[ Konstantin91 @ 13.09.2012. 12:44 ] @
Nedavno sam imao priliku da vidim oboren server (privatni WoW server koji je verovatno napao Blizzard ali nvm that) od strane DDoS napada. Malo sam se zainteresovao za celu materiju pa ako neko moze da mi razjasni neke sitnice, naravno ovo je sve u akademske svrhe ne da "hacklerisem" (mada verujem da su algoritmi koji sprecavaju DDoS razvijeni i usavrseni)

Ako sam dobro shvatio DDoS u principu predstavlja spamovanje servera tako da ga preoptereti ili uskrati mogucnost konekcije normalnim korisnicima... ?

Malo sam gledao po netu i vidim da je ovaj napad ping paketima bio veoma popularan (verovatno je razvijena dobra zastita u ovom veku )

U sustini treba poslati ping na neki server gde ce echo paket (onaj povratni) imati adresu "zrtve" , opet ako sam dobro shvatio to tako funkcionise ? Ali kako se dolazi do toga da se ti napadi sami umnozavaju, verujem da se sigurno ne radi rucno... ? Procitao sam da je koriscen drugi sloj OSI-ja, tj Data link layer, verovatno su pronasli exploit. Ucio sam nesto iz predmeta Operativni sistemi 1 na Viseru o ovome ali nije bilo dubljeg ulaska u sve slojeve, medju tim je bio i ovaj data link layer pa nisam bas upoznat sa tim...

Razmisljao sam gde da smestim ovu temu ali nista u podforumu Mreza nisam nasao kao dobru lokaciju pa rekoh da stavim ovde. Ako sam pogresio nadam se da ce moderatori samo premestiti a ne obrisati...
[ jorganwd @ 11.10.2012. 22:16 ] @
DDoS napad znači distribuirati napad tako da se onemogući dostupnost usluge iliti servisa. Distribuirati napad znači da jedna ili više osoba koristi veći broj (zaraženih) računara da bi napad bio što efektivniji i efikasniji (čitaj jači). Dok uskraćivanje dostupnosti usluge je sam po sebi primitivniji napad i izvodi se obaranjem. Ako ne može da se obori, onda se guši a za to je potrebna armija (maločas navedenih) računara. Da, može se koristiti bilo koji protokol ne samo ICMP. Napadi na ICMP protokol su bili jedni od najpopularnijih zbog jednostavnosti protokola a devastirajućih efekata.
[ Konstantin91 @ 12.10.2012. 16:43 ] @
Pa sobzirom kada sam postavio ovu temu do sada sam istrazio malo dublje sve to... Ono sto me je posebno zainteresovalo je zastita od DDoS-a.
Malo sam guglao i shvatio sam da je zastita od ping napada relativno laka, pa i ono "staro" forkovanje u nedogled, to su sve sitnice i lako se stiti od toga obicnim ogranicavanjem, ping se cak moze i u potpunosti iskljuciti a fork se moze ograniciti tako da svaki korisnik moze samo odredjeni broj procesa pokrenuti...

Sto se tice DDoS napada konekcijama to mi izgleda prilicno problematicno. Kako napraviti algoritam koji bi to mogao da filtrira, prepozna i spreci ? Evo imam cak i konkretan primer. Sobzirom da igram WoW, i to Vanilu (wow classic do 60 lvl), na privatnom serveru koji ima oko 3000 "slotova". Nedavno je taj server bio oboren, verovatno Blizzard napao. Znaci ako imaju 3000 "fake" konekcija normalni korisnici nece moci da se konektuju... Eto to je samo jedan primer, i sada kako spreciti tako nesto ? Taj server upravo sluzi da bi se ljudi konektovali i igrali pomenutu igru, kako napraviti algoritam koji ce moci da razlikuje npr. te "lazne" konekcije i one prave...
Sada ovaj primer mozda i nije najbolji jer se za bas ovaj pomenuti slucaj koristi igra kao klijent (igra instalirana na racunaru) za povezivanje pa je to verovatno malo kompleksnije ali nadam se da ste shvatili na sta sam mislio kada sam dao ovaj primer sa konekcijama...

Takodje jos jedan napad za koji sam vise puta cuo ali nista pametno ne moze da se izgugla je Trent DDoS, zna li neko o cemu je tu rec i kako funkcionise ???
[ mulaz @ 12.10.2012. 17:14 ] @
Najjednostavniji nacin (sto se tice protokola i svega), je slanje udp paketa (velikih) na neku adresu. Kad na adresu stize vise paketa, nego sto moze njegov downlink da preuzme, paketi pocnu da se gube (drop-aju) - i ovi od napadaca, i ovi, "dobri", od pravih korisnika.

Prave pomoci naravno nema na nivou korisnika, ali, ako si u dobrim odnosima sa providerom, moze vec i sam provider da napise filter, koji blokira udp pakete prema tebi. Naravno u slucaju vecih botneta (nekoliko milijona drona, recimo Mariposa botnet i sl.), takav napad moze da obori i provajderovu konekciju.
[ zeenmc @ 12.03.2013. 06:43 ] @
Od DOS ili DDOS nema zastite, samo se mogu umanjiti posledice, on te pinguje pa pinguje, njegovoj masini ne mozes reci da prestane, uglavnom, u polisama mozes napraviti da odredjujes kolicinu pinga preko toga da dropuje, mozes na ASA samo odredjenu IP ili blok IP adresa da dropuje ping, ili oni sto se najcesce radi,da se citav ping saobracaja prosledjuje na neku totalno nebitnu masinu. Ja sad nisam toliko upucen, ali tipa za TCP, napadac salje SYN paket, zvrtva odgovara sa SYN Ack, i ceka na novi paket od napadaca, ali tu je prica vec zavrsena, i dolazi do natrpanosti kod zvrtve