|
03.08.2009 20:52:59
Здравствуйте!
Прошу дать мне информацию о методах обнаружения исполнителей и организаторов DDos атаки. Дайте ссылки, статьи итп Так же будет очень ценна информация лично от Вас,Ваше мнение!
Изменено: sys-dependence system - 03.08.2009 21:29:53
|
|
|
|
|
|
03.08.2009 21:50:37
|
|
|
|
|
|
04.08.2009 15:44:21
Вот про дело упомянутое в первой ссылке:
|
|
|
|
|
|
04.08.2009 15:53:05
А вот, кстати, опровержение очередного бреда журналистов относительно дела по второй ссылке:
|
|
|
|
|
|
05.08.2009 11:22:15
Почему наивность?
Отловить адрес атакующего ничего не стоит. Перенаправить весь трафик на другой комп тоже проблем не составит. Включить случайный счетчик, обнуления не рабочей системы тоже проблем не составит (Это будет эмулировать работу админа). Ну рано или поздно DDoS атаки прекратятся из-за бесмысленности борьбы ботов между собой ... результат то - 0. Не ну конечно можно по разному ломать! Для этого существуют детекторы обнаружения атак по типу SNORT, OutPOST и прочее для тупых атак! Тогда можно и просто блокировать на определенное время! Пусть взлом растягивается по времени . Даст бог к пенсии мож и взломает )))) Для умных атак через дырки, то тута заплатки или усиление настроек безопасности, бэкапы на всякий пожарный случай!!! |
|
|
|
|
|
05.08.2009 11:57:22
Если развить эту тему, то проще провести анализ существующих сервисов на сервере. Выявить все слабые стороны сервисов. Сгрупировать по проблемам! А дальше ловить всех, кто пытается использовать эти уязвимости. Также основываясь на статистических данных полученных при использовании одинаковых технологий взлома, можно выявить круг зомби машин осуществляющий DDoS атаку. Дальше можно игратся с этой группой. Так как все равно все эти атаки направленные на извлечение каких-то данных с сервера. Сделать ложное поддтверждение взлома и подкинуть неправильный файл с эксплоитом, который бы отрапортовал вам IP,МАС, имя компютера, имя пользователя и другие данные взломщика. В зависимости от полученных данных делать выводы! Хотя кстати не факт, что полученный файл он откроет именно на своем компьютере. Так, что делать выводы надо осторожно! Возможно, что нужно будет еще анализировать, кто, откуда подключен к компу потенциального "взломщика"!
|
|
|
|
|
|
05.08.2009 11:58:17
Cледующее за этой фразой сообщение позволяет предположить не наивность. А полнейшее непонимание суть DDoS.  По видимому из-за недостатка знаний. В общем - все, что изложено выше - полнейший бред. На уровне обсуждения кубических коней в сферическом вакууме. |
|||
|
|
|
|
05.08.2009 12:18:15
Лень давать ссылку на Вики. Наберите в Гугле "вики ddos". |
|||
|
|
|
|
05.08.2009 12:20:59
)))
Да я не ловил DDoS. Просто высказался видение по этому поводу. И потом на счет перенаправления атаки на не рабочую машину это не я придумал. Уже где-то были такие разработки. Читал про это. Потому и вставил свои 5 копеек по этому поводу. На сколько удачная реализация было и на сколько эффективная к сожалению данной информацией не располагаю. Не понимания сути DDoS . Распределенная атака для вывода из строя удаленного компьютера. Да ... пожалуй ничего качать оттуда не будут, просто я предположил, что если часть DDoS атак направленые на уничтожение ресурса, не увенчаются успехом, то попытки тупого вывода из строя в конце концов перерастут на чистый взлом
Изменено: neo neo - 05.08.2009 12:24:36
|
|
|
|
|
|
05.08.2009 12:40:35
Или провести анализ переписки исполнителя. |
|||
|
|
|
|
05.08.2009 13:25:29
Таки не понимаешь суть... |
|||||
|
|
|
|
05.08.2009 13:35:37
Ложь. Хотя, подозреваю, что вы просто не знаете как правоохранительные органы расследуют подобные атаки. |
|||
|
|
|
|
05.08.2009 14:27:06
И как же? Есть хоть один пример? |
|||
|
|
|
|
05.08.2009 14:41:25
Получают санкционированный доступ к узлам ботнета. |
|||
|
|
|
|
05.08.2009 15:47:45
Все я понимаю:
Или тута ложь написано? Абсолютно не трудно определить с какого адреса пытаются пробивать защиту! Существуют сигнатуры по которым можно определить тип атаки, да и вообще, что приходят некорректные пакеты. По достижению определенного количества этих ошибок с данного адреса принимаются ряд вариантов: 1. Блокировка данного адреса. 2. Игнорировать все данные от источника пакетов (принципиальной разницы с 1-м вариантом нету... она заключается только в отсылке сообщений источнику, либо ничего не отсылаем, тем самым заставляем источник ожидать какое-то время нашего ответа) 3. Перенаправление всех пакетов на другой компьютер. Все зависит от типа атак. Если тупо гасим размерами пакетов, то конечно в перенаправлении эфективности нету! Канал просто ляжет! Но вот про более интелектуальные атаки, на ошибки в сервисах (например по переполнению буфера), то тута можно и перенаправление применить! Пусть ломают не рабочий сервак! Который будет выдавать абсолютно неадекватные ответы и вести себя по отношению к источникам атаки как угодно, что по моему мнению может затормозить атаку и поломать голову над ответами сервера (одним из ответов может быть, к примеру, что сервис в данный момент не работает, а через минуты выдать, что заработал). А как известно время деньги! За это время у админа есть время разобратся в ситуации и начать принимать меры!!! Это моя логика на все это. Если есть какие-то замечания, то хотелось бы услышать! Может я и не прав, тогда поясните в чем?
Изменено: neo neo - 05.08.2009 15:53:58
|
|
|
|
|
|
05.08.2009 16:16:16
Вам уже все сказали, читайте больше.
Повторять, копипастить статьи никто не будет, разговор ни о чем  |
|
|
|
|
|
05.08.2009 16:43:43
lsof >
Вам уже все сказали, читайте больше. Повторять, копипастить статьи никто не будет, разговор ни о чем Мдя ... Я не полинился поискал в гугле: 1. Защита от DDoS для корпоративной сети Если ваш провайдер не предлагает услугу по блокировании DDoS атак, то у вас есть вариант попросить кого-то еще это сделать, но не меняя провайдера. Такую услугу мы разберем на примере компании IWEB (). Даже, если на вас в настоящий момент идет атака, то вы можете достаточно быстро блокировать ее при помощи сервиса IWEB одним из следующих вариантов. Перенаправление DNS и использование прокси Это раз ... 2. Принцип работы систем защит от DDoS атак Система защиты от DDoS атак базируется на уже имеющихся в сети маршрутизаторах и добавляет в сеть свои два компонента: •устройство для блокирования DDoS атаки. В английском языке это устройство называют mitigator. В связи с отсутствием аналогичных статей по данной теме я введу русский термин: буду называть его блокиратор; •устройство со встроенным искусственным интеллектом для обнаружения DDoS атаки и перенаправления атаки на блокиратор, буду называть его детектор. Два ... 3. В отличие от других способов защиты от DDoS-атак, решение Cisco и Датагруп позволяет не просто блокировать атакующие адреса, а отделить вредоносный трафик от обычного, тем самым не мешая бизнес-процессам. Также решение Cisco включает несколько основных функциональных элементов, защищающих сеть от DDoS-атак, в том числе обнаружение, подавление, а также перенаправление и инжекцию трафика. Функция подавления, в решении Cisco, точно различает полезный трафик от аномального (DDoS-атака, вирусы, спам), направленного на критические узлы сети, и блокирует последний. Три ... Хватит? |
||||
|
|
|
|||