[kostich]

По UDP держали более 90 гиг, по синфлуду более 6mpps не прилетало. За последнюю пятилетку более 8mpps максимум. Если где-то пишут про цифры большие, то верить в них нельзя.

 

669938371 - ICQ исполнителя.

[alkanaft]

оно : http://habrahabr.ru/post/174483/ ?

[kostich]

оно : http://habrahabr.ru/post/174483/ ?

 

да, именно этим нас шатали. с каких-то клиентов в наглую деньги на LR вымогали. как это удержали оставлю за кадром. через какое-то время они интерес потеряли. если кто хочет, то может к нему в аську постучаться и взять интервью на тему. вот он реально весь интернет шатал. по цифрам там врут. 300 гигабит с этой амплификации на ДНС рекурсии невозможно сделать. 90-120 гиг, а потом где-то переливает и начинает это по каналам скакать. статистика штука такая, что она как бы потом всё суммирует. иными словами, если за 15 минут полкой пройтись по трем десяткам, то на графиках это будет не 10 гигабит, а 30. а товарищ этот очень оперативно включал/выключал, пробуя разные айпишники и т.д.

[kostich]

ферма генераторов стоит в каком-то ДЦ за когентом. в нашем случае, большая часть ДЦ лила бы спуф на нас через IX. моя версия такая, что шаловливые ручки очень хорошо разбираются в безнаказанном слитии спуфинга. либо подшевелили рауты, либо ДЦ целиком стоит за когентом. кто-то знает ДЦ, который целиком за когентом стоит?

[alkanaft]

не ну там же про объёмные списки днсников мысль, врятли все они в одном ДЦ стоят, как то нелогично получается тогда если это один ДЦ..

[kostich]

не ну там же про объёмные списки днсников мысль, врятли все они в одном ДЦ стоят, как то нелогично получается тогда если это один ДЦ..

 

1. Делается зона с большими TXT, NULL и т.д. записями... разницы никакой нет. В Godaddy можно из панели такие зоны создавать. Домены, используемые для атаки, были в godaddy.

2. Сканируются DNS-ы с рекурсией, которые соответствуют определенному условию. Не все DNS-ы с открытой рекурсией, а только избранные.

3. На DNS-ы уходит крохотный запросик со спуфом айпи жертвы, а с конкретного DNS-а в жертву прилетает пакет в 4кб

 

Попутно они лили синфлуд в 6mpps. В прошлом году, именно этот же синфлуд, к нам заливали в р-не 8mpps. Т.к. синфлуд лили в нас, то я могу делать вывод, что генераторы трафика стоят за когентом, либо сам ДЦ прятал это в когентовском канале.

[kostich]

не ну там же про объёмные списки днсников мысль...

 

первые, кто реализовали мысль с eDNS были жителями Казахстана. eDNS позволяет устанавливать максимальный размер ответного пакета в 65535 байт, но т.к. таких DNS-ов единицы, то используют DNS-ы отвечающие пакетом в 4096 байт. более того, такие DNS-ы есть в РФ. если сырое нетфлоу в определенных местах поковырять, то можно найти айпишники исполнителей. я не думаю, что они сильно шифровались, когда сканировали DNS-ы с eDNS по всему миру. если у кого-то есть желание установить истину, то я могу по указанному префиксу просканить DNS-ы, а затем можно поднять нетфлоу месячной давности и установить откуда сканили для этих больших атак.

[kostich]

15:24:42.477187 IP (tos 0x0, ttl 28, id 8101, offset 0, flags [+], proto UDP (17), length 1500)

83.222.110.3.53 > 195.211.x.x.45370: 52776 q: TXT? txt2.triton1337.net. 1/2/1 txt2.triton1337.net. [23h59m27s] TXT[|domain]

15:24:42.477192 IP (tos 0x0, ttl 28, id 8101, offset 1480, flags [+], proto UDP (17), length 1500)

83.222.110.3 > 195.211.x.x: udp

15:24:42.477193 IP (tos 0x0, ttl 28, id 8101, offset 2960, flags [none], proto UDP (17), length 706)

83.222.110.3 > 195.211.x.x: udp

 

Подобное должно быть в скане, т.к. без живого запроса на DNS нельзя понять ответит ли он по UDP с eDNS или пойдет отвечать по TCP. Если подобное в единичном виде поискать в нетфлоу, пока еще есть возможность, то можно будет установить айпишники серверов сканивших DNS. Это с живой атаки, DNS с функционалом стоит в многобайте.

[kostich]

образец запроса к кривому днс

 

6:05:04.246850 IP 195.211.x.x.17977 > 78.111.81.190.53: 27792+ [1au] TXT? txt2.triton1337.net. (48)

 

Надо искать запросы в 48 байт и три UDP ответа 1500+1500+706. 100% можно найти + поставить на вид, со всеми сопутствующими.

[Ivan_83]

eDNS позволяет устанавливать максимальный размер ответного пакета в 65535 байт

Это размер пейлоада в IP, отнимаем от туда UDP заголовок.

 

 

Длина датаграммы

 

Поле, задающее длину всей датаграммы (заголовка и данных) в байтах. Минимальная длина равна длине заголовка — 8 байт. Теоретически, максимальный размер поля — 65535 байт для UDP-датаграммы (8 байт на заголовок и 65527 на данные). Фактический предел для длины данных при использовании IPv4 — 65507 (помимо 8 байт на UDP-заголовок требуется ещё 20 на IP-заголовок).

 

 

 

[kostich]

Это размер пейлоада в IP, отнимаем от туда UDP заголовок.

 

в eDNS есть поле про максимальный размер ответа, в которое можно вписать 65535. можно вписать и меньше, но пишут обычно 65535. а в конфигах кривых DNS-ов, по дефолту, максимальный UDP ответ равен 4096.

[kostich]

по сигнатуре мнение изменилось

 

Надо искать запрос в 48 байт + искать два ответа по UDP в 1500 байт + пакет более 500 байт.

[u.Magistr]

Хм вот и ко мне небольшой кусок льется

IP 66.252.27.25.53 > 91.230.xx.xx.53: 952+ [1au] ANY? ripe.net. (38)

И хабр прилег

[alkanaft]

ага

 

QR HTTP 502

 

IP: ХХХХХХХХХ

Request: GET /

Guru meditation: YzhoQU05NHJwM0hTd2w5SExlNkhFS2x6UEc0NTY2NDA=

 

Вы обратились к сайту www.habrahabr.ru.

Qrator Networks осуществляет противодействие DDoS-атакам. Все HTTP-запросы к www.habrahabr.ru проходят через наши узлы фильтрации Интернет-трафика.

Соединение с сайтом www.habrahabr.ru не устанавливается. Попробуйте обратиться к сайту www.habrahabr.ru позже.

 

С уважением, Qrator Networks

www.qrator.net

Изменено 29 марта, 2013 пользователем alkanaft

[kostich]

И хабр прилег

 

да это всё пиар... хабру даунтайм выгоден... и тот же Qrator на такой посещаемости табличку вывесил.

[Дятел]

либо подшевелили рауты, либо ДЦ целиком стоит за когентом. кто-то знает ДЦ, который целиком за когентом стоит?

я думаю, немного не так: ДЦ за бугром, и бэст маршрут на атакуемую сеть лежит через какого-нить из tier-1. поэтому и получилось, что всё из когента прилетело... могло всё с телии )))

[kostich]

я думаю, немного не так: ДЦ за бугром, и бэст маршрут на атакуемую сеть лежит через какого-нить из tier-1. поэтому и получилось, что всё из когента прилетело... могло всё с телии )))

 

а там оч. грамотные хлопцы. у меня есть возможность вычислить все их пиры в течении 15 минут, но они максимально резко заднюю включили.

 

я думаю, немного не так: ДЦ за бугром, и бэст маршрут на атакуемую сеть лежит через какого-нить из tier-1.

 

большая часть ДЦ приходит через IX-ы... причем без разницы, т.к. мы на всех нормальных IX-ах по земному шарику стоим. если лили через когент, то значит этот ДЦ танцует когент... или подхачили рауты.

[kostich]

говорят будующего короля DDOS-а зовут Евгений Юрченко, проживает в г. Харьков.

[Ivan_83]

Щас мы к нему вышлем две бригады монтажников быстрого реагирования %)

[kostich]

Щас мы к нему вышлем две бригады монтажников быстрого реагирования %)

 

... с шампанским.

 

пысы. доказательств ноль.

[B_TpaHce]

вторую неделю идет ddos от 8.8.8.8

кто-нибудь знает как связаться с google?

[st_re]

DDOS с 1 IP ? так не бывает...

 

Да и сдается мне, что дос не от 8.8.8.8, а, скорее, ддос в сторону 8.8.8.8 :/ Идет много запросов от 8.8.8.8 на Ваш DNS сервер от имени 8.8.8.8 и ответ в сторону 8.8.8.8 много толще чем запрос ?

[B_TpaHce]

идет очень много standard query responce A одного и того же сайта на один наш ip. на нашем ip службы dns нет

[st_re]

ну значит к 8.8.8.8 идет запрос с левого IP... Тут скорее не к 8.8.8.8 писать, а или к владельцу IP из ответа (или попытаться найти оригинальное имя запроса).. ТТЛ в ответе какое? А много это сколько ? Что вот прямо создает проблемы ?

 

(еще вариант, ктото промахнулся с настройкой своей системы и потерял-добавил одну цифру в своем IP. и получился Ваш IP. IP в ответе на Ваш не похож ?)

[B_TpaHce]

TTL 113

оригинальный запрос не нашел, это надо намного выше искать

ко мне шло 60Мбит/с, pps больше 50000. был бы шире канал - думаю было бы больше намного.

промахнулся - врятли, проверяли.

Изменено 1 апреля, 2013 пользователем B_TpaHce