DDOS V1.0
Umid qilamanki , siz ma'lumotni sizdiradigan darajada ahmoq emassiz.
Agar bu sodir bo'lmasa, men minnatdor bo'lardim. Va agar shunday bo'lsa, unda bir guruh holatlar, men yangi xususiyni 2.0 da tugataman va yangi ma'lumotlarga ega yangi guruhni ishga olaman. Bozorni o'ldirib o'zingni siking.
Bor.
Avvalo, ushbu treningni sotib olganingiz uchun sizga rahmat aytmoqchiman. Bu yerda sizlar juda ko'psiz, bu albatta yaxshi narsa. Chunki menda hali biror narsani qoldirishga vaqtim bor. (Va men tez orada o'laman)
USHBU QO'LLANMA FAQAT MA'LUMOT UCHUN BERILGAN. MUALAF O'KIRuvchilarNI QONUNIY HARAKATLARGA CHAQIRMAYDI.
Rejadan boshlaylik:
1.Kirish
2. Asosiy nazariya
3. DDOS hujumlarining usullari
4. DDOS hujumlari uchun uskunalar tanlash
5. DDOS hujumlari uchun uskunalarni sozlash
6. Himoya turlari va ularni chetlab o'tish usullari
7. Xavfsizlik va anonimlik
8. Monetizatsiya usullari
9. Boshqa shirinliklar
10. Kontaktlar, xostlar, foydali havolalar, materiallar va boshqalar.
Xo'sh, kirish
Siz (a) DDOS hujumlarini eshitgansiz yoki amalda bilasiz.
Kimdir yangiliklarda ko'rdi, kimdir unashtirilgan, kimdir endi eshitdi.
Ushbu qo'llanmada men buni professionallar tomonidan qanday amalga oshirilishini iloji boricha tushuntirishga harakat qilaman.
Men sizdan davlat resurslari va yirik kompaniyalarga, ayniqsa banklarga hujum qilmaslikni so'rayman)))
Tijorat tashkilotlari buni kechirmaydi, sudda qattiq tishlashadi.
Aks holda, jinoiy ish sizni kutishi mumkin, hatto tergov biroz vaqtga cho'zilsa ham, ular buni isbotlashga ulguradilar.
Menimcha, hamma narsa aniq, men tortmayman, keling, nazariyaga o'tamiz, lekin kirishga oid birinchi savollar.
==Asosiy nazariya==
Boshlash uchun biz DDOS atamasining o'zini tahlil qilamiz. Buning uchun wikiga murojaat qilaylik, keyin o'z so'zlarim bilan yozaman.
DDOS ingliz tilidagi Distributed Denial of Service iborasining qisqartmasi bo'lib, rus tiliga “Distributed Denial of Service” deb tarjima qilinadi. Bu ko'p sonli taqsimlangan (ya'ni Internetning turli nuqtalarida sodir bo'lgan) natijasida tarmoq manbasiga xizmat ko'rsatishdan bosh tortishni anglatadi.
kirish) so'rovlari. Denial of Service (DoS) hujumining DDOS hujumidan farqi shundaki, bu holda haddan tashqari yuklanish ma'lum bir internet saytidan so'rovlar natijasida yuzaga keladi.
Va endi o'zim:
Vaziyatni tasavvur qilaylik, ma'lum bir Vasya va bir guruh uysiz uysiz odamlar bor.
Vasya ko'chada yuradi, hech kimga tegmaydi, ishga ketadi.
Kutilmaganda, bir to'da uysizlar paydo bo'lib, uni sikishni boshlaydilar.
Vasya nima qilishi kerak? Uni o'rab olishdi va o'tishga ruxsat berishmadi, bundan tashqari, u hatto harakatlana olmaydi, chunki ular aqldan ozishdi va uni tishlay boshlashdi. Nihoyat buni tugatib , ular to'satdan ketishadi.
Vasya uchun nima qoladi? To'g'ri, o'ling yoki tez yordamni kuting.
Bunday holda, manba Vasya, uysizlar esa bizning DDOS.
Boshqa sohalardagi xakerlar va oddiy odamlar ko'pincha DDOSni kam baholaydilar, ammo bu ularning xatosi.
Masalan, saytni buzish uchun, masalan, menga biroz vaqt kerak bo'ladi. Va bu holatda, hamma narsa o'rnatilganda, bankni ildiz ostida o'ldirish uchun bitta buyruq etarli.
Buzilish bo'lsa, hamma orqaga qaytishi mumkin, DDOS bo'lsa, ular hatto serverga kira olmaydilar, chunki u yotgan bo'ladi.
Asosiy nazariya uchun men tarmoq modellaridan boshlashga arziydi deb o'ylayman. U omma oldida, lekin usiz hech qayerda emas.
DDOS holatida biz TCP/IP protokoli stekiga tegamiz.
TCP/IP raqamli shaklda taqdim etilgan tarmoq aloqa modelidir.
Ushbu model ma'lumotlar jo'natuvchidan qabul qiluvchiga qanday uzatilishini tavsiflaydi.
TCP / IP protokoli to'plami to'rt darajani o'z ichiga oladi, bular:
• Ilova qatlami (7-qavat)
• Transport qatlami (4-qatlam)
• Tarmoq qatlami (3-qavat)
• Bog'lanish qatlami (2-qavat)
Keling, har bir darajani tartibda ko'rib chiqaylik:
1. Ilova qatlami - OSI tarmoq modelining yuqori darajali protokoli, tarmoq va foydalanuvchi o'rtasidagi o'zaro aloqani ta'minlaydi.
Qatlam foydalanuvchi ilovalariga ma'lumotlar bazasi so'rovlarini qayta ishlash, fayllarga kirish, elektron pochtani yo'naltirish kabi tarmoq xizmatlariga kirish imkonini beradi. pochta. Ma'lumotlar turlari: Ma'lumotlar
Funksiyalar: Tarmoq xizmatlariga kirish Misollar: HTTP, Telnet, FTP va boshqalar.
