Обиды, атаки, флэйм и DoS
Не используйте PGP Disk, если не хотите потерять данные. Это штука крайне глючная и ненадежная.
Я пользуюсь DriveCrypt Plus Pack для шифрования секретного диска, и TrueCrypt для остальных дисков. На системном диске не храню ничего кроме фильмов, ибо как уже сказал SATtva – DriveCrypt закрытое ПО, и доверия к его надежности нет никакого (хотя это несомненно лучше, чем вобще ничего).
SATtva
Кстати, исходники PGP Whole Disk вроде бы тоже закрыты? Или я ошибаюсь?
Ссылки
[link1] http://www.pgp.com/downloads/sourcecode/index.html#dtsrc
[link2] https://www.pgpru.com/comment17106
[link3] http://www.vladmiller.info
[link4] http://newsru.com/crime/09mar2006/bank.html
[link5] http://www.securitylab.ru/news/300741.php
[link6] http://www.laurentconstantin.com/en/netw/
[link7] https://www.pgpru.com/forum/offtopik/obidyatakiflejjmidos/addcomment
PGPdisk — да, PGP Whole Disk — нет.
Ошибаетесь.[link1]
Нет, не ошибаюсь. Я заполнил на той страницы форму на получение исходников, и мне вместо ссылки выслали pdf с бланком который надо заполнить и выслать им по БУМАЖНОЙ почте! Да и то, исходники дают не всем желающим, а только компаниям (предполагаю что опять не всем), и под подписку о неразглашениии? Какие же нафиг это открытые исходники? Почему Я не могу скачать эти "открытые" исходники?
Таким макаром я могу и windows считать системой с открытыми исходниками, так как ms ими поделилась с нашими спецслужбами :)
Короче говоря – исходники PGP Whole Disk самые что ни есть закрытие, а значит доверия к нему не больше чем к тому же Drive Crypt Plus pack.
Если человек труп, то это надолго, если идиот, — это навсегда.[link2]
Глубокоувожаемый SATtva, если вы опустились до грубых оскорблений, то мне за вас стыдно.
Но лично я не привык тепреть оскорбления от кого бы то ни было, и поэтому требую принесения извинений. В противном случае я оставляю за собой право наказать вас по своему усмотрению.
Бокс! :) Это всего лишь афоризм, к тому же трудно оскорбить человека без идентифицирующих признаков и знаков различия.
К слову тоже бродил по их сайту, но включать скрипты для формы принятия условий, оказалось выше моих сил. Кроме того качать 40 мегабайт архивированных исходников, чтобы впоследствии искать компас и проводника для их изучения, то еще удовольствие (лицензию никто не отменял, уж лучше что посвободнее поизучать)...
В данном случае SATtva был прав. Для получения исходников нужен бланк,
Может, это и тупо, но факт такой есть.
P. S.: А вообще вам здесь кто-то чем-то обязан?
P. P. S.: тысячный. Флудер я ;((
Это известная сицилийская поговорка. Будь это даже намеренное оскорбление, извиняться в подобном случае я бы не стал: может быть грубость в этот раз заставит Вас думать и быть внимательнее, прежде чем писать что-то такое в будущем.
Я вас предупредил, и предложил решить эту проблему мирным путем. Поэтому прошу не обижаться на то, что я собираюсь вскоре предпринять против вашего сайта. Может быть это заставить вас в следующий раз думать, прежде чем оскорблять анонимов.
P. S. Я заранее приношу извинения всем посетителям этого сайта.
Весь форум постоянно пронизывала красной нитью тема ботнета, мысли материализуются (как это всегда бывает с неожиданной стороны). Материальные убытки владельца и моральные страдания посетителей это плохо, но есть плюс можно будет ознакомить правоохранительные органы с очередным ботнетом. Кроме прочего если "оскарбленный" товарищ находится на территории РФ, то чем бы он не анонимизировал свои путешествия по этому сайту, для него СОРМ – глобальный наблюдатель. Даже если не сработают органы, сработает эффект бумеранга.
P. S. надеюсь никто из посетителей сайта, с медицинским дипломом, не будет читать лекции про незрелость личности "оскарбленного", и изъяны в структуре его подсознательного. Всем нам воздастся по делам нашим, надеюсь что это будет более соразмерно, и за только лишь случайно обраненые слова в гиене огненой не бывать. :)
Tor'ом. А потом удивляемся отношению к этой сети со стороны тех же правоохранителей и властных структур.
