Ддос атака с хаба

Общение админов хабов и их юзеров.
Аватара пользователя
Zayats
Сообщения: 16
Зарегистрирован: 21 окт 2012, 17:33
Хаб: dchub://dc-zayats.ru
Контактная информация:

Сообщение Zayats »

Считаю уместным поведать здесь о таком событии: http://www.eomy.net/forum/post58282.html#58282
ксандер хабмонитор какой-то советовал здесь для обнаружения.. Видно точно лечит шизофрению алкоголем. Все его ctm, $MyNick и хабы откуда атака читаются из обычного дампа tcpdump.
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

"Чаще других фигурирует DC хаб admindemon.ru. Хаб опять таки принадлежит KCAHDEPу"
В профиле KCAHDEP указан хаб - dchub://dc.kcahdep.ru
как узнали, что этот тоже его?
я правильно понял, что вы подозреваете KCAHDEP-а в организации этих всех атак
т.к. и у него есть в наличии куча хабов?
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Много слухов (и не только) относительно ддос через дц с ним связано. Ддосили его, он пытался отвечать и ддосить тоже

Советую перечитать темы http://www.eomy.net/forum/ddos-i-vds-vt5180.html и http://www.eomy.net/forum/otklyuchilsya ... t5117.html
Спойлер
Изображение
Были отключения арендованного им VDS из-за DDOS через дц
Спойлер
Изображение
, теперь такая же проблема у кого-то другого.

Куча хабов у него лично или "у друзей", ддосит ли именно он сейчас - не особо-то и важно.

Есть всеобщая проблема с дц-клиентами, которую нужно решать без привязки к хабу или админу.
А если вдруг админы крупных хабов продадут свои хабы и новый (или старый, перешедший на сторону зла) владелец хаба решит запустить ддос?

Вон на соседнем форуме дядька alex82 запилил новый полезный скрипт для хаба, http://mydc.ru/topic5628.html
Название: DDoS Detector
Версия: 1.00
Требования: Lua 5.1, PtokaX 0.4.1.x, 0.5.x.x
Зависимости: нет

Автор: alex82

Описание:
Данный скрипт предназначен для обнаружения DDoS-атак, осуществляемых при помощи юзеров других хабов.

При получении определенного числа команд $MyNick за определенный промежуток времени, скрипт начинает отправлять отчеты операторам. Если за время, указанное в параметре tCfg.CountTime не поступило ни одной команды, атака считается завершенной.

Большинство современных клиентов при соединении двух юзеров добавляют в команду $Lock адрес хаба, с которого отправлена команда $ConnectToMe. Именно благодаря этому, на первый взгляд, бессмысленному расширению протокола скрипт с легкостью узнает, с каких хабов осуществляется атака.
А вот что дальше делать с хабами, замеченными в использовании дц-клиентов в качестве ботнета для ддос-атаки -- интересная тема для обсуждения
Последний раз редактировалось HackFresse 28 мар 2014, 18:03, всего редактировалось 1 раз.
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

HackFresse писал(а):А вот что дальше делать с хабами, замеченными в использовании дц-клиентов в качестве ботнета для ддос-атаки -- интересная тема для обсуждения
А какие есть варианты?
что с ними можно сделать?
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Надо обсуждать коллективно. Я уже предлагал исключать их из списка хабов на хаблистах

"сильное давление общественности","очень много пользователей дружно попросили" тут не действует, нужны какие-то более реальные действия
Аватара пользователя
Zayats
Сообщения: 16
Зарегистрирован: 21 окт 2012, 17:33
Хаб: dchub://dc-zayats.ru
Контактная информация:

Сообщение Zayats »