2. Transport qatlami - OSI tarmoq modelining 4-qatlami, ma'lumotlarni yetkazib berish uchun mo'ljallangan.
Shu bilan birga, qanday ma'lumotlar, qayerdan va qayerdan uzatilishi muhim emas, ya'ni uzatish mexanizmini o'zi ta'minlaydi.
U ma'lumotlar bloklarini bo'laklarga ajratadi, ularning o'lchamlari protokolga bog'liq: qisqalari bittaga birlashtiriladi va uzunlari bo'linadi.
Ma'lumotlar turlari: Segmentlar/Datagrammalar
Xususiyatlari: so'nggi nuqtalar va ishonchlilik o'rtasidagi to'g'ridan-to'g'ri aloqa
Misollar: TCP/UDP
3. Tarmoq qatlami - OSI tarmoq modelining 3-qatlami, ma'lumotlarni uzatish yo'lini aniqlash uchun mo'ljallangan. Mantiqiy manzillar va nomlarni jismoniy manzillarga tarjima qilish, eng qisqa marshrutlarni aniqlash, kommutatsiya va marshrutlash, tarmoq muammolari va tiqilib qolishni kuzatish uchun javobgardir.
Ma'lumotlar turlari: Paketlar
Funksiyalar: Marshrutni aniqlash va mantiqiy manzillash Misollar: ICMP, GRE va boshqalar.
Men havola qatlamini tasvirlamadim, nega?
Chunki bizning holatlarimizda u foydali emas. DDOS hujumlari uchun biz kamdan-kam hollarda tarmoq darajasida dastur va transport darajalarida hujumlardan foydalanamiz.
• Ilova darajasida bu HTTP usullari, transport TCP va UDP da bo'ladi
• GRE tarmog'ida, chunki ICMP endi tegishli emas.
Va endi biz HTTP, TCP va UDP bilan nima qilishimizni tahlil qilamiz.
HTTP suv toshqini holatida biz juda ko'p HTTP Get / Post so'rovlari bilan to'lib ketamiz, shu sababli veb-server dudos bo'lib qoladi.
HTTP - Bu HTTP protokoli yordamida ma'lumotlarni uzatish uchun mijoz va server o'rtasida o'rnatilgan aloqa. HTTP ulanishi va sifatida aniqlanadi.
Mijoz darajasida protokol kortej sifatida taqdim etiladi:
Ikki so'nggi nuqta o'rtasida aloqa o'rnatish ko'p bosqichli jarayondir.
U izni o'z ichiga oladi. Qadamlar:
1. DNS xost nomi bo'yicha IP hisoblash
2. Serverga ulanishni o'rnatish
2. So'rov yuborish
3. javob kutish
4. ulanishni yopish
UDP va TCP suv toshqini holatida biz soniyada juda ko'p paketlar bilan to'lib ketamiz.
LEKIN, avval bir nuanceni ko'rib chiqaylik. Ya'ni, TCP va UDP o'rtasidagi farq.
Agar sizlardan birortangiz bilmasa, TCP UDP dan farqli ravishda xavfsiz protokoldir.
Uning farqi shundaki, u paketlarni belgilangan joyga yetkazib berishni kafolatlaydi, UDP holatida u etkazib berishni tekshirmaydi, uning yagona vazifasi jo'natishdir.
TCP-da mijoz va server o'rtasida o'rnatiladigan "uch tomonlama qo'l siqish" mavjud bo'lib, uni qisqacha tavsiflash uchun:
1. TCP seansini yaratish uchun mijozdan so'rov yuboriladi va SYN bayrog'i bilan TCP paketi yuboriladi.
2. Server mijozga SYN+ACK bayroqlari bilan TCP paketini qaytarib yuboradi.
3. Mijoz serverga ACK bayrog'i bilan TCP paketini yuboradi. Endi batafsilroq ko'rib chiqamiz:
1. Ulanishni o'rnatmoqchi bo'lgan mijoz serverga ketma-ketlik raqami va SYN bayrog'i bilan segmentni yuboradi.
Qo'shimcha algoritm:
- server segmentni qabul qiladi, tartib raqamini eslab qoladi va yangi mijozga xizmat ko'rsatish uchun rozetka (buferlar va xotirani boshqarish tuzilmalari) yaratishga harakat qiladi; - Agar muvaffaqiyatli bo'lsa, server mijozga ketma-ketlik raqami va SYN+ACK bayroqlari bilan segmentni yuboradi va SYN-RECEIVED holatiga kiradi;
- Agar muvaffaqiyatli bo'lsa, server mijozga ketma-ketlik raqami va SYN+ACK bayroqlari bilan segmentni yuboradi va SYN-RECEIVED holatiga kiradi;
- Agar muvaffaqiyatsiz bo'lsa, server mijozga RST bayrog'i bilan segmentni yuboradi.
2. Agar mijoz SYN bayrog'i bilan segmentni qabul qilsa, u holda u tartib raqamini eslab qoladi va segmentni ACK bayrog'i bilan yuboradi.
Qo'shimcha algoritm:
-Agar u bir vaqtning o'zida ACK bayrog'ini qabul qilsa (odatda shunday bo'ladi), u holda u O'RNATISH holatiga o'tadi;
-Agar mijoz RST bayrog'i bilan segmentni qabul qilsa, u holda ulanishga urinish to'xtaydi;
-Agar mijoz 10 soniya ichida javob olmasa, u holda ulanish jarayonini yana takrorlaydi.
3. Agar SYN-RECEIVED holatidagi server ACK bayrog'i bilan segmentni qabul qilsa, u holda u ESABLISHED holatiga o'tadi.
Aks holda, vaqt tugashidan keyin u rozetkani yopadi va YOPIQ holatga kiradi.
Jarayon "uch tomonlama qo'l siqish" deb nomlanadi, chunki to'rtta segment (SYN server tomoniga, ACK mijoz tomoni, SYN mijoz tomoni, ACK server tomoni) yordamida ulanishni o'rnatish mumkin bo'lsa-da amaliyot, uchtasi vaqtni tejash uchun ishlatiladi.