Сожалею, что помянутая мной поговорка повлекла такой результат, но, сказанная просто к месту, находит всё большее приложение к персоне "оскорблённого". Не знаю, хотел ли он удивить здесь кого-то DDoS-атакой или напакостить лично мне (чем? непонятно), только объект мести был выбран явно неудачно: логичнее было заDoSить мой личный веб-сайт[link3], чем создавать неудобства для обычных и совершенно посторонних для наших разборок посетителей "openPGP в России".
Ладно, удержусь от дальнейших комментариев инцидента, чтобы не усугублять флейм. Тем более, медицинского диплома у меня нету...
Ищите, если сможете. Я достаточно уверен в своей анонимности.
SATtva
Еще раз извиняюсь, если нанес ущерб этому сайту. DDoS атака была очень кратковременной, и имела цель продемонстрировать возможные последствия оскорблений со стороны администрации сайта. Если бы я задалься целью нанести сайту ущерб, то атака длилась бы по меньшей мере месяц.
Вас никто не оскорблял. Изначально Вы получили ответ на собственное невежество (притом в совершенно литературной форме). Однако, снова решили продемонстрировать невежество, приняли фразу на личный счёт и повели себя, как капризный ребёнок: "А ну извиняйтесь, ни то я вашу песочницу описаю". Сделайте в конце концов разумные выводы...
Фигасе, какие у вас тут разборки!
SATtva
Атака имеет отношение к "внеплановому техническому обслуживанию" 03.08 с 14:00 до 21:30?
Гость
У тебя "случайно" есть точная информации откуда растут э... руки у доса на ЮТК?
DDoS атаки – это прошлый век, и насколько я знаю, от них есть способы защиты. На данном сайте таких защит не было, как и на многих других, из-за отсутствия необходимости. Если бы возникла надобность – её бы сделали, так что "месяц" бы не получился. К тому же, чтобы уметь наносить существенный ущерб, нужно уметь пользоваться своей головой, а не стандартным набором псевдохакерских программок, написанных для детей. Если мозг гостя не позволяет ему даже понять как получить исходники PGP, то что уже говорить о большем?
Дорогой наш spinore. Ваши офигенно умные мозги вам наверное позволяют понять простую мысль: если обьем ddos трафика превышает пропускную способность канала, и ddos трафик не имеет особых отличительных характеристик, то единственная защита – это утереться и смиренно ждать, пока ddosить перестанут. Не верите? Так давайте проверим!
Все существующие средства защищают только тогда, когда атакующий не имеет возможности генерировать такие обьемы трафика. Ну а мы и не таких валили. Так что сиди сука и не рыпайся, не тебе оценивать мои умственные способности.
Какое милое дите! И вы действительно верите в то, что можно создать траффик без отличительных характеристик? Нуну. Нет, ну можно конечно постараться... но при надобности фильтр всё равно сделают. Не бывает месячных DDos-атак. Странно, да?
Когда-то давно Сократ сказал: "я знаю только то, что я ничего не знаю". Смысл этих слов в том, что чем глубже человек понимает свою тему, тем больше неясного для себя он видит, и тем большее число непонятных вещей обнаруживает, тем сложнее модель мира, представляемая в его глазах. Этот эффект есть и в ИБ: чем лучше пользователь начинает разбираться в технологиях анонимности, тем лучше он понимает их слабости и методы, которые позволят их обойти, благо ИБ – это комплексное понятие и оно отнюдь не сводится к одним компьютерным технологиям. В итоге люди, которые реально понимают всю суть технологии, сидят спокойно, тихо, ни на кого не лаят и не ищут дешёвой славы "великого хакера". Они предпочитают не рассказывать о том, как хорошо они защищены и как много они себе могут позволить. Тех, кому не хватило мозга/интуиции для осознания этих простых идей, рано или поздно вылавливают и отправляют в известное место. За tor и за свою анонимность не беспокойтесь – если вы действительно кому-то понадобитесь, вас найдут.
btw: Кстати, у меня есть подозрение что в конкретно том случае[link4] для отлова они тем или иным образом покрасили траффик – такое возможно?.
