Ддос атака с хаба

[slav]

Так же новую версию верлика (юзеров) невозможно использовать для ctm flood`а

На официальной странице Верлика, которая было обновлена в 2013 году, нет никаких новых версий. Последняя версия:

[KCAHDEP]

KCAHDEP писал(а):Так же новую версию верлика (юзеров) невозможно использовать для ctm flood`а
На официальной странице Верлика, которая было обновлена в 2013 году, нет никаких новых версий. Последняя версия:

https://github.com/VerliHub/verlihub-1.0.0 - разработкой давно занимается Rolex последняя версия
[15:07:41] <Единорог> Running Verlihub 1.0.0-RC1 build Mon Jan 06 2014

[slav]

https://github.com/VerliHub/verlihub-1.0.0 - разработкой давно занимается Rolex последняя версия
[15:07:41] <Единорог> Running Verlihub 1.0.0-RC1 build Mon Jan 06 2014

С таким же успехом можно установить RusHub.
Я точно не знаю, но слышал, что он сделан тоже на основе Верлика.
РусХаб хоть и сыроват, но он лучше для меня, т.к. разработчик наш отечественный. А я патриот.

Что касаемо Верлика 1.0, ну нет подтверждения на офсайте, что эта сборка как-то связана с оригинальным Верликом.
Конечно, можно сказать, что проект Верлика закрыт, но у меня возникает вопрос, а зачем они обновляли сайт и переделывали инструкцию под Верлик 0.9.9? Значит у них есть какие-то планы.

И опять же. В названии Verlihub 1.0.0-RC1 от Rolex присутствуют буквы RC, которые обычно обозначают "Релиз-кандидат". Конечно, это круче чем Бета, но это не стабильная версия.

[KCAHDEP]

Переубеждать не буду, всегда есть из чего выбрать

[HackFresse]

Защита, встроенная в новую версию?
Пфф.. Кто хочет ддосить, тот поставит версию старую. Или при сборке из исходников в нужном месте return поставит (таких на порядок меньше, да, но строку приветствия при входе на хаб меняли довольно многие)
Ддос этот - никак не случайное, а именно целенаправленное и осознанное действие, ответственность полностью на админе хаба, который делает из юзеров ботсеть


Атака на какой-то дц-хаб, конкретного юзера или произвольный сервер - с позиции бота не важно. Чей адрес указан, к тому боты(дц-клиенты) и будут долбиться.

Но одно дело междоусобный срач карликовых админов с их попытками завалить хаб/сайт/домашний инет конкурента, и совсем другое дело, когда мой IP засветится в ддос-атаке на какой-нибудь сервер какой-нибудь агрессивной правительственной организации (тут можно фантазировать сколь угодно много).

Но быть частью ботнета я не желаю

[Вечный]

Мальчики и девочки, с чего вы вообще взяли, что ConnectToMe - это флуд и тем более ддос? Ну я еще могу понять, что учить матчасть не наш метод, но даже тут это обсуждалось 100500 раз... Не говоря уже о корове... Можно подумать, мы тут все кому-то нужны, чтобы нас ддосить. Особенно нужны хабы по 100 юзеров.

[Kimbo]

по его словам скрипт ему дал Артем

к такому повороту событий меня жизнь не подготовила.
За клевету ему прибудет.
да и флуд идёт с fizkultira.dyndns.org а там стоит экзекутор, который сам сканирует открытые порты и по ним долбит.

[slav]

Пфф.. Кто хочет ддосить, тот поставит версию старую. Или при сборке из исходников в нужном месте return поставит (таких на порядок меньше, да, но строку приветствия при входе на хаб меняли довольно многие)

Но быть частью ботнета я не желаю

Так и я примерно про это. Про двойную защиту. Чтобы нельзя было меня использовать как пользователя клиента ФлайЛинк и ограничить числом атакующих со старой версии хаба тем же ФлайЛинком.
ФлайЛинк достаточно популярный клиент в России и периодически обновляемый. Если в нём стоит защита для пользователей, чтобы их было сложно использовать как часть ботнета, то это наполовину уже решает моей проблемы, чтобы по дури никакой админ более крупного хаба не валял мои сервера или комп домашний.

