kostich Опубликовано 29 марта, 2013 · Жалоба По UDP держали более 90 гиг, по синфлуду более 6mpps не прилетало. За последнюю пятилетку более 8mpps максимум. Если где-то пишут про цифры большие, то верить в них нельзя. 669938371 - ICQ исполнителя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alkanaft Опубликовано 29 марта, 2013 · Жалоба оно : http://habrahabr.ru/post/174483/ ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 марта, 2013 · Жалоба оно : http://habrahabr.ru/post/174483/ ? да, именно этим нас шатали. с каких-то клиентов в наглую деньги на LR вымогали. как это удержали оставлю за кадром. через какое-то время они интерес потеряли. если кто хочет, то может к нему в аську постучаться и взять интервью на тему. вот он реально весь интернет шатал. по цифрам там врут. 300 гигабит с этой амплификации на ДНС рекурсии невозможно сделать. 90-120 гиг, а потом где-то переливает и начинает это по каналам скакать. статистика штука такая, что она как бы потом всё суммирует. иными словами, если за 15 минут полкой пройтись по трем десяткам, то на графиках это будет не 10 гигабит, а 30. а товарищ этот очень оперативно включал/выключал, пробуя разные айпишники и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 марта, 2013 · Жалоба ферма генераторов стоит в каком-то ДЦ за когентом. в нашем случае, большая часть ДЦ лила бы спуф на нас через IX. моя версия такая, что шаловливые ручки очень хорошо разбираются в безнаказанном слитии спуфинга. либо подшевелили рауты, либо ДЦ целиком стоит за когентом. кто-то знает ДЦ, который целиком за когентом стоит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alkanaft Опубликовано 29 марта, 2013 · Жалоба не ну там же про объёмные списки днсников мысль, врятли все они в одном ДЦ стоят, как то нелогично получается тогда если это один ДЦ.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 марта, 2013 · Жалоба не ну там же про объёмные списки днсников мысль, врятли все они в одном ДЦ стоят, как то нелогично получается тогда если это один ДЦ.. 1. Делается зона с большими TXT, NULL и т.д. записями... разницы никакой нет. В Godaddy можно из панели такие зоны создавать. Домены, используемые для атаки, были в godaddy. 2. Сканируются DNS-ы с рекурсией, которые соответствуют определенному условию. Не все DNS-ы с открытой рекурсией, а только избранные. 3. На DNS-ы уходит крохотный запросик со спуфом айпи жертвы, а с конкретного DNS-а в жертву прилетает пакет в 4кб Попутно они лили синфлуд в 6mpps. В прошлом году, именно этот же синфлуд, к нам заливали в р-не 8mpps. Т.к. синфлуд лили в нас, то я могу делать вывод, что генераторы трафика стоят за когентом, либо сам ДЦ прятал это в когентовском канале. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 марта, 2013 · Жалоба не ну там же про объёмные списки днсников мысль... первые, кто реализовали мысль с eDNS были жителями Казахстана. eDNS позволяет устанавливать максимальный размер ответного пакета в 65535 байт, но т.к. таких DNS-ов единицы, то используют DNS-ы отвечающие пакетом в 4096 байт. более того, такие DNS-ы есть в РФ. если сырое нетфлоу в определенных местах поковырять, то можно найти айпишники исполнителей. я не думаю, что они сильно шифровались, когда сканировали DNS-ы с eDNS по всему миру. если у кого-то есть желание установить истину, то я могу по указанному префиксу просканить DNS-ы, а затем можно поднять нетфлоу месячной давности и установить откуда сканили для этих больших атак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 марта, 2013 · Жалоба 15:24:42.477187 IP (tos 0x0, ttl 28, id 8101, offset 0, flags [+], proto UDP (17), length 1500) 83.222.110.3.53 > 195.211.x.x.45370: 52776 q: TXT? txt2.triton1337.net. 1/2/1 txt2.triton1337.net. [23h59m27s] TXT[|domain] 15:24:42.477192 IP (tos 0x0, ttl 28, id 8101, offset 1480, flags [+], proto UDP (17), length 1500) 83.222.110.3 > 195.211.x.x: udp 15:24:42.477193 IP (tos 0x0, ttl 28, id 8101, offset 2960, flags [none], proto UDP (17), length 706) 83.222.110.3 > 195.211.x.x: udp Подобное должно быть в скане, т.к. без живого запроса на DNS нельзя понять ответит ли он по UDP с eDNS или пойдет отвечать по TCP. Если подобное в единичном виде поискать в нетфлоу, пока еще есть возможность, то можно будет установить айпишники серверов сканивших DNS. Это с живой атаки, DNS с функционалом стоит в многобайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 марта, 2013 · Жалоба образец запроса к кривому днс 6:05:04.246850 IP 195.211.x.x.17977 > 78.111.81.190.53: 27792+ [1au] TXT? txt2.triton1337.net. (48) Надо искать запросы в 48 байт и три UDP ответа 1500+1500+706. 100% можно найти + поставить на вид, со всеми сопутствующими. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 марта, 2013 · Жалоба eDNS позволяет устанавливать максимальный размер ответного пакета в 65535 байт Это размер пейлоада в IP, отнимаем от туда UDP заголовок. Длина датаграммы Поле, задающее длину всей датаграммы (заголовка и данных) в байтах. Минимальная длина равна длине заголовка — 8 байт. Теоретически, максимальный размер поля — 65535 байт для UDP-датаграммы (8 байт на заголовок и 65527 на данные). Фактический предел для длины данных при использовании IPv4 — 65507 (помимо 8 байт на UDP-заголовок требуется ещё 20 на IP-заголовок). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 марта, 2013 · Жалоба Это размер пейлоада в IP, отнимаем от туда UDP заголовок. в eDNS есть поле про максимальный размер ответа, в которое можно вписать 65535. можно вписать и меньше, но пишут обычно 65535. а в конфигах кривых DNS-ов, по дефолту, максимальный UDP ответ равен 4096. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 марта, 2013 · Жалоба по сигнатуре мнение изменилось Надо искать запрос в 48 байт + искать два ответа по UDP в 1500 байт + пакет более 500 байт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
u.Magistr Опубликовано 29 марта, 2013 · Жалоба Хм вот и ко мне небольшой кусок льется IP 66.252.27.25.53 > 91.230.xx.xx.53: 952+ [1au] ANY? ripe.net. (38) И хабр прилег Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alkanaft Опубликовано 29 марта, 2013 (изменено) · Жалоба ага QR HTTP 502 IP: ХХХХХХХХХ Request: GET / Guru meditation: YzhoQU05NHJwM0hTd2w5SExlNkhFS2x6UEc0NTY2NDA= Вы обратились к сайту www.habrahabr.ru. Qrator Networks осуществляет противодействие DDoS-атакам. Все HTTP-запросы к www.habrahabr.ru проходят через наши узлы фильтрации Интернет-трафика. Соединение с сайтом www.habrahabr.ru не устанавливается. Попробуйте обратиться к сайту www.habrahabr.ru позже. С уважением, Qrator Networks www.qrator.net Изменено 29 марта, 2013 пользователем alkanaft Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 марта, 2013 · Жалоба И хабр прилег да это всё пиар... хабру даунтайм выгоден... и тот же Qrator на такой посещаемости табличку вывесил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 29 марта, 2013 · Жалоба либо подшевелили рауты, либо ДЦ целиком стоит за когентом. кто-то знает ДЦ, который целиком за когентом стоит? я думаю, немного не так: ДЦ за бугром, и бэст маршрут на атакуемую сеть лежит через какого-нить из tier-1. поэтому и получилось, что всё из когента прилетело... могло всё с телии ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 марта, 2013 · Жалоба я думаю, немного не так: ДЦ за бугром, и бэст маршрут на атакуемую сеть лежит через какого-нить из tier-1. поэтому и получилось, что всё из когента прилетело... могло всё с телии ))) а там оч. грамотные хлопцы. у меня есть возможность вычислить все их пиры в течении 15 минут, но они максимально резко заднюю включили. я думаю, немного не так: ДЦ за бугром, и бэст маршрут на атакуемую сеть лежит через какого-нить из tier-1. большая часть ДЦ приходит через IX-ы... причем без разницы, т.к. мы на всех нормальных IX-ах по земному шарику стоим. если лили через когент, то значит этот ДЦ танцует когент... или подхачили рауты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 31 марта, 2013 · Жалоба говорят будующего короля DDOS-а зовут Евгений Юрченко, проживает в г. Харьков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 31 марта, 2013 · Жалоба Щас мы к нему вышлем две бригады монтажников быстрого реагирования %) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 31 марта, 2013 · Жалоба Щас мы к нему вышлем две бригады монтажников быстрого реагирования %) ... с шампанским. пысы. доказательств ноль. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
B_TpaHce Опубликовано 1 апреля, 2013 · Жалоба вторую неделю идет ddos от 8.8.8.8 кто-нибудь знает как связаться с google? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 1 апреля, 2013 · Жалоба DDOS с 1 IP ? так не бывает... Да и сдается мне, что дос не от 8.8.8.8, а, скорее, ддос в сторону 8.8.8.8 :/ Идет много запросов от 8.8.8.8 на Ваш DNS сервер от имени 8.8.8.8 и ответ в сторону 8.8.8.8 много толще чем запрос ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
B_TpaHce Опубликовано 1 апреля, 2013 · Жалоба идет очень много standard query responce A одного и того же сайта на один наш ip. на нашем ip службы dns нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 1 апреля, 2013 · Жалоба ну значит к 8.8.8.8 идет запрос с левого IP... Тут скорее не к 8.8.8.8 писать, а или к владельцу IP из ответа (или попытаться найти оригинальное имя запроса).. ТТЛ в ответе какое? А много это сколько ? Что вот прямо создает проблемы ? (еще вариант, ктото промахнулся с настройкой своей системы и потерял-добавил одну цифру в своем IP. и получился Ваш IP. IP в ответе на Ваш не похож ?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
B_TpaHce Опубликовано 1 апреля, 2013 (изменено) · Жалоба TTL 113 оригинальный запрос не нашел, это надо намного выше искать ко мне шло 60Мбит/с, pps больше 50000. был бы шире канал - думаю было бы больше намного. промахнулся - врятли, проверяли. Изменено 1 апреля, 2013 пользователем B_TpaHce Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...