phazeus ddos, ddos phazeus

Я думаю можно было по моему посту о дурном поведении Фазеуса догадаться, что я не одобряю его взглядов и не участвую в его проекте.
Про создание не помню, может быть, давно уже это было, а я стараюсь как можно меньше всякой хрени хранить в голове... Помню что писал отдельный скрипт для ддоса, когда только вскрылась эта тема с акакой хабоюзерами.
Но скрипт был у очень ограниченного круга людей. И мне кажется, что даже в экзекуторе ддос появился раньше, хотя это очень смутное воспоминание.
Мне тогда была интересна техническая сторона данного вопроса, ну и уязвимость ресурсов от подобного рода атаки, и защита от него. Как оказалось, данный флуд рубится через айпитейблз на раз, поэтому кто подвержен атакам, просто настройте фаервол. Как его настроить я думаю можно понять, проанализировав саму атаку, на какие порты она идет, через какой сетевой протокол и какие данные присылаются. Хотя опасность забивания всего входящего канала и всех соединений сервера все равно существует при глобальной атаке.
Детальнее описывать не стану, хотя как организовать подобный скрипт (а он состоит из очень малого объема кода), может догадаться любой нормальный программист, который почитает протокол нмдц...
Надеюсь сейчас все не ринутся писать своих ддос ботов, хотя массовость заразы может и помочь быстрее найти лекарство
И если кому-то придет в голову просить у меня данный скрипт, то сразу отмажусь, кода у меня не сохранилось. А писать я его буду заново только за 100000$, предоплата 100%.


А почему надо негодовать? Ддос - сугубо внешнее воздействие на хаб. Как-то в давнишнем сраче Фазеус был против использования своего бота на тех хабах, где как раз велась "пропаганда" всякой дряни. А сейчас этот момент даже не затрагивается, под кару попадают все, вне зависимости от используемости бота.

Спасибо за полный ответ. Сам скрипт KCAHDEP выложил в паб... я его почитал, правда поверхностно А по поводу настройки фаера, полностью согласен... я ему тоже самое сказал...

Спасибо за ответ. Будем настраивать фаерволл и надеюсь нас это так сильно не каснется в будущем. Хотя никто не застрахован....

В русхаб будет встроена защита от отправки через скрипт соответствующих команд ддоса.
Это мой ответ на борьбу против ддоса.

Одного Русхаба недостаточно, тут нужно до авторов других хабов и дц-клиентов донести мысль.

Больше всего это проблема дц-клиентов, потому что атаку запускает админ хаба, используя именно несовершенство самих клиентов (тупо следовать $ConnectToMe)

Варинаты решения (на клиенте):
1) если не удалось первый раз подключиться к IP (на любой порт, первым пришедший в запрос) - заносить на время IP в список игнорируемых
2) не подключаться по стандартным портам типа 80, 22,21, 8080, 3128, 411 . Хабы не отправляют команду $ConnectToMe ip_хаба:411.
Дц-клиент, принимающий соединения на стандартный "чужой" порт, вызывает ассоциацию со школотой, переливающая самогон в коробки из-под биойогурта, чтобы не попалили
3) Учитывать как-то информацию из списка юзеров. Не подключаться к адресам, юзеров с которых нету на хабе. Хотя, учитывая то, что IP и теги не рассылаются, надо придумать что-то интересное
4) Обсудить проблему с другими разработчиками/админами хабов и т.д.

И да, нужна "доска позора" с адресами хабов, замеченных в использовании юзеров с качестве ботнета. Страна должна знать своих защитников, чтобы сказать "спасибо"

По поводу проверки со стороны клиента - это достаточно щекотливый вопрос.

Дело в том, что возможны ситуации, когда хаб видит у клиента один ip, а клиент для коннекта использует другой. Такая ситуация возможна, когда хаб является и локальным и глобальным одновременно, локальные пользователи коннектятся к хабу по локальному адресу, а для соединения с интернет пользователями используют свой интернетовский ip адрес.

Выходом из ситуации может послужить организация предоставления со стороны клиента хабу альтернативных ip адресов данного клиента. Но это как минимум новое расширение протокола.

Расширение протокола - слишком большие изменения...

"Не соединяться по $ConnectToMe на 411 порт" уже даст результат к устойчивости мини-хабов. С 80 портом то же самое.

В клиенте можно учитывать IP:PORT из всех запросов от других юзеров. если порт меняется - подозрительно, если IP больше N - подозрительно.

Вообще порт для коннекта по умолчанию выбирается случайный.

а случайный из какого диапазона?

0 — 1023 общеизвестные порты, дц-клиенты для обмена информацией между собой не должны их использовать

Что хотелось бы сказать мирному человеку, как я, который беспокоится именно о пользователях сети.
Во-первых, атаки на хаб это плохо в любом случае.
Во-вторых, навязывать какое-либо мнение любому человеку тоже плохо.
В-третьих, хочется высказать много добрых слов именно tammi_0909 за его добропорядочность и умелое руководство Минским хабом!
Ведь именно он думает о вежливости к девушкам, запрещает файлы с порнографией и принимает много других мер на своём хабе для нормализации отношений.
Если же кто-то из модераторов сделал ошибку в своих действиях, то я уверен, что он уже поговорил с ним и принял меры к недопущению подобного!
В-четвёртых, это скорее пожелание. Надо уважать пользователей сети, которые приходят общаться на хаб, действительно разговаривают и дружат там... Ведь мы и работаем именно для пользователей своих! Обидно, когда пользователи не могут зайти на хаб!
Считаю, что выходом из создавшегося положения вещей было бы прекратить атаки на хаб и вернуть всё на свои места!
Умные люди, а ими являются все администраторы своих хабов, сделают правильные выводы из всего этого... и примут правильные решения в своих действиях по подобным ситуациям!

