DDOS

TermoSINteZ

Не понял мальца.
Какого хрена маршрутизатор будет делать ICMP запрос? и как понять то есть пройдет проверку IP уровень ( что именно будет проверяться... )

 

Есть езернет-сеть с авторизацией по EAP (802.1х). Существует ли потенциальная возможность засыпать сервер авторизации(/авторизующий свич) левыми(/нелевыми) eapol-сообщениями (не очень в этот вопрос вникал, но иллюстрация такого взаимодействия: "суппликант - EAP - свич - RADIUS - сервак" обещает неплохой коэффицент умножения трафика...) и могут ли существовать ограничения на их количество в интервал времени на самом свиче (предположим dlink)?

 

всем зубрить модель OSI.

 

Без проблем залезу на любой (или почти любой) из уровней OSI, но если кто-то скажет, что такой тип атаки предусмотрен доблестными сетестроителями и любой мануалолюбчивый админ-рукоблуд может зайти на http-админку свича(/"сертифицированного" сервера билинга), тыкнуть пару опций и обломить атаку на корню - оно будет бесполезно.

 

а что - DDoS у нас функционирует вне модели OSI ?

так вот правильно заданный вопрос содержит 80% ответа. раз вопросы правильно задать вы не можете, их задам я:
1. на каком уровне OSI существуют mac'и?
2. на каком уровне OSI живет IP?
2. на каком уровне OSI живет TCP?
4. на каком уровне OSI живет HTTP?

ответив на эти вопросы вы перестанете нести бред про SNORT и файрволы, а у топикстартера волосы станут мягкими и шелковистыми. большинство файрволов живет на L3 и выше, следовательно к ARP они никакого отношения не имеют.
для надежного разделения на L2 используются VLAN'ы, как вариант - port security + DAI на cisco.

топикстартер, вы тоже бросайте маяться фигней ddos это плохо, тем более, максимум что вам после долгих мучений удастся отправить во внешнюю сеть это TCP syn пакеты, DoS которыми уже не актуален.

 

сейчас я кого-то отшлепаю

 

TermoSINteZ
раз вы так просите

вот эта фраза, бред. назовите три аппаратных решения для борьбы с DDoS использующих Snort, и модель OSI пойду зубрить я

с каких пор в установлении TCP сессии участвует ICMP?

топикстартер задал вопросы, а в ответ ему стали лить воду в уши, вместо конкретных ответов и ссылок на литературу.
бывают досы, никто не спорит, причем все те, что вы описали как "не значительные", вполне существуют в реальном мире, и SYN флуд бывает эффективный, и просто канал забивают так что сервера в nullroute отправляют. и борются с этим успешно, как на стороне провайдеров, так и на стороне серверов. почему они до сих пор существуют? так ведь не в идеальном мире живем, если у нас админ "вася" не знает модели OSI и курит бамбук на работе, то ничего удивительного в том, что из его сети летит флуд, нет.

Great
шлепайте чего уж там

 

про системы стоящие на магистралях - мы голову ломаем, какое бы оборудование закупить, тесты проводим, а оно всё вон как просто оказывается - на магистралях уже стоит Snort и всё анализирует

ладно, заканчиваю, а то попытка отправить топикстартера прочитать литературу, осознав которую он сам бы ответил на все свои вопросы обернулась полемикой с модератором, который воспринимает всё на свой счет и хочет эскалации конфликта.

 

Возвращаясь к теме спуфа, начинаем со статистики http://spoofer.csail.mit.edu/summary.php

 

Топик-стартер хочет видеть как можно больше ценной информации о системах противодействия ддосу.

 

У меня такой вопрос - а откуда, собственно, кодеры берут код и функции для http\icmp\syn\udp и прочего флуда? Может я немного путано объясняю, но смотрите - допустим вывод сообщений, для этого существует функция MessageBox, в описании которой есть, что и как надо сделать/передать, чтобы появилось нужное нам сообщение. А здесь как? Существуют может быть какие-то спец. функции, или откуда брать эту инфу?

 

M0rg0t
Надо полагать из MSDN

 

Извините за много вопросов, но по каким запросам хоть искать? Может я что-то делаю не так, но нахожу постоянно не ту инфу. По запросу network programming находится asp и sql, по icmp api - какие-то примеры на visual basic или еще какая-то неясная ерунда вида "новые возможности висты".

 

M0rg0t
Вопрос Ваш не особо ясен.
Хотите сформировать свой пакет и отправить его в сеть?
Нет ничего проще... RAW_SOCKET в помощь.
Тоесть надо всего лишь знать формат заголовков интересующих вас протоколов. (кстати вот пример http://wasm.ru/forum/viewtopic.php?id=34290 )
Все форматы берут из RFC ..хоть я почти никогда ничего там не смотрел.
Примеры формирования различных пакетов, и создание сканеров..и подобной фигни..можете посмотреть в книге "программирование боевого софта под linux"
Далее, если мне надо посмотреть, как выглядит заголовок какогото протокола..то википедия..и исходники ядра ос (linux) помогают на 100%

Спец функций нет.. да кстати, вам следует задуматься вообще..что такое "функция"

В нашем случаи нам нужно всеголишь послать обрубок какойто информации (в нашем случаи..правильно форматированной) в сетевой адаптер.
Через сокеты, это сделать проще всего....кстати, если не ошибаюсь в winxp и выше, нельзя форматировать собственные tcp пакеты. (но точно не знаю)
Помимо сокетов есть и другие способы отправки данных, т.к. сокет, это всеголишь абстракция.для удобства.......чёрный ящик так сказать.

 

В каком-то сервис паке ХР отменили raw sockets. Скорее M0rg0t нужен winsock.