Один syn пакет отличается от другого syn пакета только ip адресом отправителя. Фильтрация syn флуда возможна только тогда, когда эти адреса не подделаны, а иначе возможны только полумеры вроде блокировки всего не русского трафика.
И это говорит человек, вероятно не делавший ни одной ddos атаки и не писавший ПО для их организации. Ну впрочем, давайте проверим. Сообщите мне адрес вашего сайта, и я обязуюсь продержать его в дауне месяц, и не днем меньше.
Про окраску трафика и тайминг атаки я знаю не меньше вашего. Более того, я не полагаюсь на один только tor. Ну и последнее – вы не того масштаба люди, чтобы даже найти человека за простой проксей.
С чего вы решили, что кто-то из участников будет вас отслеживать (или только есть кто с допуском к данным сорма в федеральном масштабе). Было предложение включить органы (без особой надежды, заметим), и далее только теоретико-практические размышления на тему бренности бытия и конечности доступного одному человеку мыслительного процесса.
Кроме того иногда проще подойти с другой стороны, вместо распутывания клубка соеденений, распутать клубок "личности". Социальные атаки в анонимизирующих сетях, анализ стилистики, сопостовление фактов. Что если уже сейчас можно назвать ваш ник, с большой долей вероятности фио и далее по списку?
Жду с нетерпением. Может быть сразу в гости приедете, раз вы уже вычислили мое фио и адрес?
Лучше вы сразу к нам. ;)
Кстати, раз уж валили когда-то кого-то крупнее мастерхоста, это не должно остаться незамеченным широкой публике. Расскажите лучше о ваших былых достижениях, желательно со ссылками на информационные сообщения.
Ничего общего. Обслуживание проходило раньше.
На самом деле атаки на отказ в обслуживании являются одними из самых действенных и прямолинейных. Бомба в серверной — это тоже DoS-атака. "Против лома нет приёма... окромя другого лома". Такой лом — это избыточность: резервные серверы для балансировки нагрузки (так борются с DDoS серьёзные организации, где открытость ресурсов критически важна), канал шире, чем нужно для штатной работы, системные ресурсы, превышающие возможности нападающего.
А если у тебя виртуальный хостинг-сервер с ограничением на 64 одновременных подключения, свалить его кучкой ботов становится совсем нетрудно, и не надо даже бить себя в грудь, испытывая гордость за такое достижение.
Вот, учитесь образцам вежливого обращения, чтобы никому за вас не было стыдно!
1. Что происходит при DoS-атаке на скрытый севис Tor?
2. Нельзя ли дать возможность зарегиситрированным пользователям входить "через другое место"? (будет лишнй повод зарегистрироваться)
Можно при регистрации записывать ip-адрес. А при атаке включать режим "вход только для зарегистрированных". Ну и рейтинги ввести для защиты от фальшвых регистраций.
Даже я этот сайт постоянно посещаю с разных IP (из разных сетей или с подключений с динамическим присвоением IP). Что уж говорить о таких "рейтинговых" участниках, как unknown, которые вообще только через Tor ходят. "Вы ещё идентифицируете пользователей по IP? Тогда мы идём к Вам!"
Вот, кстати, по теме: "Журнал Spiegel опубликовал прейскурант на услуги российских хакеров"[link5].
Тоже хотел сказать – опередили. Выбирается прокси для тех, кому нужна анонимность, и высылается на их адрес, указанный при регистрации (это зарегистрированные пользователи, ходящие на сайт анонимно). Параллельно создаётся возможность указать свой IP-адрес для входа на сайт для тех, кто ходит неанонимно. В итоге все зарегистрированные пользователи будут ходить на сайт не под теми IP, которые используются для DoS-атаки. Если осуществляющий атаку имеет один из аккаунтов, то он получит IP для анонимных соединений (что-то типа IP-прокси), и в этом случае использовать анонимные входы участникам неудастся, однако неанонимные смогут работать. На подступах к сайту ставится FW, разрешающий соединения только с IP зарегистрированных пользователей, и дело в шляпе. При надлежащей квалификации такая схема поднимается за 5 минут (правда, не на виртуальном хостинге). Далее создаётся гейт на сайт под другим DNS-именем, назначение которого – слушать весь инет и переправлять траффик на pgpru.com. Гейт будет использоваться для т
Вот человек понимает, респект и всесторонняя уважуха: проще ломать самое слабое звено цепи!
Да, если бы не виртуальный хостинг, это делается моментально: как только засекается атака, включается режим "только для тех, кто привязал свою сессию к IP, будуи зарегистрированным".
Если же нет времени/квалификации/ломает, всё делается ещё проще: поднимается левый DNS и рассылается зарегистрированным юзерам. Если злоумышленник не находится среди них, сатй автоматом становится недоступен для DoS-атаки. Правда, после того как злоумышленник узнает новый DNS-адрес, он перенастроит сеть, но тогда можно снова подянть новый DNS и так по кругу... Если есть возможность быстро создавать новые DNS-имена и рассылать их зарегистрированным пользователям, то о новом DNS злоумышленник узнает только из поисковика, то есть уйдут, как мне кажется, сутки на индексирование или даже больше. В итоге получаем, что сайт будет функуционировать всё время на разных DNS и для всех, но они будут менять раз в сутки. Идею можно драбатывать – я долго не думал, но в целом, полагаю, ясно.
А если злоумышленник не дурак, он тоже имеет зарегистрированный аккаунт на сайте. Когда такая рассылка происходит, он направляет ботнет на атаку ещё и этого DNS-сервера (или прокси в другом варианте). Опять получаем "гонку вооружений". К тому же, многие ли обычные посетители знают, как задать определённый DNS для резолвинга имён? У большинства DHCP — они вообще этими вещами себе голову не морочат.
Выберите себе ssh или найдите прокси, после чего ходите с фиксированного одного IP, который и можно задать в настройках FW.
Получив вышеозначенное письмо, они будут должны также выбрать себе фиксированный IP или прокси и сообщить его вам. На указанный IP они могут ходить и через tor...
Да, но только не в смысле полной авторизации, а в смысле одного из условий захода на сайт.
В случае DoS всё обстоит точно так же как и везде: идеального DoS не бывает, а значит его можно забанить: выделить сегменты сети, которые DoSят, и закрыться от них FW'ом. После надлежащего сбора статистики сайт будет закрыт только для бот-сети и открыт для всех остальных. Поскольку атакующий имеет ограниченные ресурсы и ограниченную бот-сеть (не может сделать бот-сетью любой набор компьютеров) всё это делается. Принцип схож с проблемой укрытия данных на диске: даже если вы застеганографируете их, и завуалируете под случайные данные, как это делает TrueCrypt, то в надлежащей лаборатории, изучив диск, скажут, что "в связи с тем, что обращение к данным участкам диска было довольно интенсивным, на случайный шум не похоже". Вопрос только в деньгах и надобности. (Ну да, можно симулировать одинаковую дисковую активность во всех его точках и т.д, сами можете за меня продолжить, потом слоамть эту схему, потом снова доработать и т.д. до бесконечности, чтобы получить общий принцип: одеальной защиты/нападения не бывает ;)) )
SATtva
Вы меня не поняли.
По поводу того, что злоумышленник уже зарегистрирован: опять получаем общий принцип – если злоумышленник не дурак, то ... Если злоумышлленик идеален, то да. Поскольку же "идеального злоумышленника" не бывает точно так же как и "идеальной защиты/нападения", то начиная с какого-то момента проявится его "неидеальность": какой-то момент он либо не продумает и ошибётся, либо у него попросту нехватит ресурсов. Поскольку защищаться нужно от простого к сложному в случае таких атак, вначале предполагаем некий стартовый разумный и вероятный уровень: например, "ему не хватило ума зарегистрироваться на сайте" – тогда защита вышеозначенным способом сработает. Если же ума ему хватило, то ищем более сложные решения и реализовываем. Конечно, в случае противника, более близкого к идеальному, сайт может оказаться доступен лишь только для узкой зарегистрированных пользователей. Когда злоумышленник уже имеет аккаунт и поулчает рассылку, он может быть вычислен методом деления пополам: если после его исключения группы пользователей из прав логиниться новые для DoS недоустпны, значит он среди этой группы ну и т.д. идею можете доработать до формального алгоритма. А в качестве старта сразу взять группу из тех пользователей, которые вряд ли пошли бы на DoS: поскольку администратор многих знает на этом сайте по их социальному портретру, он может сразу отобрать группу пользователей, которые с наименьшей вероятностью пошли бы на такой поведение как злоумышленник. В общем, социнженерия рулит, а сами идеи предельно простые.