Endi TCP bayroqlarini ko'rib chiqamiz:
• ACK - TCP segmentidagi bayroq, uning sozlanishi "Tasdiqlash raqami" maydoni yoqilganligini bildiradi. Agar ACK bayrog'i o'rnatilgan bo'lsa, bu maydon keyingi safar qabul qiluvchi tomonidan kutilgan tartib raqamini o'z ichiga oladi. Ushbu segmentni qabul qilinganligi haqidagi tasdiq sifatida belgilaydi.
• RST - TCP segmenti sarlavhasidagi bayroq, uning kiritilishi ulanishning tugashini bildiradi.
• FIN - bayroq, TCP segmenti sarlavhasida, uning kiritilishi seans tugashini bildiradi.
• SYN - TCP segmenti sarlavhasidagi bayroq ma'lumotlarni qabul qilish/uzatish uchun seanslar sonini sinxronlashtirish uchun ishlatiladi. Bu bayroq ulanish o'rnatish uchun ishlatiladi.
Xo'sh, endi UDP ga o'tamiz.
UDP - bu foydalanuvchi datagram protokoli. TCP/IP ning asosiy elementlaridan biri, Internet uchun tarmoq protokollari to'plami. UDP yordamida kompyuter ilovalari maxsus uzatish kanallari yoki ma'lumotlar yo'llarini o'rnatish uchun oldindan aloqaga muhtoj bo'lmasdan IP tarmog'i orqali boshqa xostlarga xabarlarni (bu holda datagramlar deb ataladi) yuborishi mumkin.
Oddiy qilib aytganda, TCP dan farqli o'laroq, u hech narsani tekshirmaydi va aloqa o'rnatmaydi. Bu shunchaki qabul qiluvchilarga kerakli ma'lumotlarni yuboradi. Xo'sh, UDP va TCP o'rtasidagi farqlardan biri, albatta, tezlik, u ancha yuqori.
= SIZ O'QIYOTGAN SAVOLLAR =
==Buni tushunish kifoyami? Paketlar qanday ishlashini o'rganish kerakmi?
- Istak yetarli, yana o'qing - tushunasiz. Yodlash shart emas , lekin
yaxshiroq bilish
==Ehtimol, oddiy savol, lekin qanday qilib barcha turdagi eng yaxshi xakerlik guruhlari topilmasligini bilishadi?
-- Keyinchalik anonimlik
==DDOS bilan FTP va boshqalarga kirish mumkinmi? --Yo'q, FTP-ga kirish allaqachon DDOS emas, balki xakerlikdir.
Keling, hujum usullari.
DDOS usullari juda ko'p, shuning uchun men ularni protokol turiga qarab uchta toifaga ajrataman.
HTTP usullaridan boshlaylik.
HTTP Get/Post Flood - Biz qurbon serveriga ko'p sonli HTTP so'rovlarini yaratamiz. Ko'pgina hollarda, bu saytning mumkin bo'lgan eng katta elementlarini olish uchun GET so'rovlari. Har bir bot ko'p sonli qonuniy so'rovlarni yaratishi mumkin (sekundiga 10 martadan ortiq). Shunday qilib, ushbu hujum usulini amalga oshirish uchun katta botlar armiyasi yoki o'ta xususiy botnetga ega bo'lish shart emas. GET so'rovlariga qo'shimcha ravishda, POST so'rovlari ham yuborilishi va boshqa HTTP harakatlar bajarilishi mumkin, bu bir xil natijaga olib keladi - jabrlanuvchining veb-serverini haddan tashqari yuklaydi va uni mavjud bo'lmaydi. Siz uni hatto o'z kompyuteringiz/serveringizdan ham amalga oshirishingiz mumkin.
HTTP Strong - jabrlanuvchi serveriga ko'p sonli HTTP so'rovlari ham yaratiladi, ammo bu usulning farqi shundaki, bo'sh HTTP so'rovlari veb-serverga yuboriladi. Bu usul juda kuchli va shunga mos ravishda shaxsiydir. Men uni alohida skript sifatida sotib olmoqchi edim, lekin afsuski, MDHda DDOS haqida biror narsani tushunadigan va tanishlar orqali chet elga suradigan odamlar kam. Yaxshiyamki, men bir marta shaxsiy botnetni bir oyga ijaraga olib, uni sinab ko'rishga muvaffaq bo'ldim. Usul juda kuchli va agar siz tasodifan uchrashsangiz - sotib oling.
HTTP Null - Ko'p sonli HTTP so'rovlari yaratiladi, ular ham bo'sh, lekin bu usul va Strong o'rtasidagi farq shundaki, HTTP Strong veb-serverdan javob kutadi, HTTP Null esa kutmaydi. Men ham sinab ko'rish imkoniyatiga ega bo'ldim, usul haqiqiy bo'lmagan darajada kuchli.
JSBypass - CloudFlare stub va analoglarini chetlab o'tish usuli. Ehtimol, ko'pchiligingiz ushbu rasmni ko'rgansiz: Siz saytga kirasiz va u erda 5 soniya davomida tushunarsiz rasm aylanmoqda, masalan:
Bu CloudFlare stub. Ushbu usul uni juda oddiy tarzda chetlab o'tadi, cookie fayllari tahlil qilinadi va sizning qurboningiz bir zumda ishdan chiqadi. Bundan tashqari, yuqori samaradorlik uchun ushbu usul uchun proksi-serverni qo'shimcha ravishda belgilashingiz mumkin. Botnetlarda men juda kam uchrashdim, u serverlardan mukammal ishlaydi.
