kostich

купим /22 или /24, предложения, пожалуйста, в ЛС.

сознались -> http://lenta.ru/news/2013/07/18/dagestan/

с этого же ботнета увалили www.mchs.gov.ru ... замечательно. пысы. сори за флуд. завтра IMHO из газет почитаем сколько сайтов под раздачу попало.

это шиза. регнум попытался про это написать, но ему вдули... что-то мне подсказывает, что это всё ради какого-то информповода.

а вот более расширенный лог по этому ботнету 195.8.62.75 INDRIK-NET www.aeroflot.ru 2013-07-15 12:27:40 - 2013-07-15 12:27:40 91.223.77.107 ANTIDDOS-NET3 assalam.ru 2013-07-13 04:19:25 - 2013-07-13 04:19:25 92.53.126.22 RU-RZT-SERVICE-20080215 nsrd.ru 2013-07-12 18:09:52 - 2013-07-12 18:09:52 85.17.76.143 chernovik.net 2013-07-12 18:10:01 - 2013-07-12 18:10:01 64.247.178.252 audience-web.net 2013-07-13 12:04:43 - 2013-07-13 12:04:43 127.0.0.1 government-rd.ru 2013-07-12 18:32:49 - 2013-07-12 18:32:49 127.0.0.1 www.pravitelstvo-rd.ru 2013-07-12 18:10:02 - 2013-07-12 18:10:02 212.193.245.135 RU-ROSNIIROS-980115 dagpravda.ru 2013-07-13 02:26:18 - 2013-07-13 02:26:18 127.6.5.4 minnaz.ru 2013-07-13 05:53:08 - 2013-07-13 05:53:08 194.190.86.42 DIAP www.mksrd.ru 2013-07-13 05:30:04 - 2013-07-13 05:30:04 127.0.0.1 abdulatipov.ru 2013-07-12 20:02:32 - 2013-07-12 20:02:32 108.162.197.118 www.respublic.net 2013-07-12 18:10:01 - 2013-07-12 18:10:01 91.218.228.197 IHC-NET ndelo.ru 2013-07-12 18:40:22 - 2013-07-12 18:40:22 151.248.118.132 REGRU-NETWORK president.e-dag.ru 2013-07-12 18:32:29 - 2013-07-12 18:32:29 195.2.240.138 PIN-NET www.shax-dag.ru 2013-07-13 05:36:39 - 2013-07-13 05:36:39 89.108.116.104 RU-DATALOGIKA moidagestan.ru 2013-07-13 05:29:59 - 2013-07-13 05:29:59 37.252.12.162 EU-3NT-NET www.rgvktv.ru 2013-07-12 18:02:36 - 2013-07-12 18:02:36 212.193.232.18 RU-ROSNIIROS-980115 gtrkdagestan.ru 2013-07-13 04:19:15 - 2013-07-13 04:19:15 185.23.16.1 DOMINANTPLIUS-NET tvchirkey.ru 2013-07-13 02:34:47 - 2013-07-13 02:34:47 217.160.25.8 greensnakestudios.co.uk 2013-07-13 03:34:55 - 2013-07-13 03:34:55 в первой колонке текущий айпишник, во второй название AS-ки, домен и время обнаружение запросика

Просматривали логи за выходные... сериал продолжается. С мелкого ботнета одновременно долбят РИА Дагестан и www.aeroflot.ru. Аэрофлот под ДДОС защитой сейчас стоит в INDRIK-NET, а это суть есть аффилированная с Касперским тема :)

а меня забавляет :) они не первый день с этим сталкиваются. я их и сейчас считаю одним из надежных dns хостов. каменты по всему инету забавляют, особенно от очень известных "состоявшихся" специалистов по DDOS атакам. если у nic.ru не чистит, то проблема там в другом. бёрст может под конец месяца кому-то поперек горла встаёт, еще там что-то. IMHO они сами разрулят. DNS при толстых каналах элементарно протектится.

а как можно повлиять на ситуацию со спуфингом из Укртелекома?

рафик сказал шо он сам атаку снял :) (его ICQ 332212, можете у него сами спросить) на сегодняшний день на 100% известно, что в Укртелекоме открыт спуфинг + ферма с генераторами пакетов живет под ними. заведует стойками приближенный к телекоммуникационному бизнесу хлопчик. это их бывший сотрудник... бугагагага. всё, пгеступление гаскгыто.

поговаривают шо вселенское зло генерило пакеты из evrohoster.ru, но доказательств опять ноль.

а однокласникам плохо?

меня зацепили сказки про размеры атаки :)

без малейшего. первый раз читаю :)

... с шампанским. пысы. доказательств ноль.

говорят будующего короля DDOS-а зовут Евгений Юрченко, проживает в г. Харьков.

IMHO в заражении компов какой-то крупный ресурс с их стороны участвовал... это там надо какой-то местный яндакс для этих целей переконфигурировать.

а там оч. грамотные хлопцы. у меня есть возможность вычислить все их пиры в течении 15 минут, но они максимально резко заднюю включили. большая часть ДЦ приходит через IX-ы... причем без разницы, т.к. мы на всех нормальных IX-ах по земному шарику стоим. если лили через когент, то значит этот ДЦ танцует когент... или подхачили рауты.

да это всё пиар... хабру даунтайм выгоден... и тот же Qrator на такой посещаемости табличку вывесил.

по сигнатуре мнение изменилось Надо искать запрос в 48 байт + искать два ответа по UDP в 1500 байт + пакет более 500 байт.

в eDNS есть поле про максимальный размер ответа, в которое можно вписать 65535. можно вписать и меньше, но пишут обычно 65535. а в конфигах кривых DNS-ов, по дефолту, максимальный UDP ответ равен 4096.

образец запроса к кривому днс Надо искать запросы в 48 байт и три UDP ответа 1500+1500+706. 100% можно найти + поставить на вид, со всеми сопутствующими.

Подобное должно быть в скане, т.к. без живого запроса на DNS нельзя понять ответит ли он по UDP с eDNS или пойдет отвечать по TCP. Если подобное в единичном виде поискать в нетфлоу, пока еще есть возможность, то можно будет установить айпишники серверов сканивших DNS. Это с живой атаки, DNS с функционалом стоит в многобайте.

первые, кто реализовали мысль с eDNS были жителями Казахстана. eDNS позволяет устанавливать максимальный размер ответного пакета в 65535 байт, но т.к. таких DNS-ов единицы, то используют DNS-ы отвечающие пакетом в 4096 байт. более того, такие DNS-ы есть в РФ. если сырое нетфлоу в определенных местах поковырять, то можно найти айпишники исполнителей. я не думаю, что они сильно шифровались, когда сканировали DNS-ы с eDNS по всему миру. если у кого-то есть желание установить истину, то я могу по указанному префиксу просканить DNS-ы, а затем можно поднять нетфлоу месячной давности и установить откуда сканили для этих больших атак.

1. Делается зона с большими TXT, NULL и т.д. записями... разницы никакой нет. В Godaddy можно из панели такие зоны создавать. Домены, используемые для атаки, были в godaddy. 2. Сканируются DNS-ы с рекурсией, которые соответствуют определенному условию. Не все DNS-ы с открытой рекурсией, а только избранные. 3. На DNS-ы уходит крохотный запросик со спуфом айпи жертвы, а с конкретного DNS-а в жертву прилетает пакет в 4кб Попутно они лили синфлуд в 6mpps. В прошлом году, именно этот же синфлуд, к нам заливали в р-не 8mpps. Т.к. синфлуд лили в нас, то я могу делать вывод, что генераторы трафика стоят за когентом, либо сам ДЦ прятал это в когентовском канале.

ферма генераторов стоит в каком-то ДЦ за когентом. в нашем случае, большая часть ДЦ лила бы спуф на нас через IX. моя версия такая, что шаловливые ручки очень хорошо разбираются в безнаказанном слитии спуфинга. либо подшевелили рауты, либо ДЦ целиком стоит за когентом. кто-то знает ДЦ, который целиком за когентом стоит?