myDC.ru

Здравствуйте, гость ( Вход | Регистрация )

 
 
Ответить в данную темуНачать новую тему

> DDoS Detector, Скрипт, ссобщающий операторам о DDoS-атаках на хаб

Рейтинг 5 V
Теги
Нет тегов для показа
alex82
сообщение 25.3.2014, 21:07
Сообщение #1


Местный
*******

Группа: Неактивированные
Сообщений: 908
Регистрация: 26.12.2008
Пользователь №: 1 574
Спасибо сказали: 1406 раз




Название: DDoS Detector
Версия: 1.00
Требования: Lua 5.1, PtokaX 0.4.1.x, 0.5.x.x
Зависимости: нет

Автор: alex82

Описание:
Данный скрипт предназначен для обнаружения DDoS-атак, осуществляемых при помощи юзеров других хабов.

При получении определенного числа команд $MyNick за определенный промежуток времени, скрипт начинает отправлять отчеты операторам. Если за время, указанное в параметре tCfg.CountTime не поступило ни одной команды, атака считается завершенной.

Большинство современных клиентов при соединении двух юзеров добавляют в команду $Lock адрес хаба, с которого отправлена команда $ConnectToMe. Именно благодаря этому, на первый взгляд, бессмысленному расширению протокола скрипт с легкостью узнает, с каких хабов осуществляется атака.

Скрипт должен стоять ниже скриптов, логирующих неизвестные команды.

Прикрепленный файл  ddos_detector_1.01.zip ( 2.66 килобайт ) Кол-во скачиваний: 212
Go to the top of the page
+Quote Post
alex82
сообщение 26.3.2014, 9:20
Сообщение #2


Местный
*******

Группа: Неактивированные
Сообщений: 908
Регистрация: 26.12.2008
Пользователь №: 1 574
Спасибо сказали: 1406 раз




Исправил ошибки с сохранением сообщений в лог. Перезалил скрипт.
Go to the top of the page
+Quote Post
Alexey
сообщение 26.3.2014, 14:13
Сообщение #3


7 квадратиков
*******

Группа: Модераторы
Сообщений: 793
Регистрация: 21.1.2009
Пользователь №: 1 895
Спасибо сказали: 301 раз




Цитата(alex82 @ 25.3.2014, 22:07) *
Скрипт должен стоять ниже скриптов, логирующих неизвестные команды.

«Но выше скриптов, блокирующих неизвестные команды.» — сказал проходивший мимо КО.
Go to the top of the page
+Quote Post
WINS
сообщение 26.3.2014, 16:15
Сообщение #4


Участник
**

Группа: Пользователи
Сообщений: 41
Регистрация: 20.1.2010
Из: KHV
Пользователь №: 5 772
Спасибо сказали: 4 раза




офтоп
Немного не по теме, но коль речь об ддосе, добавлю свои 5 копеек:
В моде птоки значение "500" я б немного подкрутил. Пингвинятники понятно, бороду свою давно туда уже засунули, а вот виндоюзеры и так никакими фаерволами не отмашутся от того же стм, вдобавок еще и такое маленькое максимальное значение облегчает получить отказ в обслуживании.
Код
            case EDT_MAX_USERS_LOGINS:
                if(HIWORD(wParam) == EN_CHANGE) {
                    MinMaxCheck((HWND)lParam, 1, 500);

                    return 0;
                }


Спасибо сказали:
Go to the top of the page
+Quote Post
alex82
сообщение 27.3.2014, 13:13
Сообщение #5


Местный
*******

Группа: Неактивированные
Сообщений: 908
Регистрация: 26.12.2008
Пользователь №: 1 574
Спасибо сказали: 1406 раз




WINS,

Таки да, забыли в GUI подправить это значение. В следующем моде исправлю.

А что касается влияния значения данной опции на вероятность получить отказ в обслуживании, то скажу я тебе по секрету одну вещь:

Вещь
В случае CTM-атаки она не оказывает совершенно никакого влияния ;). Если бы пингвинятники засунули бороду чуть глубже, они бы заметили что юзеры, участвующие в атаке, отключаются хабом значительно раньше, чем выполняется проверка по данному типу антифлуда. А выполняется она на стадии STATE_ADDME_1LOOP, т.е. при добавлении юзера в списки.


