Вход

Fudji · 03-07-2014, 02:18 AM

http://blog.cloudflare.com/technical-det...dos-attack
http://blog.cloudflare.com/understanding...os-attacks

Примечательно, что теоретически, так как NTP позволяет усилить трафик в 206 раз, для организации атаки в 200 Гбит/сек достаточно лишь получение контроля над одним сервером, подключенным через гигабитный порт и размещённым в сети, допускающией спуфинг IP-адреса получателя. Прогнозируется, что следующим шагом атакующих может стать вовлечение SNMP-серверов в качестве усилителей трафика. Теоретически, проблемный SNMP-сервер может обеспечить усиление трафика в 650 раз. В настоящее время уже фиксируются отдельные эксперименты атакующих с использованием SNMP.

ReaM · 03-07-2014, 02:34 AM

Ntp в теории увеличивается в 500+ раз, на практике стабильное плечо х50.
SNMP в теории увеличивается в 50 раз +\-, на практике плечо атаки стабильно будет х10\х20.

Как сказал один знакомый, "клоудфлэр это типа ддос-гуард, только по-американски".=) Поэтому их писанину следует делить пополам )

Fudji · 03-07-2014, 02:43 AM

ReanimatoR Написал:Ntp в теории увеличивается в 500+ раз, на практике стабильное плечо х50.
SNMP в теории увеличивается в 50 раз +\-, на практике плечо атаки стабильно будет х10\х20.

Как сказал один знакомый, "клоудфлэр это типа ддос-гуард, только по-американски".=) Поэтому их писанину следует делить пополам )

От какого критерия зависит увеличение?

ReaM · 03-07-2014, 02:53 AM

Fudji Написал:От какого критерия зависит увеличение?

усиление атаки это когда ты отправил udp запрос с подменой ип-адреса размером допустим 50 байт, а тебе(а точнее тому ип адресу который ты подменил) сервер допустим 5кб.

следовательно усиление зависит от софта установленного на сервере, который будет отвечать тебе. Например при NTP при запросе monlist, ntp сервер ответит 100 пакетов длинной по ~400 байт, при том что легитимный запрос monlist занимает 200байт, хотя его можно "сжать" до ~60 байт + плюс размер минимальный фрейма и выйдет 84 байта. ну и умножай\дели, получишь плечо атаки.

Для DNS усиления это 4кб. Для SNMP тут все очень странно, но в среднем будет как и у DNS, откуда клоудфлэр тут нашли 650 раз, я не знаю. Может они думали что можно считать snmp getbulk всю информацию из .0.1.3.6.1 ? нет, я проверял, очень редкие машины отдают 8кб, а обычно 2-4кб ответ.

Но опять таки все эти числа - в теории только, на практике смело дели свои расчеты на 3 и получишь реальное плечо атаки.

Fudji

Вообщем вооружаемся packetbuilder, и идем тестить сервера Smile

Ещё кстати назрел вопрос, если снифить трафик от сервера к клиенту который защищается проксирование, можно достать реальный IP сервера?

~~BaT~~ · 03-07-2014, 02:57 PM

А што такои NTP

Вход
Имя пользователя:
Пароль:	Забыли пароль?
	Запомнить меня

Возможно похожие темы ...
Тема		Автор	Ответы	Просмотры	Последний пост
	неудобная тема про ботов которую нетрогают	smeli	11	3,004	03-23-2020, 06:01 PM Последний пост: Hack
	Защита от DDoS атак Anti-DDoS PRO	AntiDdos	0	1,145	03-11-2020, 12:39 PM Последний пост: AntiDdos
	L2Up.ru - Предоставляем решения с защитой от DDoS атак	Lineykin	5	2,016	01-16-2020, 02:44 AM Последний пост: Lineykin
	Как отловить блекхол, тема для рассуждения и не только	Deazer	3	2,153	12-19-2018, 12:59 AM Последний пост: Deazer
	Защита от DDoS-атак	Gawric	0	1,016	12-13-2018, 08:27 AM Последний пост: Gawric
	DDoS-Guard - Важно для их клиентов	Melcosoft	10	4,476	10-08-2015, 04:08 PM Последний пост: mrLee13
	DDos Guard или stormwall?	Kirrill	25	7,031	01-21-2015, 10:00 AM Последний пост: epmak
	Защита о DDOS	LestatL	18	4,429	04-21-2014, 04:48 PM Последний пост: ZeRD
	Выделеный Сервер С Защитой От Ddos	MCWA	0	1,905	03-20-2014, 08:14 PM Последний пост: MCWA
	Фирма по защите DDoS	roots	30	5,522	12-25-2013, 10:25 AM Последний пост: xolseg