kostich
VIP-
Публикации
1136 -
Зарегистрирован
-
Посещение
Все публикации пользователя kostich
-
ipv4 аренда/продажа
тему ответил в skinny пользователя kostich в Телекомбиржа - Circuit Exchange
купим /22 или /24, предложения, пожалуйста, в ЛС. -
сознались -> http://lenta.ru/news/2013/07/18/dagestan/
-
с этого же ботнета увалили www.mchs.gov.ru ... замечательно. пысы. сори за флуд. завтра IMHO из газет почитаем сколько сайтов под раздачу попало.
-
это шиза. регнум попытался про это написать, но ему вдули... что-то мне подсказывает, что это всё ради какого-то информповода.
-
а вот более расширенный лог по этому ботнету 195.8.62.75 INDRIK-NET www.aeroflot.ru 2013-07-15 12:27:40 - 2013-07-15 12:27:40 91.223.77.107 ANTIDDOS-NET3 assalam.ru 2013-07-13 04:19:25 - 2013-07-13 04:19:25 92.53.126.22 RU-RZT-SERVICE-20080215 nsrd.ru 2013-07-12 18:09:52 - 2013-07-12 18:09:52 85.17.76.143 chernovik.net 2013-07-12 18:10:01 - 2013-07-12 18:10:01 64.247.178.252 audience-web.net 2013-07-13 12:04:43 - 2013-07-13 12:04:43 127.0.0.1 government-rd.ru 2013-07-12 18:32:49 - 2013-07-12 18:32:49 127.0.0.1 www.pravitelstvo-rd.ru 2013-07-12 18:10:02 - 2013-07-12 18:10:02 212.193.245.135 RU-ROSNIIROS-980115 dagpravda.ru 2013-07-13 02:26:18 - 2013-07-13 02:26:18 127.6.5.4 minnaz.ru 2013-07-13 05:53:08 - 2013-07-13 05:53:08 194.190.86.42 DIAP www.mksrd.ru 2013-07-13 05:30:04 - 2013-07-13 05:30:04 127.0.0.1 abdulatipov.ru 2013-07-12 20:02:32 - 2013-07-12 20:02:32 108.162.197.118 www.respublic.net 2013-07-12 18:10:01 - 2013-07-12 18:10:01 91.218.228.197 IHC-NET ndelo.ru 2013-07-12 18:40:22 - 2013-07-12 18:40:22 151.248.118.132 REGRU-NETWORK president.e-dag.ru 2013-07-12 18:32:29 - 2013-07-12 18:32:29 195.2.240.138 PIN-NET www.shax-dag.ru 2013-07-13 05:36:39 - 2013-07-13 05:36:39 89.108.116.104 RU-DATALOGIKA moidagestan.ru 2013-07-13 05:29:59 - 2013-07-13 05:29:59 37.252.12.162 EU-3NT-NET www.rgvktv.ru 2013-07-12 18:02:36 - 2013-07-12 18:02:36 212.193.232.18 RU-ROSNIIROS-980115 gtrkdagestan.ru 2013-07-13 04:19:15 - 2013-07-13 04:19:15 185.23.16.1 DOMINANTPLIUS-NET tvchirkey.ru 2013-07-13 02:34:47 - 2013-07-13 02:34:47 217.160.25.8 greensnakestudios.co.uk 2013-07-13 03:34:55 - 2013-07-13 03:34:55 в первой колонке текущий айпишник, во второй название AS-ки, домен и время обнаружение запросика
-
Просматривали логи за выходные... сериал продолжается. С мелкого ботнета одновременно долбят РИА Дагестан и www.aeroflot.ru. Аэрофлот под ДДОС защитой сейчас стоит в INDRIK-NET, а это суть есть аффилированная с Касперским тема :)
-
а меня забавляет :) они не первый день с этим сталкиваются. я их и сейчас считаю одним из надежных dns хостов. каменты по всему инету забавляют, особенно от очень известных "состоявшихся" специалистов по DDOS атакам. если у nic.ru не чистит, то проблема там в другом. бёрст может под конец месяца кому-то поперек горла встаёт, еще там что-то. IMHO они сами разрулят. DNS при толстых каналах элементарно протектится.
-
а как можно повлиять на ситуацию со спуфингом из Укртелекома?