flylinkdc писал(а):"Чаще других фигурирует DC хаб admindemon.ru. Хаб опять таки принадлежит KCAHDEPу"
В профиле KCAHDEP указан хаб - dchub://dc.kcahdep.ru
как узнали, что этот тоже его?
я правильно понял, что вы подозреваете KCAHDEP-а в организации этих всех атак
т.к. и у него есть в наличии куча хабов?
Уже не подозреваю, а утверждаю, что юзер KCAHDEP использует ряд хабов, скажем так - имеет второй эшелон, с которого проще остаться незамеченным - это упомянутые по ссылке хабы admindemon.ru, unomat.no-ip.org и другие. Место хостинга этих хабов - его любимый OVH, Франция. В их админке с ключиком сидит сам ксандер, утром зашёл - убедился. Основной свой хаб ксандер не подставляет, так как народ уже научился определять, откуда пришла атака - цитата: "Большинство современных клиентов при соединении двух юзеров добавляют в команду $Lock адрес хаба, с которого отправлена команда $ConnectToMe. Именно благодаря этому, на первый взгляд, бессмысленному расширению протокола скрипт с легкостью узнает, с каких хабов осуществляется атака."--http://mydc.ru/topic5628.html
Удивляетесь что громче всех кричит "держи досера" сам досер? Так это единственный способ для ублюдка поправить упавшую ниже плинтуса репутацию, смотрим предыдущие посты и темы. Ещё доказательства в студию? Пожалуйста - всё это зафиксировано вчера на моём vds приблизительно в 21.30 и выложено в общий доступ, т.е. я сделал дамп пакетов сетевого интерфейса на своём VDS командой tcpdump -i venet0 -w /root/dumped
Позже файл был закачен на домашний комп, открыт в Wireshark, для другого форума экспортирован в текстовый формат, недавно пересмотрен мною на самых интересных моментах:
http://i57.fastpic.ru/big/2014/0328/0f/ ... 86bc0f.jpg
Кстати сказать, его атака на мой хаб идёт до сих пор - пингер не пингует, новые юзеры зайти не могут. Если имеете ещё какие-нибудь идеи по фиксации действий засранца - предложите их, время есть, шоу пока продолжается.
Последний раз редактировалось Zayats 28 мар 2014, 13:49, всего редактировалось 1 раз.
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

flylinkdc писал(а):у него есть в наличии куча хабов?
Тебя обманывают.
На самом деле, насколько я знаю, у Ксандера есть всего один хаб, но у него много доменов. :-)

Некоторые просто бредят тут уже :-D
Хотя, прекрасно знают правду, что нормальных хаб у Ксандера всего один (тестовые по два юзера не в счёт). Так же, все знают почему у Ксандера много доменов.

Просто Ксандер так увеличивает число пользователей хаба. Он ищет домены на которых раньше были хабы и остались юзеры, и приобретает эти домены и поддомены себе. А потом делает редиректы с тех доменов-поддоменов на свой основной хаб.
Основная часть недовольных Ксандером это те админы, которые по собственной глупости просрали свои домены и поддомены. *ROFL* Например: забыли продлить и т.п.

Но, эти домены-поддомены всё равно бы не вернулись их прежним "хозяевам", т.к. этим же промыслом занимаются ещё и румыны. Просто, Ксандер оказался быстрее румынов :).
А этим дурикам, которые тут скулят на Ксандера я бы посоветовал меньше варежки свои разевать и смотреть за своими доменами и поддоменами, и продлять их вовремя. Если эти домены-поддомены им так нужны.
Аватара пользователя
Zayats
Сообщения: 16
Зарегистрирован: 21 окт 2012, 17:33
Хаб: dchub://dc-zayats.ru
Контактная информация:

Сообщение Zayats »

slav писал(а):flylinkdc писал(а):у него есть в наличии куча хабов?
Тебя обманывают.
На самом деле, насколько я знаю, у Ксандера есть всего один хаб, но у него много доменов.

Некоторые просто бредят тут уже
Хотя, прекрасно знают правду, что нормальных хаб у Ксандера всего один (тестовые по два юзера не в счёт). Так же, все знают почему у Ксандера много доменов.

Просто Ксандер так увеличивает число пользователей хаба. Он ищет домены на которых раньше были хабы и остались юзеры, и приобретает эти домены и поддомены себе. А потом делает редиректы с тех доменов-поддоменов на свой основной хаб.
Основная часть недовольных Ксандером это те админы, которые по собственной глупости просрали свои домены и поддомены. Например: забыли продлить и т.п.