XML-RPC - Bu juda qiyin usul. Ushbu usuldan foydalangan holda, so'rovlar serveringizdan emas, balki WordPress CMS-dagi zaif saytlardan keladi. Bular. - siz diapazonlarni skanerlaysiz, ular orasida zaif saytlarni topasiz va hujum paytida masofadan buyruq berasiz. Usul juda samarali va arzon. Chunki undan foydalanish uchun sizga botnet yoki o‘ta kuchli server kerak emas. Xosting provayderi taqiqlamasligi kifoya :) Joomla Reflection - XML-RPC usuliga o'xshash, ular bir xil ishlash printsipiga ega, ammo bu holda WordPress emas, balki CMS Joomla.
= SAVOLLAR =
== Qaysi biri tez-tez ishlatiladi?
--HTTP Get/Post eng keng tarqalgan. Kamroq tarqalgan XMLRPC
.== Ilova mantig'iga hujumlar haqida nima deyish mumkin? Masalan, kichik botnet bilan saytning barcha bo'limlari va so'rovlarini ko'rib chiqing, ilovaning javob tezligini o'qing, so'ngra dasturning eng qiyin joylarini aniqlang va ularga maqsadli hujum qiling?
--Botnet mavjud bo'lsa, unchalik mantiqiy emas. Botnet apriori hamma narsani o'ldiradi. Ammo botnet juda kichik bo'lsa, mantiqan to'g'ri keladi. POST toshqin, masalan, ro'yxatga olish uchun yaxshiroqdir. Ammo captcha turi bo'yicha tekshiruv mavjud bo'lsa, ma'no yo'qoladi. Faqat uning ichida xirillash ukolini topmasangiz.
== Xo'sh, bu hazil, agar botnet yo'q bo'lsa, unda ba'zi Apache Bench orqali siz, masalan, bema'ni ishlaydigan ma'lumotlar bazasi keshini topishingiz va uni sayt qidiruv tizimidagi ma'lum so'rovlar orqali bir kishiga sudrab olishingiz mumkin.
==Qaysisini tanlash ko'proq mos keladi?
--XMLRPC barcha tiriklardan ko'ra tirikroq, yana bir kuni Saxarniy ularga ILVni qo'ydi.
HTTP toshqin har doim dolzarb bo'lib qoladi - bu Joomla emas, balki XMLRPC 7 Layerining asosidir va u erda baxt bo'ladi. Xo'sh, Cloudni stub bilan ko'rganingizda JSBypass
== Qanday jinni barg))
--Unday, qanaqa choyshabni aytaman
Men eng mashhur va tez-tez ishlatiladigan usullarni tasvirlab berdim, ko'pchilikni qanday amalga oshirishni rejaga muvofiq keyingi bosqichlarda tasvirlab beraman.
Endi men TCP usullari haqida gapirmoqchiman, UDP dan farqli o'laroq, ularning ko'pi yo'q, lekin shunga qaramay, men TCP dan boshlab transport qatlamiga tegishga qaror qildim.
Transport qatlamidagi aksariyat hujumlar IP-spoofing orqali amalga oshiriladi.
IP-spoofing, qisqasi, teskari IP-manzilni almashtirishdir. Bu sizga jo'natuvchining manzilini almashtirish orqali tizimni aldash imkonini beradi. IP-spoofing tufayli tajovuzkorni aniqlashning iloji yo'q.
SSYN - (Spoofed SYN) Bunday holda, biz serverga soxta SYN so'rovlarini yuboramiz, jo'natuvchining manzilini almashtiramiz (Spoofing). SYN+ACK javobi mavjud bo'lmagan manzilga yuboriladi, natijada ulanish navbatida yarim ochiq ulanishlar paydo bo'lib, mijozdan tasdiqlashni kutadi. Keyin
ma'lum vaqt tugashi bilan bu ulanishlar to'xtatiladi. Usul juda samarali va bugungi kunga tegishli. Ular bundan o'zlarini himoya qila oladilar, ammo MDHda buni qilishga aqli yetmaydi.
SYN-ACK Flood - Bu holda, SYN-ACK toshqin paytida, biz juda ko'p keladigan soxta SYN-ACK paketlari bilan to'ldiramiz. Har bir SYN-ACK paketi bo'yicha qaror qabul qilishga va uni ulanish jadvalida saqlangan yozuvlardan biri bilan moslashtirishga urinib, qurbon serveri soxta SYN-ACK paketlari oqimini qayta ishlash uchun hisoblash resurslarini (RAM, CPU va boshqalar) ajratadi. Natijada, xuddi SYN toshqini paytida bo'lgani kabi sodir bo'ladi: qurbonning serveri haddan tashqari yuklangan, bu uning qisman ishlamasligi yoki to'liq axlatga olib keladi.
Dominate - Bu holda, turli xil bayroqlarga ega bo'lgan ko'p sonli TCP paketlari mavjud, amalda bu usul katta muvaffaqiyat ko'rsatdi.
xMAS - Bu usul yopiq TCP portlariga uriladi va protsessorni qattiq tugatadi va ularni tom ma'noda eritishga majbur qiladi.
RST/FIN Flood - Bu holda, TCP-SYN seansini yopish uchun mijoz va xost o'rtasida RST yoki FIN paketlari almashiladi. RST yoki FIN suv toshqini paytida jabrlanuvchining serveri server ma'lumotlar bazasidagi seanslarning hech biri bilan bog'liq bo'lmagan yuqori tezlikda soxta RST yoki FIN paketlarini oladi. RST yoki FIN suv toshqini paytida, jabrlanuvchi server kiruvchi paketlarni joriy ulanishlar bilan moslashtirish uchun tizim resurslarini (yana, bu RAM, protsessor va boshqalar) ajratishga majbur bo'ladi, bu esa server ish faoliyatini yo'qotishiga olib keladi va uning qisman mavjud emasligi.
