5

Huburile si DDOS-ul

Posted January 7th, 2011. Filed under Security Stuff
trinitybomb

Acum două zile când “celebrul” Tinkode şi-a prezentat “noua” “jucărie” pe forumul RSTcenter o adevărată revoluţia a avut loc.Pe lângă “copii SQLi” (cum îi numesc eu) care doreau aplicaţia membrii mai vechi ai forumului şi-au dat seama că defapt aplicaţia este doar o copie , citez : “supernova hexat”.
Supernovă cred că a fost prima aplicaţie de genul de la noi sau cel puţin prima de care ştiu eu , a fost creată de Mish numită “Mercury” ( sper să nu mă înşel , Mish poate mă ajuţi puţin ) însă atunci nu a fost nebunia asta pentru că “Mercury” a rămas privat , foarte puţini oameni au avut acel tool.

Gata, am vorbit destul de mult despre asta,Tinkode nu este nici primul nici ultimul care a copiat o aplicaţie,aşa stau lucrurile pe internet şi mulţi dintre noi ştim asta.
P.S S-ar putea să mă înşel iar sursa aplicaţiei lui Tinkode să nu fie Mercury ci Primus ( ultima versiune : Release date : 28 Jul 09 )

De ce vorbesc eu despre asta ?

Vorbesc despre asta pentru că stăteam şi mă gândeam cum ar fii fost dacă tool-ul ar fi public.Câţi dintre bloggerii actuali sau website-uri pot face faţă unui asemenea atac.

hub_no
~= 5
hub_clients ~= 5000
$CTMs/sec ~= 1
=> 25.000 connections/sec

hub_no
= number of hubs participating in the attack
hub_clients = average number of clients on each hub
$CTMs/sec = number of $ConnectToMe commands received by each client per second

221013481

Asta în cazul în care atacatorul foloseşte doar 5000 de clienţi,numărul poate fii mult mai mare ( Primus a fost connectat astăzi la 3 huburi din care m-am ales cu 9174 clienţi)

Acum foarte mulţi îmi vor sări în cap.Toţi vor spune : “da dar pentru asta avem log-uri şi putem lua măsurile legale”.
Aici este puţin cam greu din următorul motiv:

In this type of attack is very difficult to detect the real attacker (the one running the attack tool) because
the victim doesn’t have any information about him. The packets that reach the victim are generated by
the DC++ clients and contain no information about the real attacker.

Nu o să întru foarte mult în detalii, nu voi explica eu atacul pentru că nu are rost, Domnul Ing.Adrian Furtună a scris o lucrare foarte detaliată despre asta.De acolo sunt şi citatele în engleză .
Veţi găsi acolo şi diferite modalităţi de a opri un asemnea atac.

Ce întreb eu :

Este online-ul românesc pregătit să “primească” un asemenea “val” ?
Câţi dintre voi ( cei care aveţi bloguri/website-uri hostate pe pc-urile proprii) sunteţi pregătiţi ?
Aveţi alte ideei despre cum oprim aşa ceva ?

—————————————–
Nu, nu am tradus în romană ceea ce este scris în lucrare, nu pentru că mi-a fost lene dar nu are rost.
Mulţumesc Domnului Ing. pentru document , voi îl puteţi downloada de aici : http://stormsecurity.wordpress.com/2008/08/11/dc-and-ddos-attacks/

5 Responses so far

  1. sickness says:

    Hmmm ma intreb oare ce face comanda asta la un atac de genul asta :D

    “iptables -A INPUT -d IP -p tcp -dport PORT –tcp-flags ALL PSH,ACK -m string –algo bm –string Nick –to 100 -j REDIRECT –reject-with tcp-reset”

    In plus mai sunt si alte metode dar care sunt destul de costisitoare.

    Like or Dislike: Thumb up 1 Thumb down 1

  2. kill3r says:

    @sickness Da , asta am pus si eu pe blogul lui Tinkode.
    Problema este aici :
    This method is effective for small scale DDoS attacks. But when the attack is bigger, the performance
    of the server lowers because it still has to make full TCP handshakes with the DC++ clients and reset
    the connections only when the first data packets come.

    Like or Dislike: Thumb up 0 Thumb down 0

  3. Denny says:

    Da păi.. e foarte interesant:))))
    E domeniul meu,de aia comentez,imi place..:))

    :*

    Like or Dislike: Thumb up 0 Thumb down 0

  4. kill3r says:

    @Denny :) ))) Clar este domeniul tau :*

    Like or Dislike: Thumb up 0 Thumb down 0

  5. sickness says:

    Pai da, deaia am mentionat ca apare si alte metode dar costisitoare :)

    Like or Dislike: Thumb up 0 Thumb down 0

Leave a Comment





Powered by HaxTor | CopyWrong © 2011