Но, эти домены-поддомены всё равно бы не вернулись их прежним "хозяевам", т.к. этим же промыслом занимаются ещё и румыны. Просто, Ксандер оказался быстрее румынов .
А этим дурикам, которые тут скулят на Ксандера я бы посоветовал меньше варежки свои разевать и смотреть за своими доменами и поддоменами, и продлять их вовремя. Если эти домены-поддомены им так нужны.
Откуда знать дано, какие домены он перетасовал перед атакой и сколько юзеров закинул? Например сейчас admindemon.ru has address 94.23.198.96 и главная его пальмира dc.kcahdep.ru has address 94.23.198.96, а утром admindemon.ru вмещал 50 человек, при этом не переставая быть ОТДЕЛЬНЫМ хабиком. Считаю что логи пакетов всё говорят за себя, но понимаю что всегда найдутся неверящие и такому доку, либо не желающие скачать и посмотреть. Сам я абсолютный нуб в анализе трафика, но читаемые имёна хабов, ники юзеров, команды протокола в сыром потоке трафика не увидит разве слепой. Убеждать не намерен, доволен уж тем что удалось зафиксировать, многие так и остались при голословных претензиях к нему. И вообще целью упоминания мной этой истории здесь было не поныть, не пожаловаться, а доказать факт ддоса именно ксандером и его хабовым хозяйством.

Про недовольных. Да, может основная часть - потерявшие домены. Но есть вот какой момент - он на каждом углу божится, что не делал атаки на того, на этого, на пятого, десятого. Что всегда предупреждает, просто так не нападает, эксперименты - всегда по обоюдному согласию.. Говорит что давно уж не досер, всё ложь, п*дёж и провокация. Потом в один прекрасный день принимает лишнего, у него перемыкает планку и в алкогольном бреду начинают возникать претензии к тому или иному админу хаба, следом за ними - ддос. Мы будем стоять на позиции что любой ddos зло или что бывает благородный ддос и ксандер его адепт?

Вы бы уж конкретизировали, кто в этой теме скулит - "А этим дурикам, которые тут скулят на Ксандера я бы посоветовал", так-то я на свой счёт не принимаю, потому как ни домен свой ему не просерал, ни пил с вами на брудершафт, чтоб быть хоть как-то с вами знакомым и заслуживать пацанского тона общения.
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

Zayats писал(а):Мы будем стоять на позиции что любой ddos зло или что бывает благородный ддос и ксандер его адепт?
Соглашусь, но не совсем. Против лома нет приёма, если нет другого лома.
ДДОС - это конечно плохо. Но, иногда, это единственный способ остановить другого ДДОСера, который например ДДОСит за то, что ему не дали модератора, чтобы он как модер мог спокойно засирать спамом лички модерируемого хаба.
Так же, ничего плохого нет в ДДОСе, если особотупой спамер засирает все хабы своим спамом в день по несколько раз и забанить его не всегда есть возможность, т.к. он постоянно меняет адрес. Например с myhub.ru на my hub . ru и т.п. Понятно, что народу он так много не наберёт, но всё же видеть на хабе его спам по нескольку раз за день не особо приятно и особенно если он ещё и в наглую оскорбляет владельца хаба где спамит, уверенный в безнаказанности.

А вообще, я не только про это, а ещё и про другое. Зачем надо было писать на форуме Еоми про то, что ДДОСят VDS? Насколько я знаю, администрация Еоми удаляет аккаунты тех, кого ДДОСят. Короче, сам себя палишь. Даже если они и не обращали внимания, то теперь будут внимательно смотреть за твоим VDS. Может закончиться так, что тебя вышвырнут с VDS, а ДДОСеру ничего не будет даже если его хаб находиться у того же хостера.

P.S. Что у вас конкретно случилось с Ксандером, я конечно точно не знаю. И кто из вас виноват я тоже не знаю.
Я тут неоднократно читал обвинения Ксандера в том, что он "украл" домен. А при подробном выяснений оказывалось, что никто ничего не крал, а обвинитель просто сам его просрал.

У вас там идёт какая-то мышиная возня между собой и потому разбирайтесь сами, т.к. я уверен, что истинных причин вашего скандала и т.п. ты не скажешь.