ACK Flood - Bu holda, bo'laklangan ACK to'lqini nisbatan kichik miqdordagi uzatilgan paketlar bilan kanal o'tkazish qobiliyatining muhim miqdorini to'ldirish uchun maksimal ruxsat etilgan paket hajmidan (masalan, 1500 bayt) foydalanadi. Parchalangan ACK paketlari odatda marshrutizatorlar, xavfsizlik devorlari va kirishni oldini olish tizimlaridan osongina o'tadi. bu qurilmalar tarmoq qatlamida parchalangan paketlarni qayta yig'maydi. Qoida tariqasida , bunday paketlar tasodifiy ma'lumotlarni o'z ichiga oladi. Tajovuzkorning maqsadi jabrlanuvchi tarmog'ining tashqi kanallarining butun o'tkazish qobiliyatini to'ldirish bo'lganligi sababli, bu turdagi toshqin hujum qilingan tarmoqdagi barcha serverlarning ishlashini pasaytiradi.
ESSYN - Aslida TCP SSYN usuli, lekin 2013 yilda Starfall tomonidan qayta yozilgan. Bu samaraliroq ekanligi haqida mish-mishlar mavjud. Ko'rinib turibdiki, bu mish-mish emas.
xSYN - Bundan tashqari, TCP SSYN usuli, lekin 2013 yilda Starfall tomonidan qayta yozilgan.
= O'QIB O'QINGIZDAGI SAVOLLAR=
TCP usullari haqida savollar.
==Qaysi usul mos ekanligini qanday aniqlash mumkin? Ya'ni, vazifa *qo'yish* ekanligi aniq, lekin birinchi marta sindirish mumkinmi yoki faqat terish orqali amalga oshiriladimi?
-- Poke usuli. Shunday bo'ladiki, saytlar xuddi shu syn-cookkini qo'yadi, siz buni darhol sezmaysiz va filtrlanadi, lekin MDHda miyalar kam va hamma ahmoqdir. + qanday himoya turiga qarab, lekin keyinroq bu haqda.
==Bir vaqtning o'zida bir nechta foydalanish mumkinmi?)
--Ha :) Lekin agar siz ustunlik qila olsangiz, bir vaqtning o'zida bir nechta yugurish mantiqiy :)
==Variantlardan qaysi biri kurator, cloudflyer va hokazolarni urish qiyinroq?
--ACK.
Haydash.
UDP usullari orqali uzoq sayohatni boshlash uchun TCP usullarini iloji boricha aniq tasvirlashga harakat qildim.
UDP Flood - UDP suv toshqini paytida jabrlanuvchining serveri IP-manzillarning keng doirasidan juda ko'p soxta UDP paketlarini oladi. Jabrlanuvchining serveri yoki uning oldidagi tarmoq uskunasi soxta UDP paketlari bilan to'lib toshgan. Hujum butun tarmoqli kengligini egallab, tarmoq interfeyslarining tiqilib qolishiga olib keladi. UDPda TCP kabi aloqa o'rnatish (qo'l siqish) tushunchasi yo'q. Bu qonuniy UDP trafigini saqlagan holda UDP suv toshqini filtrlashni juda qiyinlashtiradi, shuningdek, kanalni suv bosishining samarali vositasidir. UDP to'lqini tarmoqni tasodifiy yoki statik IP-manzillarni o'z ichiga olgan paketlar bilan yuqtiradi va u haqidagi ma'lumotlardan, masalan, qonuniy xizmatning maqsadli porti va maqsad IP manzili yordamida serverni o'chirish uchun amalga oshirilishi mumkin. UDP trafigini tekshirishdagi qiyinchiliklar (TCP kabi seansni tekshirish mexanizmining yo'qligi) tufayli ko'plab aloqa operatorlari o'z mijozlariga turli mezonlar bo'yicha trafikni blokirovka qilishni taklif qilishadi, bu asosan alohida serverlarni blokirovka qilish orqali tarmoqni qutqarishdir.
NTP kuchaytirilishi - Bu transport qatlami DDOS hujumining bir turi bo'lib, unda "axlat" trafigini yaratish uchun ommaviy foydalanish mumkin bo'lgan NTP (Network Time Protocol) serveridan foydalaniladi. Shunday qilib, ochiq NTP serverlaridan biriga qisqa so'rovlarni yuborish orqali siz o'n barobar kattaroq javob olishingiz mumkin (kuchaytirish effekti). Bu biz so'rovning manba IP-manzili sifatida qurbon serverining manzili bilan so'rovlarni yuborish orqali foydalanamiz. Natijada, jabrlanuvchi serverining tarmog'i "axlat" UDP trafigiga haddan tashqari yuklangan, undan qonuniy NTP so'rovlari va javoblarini aniqlash juda qiyin.
Barcha kuchaytirish usullari kabi bu usulni amalga oshirish oson. Ushbu usul 123-portdan foydalanadi.
DNS amplifikasiyasi - DDOS transport qatlamining bunday hujumi tarmoqdagi DNS xizmatlarining o'ziga xos xususiyatlaridan foydalanadi. Xulosa - umumiy DNS serveridan domen haqidagi ma'lumotlarni so'rash va uning javobini hujum qilingan serverga yuborish. Ushbu turdagi hujumni amalga oshirishda biz so'rovni shakllantiramiz va buzamiz, bunga javoban DNS serveri iloji boricha ko'proq ma'lumotlarni qaytaradi. Masalan, ma'lum bir zonadagi barcha DNS yozuvlari ro'yxatini so'rash. Chunki UDP protokoli manba IP-manzillarini tekshirmaydi, keling, chiquvchi manzil maydonida uning IP-manzilini ko'rsatib, jabrlanuvchining serveri nomidan so'rovlarni yaratishni qisqartiraylik. Bu erda asosiy maqsad jabrlanuvchi serverining kanalini ommaviy DNS serverlarining katta hajmli javoblari bilan to'ldirishdir. Shunday qilib, ommaviy DNS serverlariga so'rovlar yaratish uchun yaxshi ro'yxat yordamida biz hosil bo'lgan keraksiz trafik oqimini 100 barobarga oshirishimiz mumkin. Shu bilan birga, bizni hisoblash yoki hech bo'lmaganda so'rov generatorlarining IP manzillarini hisoblash deyarli mumkin emas, chunki haqiqiy chiquvchi IP-manzil har doim boshqasiga almashtiriladi. Usul, garchi bir oz eski bo'lsa-da, bugungi kungacha yashaydi.