SATtva
Под новым DNS я имел в виду не новый DNS-сервер и тем более не сервер DNS со специфическими настройками для pgpru, а всего лишь "новое DNS-имя". Например, было pgpru.com для сайта – стало antidos.gpgru.net.
IP тоже, ксттаи, возможно надо будет сменить в этой ситуации. Не думал особо на эту проблему.
А кстати, что говорит по поводу DoS хостер где мы хостимся? Он обязан защищать сайт от такого рода атак, или его позиция "моя хата с краю – если вы кому-то не понравились и вас задосили, значит ваша проблема, а я вам оговоренные ресурсы выделил"?
Когда началась атака, я связался с техподдержкой и попросил закрыть доступ к сайту на сутки (вывести из dns-записей серверов и т.д.), поскольку считал, что атака меньше не продлится. Однако, они вместо этого прописали в .htaccess блокировку для 58.71.109.21, вызывавшего наибольшую паразитную нагрузку. Не знаю, повлияло ли именно это действие или аноним проявил великодушие, но примерно после этого доступ к сайту возобновился. Вообще мне у мастерхоста нравится, хорошие там люди работают. :-)
58.71.109.21 -> я так и не понял, tor это или нет. Вроде бы как нет(?).
Не похоже, во всяком случае сейчас такого и даже сети этого провайдера в списках серверов не значится. Досить через тору бесполезно по большому счету. Каждый узел старается соблюдать свои заявленные скоростные характеристики и перестанет транслировать через себя трафик раньше чем досер войдет во вкус (нет такого числа сверх скоростных узлов которые желал бы атакующий, да и не один он в сети)
Вообще-то досер говорил про поддельные пакеты (мне только не понятно куда смотрят провайдеры через которых спуфингом занимаются), то есть даже этот филипинский адрес может быть фальшивым.
Насколько я знаю, IP подделать нельзя если комп не в прямой видимостиатакующего (не в одной физической подсети). Конечно, можно поставить произвольный IP на исходящие пакеты, только вот далеко они не уйдут :)
Он мог находиться в точке обмена трафиком (фильтровать по источнику невозможно), пока пишут работы, ведут жаркие дискуссии о закате анонимизирующих сетей, он спокойно сел и устроил плацдарм для досинга ;)
Если серьезно, то провайдер может не производит фильтрацию, а у аплинка и без того забот (клиентов) хватает чтобы не фильтровать пакеты. Хотя это мои догадки, может кто из более знающих раскажет как можно осуществить спуфинг (такое существует и в сегодняшних условиях, это факт).
В обычных сетях раздаётся IP (иногда по MAC), и с другими параметрами в сеть вообще не вылезти. Однако я слышал о неких "динамических IP" с телефонных линий – те аутентифицируются по паролю и получают временный IP, он же реальный на время сеанса. А так, я не специалист. Конечно, если предположить что злоумышленник сам является провайдером... но не тот уровень в данном случае.
Это верно, когда клиентам, провайдеру есть что терять на каждом байте. Для этого включают троекратные проверки все и вся что генерирует и получает клиент провайдера. Особенно по части выдачи адресов (вот там начинаются придумки по привязкам к портам на оборудовании и MAC адресам источника). Заметим что досер говорил про зарубежный трафик, возможно часть провайдеров там не так щепетильна в таких вопросах и им все равно что транслировать в своих сетях, главное чтобы пакет был правильно оформлен. Атакующему остается подделать адрес источника и оформить все в виде tcp пакетов c syn-флагом. Обратный трафик исключается, все "красиво" и хорошо, особенно если таких "генераторов" побольше. Атакованному узлу остается что разгебать множество запросов, и вести попытки общения с выдуманными адресами.
Ну тогда подождем, может сам досер расскажет :)
Как я понимаю, есть определённые соглашения между провайдерами. Если кто-то соседствует с кем-то, он включает их IP в свой список рутинга, FW и т.д. Пакет с произвольным IP не пройдёт, получается.
Но таблицы маршрутизации пакетов, как динамические так и статические, работают по адресу назначения пакета. Механизму маршрутизации (не считая редких случаев) все равно что там в пакете указано источником. Если пакет правильный и провайдер не озаботился механизмом фильтрацией на предмет воообще не своих адресов (источников) в пакетах на порту аплинка, тогда пакет уйдет по адресу назначения и фильтровать уже будет некому. Вышестоящий провайдер может оказаться магистралом, ему это вообще не надо (возможно). Помимо всех этих фильтраций провайдерам всех уровней нужно различать приоритетности трафика, и прочее и прочее... работы у них и так много.
Вообще, да, надо попробовать поотправлять – аж самому интересно стало: пройдёт или нет пакет в моих сетях. В перспективе мог бы собрать статистику, ещё попросив знакомых ))
Удачи, spinore! Поделитесь результатами.
Люди с сомнительной репутацией сказали что без написания специальной программы это не проверить. Возможно сие чудо есть в портах, но без специального рытья в гугле мне на этот вопрос не ответить. Пусть спецы типа unknown'а скажут, которые знают ответ заранее...
/me не спец, но если интересно, то есть такой продукт — netwox, там можно генерировать произвольным образом пакеты, на всех уровнях osi. Для досинга не хватит, а вот проверить долетает ли самоcборная солянка до далекого заокеанского (далекого) сервера можно. Ну и не забывайте ответа по месту генерации пакетов не будет в любом случае, результат надо проверять в месте назначения.
Вообще с 99.99% вероятностью, провайдер у Вас правильный. Все таки думаю не все так просто в деле спуфинга, ну не могут на свете существовать не правильные провайдеры.
– проверил основной сайт, зеркала, почему-то нигде не нашёл. Надо разбираться.
"Страница"[link6] программы.
Кратенький howto для тех кому тоже хочется поэксперементировать, и имеется удаленная "жертва" (согласная на свою миссию) которая способна информировать о результатах. Генерируем одиночный пакет, при помощи netwox'а:
Для проверки в начале можно прописать вместо <spoofed_ip> свой адрес, при этом tcpdump'ом можно будет наблюдать ответный пакет от <victim>, если все правильно.
Затем заменить <spoofed_ip> для начала на чужой (желательно неактивный) адрес из диапазона своего провайдера, и если к <victim> пакет дойдет (ответ от него пойдет на поддельный адрес), то пробывать произвольный. Первое еще возможно, а вот если случится второе, то провайдера в биореактор ;)
Последняя добавка: не нашлось значит исследователей, и не могли найтись — пример получился с ошибкой, работающий только в пределах сегмента. Нужно еще ttl выставить (по умолчанию 0). Еще для правдоподобности надо бы tcp options выставлять, впрочем сие уже другая история и форум не про это...
Но результаты было бы интересно узнать...
Лыжи_асфальт, вы хоть про себя-то расскажите – ваш провайдер позволил послать пакет или нет?
Правильный у меня провайдер :)
Да тя просто зобанили :)
Заодно можно проверить, отключает или нет провайдер пользователя за подмену IP :-)
Не так давно писал подобное ПО для одного не самого мелкого провайдера.
Обычно такой софт, направлен по большей части на борьбу с "воровством" сетевых реквизитов. На уровне ip-пакетов спуфинг может и выглядит похоже, но "украсть" интернет у соседа с его помощью невозможно (в нормальной сетке). Для фильтрации пакетов с чужим источником есть более простые и стандартно документированные опции в оборудовании (даже в бюджетном варианте есть способы отфильтровать, да еще в логах отметить этот факт).
Но в целом согласен, рекомендация попробывать netwox для подделки пакетов больше из разряда вредных советов. Не будем подделывать больше... :)
Подобное ПО – это то, которое посылает пакет, спуфя адрес и обходя все его защиты, или то, которое банит на стороне провайдера?
P. S.: если 2-ое, то это было под GPL?
Нет, не под GPL. И не под BSD.
И даже не под Linux? Под циску что ли писали?
https://www.pgpru.com/forum/of.....lejjmidos/addcomment[link7]
openSpace DBAL error: SQL query failed.
-> только что было получено.
Да, украсть невозможно. Зато можно соседу нагнать трафика.
Linux.
ПэГусев
А ссылочку на своё резюме не скинете?
Не скину.