А что касаемо ДДОС-атак, то разработчики работают с данной проблемой и Ксандер им в этом помогает...
Последний раз редактировалось slav 28 мар 2014, 17:40, всего редактировалось 2 раза.
Аватара пользователя
Zayats
Сообщения: 16
Зарегистрирован: 21 окт 2012, 17:33
Хаб: dchub://dc-zayats.ru
Контактная информация:

Сообщение Zayats »

Прекрасно знаю что удаляет аккаунты и пристальней смотрит. Просто ты не понял, что я обходных путей не искал, может потому что "мышиной возни" как раз не имелось. Ну а помощь разработчикам - что ж, медаль ему в руку. Сколько людей, столько и мнений.
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

интересная картинка получается, если перечитать моё сообщение http://dchublist.ru/forum/viewtopic.php?p=22098#p22098 от 06 фев 2014, 17:11, скопирую без перецитирования


>>Теперича по адресу fizkultira.dyndns.org открывается некий хаб с указанием, что он dc.kcahdep.ru.. глядь, а там в чате разговор
[13:06:43] <=Alexandr=> Cаня
[13:07:33] <HEKPOCAHDEP> шо
[13:07:51] <=Alexandr=> в скайп
[13:16:12] <bons> :чифир:
[13:16:50] <Zayats> да вон уж прибежал заказчик :аххаха:
[13:25:50] <HEKPOCAHDEP> ага заказчик)))
[13:28:49] <HEKPOCAHDEP> дозаказывался))) https://cloud.mail.ru/public/b8aa66e198 ... %D0%BA.jpg
[13:29:56] <Zayats> тю, я думал он как всегда вопросы по верлику имел
[13:30:29] <HEKPOCAHDEP> картинку глянь))
[13:31:03] <Zayats> с трудом вкуриваю откуда взялся флуд
[13:31:44] <Zayats> шура тоже на vds переполз?
[13:35:33] <HEKPOCAHDEP> ну да досил кого-то вот и заблокировали)
[13:35:49] <HEKPOCAHDEP> У него их 3)))
[13:36:13] <Zayats> у него не столь могуч хаб был, шоб досить
[13:36:21] <Zayats> юзеров нарастил? гг
[13:36:27] <HEKPOCAHDEP> У разных хостеров включая хетзнер)))
[13:36:37] <Zayats> сразу деньги вперёд с шурика бери, доканает с простейшими вопросами и времени твоего угробит дофигища)
[13:36:59] <HEKPOCAHDEP> а что можно только хабом досить)))
[13:37:30] <HEKPOCAHDEP> Это я уже прочуял)))))
[13:37:43] <Zayats> хаб лучше всего хабом, а то ты не знаешь)
[13:37:59] <HEKPOCAHDEP> ггг
[13:39:25] <HEKPOCAHDEP> может взломали может уязвимость какую использовали
[13:39:48] <HEKPOCAHDEP> У него там напихано всего в кучу
[13:40:34] <Zayats> опять тема ддоса, цирк да и только
[13:41:05] <HEKPOCAHDEP> И не говори )
[13:41:52] <HEKPOCAHDEP> ты то на своем бинд то удалил?)
[13:45:29] <Zayats> бинд не стоял по дефолту
[13:47:35] <Zayats> в флай инструменты мониторинга ctm автор встраивает и это правильно
[13:48:08] <Zayats> скоро кончится лафа, если софтописатели захотят

[13:50:52]  <Q-8> Hello Zayats !
[13:51:18] <Zayats> Q-8: Привет, gumin
[13:51:27]  <Q-8> Zayats: ;)
[13:52:20] <Zayats> надо к твоему хабу подключиться, а то уж адресок заржавел
[13:52:34]  <Gumin> lol
[13:53:16]  <Единорог> Поприветствуем нового зарегистрированного пользователя Gumin ! :)
[13:54:21] <HEKPOCAHDEP> Не мониторинга а блокировки увидеть то и так можно
[13:56:27] <Zayats> блокировку он может только по подозрительным портам вкрутить
[13:56:28] <HEKPOCAHDEP> пропал чет Александр
[13:56:54] <Zayats> мало чем поможет, если 80-й заблочен будет и прочие экзотические для дисика
[13:57:25] <HEKPOCAHDEP> порты как раз любые могут быть
[13:57:52] <HEKPOCAHDEP> количество мониторинг и блокировать

[13:58:44] <HEKPOCAHDEP> количество соединений мониторить*
[13:58:50] <Zayats> ну это в птоке можно увидеть
[13:58:55] <Zayats> динамику ctm
[13:59:08] <HEKPOCAHDEP> задолбал т9 все коверкает)
[13:59:11] <Zayats> заблочить софтом пока не могут
[13:59:32] <HEKPOCAHDEP> ну вот чем он и занимается
[14:00:25] <Zayats> посему правильно будет, если есть жалобы с доказательством что ctm сильно возрос в такой-то отрезок, выносить вопрос на бан хаба в хаблисте хотя бы

