Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
09.07.2009, 15:07
|
|
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
Провел на форуме:
7617458
Репутация:
3965
|
|
Сообщение от Chrome~
Разве нельзя замутить такую фишку? Написать небольшой сервер, который при коннекте к себе проверяет, какой IP подключился (делаем accept). Если IP находится в черном списке, - сразу разрываем соединение, не принимая и не отсылая никаких данных.
Я где то слышал это называется FireWall 
__________________
BlackHat. MoDL
|
|
|
09.07.2009, 16:00
|
|
Познающий
Регистрация: 08.06.2009
Сообщений: 89
Провел на форуме:
469214
Репутация:
26
|
|
Сообщение от neval
Мда... ну что еще добавить?...
Продолжаем писать защиты на php, при помощи htaccess, можно даже на javascript, mysql....
А что до модели OSI, а в частности различия между 3 и 7 уровнями - так это так, не важно...
http://forum.antichat.ru/showpost.php?p=630537&postcount=9
Сообщение от ettee
Печально, народ все сильнее деградирует.
Пора бы знать, что бороться с данными видами атак нужно на уровне протокола. Вдобавок, для достижения результата, в большинстве случаев не требуется возвращение трафика на сторону отправителя, т.к. IP протокол при создании пакетов не проверяет адрес. О какой блокировке распределенной атаки тогда может идти речь, если отсутствует источник нападения? Все четко понимают, что такое DDoS и DoS? Так что прекратите нести дезинформацию в народ, а лучше почитайте книжки по TCP/IP стеку.
, а человеческим языком прокомментировать этот пост? Имхо пост ни о чем, если нет конкретных примеров
Последний раз редактировалось Funk; 09.07.2009 в 16:05..
|
|
|
|
09.07.2009, 17:23
|
|
Administrator
Регистрация: 12.10.2006
Сообщений: 466
Провел на форуме:
17234747
Репутация:
5170
|
|
О каких комментариях может идти речь если вам не известна мат.часть и общий принцип.
После просмотра раздела у меня сложилось впечатление что не все понимают происходящие, а если конкретно то, разницу между нагрузкой на сам веб-сервер (приложение) и нагрузкой на каналы. Все продолжают писать скрипты на интерпретируемых языках тем самым увеличиваю нагрузку при каждом запросе.
При направленной нагрузке на приложение лучше всего предоставить оборону аппаратным средствам.
При нагрузке на каналы в дело должен вступать сам провайдер, так же с аппаратными средствами и очисткой трафика на более низких уровнях.
|
|
|
|
09.07.2009, 17:49
|
|
Познавший АНТИЧАТ
Регистрация: 22.11.2007
Сообщений: 1,822
Провел на форуме:
4468361
Репутация:
1549
|
|
провайдер чесаться даже не вздумает. для него ддос - это трафик.
В общем, выход наверняка в том, чтобы иметь под проект свой дедик, на котором будет крутиться только проект. Тогда можно и защиту на асме, а не на пхп и джаве сочинять, можно и прова выбирать (чем вызывать его заинтересованость в блоке ддосеров.)
ЗЫ
а что будет, если вместо того, что бы банить айпишники ддосеров - редиректить их на сайт провайдера/хостера?
|
|
|
|
09.07.2009, 17:55
|
|
Administrator
Регистрация: 12.10.2006
Сообщений: 466
Провел на форуме:
17234747
Репутация:
5170
|
|
Безусловно, но при такой политике он далеко не уедет.
Как банить и где? Трафик в любом случаи идет.
|
|
|
|
09.07.2009, 17:58
|
|
Познавший АНТИЧАТ
Регистрация: 22.11.2007
Сообщений: 1,822
Провел на форуме:
4468361
Репутация:
1549
|
|
да пусть себе идет, просто, как мне кажется, в таком случае, владелец проекта делает ддос не только своей проблемой, но и проблемой непосредственно ресурса хостера/прова, что, по идее, мотивирует хоста/прова банить эти айпишники на своем низкоуровневом железе.
Естественно, при редиректе нельзя показывать реферала и свои айпишники. Хотя, даже так можно будет договориться.
|
|
|
|
10.07.2009, 12:13
|
|
Moderator - Level 7
Регистрация: 13.12.2006
Сообщений: 531
Провел на форуме:
2127116
Репутация:
383
|
|
1.1.1.1 - мой IP
2.2.2.2 - IP сервера
Дамп установки соединения:
Посылка серверу SYN-пакета. "Привет сервер. Я клиент. Хочу подключиться"
Код:
21:46:38.648202 IP 1.1.1..59503 > 2.2.2.2.80: S 3701186222:3701186222(0) win 5808 <mss 1412,sackOK,timestamp 39307371 0,nop,wscale 7>
E..<V.@.5.3.[.=.[....o.P............GT.........
.W.k........
Сервер создает сокет, затрачивая память и пересылает клиенту SYN-ACK. "Привет клиент. Сокет создан. Подключайся"
Код:
21:46:38.648219 IP 2.2.2.2.80 > 1.1.1.1.59503: S 1928113984:1928113984(0) ack 3701186223 win 65535 <mss 1412,nop,wscale 3,sackOK,timestamp 1726391506 39307371>
E..<{.@.@...[...[.=..P.or..@.......................
f....W.k
Отправка клиентом ACK-флага...
Код:
21:46:38.721210 IP 1.1.1.1.59503 > 2.2.2.2.80: . ack 1 win 46 <nop,nop,timestamp 39307444 1726391506>
E..4V.@.5.3.[.=.[....o.P....r..A....^2.....
.W..f...
И вот только теперь начинается HTTP (7 уровень OSI).... Все ваши скрипты, htaccess и прочее..
Передача заголовков браузером
Код:
21:46:38.722817 IP 1.1.1.1.59503 > 2.2.2.2.80: P 1:381(380) ack 1 win 46 <nop,nop,timestamp 39307444 1726391506>
E...V.@.5.2"[.=.[....o.P....r..A...........
.W..f...GET / HTTP/1.1
Host: 2.2.2.22
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; ru; rv:1.9.0.10) Gecko/2009060500 Gentoo Firefox/3.0.10
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Ответ веб-сервера..
Код:
21:46:38.723439 IP 2.2.2.2.80 > 1.1.1.1.59503: P 1:367(366) ack 381 win 8225 <nop,nop,timestamp 1726391581 39307444>
E...{.@.@...[...[.=..P.or..A...+.. !.......
f....W..HTTP/1.1 200 OK
Date: Thu, 09 Jul 2009 21:46:38 GMT
Server: Apache/2
Last-Modified: Tue, 30 Jun 2009 18:59:08 GMT
ETag: "7ff396-c-46d9566bc1700"-gzip
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Content-Length: 28
Keep-Alive: timeout=1, max=100
Connection: Keep-Alive
Content-Type: text/html
<остальное вырезано>
Т.е. нагрузка на сервер идет еще до получения вебсервером запроса на получение страницы...
Ситуация с SYN-флудом заключена в следующем:
Код:
- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"
- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"
- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"
Добавить сюда SYN-спуфинг (клиент указывает левый source-адрес)
Все пакеты отсылает одна машина:
Код:
- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"
- 3.3.3.3 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"
- 6.6.6.6 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"
По поводу того, что вы предлагаете при http-флуде что бы веб-сервер еще запускал php, который проводил некое вычисление,
и затем, на основание этих вычислений отдавать что то клиенту....
Еще туда mysql и логирование. Всего по максимуму
Т.е. в принципе правильно, зачем мучаться - добьем... |
|
|
|
10.07.2009, 12:15
|
|
Moderator - Level 7
Регистрация: 13.12.2006
Сообщений: 531
Провел на форуме:
2127116
Репутация:
383
|
|
Сообщение от Cthulchu
да пусть себе идет, просто, как мне кажется, в таком случае, владелец проекта делает ддос не только своей проблемой, но и проблемой непосредственно ресурса хостера/прова, что, по идее, мотивирует хоста/прова банить эти айпишники на своем низкоуровневом железе.
Естественно, при редиректе нельзя показывать реферала и свои айпишники. Хотя, даже так можно будет договориться.
Многие хостеры стараются избавляться от таких клиентов
|
|
|
|
10.07.2009, 12:38
|
|
Познавший АНТИЧАТ
Регистрация: 22.11.2007
Сообщений: 1,822
Провел на форуме:
4468361
Репутация:
1549
|
|
да, согласен, но важно играть на балансе выгоды. Это уже тактика ведения войны. Нужно подсчитывать - что выгоднее хостеру - оставить у себя огромный проект и забанить айпишники у себя, либо же забанить проект.
То, что ты отписал - является в начале атакой на хостинг, а потом уже на целевой сайт. Чтобы такими вот запросиками положить хороший хостинг - нужно большой ботнет, да и проблемы тут же начнутся значительно серьезнее, нежели от обычного ддоса высокоуровневых продуктов. Но спасибо.
|
|
|
|
14.07.2009, 21:40
|
|
Новичок
Регистрация: 03.07.2009
Сообщений: 10
Провел на форуме:
167387
Репутация:
0
|
|
а на каком уровне куки проверяются?
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
