddos

p.s.
Забор прикольный

KCAHDEP · Сообщение **KCAHDEP** » 08 фев 2014, 16:36

Kimbo писал(а):KCAHDEP писал(а):А вы говорите ксандер досер ксандер досер
ну, после того как ты распространил дропбоксовскую ссыль на сие гавнище, появилось много верликов-ддосеров. Не порали закрыть ссыль?
P.S. Кстати, не знаю где ты там увидел, что в верлике 1 типа нельзя уже ддосить, но
[12:58:11] <Barabashka> Running Verlihub 1.0.0 build Fri Mar 30 2012 - сей хаб удачно шлёт ктмы юзерам

1. ссыль изначально битая была, акстись )))
2. это пытаются использовать давно закрытую уязвимость, я тоже поначалу перепугался, пошел у ролекса спрашивать как так, он объяснил что хаб меняет ип жертвы на ип атакера, то что видно в статусе это ип пользоователя который пытается использовать уязвимость в итоге ддосит сам себя

HackFresse · Сообщение **HackFresse** » 08 фев 2014, 16:50

весь смысл и вся возможность ддоса - отсутствие задержки между выполнением команд дц-клиентами, их полная послушность ВСЕМ приходящим с хаба командам.

если будет фильтрация "не больше n команд на 1 dst-IP с одного хаба за m секунд" - вся проблема с ддосом угаснет сама собой, без гемора со всякими сигнатурами (пополнение, актуальность, проблемы с ошибочным срабатыванием)

Kimbo · Сообщение **Kimbo** » 08 фев 2014, 16:52

KCAHDEP писал(а):1. ссыль изначально битая была, акстись )))

могу в лс скинуть где твой пост с не битой ссылкой, акстись

KCAHDEP · Сообщение **KCAHDEP** » 08 фев 2014, 16:55

Kimbo писал(а):KCAHDEP писал(а):1. ссыль изначально битая была, акстись )))
могу в лс скинуть где твой пост с не битой ссылкой, акстись

кидай, я помню что кидал ссылку на дропбокс, только я ее тут же подредактировал чутка

Kimbo · Сообщение **Kimbo** » 08 фев 2014, 17:04

KCAHDEP писал(а):2. это пытаются использовать давно закрытую уязвимость, я тоже поначалу перепугался, пошел у ролекса спрашивать как так, он объяснил что хаб меняет ип жертвы на ип атакера, то что видно в статусе это ип пользоователя который пытается использовать уязвимость в итоге ддосит сам себя

не знаю не знаю, тот хаб, что выше привёл в пример, удачно уложил жертву.
Скрин атак имеется.

KCAHDEP · Сообщение **KCAHDEP** » 08 фев 2014, 17:08

Kimbo писал(а):KCAHDEP писал(а):само собой, я переименовал файл да и все, так что небыло ничего в паблике
Не знаю что ты там переименовал, но я даже сейчас удачно открыл по ссылке тот скрипт.
Нужно не переименовывать, а удалять ссылку из паблика... зайти в "Ссылки" и там нажать на Хрестик файла, что бы он не был в паблике.

так нету в ссылках ничего http://clip2net.com/s/6MiwBE не понимаю....

KCAHDEP · Сообщение **KCAHDEP** » 08 фев 2014, 17:12

удалил переименованный файл ссылка теперь не работает, но как так получилось... херня какая то

Kimbo · Сообщение **Kimbo** » 08 фев 2014, 17:17

вот так вот, его качали кому не лень

не удевительно, что именно верлики в последнее время ддосили, ибо твоя ссылка для верли была.

flylinkdc · Сообщение **flylinkdc** » 08 фев 2014, 17:26

Исправил детект ddos для поиска http://code.google.com/p/flylinkdc/sour ... il?r=16535#

Теперь в качестве ключа используется пара IP адресов - добавил IP адрес хаба от которого идет команда $Search.
Файл ddos.log будет пополняться намного реже.

Минут через 30 сборка будет лежать тут

http://www.fly-server.ru/install/r5xx/src-bin/

у меня пока попалась одна запись

Код: Выделить всё

[2014-02-08 18:26:42] [Hub: dchub://chameleonhub.no-ip.org:4111, 193.0.226.138:4111][Count limit: 10]	[Target: 86.125.175.251 Port: 1073]	[UserInfo: 86.125.175.251:1073 F?T?0?1?thor$sotet$vilag]

KCAHDEP · Сообщение **KCAHDEP** » 08 фев 2014, 17:28

Kimbo писал(а):вот так вот, его качали кому не лень
не удевительно, что именно верлики в последнее время ддосили, ибо твоя ссылка для верли была.