[14:00:43] <Zayats> а что за хаб - определять прогой типа хабмонитор
>>Эка штука интересная, оказывается, ддос этот самый.. *CRAZY*


Жили-были некто HEKPOCAHDEP и некто Zayats, в феврале еще совместно обсуждали, как лучше хаб хабом ддосить и как какие-то разработчики помешать этому не могут, а теперь ВНЕЗАПНО какой-то другой (?) Zayats жалуется на то, что некий KCAHDEP (на хаб которого направляет dchub://fizkultira.dyndns.org, кстати) его жесточайше ддосит.

Бугугашенька! :-D

А когда-то раньше дружно жили-были некто KCAHDEP и некто Phazeus , которые вместе дружно ддосили другие хабы..
И точно так же, как жалуются на него теперь, один жаловался на другого на том же самом форуме того же самого хостера http://www.eomy.net/forum/post56603.html#56603, ..
Последний раз редактировалось HackFresse 28 мар 2014, 20:36, всего редактировалось 2 раза.
Аватара пользователя
переподвыподверт
Сообщения: 252
Зарегистрирован: 05 окт 2010, 20:23
Откуда: Харьков

Сообщение переподвыподверт »

Kimbo писал(а):собрать майдан.
Ну а чё. Вычислить ддосера по IP и палить покрышки возле его резиденции. *CRAZY*
Ещё как вариант пожаловаться дяде Вове, что бендеры притесняют русскоязычных в сети. *ROFL*
Аватара пользователя
Zayats
Сообщения: 16
Зарегистрирован: 21 окт 2012, 17:33
Хаб: dchub://dc-zayats.ru
Контактная информация:

Сообщение Zayats »

HackFresse писал(а):интересная картинка получается, если перечитать моё сообщение viewtopic.php?p=22098#p22098 от 06 фев 2014, 17:11, скопирую без перецитирования
Компромат?) Страшную тайну открою - велись разговоры в чатах, вопросы софта сто раз обсуждались. Разве я сегодня утверждал, что мы не знакомы по чатам? Или это и есть та самая мышиная возня? И что?? Следует вывод что "совместно обсуждали, как лучше хаб хабом ддосить" из слов
<Zayats> хаб лучше всего хабом, а то ты не знаешь) < иронический оттенок конечно не улавливается) Весь кусок чата речь идёт о защите, если не выворачивать мои слова наизнанку. ;)
Дружно жили, ругались, писались, не писались - может это оффтоп? Может "не по словам воздастся, а по делам"? Есть юзер, устроивший ддос атаку, есть такая тема на форуме и есть что мне сказать по ней сегодня. Вот и всё, остальное от лукавого.
Последний раз редактировалось Zayats 28 мар 2014, 23:15, всего редактировалось 1 раз.
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

переподвыподверт писал(а):Вычислить ддосера по IP и палить покрышки возле его резиденции. *CRAZY*
Увы. По IP можно легко вычислить только ДОСера (с одной "Д" в слове), а вот ДДОСера (с двумя "Д" в слове) по IP - не уверен...
Хороший ДДОСер может столько IP-ов использовать, что никаких покрышек не хватит. :-)

И немного юмора:
slav писал(а):я уверен, что истинных причин вашего скандала и т.п. ты не скажешь.
Zayats писал(а):я обходных путей не искал, может потому что "мышиной возни" как раз не имелось. Ну а помощь разработчикам - что ж, медаль ему в руку
Zayats писал(а):Дружно жили, ругались, писались, не писались - может это оффтоп? Может "не по словам воздастся, а по делам"? Есть юзер, устроивший ддос атаку, есть такая тема на форуме и есть что мне сказать по ней сегодня. Вот и всё, остальное от лукавого.
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Ну и почему вдруг этот KCAHDEP тебя ддосить начал (а не вон того же Алзима, например), раз вы так хорошо общались на тему защиты хаба от ддоса? есть что сказать по теме сегодня?

