Обиды, атаки, флэйм и DoS

SATtva

А если злоумышленник не дурак, он тоже имеет зарегистрированный аккаунт на сайте. Когда такая рассылка происходит, он направляет ботнет на атаку ещё и этого DNS-сервера (или прокси в другом варианте). Опять получаем "гонку вооружений". К тому же, многие ли обычные посетители знают, как задать определённый DNS для резолвинга имён? У большинства DHCP? Они вообще этими вещами себе голову не морочат.

Вы меня не поняли.
По поводу того, что злоумышленник уже зарегистрирован: опять получаем общий принцип – если злоумышленник не дурак, то ... Если злоумышлленик идеален, то да. Поскольку же "идеального злоумышленника" не бывает точно так же как и "идеальной защиты/нападения", то начиная с какого-то момента проявится его "неидеальность": какой-то момент он либо не продумает и ошибётся, либо у него попросту нехватит ресурсов. Поскольку защищаться нужно от простого к сложному в случае таких атак, вначале предполагаем некий стартовый разумный и вероятный уровень: например, "ему не хватило ума зарегистрироваться на сайте" – тогда защита вышеозначенным способом сработает. Если же ума ему хватило, то ищем более сложные решения и реализовываем. Конечно, в случае противника, более близкого к идеальному, сайт может оказаться доступен лишь только для узкой зарегистрированных пользователей. Когда злоумышленник уже имеет аккаунт и поулчает рассылку, он может быть вычислен методом деления пополам: если после его исключения группы пользователей из прав логиниться новые для DoS недоустпны, значит он среди этой группы ну и т.д. идею можете доработать до формального алгоритма. А в качестве старта сразу взять группу из тех пользователей, которые вряд ли пошли бы на DoS: поскольку администратор многих знает на этом сайте по их социальному портретру, он может сразу отобрать группу пользователей, которые с наименьшей вероятностью пошли бы на такой поведение как злоумышленник. В общем, социнженерия рулит, а сами идеи предельно простые.

SATtva

К тому же, многие ли обычные посетители знают, как задать определённый DNS для резолвинга имён? У большинства DHCP? Они вообще этими вещами себе голову не морочат.

Под новым DNS я имел в виду не новый DNS-сервер и тем более не сервер DNS со специфическими настройками для pgpru, а всего лишь "новое DNS-имя". Например, было pgpru.com для сайта – стало antidos.gpgru.net.

Под новым DNS я имел в виду не новый DNS-сервер и тем более не сервер DNS со специфическими настройками для pgpru, а всего лишь "новое DNS-имя". Например, было pgpru.com для сайта? Стало antidos.gpgru.net.

IP тоже, ксттаи, возможно надо будет сменить в этой ситуации. Не думал особо на эту проблему.

А кстати, что говорит по поводу DoS хостер где мы хостимся? Он обязан защищать сайт от такого рода атак, или его позиция "моя хата с краю – если вы кому-то не понравились и вас задосили, значит ваша проблема, а я вам оговоренные ресурсы выделил"?

А кстати, что говорит по поводу DoS хостер где мы хостимся?

Когда началась атака, я связался с техподдержкой и попросил закрыть доступ к сайту на сутки (вывести из dns-записей серверов и т.д.), поскольку считал, что атака меньше не продлится. Однако, они вместо этого прописали в .htaccess блокировку для 58.71.109.21, вызывавшего наибольшую паразитную нагрузку. Не знаю, повлияло ли именно это действие или аноним проявил великодушие, но примерно после этого доступ к сайту возобновился. Вообще мне у мастерхоста нравится, хорошие там люди работают. :-)

58.71.109.21 -> я так и не понял, tor это или нет. Вроде бы как нет(?).

Не похоже, во всяком случае сейчас такого и даже сети этого провайдера в списках серверов не значится. Досить через тору бесполезно по большому счету. Каждый узел старается соблюдать свои заявленные скоростные характеристики и перестанет транслировать через себя трафик раньше чем досер войдет во вкус (нет такого числа сверх скоростных узлов которые желал бы атакующий, да и не один он в сети)
Вообще-то досер говорил про поддельные пакеты (мне только не понятно куда смотрят провайдеры через которых спуфингом занимаются), то есть даже этот филипинский адрес может быть фальшивым.

Насколько я знаю, IP подделать нельзя если комп не в прямой видимостиатакующего (не в одной физической подсети). Конечно, можно поставить произвольный IP на исходящие пакеты, только вот далеко они не уйдут :)

Он мог находиться в точке обмена трафиком (фильтровать по источнику невозможно), пока пишут работы, ведут жаркие дискуссии о закате анонимизирующих сетей, он спокойно сел и устроил плацдарм для досинга ;)
Если серьезно, то провайдер может не производит фильтрацию, а у аплинка и без того забот (клиентов) хватает чтобы не фильтровать пакеты. Хотя это мои догадки, может кто из более знающих раскажет как можно осуществить спуфинг (такое существует и в сегодняшних условиях, это факт).

В обычных сетях раздаётся IP (иногда по MAC), и с другими параметрами в сеть вообще не вылезти. Однако я слышал о неких "динамических IP" с телефонных линий – те аутентифицируются по паролю и получают временный IP, он же реальный на время сеанса. А так, я не специалист. Конечно, если предположить что злоумышленник сам является провайдером... но не тот уровень в данном случае.

с другими параметрами в сеть вообще не вылезти.

Это верно, когда клиентам, провайдеру есть что терять на каждом байте. Для этого включают троекратные проверки все и вся что генерирует и получает клиент провайдера. Особенно по части выдачи адресов (вот там начинаются придумки по привязкам к портам на оборудовании и MAC адресам источника). Заметим что досер говорил про зарубежный трафик, возможно часть провайдеров там не так щепетильна в таких вопросах и им все равно что транслировать в своих сетях, главное чтобы пакет был правильно оформлен. Атакующему остается подделать адрес источника и оформить все в виде tcp пакетов c syn-флагом. Обратный трафик исключается, все "красиво" и хорошо, особенно если таких "генераторов" побольше. Атакованному узлу остается что разгебать множество запросов, и вести попытки общения с выдуманными адресами.

А так, я не специалист

Ну тогда подождем, может сам досер расскажет :)

Как я понимаю, есть определённые соглашения между провайдерами. Если кто-то соседствует с кем-то, он включает их IP в свой список рутинга, FW и т.д. Пакет с произвольным IP не пройдёт, получается.

Но таблицы маршрутизации пакетов, как динамические так и статические, работают по адресу назначения пакета. Механизму маршрутизации (не считая редких случаев) все равно что там в пакете указано источником. Если пакет правильный и провайдер не озаботился механизмом фильтрацией на предмет воообще не своих адресов (источников) в пакетах на порту аплинка, тогда пакет уйдет по адресу назначения и фильтровать уже будет некому. Вышестоящий провайдер может оказаться магистралом, ему это вообще не надо (возможно). Помимо всех этих фильтраций провайдерам всех уровней нужно различать приоритетности трафика, и прочее и прочее... работы у них и так много.

Вообще, да, надо попробовать поотправлять – аж самому интересно стало: пройдёт или нет пакет в моих сетях. В перспективе мог бы собрать статистику, ещё попросив знакомых ))

Удачи, spinore! Поделитесь результатами.

Люди с сомнительной репутацией сказали что без написания специальной программы это не проверить. Возможно сие чудо есть в портах, но без специального рытья в гугле мне на этот вопрос не ответить. Пусть спецы типа unknown'а скажут, которые знают ответ заранее...