Acum două zile când “celebrul” Tinkode şi-a prezentat “noua” “jucărie” pe forumul RSTcenter o adevărată revoluţia a avut loc.Pe lângă “copii SQLi” (cum îi numesc eu) care doreau aplicaţia membrii mai vechi ai forumului şi-au dat seama că defapt aplicaţia este doar o copie , citez : “supernova hexat”.
Supernovă cred că a fost prima aplicaţie de genul de la noi sau cel puţin prima de care ştiu eu , a fost creată de Mish numită “Mercury” ( sper să nu mă înşel , Mish poate mă ajuţi puţin ) însă atunci nu a fost nebunia asta pentru că “Mercury” a rămas privat , foarte puţini oameni au avut acel tool.

Gata, am vorbit destul de mult despre asta,Tinkode nu este nici primul nici ultimul care a copiat o aplicaţie,aşa stau lucrurile pe internet şi mulţi dintre noi ştim asta.
P.S S-ar putea să mă înşel iar sursa aplicaţiei lui Tinkode să nu fie Mercury ci Primus ( ultima versiune : Release date : 28 Jul 09 )

De ce vorbesc eu despre asta ?

Vorbesc despre asta pentru că stăteam şi mă gândeam cum ar fii fost dacă tool-ul ar fi public.Câţi dintre bloggerii actuali sau website-uri pot face faţă unui asemenea atac.

hub_no
~= 5
hub_clients ~= 5000
$CTMs/sec ~= 1
=> 25.000 connections/sec

hub_no
= number of hubs participating in the attack
hub_clients = average number of clients on each hub
$CTMs/sec = number of $ConnectToMe commands received by each client per second

Asta în cazul în care atacatorul foloseşte doar 5000 de clienţi,numărul poate fii mult mai mare ( Primus a fost connectat astăzi la 3 huburi din care m-am ales cu 9174 clienţi)

Acum foarte mulţi îmi vor sări în cap.Toţi vor spune : “da dar pentru asta avem log-uri şi putem lua măsurile legale”.
Aici este puţin cam greu din următorul motiv:

In this type of attack is very difficult to detect the real attacker (the one running the attack tool) because
the victim doesn’t have any information about him. The packets that reach the victim are generated by
the DC++ clients and contain no information about the real attacker.

Nu o să întru foarte mult în detalii, nu voi explica eu atacul pentru că nu are rost, Domnul Ing.Adrian Furtună a scris o lucrare foarte detaliată despre asta.De acolo sunt şi citatele în engleză .
Veţi găsi acolo şi diferite modalităţi de a opri un asemnea atac.

Ce întreb eu :

Este online-ul românesc pregătit să “primească” un asemenea “val” ?
Câţi dintre voi ( cei care aveţi bloguri/website-uri hostate pe pc-urile proprii) sunteţi pregătiţi ?
Aveţi alte ideei despre cum oprim aşa ceva ?

—————————————–
Nu, nu am tradus în romană ceea ce este scris în lucrare, nu pentru că mi-a fost lene dar nu are rost.
Mulţumesc Domnului Ing. pentru document , voi îl puteţi downloada de aici : http://stormsecurity.wordpress.com/2008/08/11/dc-and-ddos-attacks/

Cu toti stim sau ar trebui sa stim ce este DoS attack (Denial of Service attack) mai ales cei care detin servere,website-uri.
DoS Attack a devenit din ce in ce mai folosit , cel mai mult auzim de el cam asa : “ba mi-a dat ala flood”.Bine era daca lucrurile se opreau aici insa din pacate pentru noi , cei ce detinem website-uri , servere insa nu a fost sa fie , din ce in ce mai multi “botnets” sunt creati si folositi special pentru asa ceva. ( In cazul asta DoS devine DDOS).
Acum ca am spus cate ceva despre DoS ,DDOS sa vorbim despre RussKill,o aplicatie web care se “ocupa” cu asa ceva . In ciuda faptului ca este foarte simpla ( ca si cod) este si foarte eficienta dar si greu de detectat,Russ are chiar si o obtiune speciala : Hide URL.Foloseste SYN Flood si HTTP-Flood folosind ip-uri false.

Screens :