DDOS

Тема в разделе "WASM.NETWORKS", создана пользователем featurelles, 6 фев 2010.

  1. featurelles

    featurelles New Member

    Публикаций:
    0
    Регистрация:
    29 мар 2009
    Сообщения:
    562
    TermoSINteZ
    Не понял мальца.
    Какого хрена маршрутизатор будет делать ICMP запрос? и как понять то есть пройдет проверку IP уровень ( что именно будет проверяться... )
     
  2. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    featurelles
    Как я говорил, не для всех сетей, присутствует такое поведение. Я просто привел пример.
    А проверяться будет как адрес назначения, так и адрес источника.
    Допустим сеть очень простая - банальный эзернет, то наверняка там стоит сервер, отвечающий за доступ в интернет из локальной сети. Тогда попытка происходит трансляция адресов (допустим это NAT). В итоге на маршрутизатор попадают пакеты от сервера - с одним и тем же IP. Ну и как вы собрались таким методом "заддосить" сервер?
    Допустим сеть сложнее, PPPOE зато у каждого есть свой IP. Тогда все пакеты, в которых IP Не соответствует тому, что есть в записях у маршрутизатора (при подключении к такому инету, автоматически создается некий канал LLC), то пакет дропается.
    Да я могу много таких ситуаций придумать. Ключ же в том, что метод подмены IP+MAC работает на чистом Ethernet в пределах LAN. И все равно не удастся перегрузить сервер такими пакетами. Это не совсем ддос даже, это своего рода spuffing, который служит немного для других целей.
     
  3. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.995
    Есть езернет-сеть с авторизацией по EAP (802.1х). Существует ли потенциальная возможность засыпать сервер авторизации(/авторизующий свич) левыми(/нелевыми) eapol-сообщениями (не очень в этот вопрос вникал, но иллюстрация такого взаимодействия: "суппликант - EAP - свич - RADIUS - сервак" обещает неплохой коэффицент умножения трафика...) и могут ли существовать ограничения на их количество в интервал времени на самом свиче (предположим dlink)?
     
  4. kyprizel

    kyprizel New Member

    Публикаций:
    0
    Регистрация:
    1 авг 2003
    Сообщения:
    232
    Адрес:
    TSK
    всем зубрить модель OSI.
     
  5. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    Вроде тема про DDOS. Ну да ладно. Открываем модель OSI ну допустим тут. Видим там 7 уровней и описалово. И так вопрос к
    kyprizel
    Чем же _всем_ подскажет модель оси в вопросе DDOS серверов?

    PS. Для тех кто в танке, если пишете, пишите по существу и полностью. Не надо такими вот фразами с 3-4 словами умничать и считать пользователей форума тупыми.
    Вырезка из правил
     
  6. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.995
    Без проблем залезу на любой (или почти любой) из уровней OSI, но если кто-то скажет, что такой тип атаки предусмотрен доблестными сетестроителями и любой мануалолюбчивый админ-рукоблуд может зайти на http-админку свича(/"сертифицированного" сервера билинга), тыкнуть пару опций и обломить атаку на корню - оно будет бесполезно.
     
  7. kyprizel

    kyprizel New Member

    Публикаций:
    0
    Регистрация:
    1 авг 2003
    Сообщения:
    232
    Адрес:
    TSK
    а что - DDoS у нас функционирует вне модели OSI ? :)

    так вот правильно заданный вопрос содержит 80% ответа. раз вопросы правильно задать вы не можете, их задам я:
    1. на каком уровне OSI существуют mac'и?
    2. на каком уровне OSI живет IP?
    2. на каком уровне OSI живет TCP?
    4. на каком уровне OSI живет HTTP?

    ответив на эти вопросы вы перестанете нести бред про SNORT и файрволы, а у топикстартера волосы станут мягкими и шелковистыми. большинство файрволов живет на L3 и выше, следовательно к ARP они никакого отношения не имеют.
    для надежного разделения на L2 используются VLAN'ы, как вариант - port security + DAI на cisco.