Спасибо сказали:
Go to the top of the page
+Quote Post
WINS
сообщение 5.5.2014, 9:59
Сообщение #6


Участник
**

Группа: Пользователи
Сообщений: 41
Регистрация: 20.1.2010
Из: KHV
Пользователь №: 5 772
Спасибо сказали: 4 раза




как ведет себя хаб при стм флуде не проверял, но если все это мероприятие успешно дропается самим хабом к чему тогда столько шумихи развели?
лан, фиг этим стм... по факту 500 коннектов за 10 сек ни в какие ворота не лезит, небольшой син флуд с нескольких десятков ип и все приплыли.
Go to the top of the page
+Quote Post
alex82
сообщение 5.5.2014, 23:23
Сообщение #7


Местный
*******

Группа: Неактивированные
Сообщений: 908
Регистрация: 26.12.2008
Пользователь №: 1 574
Спасибо сказали: 1406 раз




WINS, оно-то дропается, но при этом, если участников атаки много, она может создать неслабую нагрузку на сеть и железо.

Цитата
по факту 500 коннектов за 10 сек ни в какие ворота не лезит, небольшой син флуд с нескольких десятков ип и все приплыли.
Какой к черту син флуд? Еще раз пишу: проверка по данному типу антифлуда проводится тогда, когда клиент полностью вошел, т.е. после всех этих $Lock, $Supports, $ValidateNick, и т.д. А цель у него одна - не дать злоумышленнику забить канал отдачей списка юзеров.
Go to the top of the page
+Quote Post
baltica
сообщение 11.11.2014, 19:41
Сообщение #8


Абсолютный новичок


Группа: Пользователи
Сообщений: 8
Регистрация: 28.4.2009
Пользователь №: 3 200
Спасибо сказали: 8 раз




спасибо, alex82, отличный инструмент для наблюдения за готовящимися атаками) - но еще лучше то, что он сообщает заранее. И еще я считаю тебя лучшим в мире скриптером под птоху в мире)



















Go to the top of the page
+Quote Post
Ksan
сообщение 11.11.2014, 22:49
Сообщение #9


Белый Волк
*********

Группа: Пользователи
Сообщений: 1 723
Регистрация: 11.9.2008
Из: г.Томск
Пользователь №: 516
Спасибо сказали: 657 раз




baltica,
Тут "Спасибо" принято выражать через одноимённую кнопку под сообщением того, кого благодарите!
В данном случае - в 1-ом сообщении темы.
Go to the top of the page
+Quote Post

Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

Collapse

> Похожие темы

  Тема Ответов Автор Просмотров Последнее сообщение
No New Posts KCAHDEP DDoS & Flood на "Озерки"
ВЫГНАТЬ В ШЕЮ!
0 Болото 6 656 2.12.2015, 4:09 Посл. сообщение: Болото
No New Posts От: DDoS Detector
От темы с ID: 5628
0 Артём 4 932 26.3.2014, 14:46 Посл. сообщение: Артём
No new Topic has attachmentsОт: phazeus ddos
От темы с ID: 5434
31 Cyber_voodoo 25 787 25.7.2013, 20:17 Посл. сообщение: Артём
No new Topic has attachmentsphazeus ddos
ddos phazeus
158 mariner 126 033 23.7.2013, 17:41 Посл. сообщение: Aлзим
Closed Ddos
Информация к размышлению
72 KCAHDEP 74 344 18.3.2013, 22:18 Посл. сообщение: Setuper
No New Posts DDoS с помощью YnHub
Средство защиты от DDoS на YnHub
2 Enyby 9 127 20.4.2011, 6:45 Посл. сообщение: Enyby
No New Posts DDoS
1 strongo 6 082 9.4.2011, 17:06 Посл. сообщение: Damaks
No New Posts Topic has attachmentschat detector
1 *FoxMalder* 6 550 13.3.2010, 21:58 Посл. сообщение: Nickolya
No New Posts Защита от DDoS атак
Защита в первую очередь
7 Master-Grow 14 886 27.10.2009, 16:23 Посл. сообщение: Setuper
No New Posts Topic has attachmentsFake Detector
Не проверяет пользователей
2 Derk_B_P 8 135 17.5.2009, 13:40 Посл. сообщение: Otshelnik-Fm
Moved Fake Detector
Не проверяет пользователей
0 Derk_B_P 0 24.2.2009, 17:19 Посл. сообщение: Derk_B_P
Moved Fake Detector
Не проверяет пользователей
0 Derk_B_P 0 24.2.2009, 17:19 Посл. сообщение: Derk_B_P
No New Posts Ddos Атаки
Отказ в обслуживании
9 Mr.Smit 13 962 12.12.2008, 1:07 Посл. сообщение: Delion
No New Posts Внимание Всем! Слабость Птоки Перед Ddos Атаками
0 MEXAHuK 5 758 8.12.2008, 21:18 Посл. сообщение: MEXAHuK

 



RSS Сейчас: 27.11.2024, 2:02