-
рафик сказал шо он сам атаку снял :) (его ICQ 332212, можете у него сами спросить) на сегодняшний день на 100% известно, что в Укртелекоме открыт спуфинг + ферма с генераторами пакетов живет под ними. заведует стойками приближенный к телекоммуникационному бизнесу хлопчик. это их бывший сотрудник... бугагагага. всё, пгеступление гаскгыто.
-
поговаривают шо вселенское зло генерило пакеты из evrohoster.ru, но доказательств опять ноль.
-
а однокласникам плохо?
-
меня зацепили сказки про размеры атаки :)
-
без малейшего. первый раз читаю :)
-
... с шампанским. пысы. доказательств ноль.
-
говорят будующего короля DDOS-а зовут Евгений Юрченко, проживает в г. Харьков.
-
IMHO в заражении компов какой-то крупный ресурс с их стороны участвовал... это там надо какой-то местный яндакс для этих целей переконфигурировать.
-
а там оч. грамотные хлопцы. у меня есть возможность вычислить все их пиры в течении 15 минут, но они максимально резко заднюю включили. большая часть ДЦ приходит через IX-ы... причем без разницы, т.к. мы на всех нормальных IX-ах по земному шарику стоим. если лили через когент, то значит этот ДЦ танцует когент... или подхачили рауты.
-
да это всё пиар... хабру даунтайм выгоден... и тот же Qrator на такой посещаемости табличку вывесил.
-
по сигнатуре мнение изменилось Надо искать запрос в 48 байт + искать два ответа по UDP в 1500 байт + пакет более 500 байт.
-
в eDNS есть поле про максимальный размер ответа, в которое можно вписать 65535. можно вписать и меньше, но пишут обычно 65535. а в конфигах кривых DNS-ов, по дефолту, максимальный UDP ответ равен 4096.
-
образец запроса к кривому днс Надо искать запросы в 48 байт и три UDP ответа 1500+1500+706. 100% можно найти + поставить на вид, со всеми сопутствующими.
-
Подобное должно быть в скане, т.к. без живого запроса на DNS нельзя понять ответит ли он по UDP с eDNS или пойдет отвечать по TCP. Если подобное в единичном виде поискать в нетфлоу, пока еще есть возможность, то можно будет установить айпишники серверов сканивших DNS. Это с живой атаки, DNS с функционалом стоит в многобайте.
-
первые, кто реализовали мысль с eDNS были жителями Казахстана. eDNS позволяет устанавливать максимальный размер ответного пакета в 65535 байт, но т.к. таких DNS-ов единицы, то используют DNS-ы отвечающие пакетом в 4096 байт. более того, такие DNS-ы есть в РФ. если сырое нетфлоу в определенных местах поковырять, то можно найти айпишники исполнителей. я не думаю, что они сильно шифровались, когда сканировали DNS-ы с eDNS по всему миру. если у кого-то есть желание установить истину, то я могу по указанному префиксу просканить DNS-ы, а затем можно поднять нетфлоу месячной давности и установить откуда сканили для этих больших атак.
-
1. Делается зона с большими TXT, NULL и т.д. записями... разницы никакой нет. В Godaddy можно из панели такие зоны создавать. Домены, используемые для атаки, были в godaddy. 2. Сканируются DNS-ы с рекурсией, которые соответствуют определенному условию. Не все DNS-ы с открытой рекурсией, а только избранные. 3. На DNS-ы уходит крохотный запросик со спуфом айпи жертвы, а с конкретного DNS-а в жертву прилетает пакет в 4кб Попутно они лили синфлуд в 6mpps. В прошлом году, именно этот же синфлуд, к нам заливали в р-не 8mpps. Т.к. синфлуд лили в нас, то я могу делать вывод, что генераторы трафика стоят за когентом, либо сам ДЦ прятал это в когентовском канале.
-
ферма генераторов стоит в каком-то ДЦ за когентом. в нашем случае, большая часть ДЦ лила бы спуф на нас через IX. моя версия такая, что шаловливые ручки очень хорошо разбираются в безнаказанном слитии спуфинга. либо подшевелили рауты, либо ДЦ целиком стоит за когентом. кто-то знает ДЦ, который целиком за когентом стоит?