выше читай про верлик

KCAHDEP · Сообщение **KCAHDEP** » 08 фев 2014, 17:35

[2014-01-17 09:38] <RoLex> зачастили потому что вернулся чел который использует эту штуку на 100% все еще веря в то что она работает
[2014-01-17 09:38] <RoLex> раньше было много хабов которые можно было эксплойтить, сейчас таких 3 штуки
[2014-01-17 09:38] <KCAHDEP> гм а кто это
[2014-01-17 09:39] <RoLex> the devil
[2014-01-17 09:39] <RoLex> бывший член teamelite
[2014-01-17 09:39] <KCAHDEP> если не русский то наврятли знаю))
[2014-01-17 09:39] <RoLex> собственно teamelite и нашли этот баг очень давно, а этот человек как будто завис в том времени
[2014-01-17 09:39] <RoLex> швед
[2014-01-17 09:40] <RoLex> у меля в сислоге тоже куча таких

Kimbo · Сообщение **Kimbo** » 08 фев 2014, 17:38

KCAHDEP писал(а):выше читай про верлик

не все на 1 версии сидят, если что.

slim-server.pp.ua:411 сидя на этом хабике часто дс у меня зависает... потому что ктм долбит и версия верли не 1. Да и сам админ это делает или кто дыру в верли юзает, может как-то старые версии взламывают или хз в общем...

KCAHDEP · Сообщение **KCAHDEP** » 08 фев 2014, 17:41

ну вон ролекс грит 3 хаба осталось которые можно использовать, может слимшейди в их числе

да и сам скрипт не работает в новом верлике

flylinkdc · Сообщение **flylinkdc** » 08 фев 2014, 18:03

http://www.fly-server.ru/install/r5xx/src-bin/

В последней бетке у меня за 30 минут насобиралось в логе вот что
сижу на 552 хабах

Код: Выделить всё

[2014-02-08 18:26:42] [Hub: dchub://chameleonhub.no-ip.org:4111, 193.0.226.138:4111][Count limit: 10]	[Target: 86.125.175.251 Port: 1073]	[UserInfo: 86.125.175.251:1073 F?T?0?1?thor$sotet$vilag]	
[2014-02-08 18:32:00] [Hub: dchub://alomvilag.dyndns.hu:1212, 193.0.226.138:1212][Count limit: 10]	[Target: 109.96.199.139 Port: 1032]	[UserInfo: 109.96.199.139:1032 F?T?0?1?Pataky$Attila$Piros$rуzsбk$beszйlgetnek]	
[2014-02-08 18:32:22] [Hub: dchub://europa-network.net:5000, 94.102.49.42:5000][Count limit: 10]	[Target: 83.94.211.20 Port: 50145]	[UserInfo: 83.94.211.20:50145 F?T?0?1?clara$sofie$ild$vand]	
[2014-02-08 18:36:58] Removed DDoS ban! Count connect = 11 limit = 10 $ConnectToMe for: 86.125.175.251 Port: 1073
[2014-02-08 18:41:54] [Hub: dchub://pornovision2.no-ip.info:1337, 94.102.49.42:1337][Count limit: 10]	[Target: 83.249.238.216 Port: 64477]	[UserInfo: 83.249.238.216:64477 F?T?0?6?DSC]	
[2014-02-08 18:41:58] Removed DDoS ban! Count connect = 33 limit = 10 $ConnectToMe for: 83.94.211.20 Port: 56032,50145
[2014-02-08 18:41:58] Removed DDoS ban! Count connect = 55 limit = 10 $ConnectToMe for: 109.96.199.139 Port: 1032
[2014-02-08 18:43:22] [Hub: dchub://amazonshub.sytes.net:1557, 193.0.226.138:1557][Count limit: 10]	[Target: 91.146.159.74 Port: 3056]	[UserInfo: 91.146.159.74:3056 F?T?0?4?Kert]	
[2014-02-08 18:48:53] [Hub: dchub://phoneixhub.no-ip.org:1040, 193.0.226.138:1040][Count limit: 10]	[Target: 86.125.106.131 Port: 65530]	[UserInfo: 86.125.106.131:65530 F?T?0?1?schedule$algorithm]	
[2014-02-08 18:50:58] Removed DDoS ban! Count connect = 15 limit = 10 $ConnectToMe for: 83.249.238.216 Port: 64477
[2014-02-08 18:52:58] Removed DDoS ban! Count connect = 11 limit = 10 $ConnectToMe for: 91.146.159.74 Port: 3056
[2014-02-08 18:57:58] Removed DDoS ban! Count connect = 15 limit = 10 $ConnectToMe for: 86.125.106.131 Port: 65530
[2014-02-08 18:58:32] [Hub: dchub://magratheahub.no-ip.org:2006, 193.0.226.138:2006][Count limit: 10]	[Target: 80.99.118.140 Port: 1533]	[UserInfo: 80.99.118.140:1533 F?T?0?1?trance$drum$sample]

что-то тут не так...
какие будут мысли?