    топикстартер, вы тоже бросайте маяться фигней :) ddos это плохо, тем более, максимум что вам после долгих мучений удастся отправить во внешнюю сеть это TCP syn пакеты, DoS которыми уже не актуален.
     
  8. wasm_test

    wasm_test wasm test user

    Публикаций:
    0
    Регистрация:
    24 ноя 2006
    Сообщения:
    5.582
    сейчас я кого-то отшлепаю :lol:
     
  9. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    kyprizel
    Бред говорите. Ок.
    Допустим ответы (называю уровни):
    1) 2
    2) 3
    3) 4
    4) 7
    Тогда вопрос дальше вам. Где вы увидели бред? Я не говорил про ддос с помощью арп и даже с помощью сетевого левела (3). Если вы плохо читали.. ну шас то что, проехали. Перейдем дальше.
    Ну и так - наводящий вопрос - если вот до сих пор бывают ддосы, и не такие редкие, чтож тогда ваши DAI не справляются? Нет вы скажите, мы все послушаем. Только не надо говорить что они такие дорогие и их мало кто ставят. ОК?
    Great
    Ну не надо пока шлепать. Пусть уважаемый нам расскажет все по существу, а не вокруг да около, бросаясь терминами (раз мы такие дураки).
     
  10. kyprizel

    kyprizel New Member

    Публикаций:
    0
    Регистрация:
    1 авг 2003
    Сообщения:
    232
    Адрес:
    TSK
    TermoSINteZ
    раз вы так просите

    вот эта фраза, бред. назовите три аппаратных решения для борьбы с DDoS использующих Snort, и модель OSI пойду зубрить я ;)

    с каких пор в установлении TCP сессии участвует ICMP?

    топикстартер задал вопросы, а в ответ ему стали лить воду в уши, вместо конкретных ответов и ссылок на литературу.
    бывают досы, никто не спорит, причем все те, что вы описали как "не значительные", вполне существуют в реальном мире, и SYN флуд бывает эффективный, и просто канал забивают так что сервера в nullroute отправляют. и борются с этим успешно, как на стороне провайдеров, так и на стороне серверов. почему они до сих пор существуют? так ведь не в идеальном мире живем, если у нас админ "вася" не знает модели OSI и курит бамбук на работе, то ничего удивительного в том, что из его сети летит флуд, нет.

    Great
    шлепайте :) чего уж там
     
  11. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    kyprizel
    На сколько я знаю, некоторые виды ддосов (основанных на тех же syn атаках например), системы подобного рода, стоящие на магистралях, умеют предотвращать, все зависит от того как вы их используете, как настроены. Можно создать правило и не давать пройти определенного рода данным в определенную сеть. Пропускная способность у таких серверов не малая, к тому же они умеют кешировать стек TCP\IP (возможно не только его, не вникал). Вот и все хитрость. Что вам там показалось бредом?

    Вот не надо притягивать за уши. Я не говорил что ICMP участвует в установлении TCP сессии. Я вообще имел ввиду что, до установления соединения. И заметьте я не продолжил а начал с нового абзаца. Хз как можно было такое связать во едино. Прочитайте еще раз если не поняли.

    Из серии так мы ж не в идеальном мире - хорошее, грамотное такое объяснение.
    Вот именно такие посты и питают полинета, в которых ну вообще ни капли информации. А понятно, что виноват какой-то "вася" курящий бамбук.

    Лучше бы рассказали с научной точки зрения каждый вид ддоса, как он делается, как бы с ним можно было бороться.
    А так - таже вода (раз уж вы считаете мои посты водой) только еще и ржавая.
     