[slav]

Можно подумать, мы тут все кому-то нужны, чтобы нас ддосить. Особенно нужны хабы по 100 юзеров.

Раскрутить хаб со 100 юзеров до несколько тысяч, а потом быть вышвырнут с ВДС за ДДОС - круто . Какой смысл тогда его раскручивать?

[Вечный]

Я уже неоднократно говорил, но я повторюсь. Хобби стоит денег. Какой ВДС, вы вообще о чем? Заработайте уже себе денег на нормальные каналы, на нормальные сервера, найдите нормального хостера... Перестаньте ставить на свои хабы непонятные скрипты, в конце концов. Экзекутор им мешает... Фазеус нас всех сейчас заддосит. Самим-то не смешно?

[HackFresse]

Мальчики и девочки, с чего вы вообще взяли, что ConnectToMe - это флуд и тем более ддос? Ну я еще могу понять, что учить матчасть не наш метод, но даже тут это обсуждалось 100500 раз... Не говоря уже о корове... Можно подумать, мы тут все кому-то нужны, чтобы нас ддосить. Особенно нужны хабы по 100 юзеров.

Что именно расходится с матчастью?
http://mydc.ru/topic915.html?p=6692#entry6692

Эта команда начинает процесс соединения между клиентами. Команда отправляется на хаб клиентом, находящимся в активном режиме соединения с хабом. Хаб пересылает эту команду целевому клиенту без изменения. Получив эту команду, целевой клиент отвечает, соединяясь напрямую с указанным IP через указанный порт.

То, что при получении команды $ConnectToMe дц-клиент создаёт соединение с удалённым IP на разные порты много-много раз подряд -- это не флуд? А если таких дц-клиентов много-много (целых несколько хабов) -- это не ддос?

Даже в википедии написано давным-давно http://en.wikipedia.org/wiki/Direct_Con ... oS_attacks

Именно небольшие хабы и страдают, http://mydc.ru/topic5430.html?p=45071#entry45071

Доброго времени суток, накаркал я беду на свою седую голову...
Как я рассказывал ранее у меня 2 вдс и 2 dc++ хаба с общим количеством примерно 2 тысячи пользователей. С недавних пор этот "школьник" он же Phazeus, он же [пропущено]. Создатель бота для dc++ хабов Экзекутор http://phazasoft.narod.ru/ekzekutor/ поселился на моих хабах и начал вести пропаганду движения в котором он состоит "Суть времени" так же там где присутствует Его Величество, по его "Большой просьбе" было запрещено любое упоминание о курении, алкоголе. В его стиле навязывать свою точку зрения и т.д. В кругу хабоводов dc++ эта личность известная тем, что используя специальный плагин установленный в дополнение к его боту он может использовать юзеров хаба для дос атак, итог этого - ботнет в 10к зомби. [пропущено] но это все было небольшое отступление... Придя с ночной смены я обнаружил в почтовом ящике 2 уведомления о заблокированных вдс
ip 176.9.245.147, 176.9.245.129 с причиной ддос, расспросив операторов хаба они мне сообщили что в очередной раз этот фанатик-шизофреник начал раздавать ц.у. на лево и направо, один из операторов не выдержал и забанил его на хабе, после чего последовала
ддос атака, что предпринять в данной ситуации я не знаю, надеюсь на понимание администрации хостинга и возможном решении этой проблемы, все имеющиеся у меня данные я предоставил.

Заддосит не всех, но многих.

Проблема есть, причем очень давно. Отрицать очевидное, при этом пытаясь тыкать в матчасть, согласно которой ддос и организуется - "это пять"

[KCAHDEP]

KCAHDEP писал(а):по его словам скрипт ему дал Артем
к такому повороту событий меня жизнь не подготовила.
За клевету ему прибудет.

Я тоже так подумал, откуда такой жест щедрости

да и флуд идёт с fizkultira.dyndns.org а там стоит экзекутор, который сам сканирует открытые порты и по ним долбит.

не сканирует он порты, но в качестве цели можно указать доменное имя:port ип будет обновляться автоматом
И да ему походу до сих пор прибывает как только он начал скрипт везде раздавать

[Вечный]

С матчастью расходится мнение, что это ддос. Никогда ctm-флуд не был ддосом. Как минимум это подмена понятий.