HackFresse · Сообщение **HackFresse** » 08 фев 2014, 18:15

по поиску ни разу не ддос, срабатывание некорректное
по ctm - непонятно, откуда пахнет, нужен адрес хаба

flylinkdc · Сообщение **flylinkdc** » 08 фев 2014, 18:23

с $ConnectToMe for есть ошибка...
скоро поправлю.
это просто прошло 10 минут и удаляется бан на таймере от $Search
Я просто в логе пишу по старому..

Но вот почему внутри хаба 10 раз в минуту идет поиск одинкавого значения - это не понятно.
наверно врублю еще рядом и полный лог запросов и поняблюдаю

KCAHDEP · Сообщение **KCAHDEP** » 08 фев 2014, 18:27

flylinkdc писал(а): сижу на 552 хабах

у меня виснет если открываю больше 330, сижу на 250

Kimbo · Сообщение **Kimbo** » 08 фев 2014, 22:16

flylinkdc, небольшой оффтоп

Может прикрутишь (если возможно) онлайн просмотр аудио, видео файлов в флай?

В данный момент можно только смотреть текстовики, открываю шару, жму пкм на txt файл Показать как текст и открывается содержимое файла, не плохо было бы так же и для аудио и видео сделать, что бы не скачивая файл на комп смотреть/слушать.

flylinkdc · Сообщение **flylinkdc** » 10 фев 2014, 11:59

Kimbo писал(а):Может прикрутишь (если возможно) онлайн просмотр аудио, видео файлов в флай?

такую фичу прикручивали - попробуй:
http://www.flylinkdc.ru/2012/01/flylinkdc.html

KCAHDEP · Сообщение **KCAHDEP** » 10 фев 2014, 12:36

А как дела обстоят с linux/android версиями, планируется?

flylinkdc · Сообщение **flylinkdc** » 10 фев 2014, 13:16

Я тут прикрутил лог передаваемой инфы по UDP
Заметил один момент - если юзер сидит на куче хабов и в свою очередь владелец файла тоже сидит на аналогичном кол-ве хабов
то в результате поиска на клиент в один и тот-же UDP порт юзера-1 улетают одномоментно почти дубликатные ответы на запрос в которых отличается только адрес хаба
http://mydc.ru/topic915s20.html?p=6845#entry6845

Код: Выделить всё

"89","$SR","UDP-write-dc","$SR FlylinkDC-debug !test-share\002.mp3♣2874560 1/1♣TTH:YOOPBWUFX4K47UGYUALEIB4C6NJJ4KPJTQRFMNA (192.168.1.10:413)|"
"93","$SR","UDP-write-dc","$SR FlylinkDC-debug !test-share\002.mp3♣2874560 1/1♣TTH:YOOPBWUFX4K47UGYUALEIB4C6NJJ4KPJTQRFMNA (192.168.1.10:412)|"

Это ведь не эффективно.
Или я что-то не учел?

если подобны ситуации отрабатывать заведя короткоживущий хеш-мап с ключем IP+Port+TTH и слать только один UDP пакет экономя траф и свой и клиентов...
по ADC по-моему ситуация аналогичная...

Обсуждаем?

flylinkdc · Сообщение **flylinkdc** » 10 фев 2014, 13:20

KCAHDEP писал(а):А как дела обстоят с linux/android версиями, планируется?

Я лично этим заниматься не планирую - мне хватает виндового флая + я к Visual Studio привык

под линукс одно время хотел попробовать с winlib, хотя за это линуксойды закидают какшками...
а потом появился нативный EiskaltDC++ - линукс-юзера вроде довольны.

slav · Сообщение **slav** » 10 фев 2014, 13:44

flylinkdc писал(а):EiskaltDC++ - линукс-юзера вроде довольны

За всех пользователей Линукса говорить не буду, но не давно перешёл на Линукс. Попробовал линуксовские клиенты и... установил Wine - дальше пользуюсь ФлайЛинком.

Во Флае как-то более-менее решено с кодировкой. А у линуксовских не поймёшь, на одном хабе всё нормально, на другом хоть какую кодировку ставь, всё равно кирилица отсутствует.

HackFresse · Сообщение **HackFresse** » 10 фев 2014, 14:02

Не стоит хвататься за одно, не доделав до конца другое, много времени будет на переключение тратиться, + многократно усложненный дебаг.

Видел ситуацию, когда один файл у одного юзера через один хаб качается, а на другом статус показывает, что я 98 в очереди.