  12. kyprizel

    kyprizel New Member

    Публикаций:
    0
    Регистрация:
    1 авг 2003
    Сообщения:
    232
    Адрес:
    TSK
    про системы стоящие на магистралях - мы голову ломаем, какое бы оборудование закупить, тесты проводим, а оно всё вон как просто оказывается - на магистралях уже стоит Snort и всё анализирует ;)

    ладно, заканчиваю, а то попытка отправить топикстартера прочитать литературу, осознав которую он сам бы ответил на все свои вопросы обернулась полемикой с модератором, который воспринимает всё на свой счет и хочет эскалации конфликта.
     
  13. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    kyprizel
    Ну я всего лишь хотел подробностей. Не хотите говорить - ваше право. Я не заставляю.
    А ТС уже давно пошел читать книги наверно.

    PS: (Оффтоп)
    Кто мы? Не хотите купить наш NTR (не против ддосов, для других целей) ? ^_^
     
  14. J0E

    J0E New Member

    Публикаций:
    0
    Регистрация:
    28 июл 2008
    Сообщения:
    621
    Адрес:
    Panama
    Возвращаясь к теме спуфа, начинаем со статистики http://spoofer.csail.mit.edu/summary.php
     
  15. featurelles

    featurelles New Member

    Публикаций:
    0
    Регистрация:
    29 мар 2009
    Сообщения:
    562
    Топик-стартер хочет видеть как можно больше ценной информации о системах противодействия ддосу.
     
  16. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    У меня такой вопрос - а откуда, собственно, кодеры берут код и функции для http\icmp\syn\udp и прочего флуда? Может я немного путано объясняю, но смотрите - допустим вывод сообщений, для этого существует функция MessageBox, в описании которой есть, что и как надо сделать/передать, чтобы появилось нужное нам сообщение. А здесь как? Существуют может быть какие-то спец. функции, или откуда брать эту инфу?
     
  17. K10

    K10 New Member

    Публикаций:
    0
    Регистрация:
    3 окт 2008
    Сообщения:
    1.590
    M0rg0t
    Надо полагать из MSDN
     
  18. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Извините за много вопросов, но по каким запросам хоть искать? Может я что-то делаю не так, но нахожу постоянно не ту инфу. По запросу network programming находится asp и sql, по icmp api - какие-то примеры на visual basic или еще какая-то неясная ерунда вида "новые возможности висты".
     
  19. featurelles

    featurelles New Member

    Публикаций:
    0
    Регистрация:
    29 мар 2009
    Сообщения:
    562
    M0rg0t
    Вопрос Ваш не особо ясен.
    Хотите сформировать свой пакет и отправить его в сеть?
    Нет ничего проще... RAW_SOCKET в помощь.
    Тоесть надо всего лишь знать формат заголовков интересующих вас протоколов. (кстати вот пример http://wasm.ru/forum/viewtopic.php?id=34290 )
    Все форматы берут из RFC ..хоть я почти никогда ничего там не смотрел.
    Примеры формирования различных пакетов, и создание сканеров..и подобной фигни..можете посмотреть в книге "программирование боевого софта под linux"
    Далее, если мне надо посмотреть, как выглядит заголовок какогото протокола..то википедия..и исходники ядра ос (linux) помогают на 100%

    Спец функций нет.. да кстати, вам следует задуматься вообще..что такое "функция"

    В нашем случаи нам нужно всеголишь послать обрубок какойто информации (в нашем случаи..правильно форматированной) в сетевой адаптер.
    Через сокеты, это сделать проще всего....кстати, если не ошибаюсь в winxp и выше, нельзя форматировать собственные tcp пакеты. (но точно не знаю)
    Помимо сокетов есть и другие способы отправки данных, т.к. сокет, это всеголишь абстракция.для удобства.......чёрный ящик так сказать.
     
  20. K10

    K10 New Member

    Публикаций:
    0
    Регистрация:
    3 окт 2008
    Сообщения:
    1.590
    В каком-то сервис паке ХР отменили raw sockets. Скорее M0rg0t нужен winsock.