Обиды, атаки, флэйм и DoS

ddos трафик не имеет особых отличительных характеристик

Какое милое дите! И вы действительно верите в то, что можно создать траффик без отличительных характеристик? Нуну. Нет, ну можно конечно постараться... но при надобности фильтр всё равно сделают. Не бывает месячных DDos-атак. Странно, да?

Ищите, если сможете. Я достаточно уверен в своей анонимности.

Когда-то давно Сократ сказал: "я знаю только то, что я ничего не знаю". Смысл этих слов в том, что чем глубже человек понимает свою тему, тем больше неясного для себя он видит, и тем большее число непонятных вещей обнаруживает, тем сложнее модель мира, представляемая в его глазах. Этот эффект есть и в ИБ: чем лучше пользователь начинает разбираться в технологиях анонимности, тем лучше он понимает их слабости и методы, которые позволят их обойти, благо ИБ – это комплексное понятие и оно отнюдь не сводится к одним компьютерным технологиям. В итоге люди, которые реально понимают всю суть технологии, сидят спокойно, тихо, ни на кого не лаят и не ищут дешёвой славы "великого хакера". Они предпочитают не рассказывать о том, как хорошо они защищены и как много они себе могут позволить. Тех, кому не хватило мозга/интуиции для осознания этих простых идей, рано или поздно вылавливают и отправляют в известное место. За tor и за свою анонимность не беспокойтесь – если вы действительно кому-то понадобитесь, вас найдут.

btw: Кстати, у меня есть подозрение что в конкретно том случае для отлова они тем или иным образом покрасили траффик – такое возможно?.

И вы действительно верите в то, что можно создать траффик без отличительных характеристик? Нуну

Один syn пакет отличается от другого syn пакета только ip адресом отправителя. Фильтрация syn флуда возможна только тогда, когда эти адреса не подделаны, а иначе возможны только полумеры вроде блокировки всего не русского трафика.

Не бывает месячных DDos-атак.

И это говорит человек, вероятно не делавший ни одной ddos атаки и не писавший ПО для их организации. Ну впрочем, давайте проверим. Сообщите мне адрес вашего сайта, и я обязуюсь продержать его в дауне месяц, и не днем меньше.

За tor и за свою анонимность не беспокойтесь – если вы действительно кому-то понадобитесь, вас найдут.

Про окраску трафика и тайминг атаки я знаю не меньше вашего. Более того, я не полагаюсь на один только tor. Ну и последнее – вы не того масштаба люди, чтобы даже найти человека за простой проксей.

С чего вы решили, что кто-то из участников будет вас отслеживать (или только есть кто с допуском к данным сорма в федеральном масштабе). Было предложение включить органы (без особой надежды, заметим), и далее только теоретико-практические размышления на тему бренности бытия и конечности доступного одному человеку мыслительного процесса.
Кроме того иногда проще подойти с другой стороны, вместо распутывания клубка соеденений, распутать клубок "личности". Социальные атаки в анонимизирующих сетях, анализ стилистики, сопостовление фактов. Что если уже сейчас можно назвать ваш ник, с большой долей вероятности фио и далее по списку?

Что если уже сейчас можно назвать ваш ник, с большой долей вероятности фио и далее по списку?

Жду с нетерпением. Может быть сразу в гости приедете, раз вы уже вычислили мое фио и адрес?

Лучше вы сразу к нам. ;)
Кстати, раз уж валили когда-то кого-то крупнее мастерхоста, это не должно остаться незамеченным широкой публике. Расскажите лучше о ваших былых достижениях, желательно со ссылками на информационные сообщения.

Атака имеет отношение к "внеплановому техническому обслуживанию" 03.08 с 14:00 до 21:30?

Ничего общего. Обслуживание проходило раньше.

На самом деле атаки на отказ в обслуживании являются одними из самых действенных и прямолинейных. Бомба в серверной — это тоже DoS-атака. "Против лома нет приёма... окромя другого лома". Такой лом — это избыточность: резервные серверы для балансировки нагрузки (так борются с DDoS серьёзные организации, где открытость ресурсов критически важна), канал шире, чем нужно для штатной работы, системные ресурсы, превышающие возможности нападающего.

А если у тебя виртуальный хостинг-сервер с ограничением на 64 одновременных подключения, свалить его кучкой ботов становится совсем нетрудно, и не надо даже бить себя в грудь, испытывая гордость за такое достижение.

Так что сиди сука и не рыпайся

Вот, учитесь образцам вежливого обращения, чтобы никому за вас не было стыдно!

1. Что происходит при DoS-атаке на скрытый севис Tor?

2. Нельзя ли дать возможность зарегиситрированным пользователям входить "через другое место"? (будет лишнй повод зарегистрироваться)

Нельзя ли зарегиситрированным пользователям входить "через другое место"? (будет лишнй повод зарегистрироваться)

Один syn пакет отличается от другого syn пакета только ip адресом отправителя

Можно при регистрации записывать ip-адрес. А при атаке включать режим "вход только для зарегистрированных". Ну и рейтинги ввести для защиты от фальшвых регистраций.

Можно при регистрации записывать ip-адрес.

Даже я этот сайт постоянно посещаю с разных IP (из разных сетей или с подключений с динамическим присвоением IP). Что уж говорить о таких "рейтинговых" участниках, как unknown, которые вообще только через Tor ходят. "Вы ещё идентифицируете пользователей по IP? Тогда мы идём к Вам!"

Вот, кстати, по теме: "Журнал Spiegel опубликовал прейскурант на услуги российских хакеров".

Тоже хотел сказать – опередили. Выбирается прокси для тех, кому нужна анонимность, и высылается на их адрес, указанный при регистрации (это зарегистрированные пользователи, ходящие на сайт анонимно). Параллельно создаётся возможность указать свой IP-адрес для входа на сайт для тех, кто ходит неанонимно. В итоге все зарегистрированные пользователи будут ходить на сайт не под теми IP, которые используются для DoS-атаки. Если осуществляющий атаку имеет один из аккаунтов, то он получит IP для анонимных соединений (что-то типа IP-прокси), и в этом случае использовать анонимные входы участникам неудастся, однако неанонимные смогут работать. На подступах к сайту ставится FW, разрешающий соединения только с IP зарегистрированных пользователей, и дело в шляпе. При надлежащей квалификации такая схема поднимается за 5 минут (правда, не на виртуальном хостинге). Далее создаётся гейт на сайт под другим DNS-именем, назначение которого – слушать весь инет и переправлять траффик на pgpru.com. Гейт будет использоваться для т

Кроме того иногда проще подойти с другой стороны, вместо распутывания клубка соеденений, распутать клубок "личности". Социальные атаки в анонимизирующих сетях, анализ стилистики, сопостовление фактов. Что если уже сейчас можно назвать ваш ник, с большой долей вероятности фио и далее по списку?

Вот человек понимает, респект и всесторонняя уважуха: проще ломать самое слабое звено цепи!

Можно при регистрации записывать ip-адрес. А при атаке включать режим "вход только для зарегистрированных". Ну и рейтинги ввести для защиты от фальшвых регистраций.

Да, если бы не виртуальный хостинг, это делается моментально: как только засекается атака, включается режим "только для тех, кто привязал свою сессию к IP, будуи зарегистрированным".

Если же нет времени/квалификации/ломает, всё делается ещё проще: поднимается левый DNS и рассылается зарегистрированным юзерам. Если злоумышленник не находится среди них, сатй автоматом становится недоступен для DoS-атаки. Правда, после того как злоумышленник узнает новый DNS-адрес, он перенастроит сеть, но тогда можно снова подянть новый DNS и так по кругу... Если есть возможность быстро создавать новые DNS-имена и рассылать их зарегистрированным пользователям, то о новом DNS злоумышленник узнает только из поисковика, то есть уйдут, как мне кажется, сутки на индексирование или даже больше. В итоге получаем, что сайт будет функуционировать всё время на разных DNS и для всех, но они будут менять раз в сутки. Идею можно драбатывать – я долго не думал, но в целом, полагаю, ясно.

Если же нет времени/квалификации/ломает, всё делается ещё проще: поднимается левый DNS и рассылается зарегистрированным юзерам.

А если злоумышленник не дурак, он тоже имеет зарегистрированный аккаунт на сайте. Когда такая рассылка происходит, он направляет ботнет на атаку ещё и этого DNS-сервера (или прокси в другом варианте). Опять получаем "гонку вооружений". К тому же, многие ли обычные посетители знают, как задать определённый DNS для резолвинга имён? У большинства DHCP — они вообще этими вещами себе голову не морочат.

Даже я этот сайт постоянно посещаю с разных IP (из разных сетей или с подключений с динамическим присвоением IP).

Выберите себе ssh или найдите прокси, после чего ходите с фиксированного одного IP, который и можно задать в настройках FW.

Что уж говорить о таких "рейтинговых" участниках, как unknown, которые вообще только через Tor ходят. "Вы ещё идентифицируете пользователей по IP?

Получив вышеозначенное письмо, они будут должны также выбрать себе фиксированный IP или прокси и сообщить его вам. На указанный IP они могут ходить и через tor...

"Вы ещё идентифицируете пользователей по IP? Тогда мы идём к Вам!"

Да, но только не в смысле полной авторизации, а в смысле одного из условий захода на сайт.

В случае DoS всё обстоит точно так же как и везде: идеального DoS не бывает, а значит его можно забанить: выделить сегменты сети, которые DoSят, и закрыться от них FW'ом. После надлежащего сбора статистики сайт будет закрыт только для бот-сети и открыт для всех остальных. Поскольку атакующий имеет ограниченные ресурсы и ограниченную бот-сеть (не может сделать бот-сетью любой набор компьютеров) всё это делается. Принцип схож с проблемой укрытия данных на диске: даже если вы застеганографируете их, и завуалируете под случайные данные, как это делает TrueCrypt, то в надлежащей лаборатории, изучив диск, скажут, что "в связи с тем, что обращение к данным участкам диска было довольно интенсивным, на случайный шум не похоже". Вопрос только в деньгах и надобности. (Ну да, можно симулировать одинаковую дисковую активность во всех его точках и т.д, сами можете за меня продолжить, потом слоамть эту схему, потом снова доработать и т.д. до бесконечности, чтобы получить общий принцип: одеальной защиты/нападения не бывает ;)) )