[MaxFox]

KCAHDEP писал(а):https://github.com/VerliHub/verlihub-1.0.0 - разработкой давно занимается Rolex последняя версия
[15:07:41] <Единорог> Running Verlihub 1.0.0-RC1 build Mon Jan 06 2014
С таким же успехом можно установить RusHub.
Я точно не знаю, но слышал, что он сделан тоже на основе Верлика.
РусХаб хоть и сыроват, но он лучше для меня, т.к. разработчик наш отечественный. А я патриот.

Что касаемо Верлика 1.0, ну нет подтверждения на офсайте, что эта сборка как-то связана с оригинальным Верликом.
Конечно, можно сказать, что проект Верлика закрыт, но у меня возникает вопрос, а зачем они обновляли сайт и переделывали инструкцию под Верлик 0.9.9? Значит у них есть какие-то планы.

И опять же. В названии Verlihub 1.0.0-RC1 от Rolex присутствуют буквы RC, которые обычно обозначают "Релиз-кандидат". Конечно, это круче чем Бета, но это не стабильная версия.

К слову... чтобы ты знал, все новые версии от Rolexa тестируются в том числе и у меня... и они более стабильны, чем старые, так как мы нашли и поправили кучу багов. А так же, Ролекс, такой же отечественный, просто иммигрировал...
А русхаб и птока, всего одна ложка говна в их сторону, когда уже они откроют для себя mysql????

[slav]

К слову... чтобы ты знал

Ладно... Вы меня уговорили с Ксандером. Если возьму ещё одну ВДСку, то поставлю туда себе Верлик 1.0

А русхаб и птока, всего одна ложка говна в их сторону, когда уже они откроют для себя mysql????

Для Мускула ещё и скрипты нужны, чтобы они этот Мускул умели чистить хотя бы иногда.

[Вечный]

Не хотел я этого говорить... Вы все рассуждаете теоретически. Может, вы и правы в своих рассуждениях. Но нас тут есть 3 человека, которые занимаются этим на практике. Много лет занимаются. И когда мы что-то утверждаем, это как бы не просто так. Возможно, и скорее всего, мы никогда не договоримся о каких-то клиентах и прочих взглядах на жизнь, но уж как это работает, мы в курсе.

[Kimbo]

не сканирует он порты, но в качестве цели можно указать доменное имя:port ип будет обновляться автоматом

знаю.
А по поводу клеветы от фатального или ты сам придумал или он реально дурачок.
Он где-то нарыл недоскрипт и бегая по хабам кидал его ...

- [18:06:42 | 95.46.135.205 | CZ] <Fatall_Error_404> Скрипт_для_DDOS.lua (2,88 кБ) для Птокакс 4.2.0 качаем атакуем DDoS другие хапики!
- [18:07:23 | 1хх.ххх.х1.х7 | [ru] InterZet Санкт-Петербург] <рашпиль> ох нифрена себе
- [18:09:36 | 95.46.135.205 | CZ] <Fatall_Error_404> elmaars1:ну чо скрипт рабочий?
- [18:12:09] <Я> Fatall_Error_404: и нахера ты такое гавно распространяешь?
- [18:12:44 | 95.46.135.205 | CZ] <Fatall_Error_404> Я: а пусть тот кого тронул ксандер завалит его
- [18:12:53] <Я> ненормальный?
- [18:13:18 | 95.46.135.205 | CZ] <Fatall_Error_404> а таких найдется немало за работу скрипта не отвечаю не проверял но у мну сча пишет идет флуд атака с меня даже
- [18:13:27] <Я> мда, реально неадекват
- [18:13:41 | 95.46.135.205 | CZ] <Fatall_Error_404> Я: а ты за ксандера?
- [18:13:52] <Я> я против что бы ты такую херь в паблик кидал
- [18:15:17 | 95.46.135.205 | CZ] <Fatall_Error_404> Я: да и ладно мож он полурабочий
- [18:15:30] <Я> вообще не дружешь с котелком?
- [18:15:53 | 95.46.135.205 | CZ] <Fatall_Error_404> Я: а чо ты так испугался то?
- [18:16:14] <Я> я не испугался, я против того, что бы ты такую хероту кидал в паблик и всё
- [18:16:20 | 95.46.135.205 | CZ] <Fatall_Error_404> Я: я сеня написал в майдц про ксандера правду получил от него дос
- [18:16:24] <Я> имеешь его, гадь в тихаря, а не кидай его в паблики
- [18:16:44] <Я> за распространение сего гавна ты можешь не вылазить из атак
- [18:16:55 | 95.46.135.205 | CZ] <Fatall_Error_404> Я: ))) я его если он пахать будет везде выложу
- [18:17:13] <Я> реально неадекват

[KCAHDEP]

KCAHDEP писал(а):А по поводу клеветы от фатального или ты сам придумал или он реально дурачок.