во флае порты устанавливаются по умолчанию в интервале 10000 - 32000, хотя потом вручную можно вбить что угодно

Умные, конечно сделают выводы и будут бороться, чтобы их пользователей не использовали как участников ДДОС-атак. А что делать с придурками?
Я считаю, что тут надо принимать программные решения. Блокировать такие возможности на уровне ПО хабов и клиентов. Благо, что на уровне клиента сделать это может оказаться не совсем сложно. Большинство пользователей используют ФлайЛинк. Если как-то договориться с разрабами Флая, то это на половину может решить проблему.
Я не знаю английского, но те, кто знают, могут попробовать поговорить так же и с разрабами Птоки и Верлика. Даже если такая уязвимость решена будет в новых версиях только в Птоке, то это уже тоже многое значит, т.к. Птока один из основных ПО хабов.
И конечно, хочу сказать спасибо разработчику РусХаба, который согласился в своём ПО делать так, чтобы через его ПО было невозможно совершать преступные деяния. Кстати, в данный момент у меня стоит на домашнем компе локальный хаб на ПО РусХаба. Возможно, что такие действия разрабов ускорят моё желание сделать новый хаб на ВДС, который уже будет не локальным

Как-то слишком упрощенно получается.

Добрые все равно не допустят ддос-атак с помощью своих юзеров. И не важно, умные они, или глупые, поскольку тут и делать-то ничего не надо - проверка IP в команде CTM встроена в любой более-менее адекватный хабсофт. Достаточно самим не устапнавливать на хаб скрипты для ддоса.

Умные и злые все равно будут ддосить своими юзерами. И они смогут выпилить защиту из хабсофта.

Глупые и злые просто поставят старую версию хабсофта, в которой этой защиты еще нет.

Так что не надо пытаться изменить весь мир - у вас на это сил не хватит. Просто будьте умными и добрыми .

alex82, Я бы не сказал, что всё так просто. Плагин Фазеуса, по сути, это обычное вредоносное ПО. А работа любого антивируса в том и состоит, чтобы блокировать действия такого ПО. И если те же програмёры из Касперского отнесутся к своей работе прилежно, то хабы, которые держат у себя данное ПО, могут ощутимо пострадать в виде потери юзеров. Я думаю, что у Касперского достаточно мощная база, чтобы разработать своё ПО, которое будет вычислять и блокировать доступ к вредоносным хабам. Если даже хотя бы один Каспер займётся этой работой, то это уже будет не малый урон для владельцев хабов с таким ПО.

Aлзим, ну и как Касперский должен по твоему это вычислить.
Может для начала стоит поинтересоваться как работает антивирус

Мне сложно ответить на это .
Но ведь и у Касперского не дураки работают. Им за это деньги платят - могут и придумать что-нибудь .
Кстати, Касперский у меня и так постоянно ругается на ФлайЛинк за подозрительную активность. Но, это идёт как предупреждение. Видимо, у них уже есть какие-то наработки)))

Уважаемый... вот вы разберитесь в вопросе, узнайте как работает антивирус, предложите алгоритм проверки... А потом уже переосмыслите то, о чем вы там думаете, ну ей богу детский сад. Всех озадачил, каждому начертил фронт работ...

Я не сотрудник лаборатории Касперского или другого антивируса. Я не беру деньги за гарантию обеспечения безопасности для компьютеров моих пользователей в сети и т.п. Это не моя работа. Это всё обещают и делают (и достаточно успешно) другие люди.
Я считаю, что каждый должен заниматься своим делом.
Я могу сообщить Касперскому, что есть уязвимости в ДЦ, когда их пользователей могут использовать для совершения ДДОС-атак. А вот разработка необходимого ПО, чтобы блокировать такую возможность для преступников типа Фазеуса - это уже не моя компетенция. Насколько я знаю, тот же Касперский, неоднократно и успешно находит в сети и создаёт необходимые блокировки для разных ботнетов. И я уверен, что если сотрудники лаборатории Касперского или любого другого антивируса захотят, то они найдут что им сделать.
Если Фазеус смог создать такой плагин, который приносит вред людям, то значит есть другие программисты, которые смогут создать ответное ПО, которое будет блокировать вредоносное.

Для меня сейчас задача состоит не только в том, чтобы просто остановить Фазеуса, ибо это уже работа полиции и т.д. А придумать (хотя бы для себя) способы защиты от придуманного вредоносного ПО Фазеусом. Ведь, даже если Фазеуса и посадят, то плагин его можно использовать и локально - отдельно с каждого хаба, где он был установлен независимо от управления им из "центра".
А плагин Фазеуса стоит далеко не на одном-двух хабах, которые, я уверен, что достаточно многолюдные.

И как вы собрались решать, стоящую перед вами задачу? Я думаю всем будет интересно, новые методы защиты, которые вы можете предложить...

П.С. Я никому не скажу про раздел Защита серверов. И никому не скажу, причем не скажу в очередной раз про вариант забитого канала... вы же любите читать только то, что вам хочется, правда?

MaxFox, Часть из того, что и как я собираюсь решать данную задачу, я писал выше. Читайте внимательнее. А то вы меня обвиняете в том, что я читаю только то, что хочу видеть, а сами ведёте аналогично.