Ushbu usul 53-portdan foydalanadi.
Zaryadlovchi kuchaytirilishi - DDOS transport qatlamining bunday hujumi NTP kuchaytirilishi bilan bir xil ishlaydi, faqat so'rovlar Chargen xizmatidan foydalangan holda serverlarga yuboriladi. Bu usul amalda boshqa kuchaytirgichlardan farq qilmaydi va u boshqa portdan ham foydalanadi, 19. Bu usulni spoofing bilan amalga oshirish ham oson.
SSDP kuchaytirilishi - Bu usul UDP protokoliga asoslangan bo'lib, kuchaytirish uchun universal Plug and Play qurilmalari yordamida 1900-port yordamida so'rovlarni yuborish imkonini beradi. SSDP quvvat jihatidan NTP, DNS, Chargen va boshqalardan oshib ketadigan eng kuchli usullardan biri hisoblanadi.
VSE - DDOS transport qatlamining bunday hujumi Valve serverlariga hujum qilishga qaratilgan. Juda samarali va boshqa o'yin serverlari uchun ham foydalaniladi, 27015 portidan foydalanadi.
= QANDAY O'QISIZ SAVOLLARI =
==Va MEMCACHED kuchaytirish?😁😁
--Yangi, hali o'qimaganman. O'rganganimdek tugataman
== Bu erda, har qanday UDP kuchaytirilishida bo'lgani kabi - hamma narsa oddiy. Bu nima ekanligini umumiy yozish yaxshidir. Amplifikatsiya yoki elka
DDOS - sukut bo'yicha UDP bilan ishlaydigan har qanday ommaviy qo'llaniladigan dasturiy ta'minotni qidirish, uning javob hajmi so'rovdan bir necha baravar katta bo'ladi.
--Odatda kamida x20, ba'zan x50 daromad oladi
== Ortiqchalik qancha ko'p bo'lsa, shunchalik kam uchraydigan dasturiy ta'minotni, masalan, mashhur bo'lmagan xizmatni qidirishingiz mumkin, ammo UDP orqali har bir so'rovga yuzlab 2 kilobayt berish NTP kuchaytirilishidan yuz baravar jozibali bo'lishi mumkin.
==Masalan, past intensivlikdagi impuls L7 hujumlari haqida nima deyish mumkin?
--Ular uchun juda qiyin bo'ladi Past-stavkali DoS, u yangi boshlanuvchilar uchun mo'ljallangan, ular buni tushunishadi.
DDOS HUJUMLARI UCHUN UShBUZLARNI TANLASH
Menimcha, bu eng muhim bo'lim, chunki bu bosqichda siz o'q otadigan majoziy ma'noda "qurol" ni tanlaysiz. Va qanchasi siz tanlagan narsangizga bog'liq.
Men ushbu bo'limni arzonroq va shunga mos ravishda kamroq kuchli qismdan boshlamoqchiman.
Bular DDOS hujumlari va Windows dasturlari uchun Windows/Linux skriptlari. Agar kimdir eslasa, men allaqachon batafsil maqola qildim. Shunday qilib, yangi boshlanuvchilar xavfsiz saytlarni osongina joylashtirishlari mumkin, chunki mutlaqo hech qanday xarajatlar yo'q va shu bilan birga natija ham bor. Ilgari bunday dasturlar juda ko'p bo'lgan, agar kimdir eski maktabdan eslasa - Loiki, Hoiki, anonim dozalagichlar, mumiya dozalari va boshqalar; Endi bu dasturlar ahamiyatsiz va siz ular bilan faqat o'z kanalingizni to'ldirishingiz mumkin, ammo, xayriyatki, hali ham chiqish yo'li bor. Va agar siz yangi boshlovchi bo'lsangiz, bu usul siz uchun. Ikkinchi variant - serverlar. Birinchidan, serverlar nima ekanligini aniqlaymiz. Spoof va spoof bo'lmagan serverlar mavjud.
Spoof nima? Spoof - bu IP-spoofing (ya'ni, teskari IP-manzilni aldash).
Soxta serverlar yordamida biz kuchaytirish va TCP usullarini amalga oshirishimiz mumkin bo'ladi.
Qulaymi? Shubhasiz.
Spoof bo'lmagan serverlar yordamida biz Layer 7 hujumlarini amalga oshirishimiz mumkin, masalan: GHP Flood,
XMLRPC, Joomla, JSBypass va boshqalar, shuningdek, 4-qavatning soxta bo'lmagan hujumlari, masalan: UDP/TCP Flood. Qulaymi? Yana, albatta.
Qanday qilib cho'ntagiga tegadi? Spoof serverlar, albatta, ko'proq urishadi. Non-spoof serverlar uchun skanerlash uchun taqiqlanmagan server yetarli. Va u erda skanerlangan ma'lumotlar bilan siz mutlaqo istalgan serverdan hujum qilishingiz mumkin. XMLRPC va Joomla holatlarida trafik sizning serveringizdan kelmaydi.
Biroq, server pardasi qimmatroq bo'lsa-da, kuchliroq. Soxta usullar ishlamaydi
7-qavat serverlari. Ular yaxshi ishlamaydi. Spoof skanerlash, shuningdek, skanerlash taqiqlanmaydigan alohida serverni talab qiladi. Odatda, men uchun 4-5 evroga arzon VPS etarli edi.
Qaysi biri foydalanish qiyinroq? O'zlashtirganingizdan keyin ikkalasini ham ishlatish oson. Va keyingi bo'limni o'rganish orqali qo'lingizni to'ldirishingiz mumkin.