Может это самое "не по словам воздастся, а по делам" прилетело тебе за то, что ты сам его ддосить пытался, да мощностей не хватило, откуда нам знать?
Аватара пользователя
Zayats
Сообщения: 16
Зарегистрирован: 21 окт 2012, 17:33
Хаб: dchub://dc-zayats.ru
Контактная информация:

Сообщение Zayats »

Догадки оставь при себе. Атака доказана. Не думал что здесь станут искать моральное оправдание ей.
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

Zayats писал(а):Атака доказана
Кем доказана и где?
Что-то я не видел активной реакции на твои жалобы на форуме Еоми.
Они даже тебя не забанили. Если бы был ДДОС, то твой аккаунт был бы заблокирован у них. И хаб твой работает.
Последний раз редактировалось slav 29 мар 2014, 13:31, всего редактировалось 1 раз.
Аватара пользователя
Zayats
Сообщения: 16
Зарегистрирован: 21 окт 2012, 17:33
Хаб: dchub://dc-zayats.ru
Контактная информация:

Сообщение Zayats »

Интересно, многим ли удавалось разубедить предвзятых?) Дело неблагодарное, всёж в который раз объясняю, чем доказана атака: захватом всех пакетов сетевого интерфейса с Mar 27, 2014 21:14:31 по Mar 27, 2014 21:21:19 в raw формате libpcap сниффером tcpdump. Время я сейчас взял не с потолка, оно фиксируется в каждом пакете файла на выходе. К утилите tcpdump претензии имеются? Если кто не в курсе, используется как стандарт в расследовании инцидентов информационной безопасности. Даже книжка нагуглилась - "Криминалистический анализ работающей компьютерной системы под управлением ОС Linux":
"В первую очередь необходимо с помощью сниффера исследовать информацию, принимаемую и передаваемую скомпрометированной компьютерной системой. Этот шаг является абсолютно необходимым. Некоторые виды злонамеренных действий могут быть обнаружены уже на этом этапе путем записи и анализа в реальном времени передаваемой в сети информации. Утилита tcpdump замечательно подходит для решения этих задач. Рекомендуется выполнять запись сетевых пакетов в необработанном виде (raw format), поскольку в противном случае могут возникать проблемы, связанные с недостаточной производительностью."
Может tcpdump что-то подтасовывает?) Нет. Тогда ты скажешь что мог я подтасовать. Время создания файла, сумма md5 и всё что нужно чтобы развеять сомнения можем узнать, скачав архив по ссылке: http://tempfile.ru/file/3063983
Сам файл дампа под названием dumped лежит там же. Это уже новый архив, не вчерашний, а с поправкой на сомневающихся, так скажем.
Далее ставится Wireshark, открывается скаченный файл, по желанию - курится мануал, настраиваются фильтры. Что видит каждый при открытии файла:
99% пакетов - запроcы на установку соединения (SYN). Это норма? Смотрим на частоту их прихода. Тоже норма для 7 минут захвата? видим 807 $MyNick ctm-ов с читающимися никами юзеров и хабами рефералами (находим по Ref=dchub://) Напомню что на хабе в это время обычно не более 150 человек.
Будут возражения что ничего страшного, хаб ведь работал в это время? Смотрим его статистику на хаблисте. Пингер не мог зайти (да, наверное я забанил?) Не могли зайти новые юзеры, сайт тоже не открывался (кстати, чего сам вчера не проверил хаб на работоспособность? когда строчить сюда начал, он всё ещё не пускал юзеров)
В общем, ознакомься предметно с тем про что я писал, только потом будет что нам обсуждать.
А пока можете крыть флудиком в духе "на eomy не признали инцидент, значит его и не было", "в чате перетирали, значит сам напросился" и прочими доводами для бабушек, только не надо ля-ля про недоказанность атаки.
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

Отвечаю вашими же словами:
Zayats писал(а):"на eomy не признали инцидент, значит его и не было"
Я давно сотрудничаю с Еоми и знаю, что там работают высококлассные специалисты. Кто вы я не знаю и знать не хочу. Как я вижу, на данный момент, вас стараются игнорировать на Еоми.
Zayats писал(а):"в чате перетирали, значит сам напросился" и прочими доводами для бабушек, только не надо ля-ля про недоказанность атаки.
На данный момент доказана только одна атака, это атака совершённая вами с VDS от Еоми, за что вас тут же лишили одного из ваших виртуальных серверов.
Аватара пользователя
andruw
Сообщения: 96
Зарегистрирован: 08 апр 2012, 17:49

Сообщение andruw »