смысл мне придумывать? он в наглую, в открытую в чате раздавал скрипт типа берите досьте ксандера когда спрашивали откуда в личку отвечал что ты, я сам так у него этот скрипт выпросил под другим ником ты с ним сцепился о паблике вот он тебя и приплел, а по большому счету мне всеравно откуда он его взял, многие хабы от этого скрипта тупо виснут или падают

[Kimbo]

ты с ним сцепился о паблике вот он тебя и приплел

не один я, просто я привёл лог с собой. Да и я заметил, что он неадекватный слегка человек.
Скрипт его не рабочий, просто сама попытка распространять данное гавнище это уж слишком.

[HackFresse]

С матчастью расходится мнение, что это ддос. Никогда ctm-флуд не был ддосом. Как минимум это подмена понятий.

http://ru.wikipedia.org/wiki/DoS-%D0%B0 ... 0%BA%D0%B0

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке [2] (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»).

Много команд подряд - флуд, много соединений от дц-клиентов на конкретный адрес - ддос. Никакой подмены понятий.

Не хотел я этого говорить... Вы все рассуждаете теоретически. Может, вы и правы в своих рассуждениях. Но нас тут есть 3 человека, которые занимаются этим на практике. Много лет занимаются. И когда мы что-то утверждаем, это как бы не просто так. Возможно, и скорее всего, мы никогда не договоримся о каких-то клиентах и прочих взглядах на жизнь, но уж как это работает, мы в курсе.

Есть вполне себе реальный скрипт, который позволяет вместо теоретических рассуждений перейти к практике (см. сообщения выше, кто кому чего давал скачать и кто на ком испытывал). у меня есть какой-то старый архив 9-й (!) версии скрипта

А можно однозначно сформулировать то, что утверждают 3 эти человека (эти самые "мы")?

[flylinkdc]

По поводу кода - я бы считал количество соединений на один IP (без порта),

Почему предлагаешь считать без порта?

и давай дефолтные константы блокировки и очистки блок-листа обсудим
я их определю в коде с возможностью централизованного переопределения через конфиг флай-сервера (вдруг ошибемся)

[HackFresse]

Без порта - самая первая мысль, которая пришла после просмотра кода ддос-плагина, и отличная от "ограничивать частоту (пауза между реконнектами)".

Принято грубое обобщение "у каждого юзера свой уникальный IP".

В настройках дц-клиентов для активного соединения указывается какой-то один небольшой набор портов, 1TCP + 1UDP + 1TLS. Порты эти меняется очень редко. "Честная" ctm-команда будет содержать порт один и тот же, заданный в настройках

В ддосе подход - открыть кучу соединений на жертве на все открытые порты / на группу портов, повторять долго и упорно с некоторой периодичностью. По скрину видно, что порты меняются


Т.е. если соединения на несколько разных портов - IP автоматически становится подозрительным. За одним адресом юзеры чаще всего сидят в пассиве, проброс портов на несколько разных юзеров на одном адресе - очень большая редкость.

[HackFresse]

Кстати, наполнение массива стрёмных IP очень легко и просто сделать на основании учета неудавшихся коннектов.
Т.е. атака идёт по открытым портам - дц-клиент открывает сокет, получает какую-то порцию данных. Если данные отличаются от стандартного протокола взаимодействий дц-клиент<--> дц-клиент http://wiki.gusari.org/index.php?title= ... _handshake то такие IP надо игнорить (получил ответ вебсервера - сразу ясно, что что-то не так)

[flylinkdc]

А эту физкультуру как планируете наказывать?
вы его знаете?