Uchinchi yo'l - stresslar, yaxshi yoki ularni skidlar deb atash kabi - panellar. Bilmaganlar uchun bu o'z serverlari/botnetlari quvvatini haq evaziga ijaraga beradigan xizmatlardir. Kerakli tarif to'lanadi, unga quyidagilar kiradi: bir vaqtning o'zida hujumlar soni, quvvat (agar bunday tanlov mavjud bo'lsa) va, albatta, yuklash vaqti (har safar boshlaganingizda o'rnatiladigan hujum taymerining bir turi). Narxlar yuklash vaqti va quvvatiga qarab farq qiladi. Aksariyat hollarda serverlarni aldash arzonroq , chunki bu holda, siz o'zingizniki emas, balki xizmat serverlarining soxta/spoof kuchidan foydalanasiz. Bu yangi boshlanuvchilar uchun juda foydali va qulay, chunki siz hech narsani skanerlashingiz va serverga g'amxo'rlik qilishingiz shart emas. Sotib oldi, jabrlanuvchini tanishtirdi, hujumni boshladi. ?????? FOYDA.
Xo'sh, yakuniy usul, albatta, botnetlardir. Bilmaganlar uchun botnet - bu zararlangan qurilmalar tarmog'idir. Botnetlar har xil turlarda va butunlay boshqa funksiyalarga ega. Ular haqida keyingi bo'limda gaplashamiz, ammo endi men botnetning afzalliklari haqida qisqacha to'xtalib o'tmoqchiman.
Plyuslardan, bu, albatta, kuch, na server, na boshqa hech narsa bunday kuchni bermaydi. Ushbu kuch tufayli siz to'g'ri o'tirgan holda pulni xavfsiz tarzda kesishingiz mumkin.
Kamchiliklardan bu, albatta, birinchi navbatda o'rnatish, server ijarasi va kriptografiya uchun xarajat. Bundan tashqari, siz botnetga g'amxo'rlik qilishingiz kerak, agar uni qarovsiz qoldirsangiz, u o'ladi :( Hech bo'lmaganda haftada bir marta qayta shifrlash, o'q o'tkazmaydigan server va o'q o'tkazmaydigan domenga ega bo'lishingiz kerak. Agar buning uchun xarajatlaringiz bo'lsa. , hammasi muammosiz o'zini oqlaydi.
= SIZ O'QIYOTGAN SAVOLLAR =
(Siz nafaqat DDOS bilan botnetda pul ishlashingiz mumkin)
== Qanday botnetlar normal hisoblanadi? Qanchalik aniqlanishlar maksimal, va men tushunganimdek, siz rantam crypts kerak
--Sorrika.
==Va yuk testi xizmatlari bilan mavzu endi ishlamayaptimi?
--Stressorlar ishlaydi :)
== O'rtacha narx qancha?
--5 dollardan 10 000 000 dollargacha. 5 dollardan. bum DDOS
==O'rtacha sayt yaratish uchun sizga qancha shaxsiy kompyuter kerak. Keling, qorong'u tarmoqqa ruxsat beraylik
--Lanet) Ularning buluti imkon qadar tepildi, StormWall ham, lekin kamroq
-- Ko'p, lekin hiyla-nayranglar bor, masalan, siz cloudflare-ni chetlab o'tib saytning IP-manzilini bilib olishingiz, kim hosting qilayotganini ko'rishingiz va xuddi shu provayderdan bulutsiz boshqa loyihalarni topishingiz va u erga hujum qilishingiz yoki chetlab o'tadigan bo'shliqni topishingiz mumkin. AXFR orqali to'g'ridan-to'g'ri DNS-ni tekshirish va subdomendagi xizmatni topish orqali bulut
== Hujum qo'yishi mumkin bo'lgan bo'ron devori
--Qaysi botnetni tomosha qilish. Har bir botnet trafikni boshqacha tarzda boshqaradi. kodga bog'liq
Xuddi shu sorrik Kuriyama Sorrik l7 ni yaxshi chiqaradi. 1000 ta bot va siz RKNni 1000 ta oqim bilan yana bir oy o'ldirasiz l4 oqsoq, biz uni tuzatamiz
==Jabrlanuvchining din ipiga urish usullari bo'ladi. u internetga kira olmasligi uchunmi?
--Agar Skype-da bo'lsa - ha. Va shuning uchun ... yo'q, lekin shaxsan ular meni sikishganida, men qayta ishga tushirdim va bitta sik o'rnidan turmadi, ehtimol ular provayderni sikishgandir
DDOS HUJUMLARI UCHUN UCHUN TA'MINOTNI SOZLASH
Keling, ushbu bo'limni skriptlar va dasturiy ta'minot bilan boshlaylik.
Boshlash uchun men python skriptlari haqida gapirmoqchiman, xususan: Sadattack va Goldeneye.
Men darhol aytamanki, siz ularni Windows-da ham, nix-larda ham (Unix mashinalari) ishlatishingiz mumkin.
Ushbu skriptlar xavfli saytlar bilan ajoyib ish qiladi. Siz hatto maxsus foydalanuvchi agentlarini, mavzular sonini, usulni (GET / POST / Random) va hokazolarni (ikkinchi skriptda) o'rnatishingiz mumkin.
Ushbu skriptni Win-da ishlatish uchun siz Python 2.7-ni o'rnatishingiz kerak, uni https://python.org/ rasmiy veb-saytidan yuklab olish mumkin.
Keyin, o'rnatgandan so'ng, cmd ga o'ting va faylga yo'lni yozing, mening holimda bu:
cd Desktop
goldeneye.py
http://prntscr.com/iabhs7
Foydalanish bo'yicha ko'rsatma chiqadi va biz hujumga o'tamiz, biz yozamiz:
goldeneye.py http://site.ru/ -w 20 -s 1000 -m GET
Sizning holatingizda siz shunchaki goleneye.py http://site.ru/ yozishingiz mumkin va hujum standart konfiguratsiyadan boshlanadi (10 ishchi, 500 rozetka, GET usuli)
Sadattack-ni deyarli xuddi shunday ishga tushirishingiz kerak, shunchaki saytning skriptini va URL manzilini belgilang va hujum boshlanadi.