Стронг выдает что с favorite-hub.ru:411 раз в минуту приходит корявый $Search с постоянным адресом получателя
93.191.97.29.:21000
. TTH в каждом новом запросе меняется. В конце ip адреса получателя ответа поставлена точка. Интересно, dc клиенты правильно выдаляют из такой команды ip адрес? По протоколу такая запись некорректна
Аватара пользователя
Вечный
Сообщения: 1098
Зарегистрирован: 24 авг 2009, 17:27

Сообщение Вечный »

Мда. И это еще меня обвиняли в раздутом самомнении. Никому хабы не нужны вообще, тоже мне майкрософт, чтобы его класть. Забавы школьников. "А вот у меня есть 100 юзеров, а ты козел и заддошу! а у меня 200, и сам ты козел!"
Аватара пользователя
andruw
Сообщения: 96
Зарегистрирован: 08 апр 2012, 17:49

Сообщение andruw »

Рановато пятницу отмечаем...
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

С чего вдруг такое фанатичное отрицание возможности существования ддос-междоусобиц между "карликовыми" админами?
Разве может такая ничтожная мелочь волновать кого-то из "великих" админов?
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

HackFresse писал(а):Разве может такая ничтожная мелочь волновать кого-то из "великих" админов?
Мелочь - она штука пузатая)). Если объединятся, то и "великим" могут накостылять. :-[
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Сегодня в логе увидел вот такое
полный лог тут
http://yadi.sk/d/ppKrO_fEN2hnR

есть версии? глюк флая?
очень странно что IP передается вот в таком виде
128.117.43.92://64.38.225.130

Код: Выделить всё


		// Если коннектов совершено много и IP находится в бане, но уже прошло время больше чем 10 Минут(по умолчанию)
		// Также убираем запись из таблицы блокировки
		const bool l_is_ddos_ban_close = j->second.m_count_connect > CFlyServerConfig::g_max_ddos_connect_to_me
		                                 && l_tick_delta > CFlyServerConfig::g_ban_ddos_connect_to_me * 1000 * 60;
		if (l_is_ddos_ban_close)
		{
			string l_type;
			if (j->first.second.is_unspecified()) // Если нет второго IP то это команада  ConnectToMe
			{
				l_type =  "IP-1:" + j->first.first + j->second.getPorts();
			}
			else
			{
				l_type = " IP-1:" + j->first.first + j->second.getPorts() + " IP-2: " + j->first.second.to_string();
			}
			LogManager::getInstance()->ddos_message("BlockID = " + Util::toString(j->second.m_block_id) + ", Removed DDoS lock " + j->second.m_type_block +
			                                        ", Count connect = " + Util::toString(j->second.m_count_connect) + l_type +
			                                        ", m_ddos_map.size() = " + Util::toString(m_ddos_map.size()));
		}

Код: Выделить всё


[2014-04-22 20:18:52] BlockID = 131, Removed DDoS lock [$ConnectToMe], Count connect = 85 IP-1:128.117.43.92://64.38.225.130 Port: 20232,2874,13806,12701,23642,37738,2510,8156,24698,46458,7821,48721,467,57368,3705,30799,13949,24079,1147,1470,30171,45097,25769,16606,53363,27375,26522,33222,22917,28366,26116,6906,52811,46400,62717,48377,33687,63472,33639,20305,30212,40467,36366,42799,772,59264,19090,30279,60763,4448,3684,53655,39594,1084,44236,40503,1169,53841,38710,48293,61198,58707,4672,58247,26200,55293,13964,16361,30888,56715,9003,57767,42778,562,54519,37105,10304,2845,14098,26165,8591,12282,30216,45297 IP-2: 94.242.221.159, m_ddos_map.size() = 410
[2014-04-22 20:18:52] BlockID = 134, Removed DDoS lock [$ConnectToMe], Count connect = 45 IP-1:128.208.2.233://64.38.225.130 Port: 55727,60414,43495,40604,44319,48469,17629,12615,45578,3281,29348,2785,16734,63405,33232,1883,29784,21747,62756,42058,31467,34907,43061,14456,57909,28411,42181,7862,65328,47514,17859,338,56363,23503,51972,10748,42635,12511,52197,5026,4645,39242,18420,21187 IP-2: 94.242.221.159, m_ddos_map.size() = 409


Ответить