DDOS

Краем уха слышал, что роутеры дропают "заполненные вручную пакеты" ( заголовки, udp, tcp, ip и тд. ) . Хотел узнать, по какому принцепу они это делают.
Вот несколько вопросов.
Например у меня ip адрес 11.22.33.44 и мак адрес сетевухи aa:bb:11:bb:aa:ff .

1) Например создаю кучу пакетов с диапазоном ip адресов от 11.xxx.xxx.255 и с своим мак адресом aa:bb:11:bb:aa:ff . Такие пакеты провайдер пустит дальше в сеть?


2) Создаю кучу пакетов с диапазоном ip адресов от 11.xxx.xxx.255 и указываю в каждом пакете рандомный мак адрес. Такие пакеты провайдер пустит дальше в сеть?

3) Сканирую свою локалку, узнаю мак и ip адреса компьютеров. Заполняю свою базу с этими данными. Создаю кучу пакетов с ip и мак адресами пользователей своей локалки, и шлю роутеру. Такие пакеты провайдер пустит дальше в сеть?

 

featurelles
сделайте свой сайт на скриптах, боибите его и логируйте там что и в каком виде пришло. или используйте 2 компа с разными подключениями к прову. или обращайтесь сами к себе, но по внешнему ип (не уверен, что прокатит)

 

qqwe
А теоретически, какой из этих трёх способов должен сработать? (чтоб всёже пакеты в сеть вышли.)

 

featurelles
теоретически лучше взять себе сайт на том хостере, на котором сайт который атаковать собираетесь.

 

qqwe
Ясно, значит всё как и думал ((
Всё буду узнавать методом проб и ошибок.

Если не сложно, дайте пару ссылок где описаны методы подобных атак, и методы противодействия им. (желательно не для новичков..)

 

Существуют только косвенные признаки. Иногда ставится ограничение на кол-во смены ip адресов на мак, за период времени. Что касается пунктов два и три, то это смотря какая сеть и куда надо выйти.

 

Booster
Простая eth сеть, подключающая абонента к сети интернет.
( У меня если я конечно не ошибаюсь, протокол PPPoE , но это не важно, меня интересует именно способы, каким образом провайдер отслеживает попытку осуществления ddos и как и что он фильтрует ). И ещё интересуют системы противостояния DDOS атакам.. если есть информация по этому делу, то поделитесь пожалуйста.

 

Вообще-то я всегда считал, что DDOS - это атака уровня приложения, а не чисто сетевая.
Должны слаться реальные запросы(ну в смысле такие, какие сервис будет обрабатывать, а не дропать) к реальному сервису. И падает не сеть, а сервис!

Адрес IP не может быть случайным - 10.ххх ,11.ххх 192.ххх зарезервированы под локальные сети и в Интернет их не выпустят(есть еще несколько диапазонов). По поводу МАК-адреса : там тоже есть служебные цифири, все остальное провайдеру по фигу. Есть только одна тонкость : некоторые провайдеры делают привязку по МАК-адресу и значит с ADSL-модема, например, вы не сможете мусор генерить.
===================
А вот то, что обсуждается - это по другому называется. Блин склероз... Один из ярких примеров забивание локальных сетей SYN-пакетами.

 

Если всёже мои пакеты будут отсылаться в сеть и буду генерить SYN-пакеты и отправлять на определённый сервис..от этого толк то будет?

 

TermoSINteZ
Тоесть эффект DDOS будет только, если есть к примеру 20(200 2000...) машинок с определёнными ip . И они получают команду, осуществить коннект к определённуму (допустим) сайту ,и "гуляют" по нему.

А можно ли добиться нагрузки на сервер, высылая только саморучно заполненные пакеты? не создавай коннектов.. ?

 

TermoSINteZ

Немного от темы отойду)
А почему _СЛУЖБА_ захлёбывается??? производительности у сервера мало?
SORRY за подобные вопросы... но надо разобраться.

 

TermoSINteZ
Ещё вопрос, хоть на первый взгляд и не относится к теме... но всёже это не так.
Когда клиентская машина, обращается к http серверу, происходит "tcp рукопожатие" и браузер шлёт GET запрос, на который отвечает сервер ...
Когда смотрю через wireshark , на пакет GET . То у него ВСЕГДА неверная контрольная сумма, но сервер на него исправно отвечает (кстати такое же и с ftp соединениями). Вопрос собственно простой, почему сервера отвечают, на казалось бы неверный пакет.

 

Производительность расчитывается эмпирически. Любой всплекс популярности сервисов со "слабым" оснащением приводит к эффекту DDOS. Пример - narod.ru в свое время сильно тормозил, т.к. услуга хранения файлов оказалась слишком популярна.
=============
featurelles
Я вроде твою идею наконец "осознал" - имитировать кучу разных машин с разными IP, а не строить ботнет. По-моему не получится - в любой сети первый же маршрутизатор "дропнет" все чужие пакеты. Если же генерить с IP из этой сетки, то сработает механизм один IP - один MAC. Да и вычислят тебя быстро.

 

Ну и еще примеры. Каптча на файловых сервисах фактически защищает их от DDOS автокачалок.
Сложная регистрация защищает форумы от DDOS и спама и т.п.

 

valterg

Как понял, если генерировать пакеты с соответствующими IP и MAC то пакеты пройдут "фейсконтроль" и уйдут в инет?
Кстати, всегда ли маршрутизаторы "дропают" все чужие пакеты. ?
И всегда ли работает механизм "один IP - один MAC" ?