[HackFresse]

Теперича по адресу fizkultira.dyndns.org открывается некий хаб с указанием, что он dc.kcahdep.ru.. глядь, а там в чате разговор

[13:06:43] <=Alexandr=> Cаня
[13:07:33] <HEKPOCAHDEP> шо
[13:07:51] <=Alexandr=> в скайп
[13:16:12] <bons> :чифир:
[13:16:50] <Zayats> да вон уж прибежал заказчик :аххаха:
[13:25:50] <HEKPOCAHDEP> ага заказчик)))
[13:28:49] <HEKPOCAHDEP> дозаказывался))) https://cloud.mail.ru/public/b8aa66e198 ... %D0%BA.jpg
[13:29:56] <Zayats> тю, я думал он как всегда вопросы по верлику имел
[13:30:29] <HEKPOCAHDEP> картинку глянь))
[13:31:03] <Zayats> с трудом вкуриваю откуда взялся флуд
[13:31:44] <Zayats> шура тоже на vds переполз?
[13:35:33] <HEKPOCAHDEP> ну да досил кого-то вот и заблокировали)
[13:35:49] <HEKPOCAHDEP> У него их 3)))
[13:36:13] <Zayats> у него не столь могуч хаб был, шоб досить
[13:36:21] <Zayats> юзеров нарастил? гг
[13:36:27] <HEKPOCAHDEP> У разных хостеров включая хетзнер)))
[13:36:37] <Zayats> сразу деньги вперёд с шурика бери, доканает с простейшими вопросами и времени твоего угробит дофигища)
[13:36:59] <HEKPOCAHDEP> а что можно только хабом досить)))
[13:37:30] <HEKPOCAHDEP> Это я уже прочуял)))))
[13:37:43] <Zayats> хаб лучше всего хабом, а то ты не знаешь)
[13:37:59] <HEKPOCAHDEP> ггг
[13:39:25] <HEKPOCAHDEP> может взломали может уязвимость какую использовали
[13:39:48] <HEKPOCAHDEP> У него там напихано всего в кучу
[13:40:34] <Zayats> опять тема ддоса, цирк да и только
[13:41:05] <HEKPOCAHDEP> И не говори )
[13:41:52] <HEKPOCAHDEP> ты то на своем бинд то удалил?)
[13:45:29] <Zayats> бинд не стоял по дефолту
[13:47:35] <Zayats> в флай инструменты мониторинга ctm автор встраивает и это правильно
[13:48:08] <Zayats> скоро кончится лафа, если софтописатели захотят
[13:50:52]  <Q-8> Hello Zayats !
[13:51:18] <Zayats> Q-8: Привет, gumin
[13:51:27]  <Q-8> Zayats: 
[13:52:20] <Zayats> надо к твоему хабу подключиться, а то уж адресок заржавел
[13:52:34]  <Gumin> lol
[13:53:16]  <Единорог> Поприветствуем нового зарегистрированного пользователя Gumin ! 
[13:54:21] <HEKPOCAHDEP> Не мониторинга а блокировки увидеть то и так можно
[13:56:27] <Zayats> блокировку он может только по подозрительным портам вкрутить
[13:56:28] <HEKPOCAHDEP> пропал чет Александр
[13:56:54] <Zayats> мало чем поможет, если 80-й заблочен будет и прочие экзотические для дисика
[13:57:25] <HEKPOCAHDEP> порты как раз любые могут быть
[13:57:52] <HEKPOCAHDEP> количество мониторинг и блокировать
[13:58:44] <HEKPOCAHDEP> количество соединений мониторить*
[13:58:50] <Zayats> ну это в птоке можно увидеть
[13:58:55] <Zayats> динамику ctm
[13:59:08] <HEKPOCAHDEP> задолбал т9 все коверкает)
[13:59:11] <Zayats> заблочить софтом пока не могут
[13:59:32] <HEKPOCAHDEP> ну вот чем он и занимается
[14:00:25] <Zayats> посему правильно будет, если есть жалобы с доказательством что ctm сильно возрос в такой-то отрезок, выносить вопрос на бан хаба в хаблисте хотя бы
[14:00:43] <Zayats> а что за хаб - определять прогой типа хабмонитор

Эка штука интересная, оказывается, ддос этот самый..