Skriptlarni tugatgandan so'ng, men Windows uchun dasturiy ta'minot haqida gapirmoqchiman, xususan:
Fastream Web Stress Tester (Ushbu dastur ancha eski bo'lsa-da va meni ajablantiradigan narsa shundaki, u hali ham ishlay oladi)
Dastur C++ tilida yozilgan,
Manba bilan birga yolg'on gapirish.
Oqimlarni, hujum usulini va ulanish turini sozlashingiz mumkin. Siz proksi-serverni kiritishingiz va jangga kirishingiz mumkin.
http://prntscr.com/iablsf
Quvvat nuqtai nazaridan: men juda yaxshi Internetga ega bo'lmagan ba'zi xavfsiz saytlarni ham joylashtira oldim. Yuk birinchi navbatda kanalga va foizga tushadi.
Yaqinda Sorrik tomonidan Windows uchun C# da yozilgan mini-doodos botiga ham to'xtalib o'tmoqchiman.
Maqolaning o'zi - http://telegra.ph/Pishem-DDOS-bota-na-C-CHast-1-02-04 Manbalar - https://github.com/ims0rry/Dummy-DDOS-bot
Natijada, bu holatga ko'ra chiqadi –
Ooh, mos keladi.
Juda kuchli, kompilyatsiya va jangga kirish, eng yaxshi bepul dos yechim.
Shuni ta'kidlashni istardimki, bepul dos bo'lsa, sizda faqat HTTP trafik mavjud. Siz faqat L7 so'rovlari bilan tugatishingiz mumkin.
= SAVOLLAR, HOME DOSERA =
== Aksincha, boshqa dasturiy ta'minot, https://tech.yandex.ru/tank/ , u qonuniy TCP / IP doirasida yukni sinab ko'rish uchun keskinlashtirilgan, ammo bu sizga hujum qilingan dastur kodining sekin bo'limlarini aniqlash imkonini beradi. eng yomon holatda, eng yaxshi holatda, bitta tumshug'i saytida, agar biron bir bo'limda xato bo'lsa
--Sog'lom. Men sizni o'qituvchi sifatida qabul qilaman. Bu yerda mening o‘rniga o‘zingni xochga mixlaysanmi?
==Bularning barchasi jihozmi? Kuchli DDOS hujumlari haqida nima deyish mumkin?
--Yo'q, bu shunchaki okeandagi nuqta
== Men buni qo'shib qo'ygan bo'lardim, hujumdan oldin siz hamma narsani, subdomenlarni, pochta serverlarini, administrator panellarini, xosting provayderini, CDNni va hokazolarni o'rganishingiz kerak, hamma narsani, sayt haqida hamma narsani to'plang va keyin u samaraliroq bo'lgan joyni oching. )
--Siz oldindasiz, ular hali DDOS-ni to'g'ri bilishmaydi
ENDI SPOF SERVERLARINI SOZLASHGA O'TING.
Birinchidan, biz Debian OS, 7 yoki 8 bilan spoof serverni ijaraga olishimiz kerak - tanlash uchun.
Shunday qilib, ijaraga olinganmi? Berilgan sana? Yaxshi.
Endi SSH orqali serverlarimizga ulanish uchun Putty dasturini yuklab oling.
Ildiz sifatida tizimga kiring:
http://prntscr.com/iabu1l
Parolni kiritishda u ko'rsatilmaydi. Bu Linux, ko'nik.
http://prntscr.com/iabu7m
Shunday qilib, endi biz har biriga 1 ta buyruq kiritamiz va bajarilishini kutamiz, keyin ikkinchisini kiritamiz va hokazo:
apt-get update -y
apt-get upgrade -y
apt-get install gcc screen glibc wget -y
Shunday qilib, endi skriptlarni to'ldiramiz. (Barcha havolalar oxirida ko'rsatiladi)
To'ldirildimi? Ajoyib, endi kerakli skriptlarni kompilyatsiya qilishingiz kerak. Aksariyat skriptlar xuddi shu tarzda tuziladi, men sizga Layer 4 skriptlari misolini ko'rsataman, ya'ni Chargen.
Biz buyruq yozamiz:
gcc -pthread chargen.c -o zaryadlangan
Shunday qilib, gcc kompilyatordir
pthread - kutubxona
chargen.c - manba
zaryadlangan – namuna
http://prntscr.com/iac0tz
Shunday qilib, biz yangi fayl paydo bo'lganini ko'ramiz - zaryadlangan. Endi biz uni ishga tushirishimiz uchun unga buyruq bilan 777 huquq beramiz:
chmod -R 777 zaryadlovchi
Agar siz bir nechta skriptlarni tuzgan bo'lsangiz, shunchaki yozing: chmod -R 777 * Hammasiga birdaniga ruxsat berish uchun.
http://prntscr.com/iac1hn
Ko'rib turganingizdek, parametrlar noto'g'ri ekanligi haqida xatolik yuz berdi. Keling, ularni batafsil ko'rib chiqaylik.
./chargen - skriptni ishga tushirish buyrug'i
- bizning qurbonimiz IP
- Hujum porti
- Ochiq serverlar ro'yxati (ularni qanday olish kerakligini quyida tasvirlab beraman)
- iplar (juda ko'p qo'yishni tavsiya etmayman, chunki sizning mashinangiz egilishi mumkin, tajriba)
- soniyasiga paketlar cheklovchisi (PPS - sekundiga paketlar), har doim sukut bo'yicha -1 ga o'rnatiladi
- Hujum vaqti, har doim soniyalarda ko'rsatiladi.
Endi buyruqni an'anaviy tarzda yig'amiz:
./chargen 127.0.0.1 80 list.txt 100 -1 9999
Biz ishga tushiramiz va voila - DDOS yo'qoldi.
Ko'pgina skriptlarning ishga tushirilishi o'xshash, shuning uchun avval ./ScriptName ni kiriting va har biriga qanday parametrlar kerakligini ko'ring. Choyshablarni olish ham Chargen usuliga misol bo'ladi. Do'stlaringiz bilan baham: