Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
24-апр
10-апр
11-апр

> Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.
3 страниц V  « 2 3

HLDS Amplification

, iptables наше все.
receptor
сообщение 22.7.2015, 17:17
Сообщение #41
Стаж: 9 лет 7 месяцев

Сообщений: 91
Благодарностей: 16
Полезность: < 0

А по теме.

То что так феерически стали называть Амплификатион, называется Рефлекторная Атака.
Для борьбы с которым само вальве более пяти лет назад ввела несколько серверных кваров:

max_queries_sec
max_queries_sec_global
max_queries_window

В итоге что выходит=

Время для всех запросов.
Общий объём запросов.
Количество запросов с одного IP.

Что думаю не так сложно настроить под себя.







Цитата(Fire @ 9.1.2015, 23:17) *
Проблема в том, что из-за овер$%#я спуф. ипов начинаются висяки на серверах и забитие таблиц conntrack


Что-бы такого не было, уменьшаем таймауты udp до 10, вместо 300 и выше, которые обычно по дефолту там красуются.

Отредактировал: receptor, - 22.7.2015, 17:34
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя mazdan
сообщение 22.7.2015, 18:08
Сообщение #42


Иконка группы

Стаж: 13 лет

Сообщений: 7566
Благодарностей: 5436
Полезность: 1305

receptor, а откуда столько уверенности в вашем неверном пользовании терминами?


Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
receptor
сообщение 22.7.2015, 18:11
Сообщение #43
Стаж: 9 лет 7 месяцев

Сообщений: 91
Благодарностей: 16
Полезность: < 0

Цитата(mazdan @ 22.7.2015, 19:03) *
receptor, а откуда столько уверенности в вашем неверном пользовании терминами?



А с чего вы взяли что я их неверно использую?
Вероятно вы даже и не поняли о чём я писал.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя mazdan
сообщение 22.7.2015, 18:15
Сообщение #44


Иконка группы

Стаж: 13 лет

Сообщений: 7566
Благодарностей: 5436
Полезность: 1305

receptor, конечно, куда мне, половина ссылок про рефлекторную атаку ведет на медицинские сайты, а я со своим инженерным образованием там мало чего понимаю.

Откуда сведения что это "Рефлекторная Атака" ?
И про то что это не атака с усилением ( https://en.wikipedia.org/wiki/Denial-of-ser..._spoofed_attack )
Если атака на сам сервер, то это спуф, а если валят какую-то сетку (не сам сервер), то это reflection с amplification и соответственно amplification как подкласс


Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
receptor
сообщение 22.7.2015, 18:31
Сообщение #45
Стаж: 9 лет 7 месяцев

Сообщений: 91
Благодарностей: 16
Полезность: < 0

Цитата(mazdan @ 22.7.2015, 19:10) *
receptor, конечно, куда мне, половина ссылок про рефлекторную атаку ведет на медицинские сайты, а я со своим инженерным образованием там мало чего понимаю.

Откуда сведения что это "Рефлекторная Атака" ?
И про то что это не атака с усилением ( https://en.wikipedia.org/wiki/Denial-of-ser..._spoofed_attack )
Если атака на сам сервер, то это спуф, а если валят какую-то сетку (не сам сервер), то это reflection с amplification и соответственно amplification как подкласс


Ну потому что отражение с усилением, именно так и называется.

https://en.wikipedia.org/wiki/Denial-of-service_attack

Cкрытый текст
Reflected / spoofed attack

A distributed denial-of-service attack may involve sending forged requests of some type to a very large number of computers that will reply to the requests. Using Internet Protocol address spoofing, the source address is set to that of the targeted victim, which means all the replies will go to (and flood) the target. (This reflected attack form is sometimes called a "DRDOS".[24])

ICMP Echo Request attacks (Smurf Attack) can be considered one form of reflected attack, as the flooding host(s) send Echo Requests to the broadcast addresses of mis-configured networks, thereby enticing hosts to send Echo Reply packets to the victim. Some early DDoS programs implemented a distributed form of this attack.

Many services can be exploited to act as reflectors, some harder to block than others.[25] US-CERT have observed that different services implies in different amplification factors, as you can see below:[26]




Отредактировал: receptor, - 22.7.2015, 18:41
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя [WPMG]PRoSToTeM@
сообщение 22.7.2015, 18:55
Сообщение #46
Стаж: 11 лет

Сообщений: 1514
Благодарностей: 1025
Полезность: 725

Цитата(receptor @ 22.7.2015, 18:13) *
Для борьбы с которым само вальве более пяти лет назад

Более пяти лет назад клапан мог нормальный протокол запилить, чтобы для амплификации не было возможности. Как вариант, специально дополнять пакет запроса до определённого размера (естественно с проверкой на сервере). Но все беды с амплификацией в основном идут от поддержки старого протокола запроса инфы, сервербраузера ревему с багом (ну блин все могли уже давно обновить в клиенте чёртов сервербраузер, но лучше же бездумно плодить ещё больше всяких клиентов контры и сайтов для их скачки, тем более, что в определённую часть клиентов вшит автоапдейтер), всяких кривых php скриптов, которые нифига непродуманы для обработки всяких ситуаций, а также скриптов, которые умудряются по "2 раза за раз" опрашивать сервер.

Цитата(receptor @ 22.7.2015, 18:13) *
Что-бы такого не было, уменьшаем таймауты udp до 10, вместо 300 и выше, которые обычно по дефолту там красуются.

Тогда естественно sv_timeout больше 10 не будет иметь смысла.

Отредактировал: [WPMG]PRoSToTeM@, - 22.7.2015, 18:57
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
receptor
сообщение 22.7.2015, 19:01
Сообщение #47
Стаж: 9 лет 7 месяцев

Сообщений: 91
Благодарностей: 16
Полезность: < 0

Цитата(mazdan @ 22.7.2015, 19:10) *
receptor, конечно, куда мне, половина ссылок про рефлекторную атаку ведет на медицинские сайты, а я со своим инженерным образованием там мало чего понимаю.

Откуда сведения что это "Рефлекторная Атака" ?
И про то что это не атака с усилением ( https://en.wikipedia.org/wiki/Denial-of-ser..._spoofed_attack )
Если атака на сам сервер, то это спуф, а если валят какую-то сетку (не сам сервер), то это reflection с amplification и соответственно amplification как подкласс


Ну потому что отражение с усилением, именно так и называется.

https://en.wikipedia.org/wiki/Denial-of-service_attack

Cкрытый текст
Reflected / spoofed attack

A distributed denial-of-service attack may involve sending forged requests of some type to a very large number of computers that will reply to the requests. Using Internet Protocol address spoofing, the source address is set to that of the targeted victim, which means all the replies will go to (and flood) the target. (This reflected attack form is sometimes called a "DRDOS".[24])

ICMP Echo Request attacks (Smurf Attack) can be considered one form of reflected attack, as the flooding host(s) send Echo Requests to the broadcast addresses of mis-configured networks, thereby enticing hosts to send Echo Reply packets to the victim. Some early DDoS programs implemented a distributed form of this attack.

Many services can be exploited to act as reflectors, some harder to block than others.[25] US-CERT have observed that different services implies in different amplification factors, as you can see below:[26]


Подкласс чего?)
Application-level floods ?

Та же хрень, только сбоку.
Или флудом заливается сам сервак, или отражённо идёт к нужной цели.

Понятно что amplification банальное усиление.
Но как тут уже многие пишут - "HLDS сервер подвергается amplification" .
Чего подвергается, куда подвергается. Это у меня с терминологией плохо?)

Правильно же в данном случае, было бы написать Reflected amplification если уж на то пошло.
Но факт остаётся фактом, это отражённая атака.


ПС, пока добавлял отрубилось редактирование.
Удалите плз верхнее.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя mazdan
сообщение 22.7.2015, 19:03
Сообщение #48


Иконка группы

Стаж: 13 лет

Сообщений: 7566
Благодарностей: 5436
Полезность: 1305

Если сказать что атака с отражением = рефлекторная (reflected = отраженная), то с отражением и усилением термин amplification прекрасно подходит. Не понятно теперь только почему мы что-то выдумали, а вы дартаньян.
Ваш пост будет 199 в поиске у гугла. Может я под ваше Рефлекторная неверное слово подобрал в английском, конечно. Но вы amplification даже и не старались переводить.
Прикрепленные файлы:
Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение


Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
receptor
сообщение 22.7.2015, 19:08
Сообщение #49
Стаж: 9 лет 7 месяцев

Сообщений: 91
Благодарностей: 16
Полезность: < 0

Цитата([WPMG]PRoSToTeM@ @ 22.7.2015, 19:51) *

Более пяти лет назад клапан мог нормальный протокол запилить, чтобы для амплификации не было возможности. Как вариант, специально дополнять пакет запроса до определённого размера (естественно с проверкой на сервере). Но все беды с амплификацией в основном идут от поддержки старого протокола запроса инфы, сервербраузера ревему с багом (ну блин все могли уже давно обновить в клиенте чёртов сервербраузер, но лучше же бездумно плодить ещё больше всяких клиентов контры и сайтов для их скачки, тем более, что в определённую часть клиентов вшит автоапдейтер), всяких кривых php скриптов, которые нифига непродуманы для обработки всяких ситуаций, а также скриптов, которые умудряются по "2 раза за раз" опрашивать сервер.


Тогда естественно sv_timeout больше 10 не будет иметь смысла.


Не, я не про него.

net.ipv4.netfilter.ip_conntrack_udp_timeout
net.ipv4.netfilter.ip_conntrack_udp_timeout_stream
net.netfilter.nf_conntrack_udp_timeout
net.netfilter.nf_conntrack_udp_timeout_stream

На старых ядрах там безбашенные значения, тупо висят, жрут память, и новым не дают создастся.


Цитата(mazdan @ 22.7.2015, 19:59) *
Если сказать что атака с отражением = рефлекторная (reflected = отраженная), то с отражением и усилением термин amplification прекрасно подходит. Не понятно теперь только почему мы что-то выдумали, а вы дартаньян.
Ваш пост будет 199 в поиске у гугла. Может я под ваше Рефлекторная неверное слово подобрал в английском, конечно. Но вы amplification даже и не старались переводить.



http://www.ripn.net/articles/DDoS/
Эт не я к сожалению, придумал)

Многие её именно так и называют.
и если вы обратили внимание, то я использовал с самого начала, и рефлекторная и отражённая.
Что по сути одно и тоже.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя mazdan
сообщение 22.7.2015, 19:13
Сообщение #50


Иконка группы

Стаж: 13 лет

Сообщений: 7566
Благодарностей: 5436
Полезность: 1305

Цитата(receptor @ 22.7.2015, 19:57) *
Правильно же в данном случае, было бы написать Reflected amplification если уж на то пошло.
Но факт остаётся фактом, это отражённая атака.
что же тогда не рефлективному аплификатиону? Ладно, считаю, что вы признали что не правы были. Просто не понятен был наезд на пользователей.

receptor, да, я статью видел, она там первая среди 198.
Но она не очень тянет на доверенный источник. И я не понял что в после удалить надо


Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
receptor
сообщение 22.7.2015, 19:23
Сообщение #51
Стаж: 9 лет 7 месяцев

Сообщений: 91
Благодарностей: 16
Полезность: < 0

Цитата(mazdan @ 22.7.2015, 20:08) *
что же тогда не рефлективному аплификатиону? Ладно, считаю, что вы признали что не правы были. Просто не понятен был наезд на пользователей.

receptor, да, я статью видел, она там первая среди 198.
Но она не очень тянет на доверенный источник. И я не понял что в после удалить надо



Та нет, я не был не прав.
И вообщем-то это уже и доказал.

Никаких наездов не было, перечитайте внимательно.
Режет глаза и слух HLDS Amplification, как собственно и название топика, на что и указал.
Более ничего.
Всё остальное ваше самомнение, и воображение.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 22.7.2015, 19:28
Сообщение #52


Иконка группы

Стаж: 15 лет

Сообщений: 2201
Благодарностей: 2227
Полезность: 963

Цитата(receptor @ 22.7.2015, 20:03) *
net.netfilter.nf_conntrack_udp_timeout
net.netfilter.nf_conntrack_udp_timeout_stream


Так будет правильней, для ядер >2.6
Да и до 10 это перебор. я бы посоветовал 60 и 120


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
receptor
сообщение 22.7.2015, 19:49
Сообщение #53
Стаж: 9 лет 7 месяцев

Сообщений: 91
Благодарностей: 16
Полезность: < 0

Цитата(Fire @ 22.7.2015, 20:23) *
Так будет правильней, для ядер >2.6
Да и до 10 это перебор. я бы посоветовал 60 и 120



Почему?
Сам протокол ничего не отлавливает, пришло - ушло - байбай.
Всё происходит на стороне приложений. Потерялся пакет, приложение шлёт запрос на повтор, ну или вообще не шлёт, потерялся и потерялся.

Ну и по таймауту он будет обрывать если сессия висит без дела.
Если же о HLDS говорить, то ему что 10 , что 60 секунд обрыва. Рассинхронизация более 5 секунд и обычно это вылет.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя mazdan
сообщение 22.7.2015, 22:31
Сообщение #54


Иконка группы

Стаж: 13 лет

Сообщений: 7566
Благодарностей: 5436
Полезность: 1305

Цитата(receptor @ 22.7.2015, 20:18) *
Та нет, я не был не прав.
И вообщем-то это уже и доказал.

Никаких наездов не было, перечитайте внимательно.
Режет глаза и слух HLDS Amplification, как собственно и название топика, на что и указал.
Более ничего.
Всё остальное ваше самомнение, и воображение.
именно и есть усиление атаки с помощью hlds сервера (hlds amplification factor это который quake в табличке вики). Для того чтобы защитить свой сервер от того чтобы его использовали как усиление для атаки (попутно его нагружая) и есть эта тема.


Не пишите мне в ЛС. Пишите на почту. В ЛС я пропускаю сообщения.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
receptor
сообщение 23.7.2015, 0:20
Сообщение #55
Стаж: 9 лет 7 месяцев

Сообщений: 91
Благодарностей: 16
Полезность: < 0

Цитата(mazdan @ 22.7.2015, 23:27) *
именно и есть усиление атаки с помощью hlds сервера (hlds amplification factor это который quake в табличке вики). Для того чтобы защитить свой сервер от того чтобы его использовали как усиление для атаки (попутно его нагружая) и есть эта тема.


hlds amplification factor на табличке это количество обратного (паразитного) трафика. Которая разумеется может быть только отражённой.

Если же это просто флуд на HLDS сервер, а мы в данном случае считаем что это не ботнет на 100к машин и отсылающий один - два пакета в минуту, а приличный трафик с небольшого количества IP
адресов, то это абсолютно не имеет значения, сам dproto по PPS заткнёт этот трафик.

Относительно кваров max_queries_sec ,max_queries_sec_global ,max_queries_window на билдах 6х и паникой с этой вашей амплификацией
И почему билды 4х и ранние 5х этой фигне абсолютно не подвержены?
Да потому что там нет ограничений, льётся себе трафик и льётся, и сервера из избранного и мониторингов не пропадают.
Тут же нужно подкручивать, или вообще снимать ограничения.

Открою так же вам большой секрет.
Любое сетевое приложение можно заставить отсылать обратно трафика больше чем оно приняло.
Весь интернет погряз в амплификации, панику подымать и конец света объявлять?

Из чего выходит что само понятие амплификация довольно эфемерно, и приравнивать его к каким либо атакам (так же называть методом атаки) бессмысленно.

Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя VkriterT
сообщение 23.7.2015, 0:37
Сообщение #56


Стаж: 11 лет
Город: МосквА

Сообщений: 2172
Благодарностей: 1045
Полезность: 796

Цитата(receptor @ 23.7.2015, 1:15) *
Из чего выходит что само понятие амплификация довольно эфемерно, и приравнивать его к каким либо атакам (так же называть методом атаки) бессмысленно.


Амплификация это не только отослал 2 байта и ждешь ответ в 10, суть в том что еще и спуф есть.На форуме все разбирают мол как не дать положить свой сервер, но как бы эта штука немного для другого создана.К примеру отослать по 20 байт на 5к серверов кс, подменить ип сервера со спуфом на ип жертвы.

Отредактировал: VkriterT, - 23.7.2015, 0:38


тик так тик так, слышишь как уходит твоя жизнь
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя evgen4uk
сообщение 6.8.2015, 18:34
Сообщение #57
Стаж: 9 лет 7 месяцев

Сообщений: 234
Благодарностей: 13
Полезность: < 0

Напишите пожалуйста, я в этом вопросе просто нуб, куда прописывать эти строки вообще?

1) Не фаталити, простая блокировка входящих пакетов при превышении их лимиты для ипов из /24 сети, без банана sip.
Код
iptables -A INPUT -p udp -m udp --dport 27015:28015 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m connlimit --connlimit-above 20 -j DROP
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя ipservers
сообщение 6.8.2015, 19:07
Сообщение #58


Стаж: 9 лет 9 месяцев
Город: Москва

Сообщений: 963
Благодарностей: 412
Полезность: < 0

ipservers
Цитата(evgen4uk @ 6.8.2015, 19:29) *
Напишите пожалуйста, я в этом вопросе просто нуб, куда прописывать эти строки вообще?

1) Не фаталити, простая блокировка входящих пакетов при превышении их лимиты для ипов из /24 сети, без банана sip.
Код
iptables -A INPUT -p udp -m udp --dport 27015:28015 -m string --algo kmp --hex-string "|FF FF FF FF 54|" -m connlimit --connlimit-above 20 -j DROP

Здравствуйте. Самое простое - это через клиент "putty" вставить данную строку. Только перед этим через рут Вам войти на Ваш VDS/выделенный сервер.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя followX
сообщение 6.8.2015, 21:48
Сообщение #59


Стаж: 9 лет

Сообщений: 520
Благодарностей: 164
Полезность: 528

cshost.com.ua
FF FF FF FF 54 уже научились гигабитами засылать. куда мир катится)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
3 страниц V  « 2 3
 
Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: