Охота на дудосеров

На днях кто-то решил пошатать мои сервера. Из анализа трафика следовало что прилетает сравнительно небольшое число (6000 pps) UDP пакетов, содержащих XML данные. Атака Web Services Dynamic Discovery, о которой писали в прошлом году. Это когда атакующий отправляет поддельные запросы на разные узлы, а ответы от этих узлов намного больших размеров (амплификация) бомбят атакуемую машину, раньше делались через DNS сервкера и даже через HLDS. Такие атаки - популярное явление, а вот WS-Discovery в живой природе вижу впервые.

Проблема возникла следующая: дата-центр имеет какие-то хитроумные алгоритмы защиты от DDoS, которые не столько защищают атакуемую машину сколько защищают соседей. В результате даже от каких-то 50 Mbps при таком PPS (пакеты в секунду) IP адрес отправляется в блекхол (то есть сервер становится недоступен).

Со стороны игрового сервера это выглядит следующим образом. Во время атаки у игроков на сервере небольшие (а может и большие) лаги, через минуту-две трафик блокируется дата-центром, игрокам показывает connection problem, а на сервере в логе - сообщение что игрок который не двигался был перемещен за spectator или kickнут.

Все бы ничего, при спуфинге пакеты идут от каких-то устройств, даже если удастся перехватить контроль над входящим трафиком к одному из этих устройств, запросы будут регистрироваться якобы от атакуемого адреса потому установить источник атаки довольно сложно. Но в нашем случае атакующий страдает прогрессирующим ФГМ, потому захожит на игровой сервер, затем подрубает атаку, убеждается что сервер лег и выходит (точнее, вылетает из-за connection problem). Более того, заходит он с одного и того же Steam аккаунта, номер которого в логах говорит "я идиот, убейте меня кто-нибудь".

Вот как всё было. 2 буквы перед названием лога - кодовое имя сервера, в названии лога дата. Все логи под спойлерами чтобы не засорять эфир. Ниже ВСЕ случаи захода с данным SteamID на мои сервера:

05.05.2020
05.03.2020 17:30:36: Игра, потом первая атака. Все вылетели.
05.03.2020 17:44:11: зашел за ТТ и достаточно быстро вышел
05.03.2020 17:44:55: через минуту после его входа началась атака. Машина ушла в оффлайн на час.
05.03.2020 17:47:08 заходил на еще один из моих серверов. Там логи не ведутся, только коннекты. IP и SteamID те же. Сразу же на сервер полетел трафик, что видно на графике нагрузки на сеть. Серверу было по барабану, там датацентр по таким пустякам не отключает. Атакующий на этот сервер больше не возвращался.


05.03.2020 19:05:54: зашел и началась атака
05.03.2020 19:08:31: повисел в спектрах и вышел.
05.03.2020 19:18:53: через минуту после его входа начинается атака, игроки жалуются на лаги, после этого все вылетают. Файл лога оборван из-за перезагрузки.
05.03.2020 23:19:20: история все та же, атака
05.03.2020 23:21:57: снова атака


06.05.2020
06.03.2020 10:43:33: вход, атака, все как вчера
06.03.2020 10:47:11: играли, потом ддос, снова сеть отключена
06.03.2020 21:13:40: все как всегда, атака
06.03.2020 21:16:21: еще одна атака

То есть видно что практически каждый вход этого игрока с говорящим ником на сервер сопровождается последующей атакой именно этого сервера. Также моя база говорит о том, что раньше этого SteamID или IP на сервере замечено не было. Точнее, какой-то из IP адресов был замечен год-два назад но я считаю что у человека динамика и сложно представить отсутствие перезагрузки роутера хотя бы 1 раз за более чем 3 месяца. Я искал обиженных, возможно какого-то читера забанили мои админы и он решил доказать существование своего диагноза.
На сервер начиналась атака, ДЦ отключал сервер, атакующий видел что сервер лежит надежно, отключал атаку и шел класть следующий сервер. Интервал между атаками был несколько минут, это не один сплошной поток на все сервера одновременно.


07.03.2020 я заблокировал IP адреса дудосера на уровне железа, только на одном сервере (KH) и запасся попкорном. Что и следовало ожидать - он заходил только на один сервер, сразу началась атака. Второй сервер никто не трогал поскольку думал что он еще лежит. Вот как глупо надеяться на список серверов в игре, когда можно проверить жив ли сервер ping'ом через командную строку.



Ну а дальше анализ данных. Вот его User-Agent:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.130 Safari/537.36 OPR/66.0.3515.115"
В январе он же использовал предыдущую версию хрома (автообновление включено):
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36 OPR/66.0.3515.36"

Информация по SteamID:
STEAM_0:1:243679100
steamcommunity.com/id/mamba137229/

IP:
176.103.236.134 - Харьков Онлайн
185.160.61.211 - VELTON.TELECOM, Харьков
178.217.208.8 - Орбита ТВ, г.Первомайский, Харьковская область, Украина

По этим данным простым поиском пробивается его ВК:

(постов о разбане много, человека банили на многих проектах за читы)

vk.com/felicandrew
На странице написано, что его зовут "Андрей Феличенко", она "заходила 9 минут назад", слабости - блестки и единороги.

Да и вообще скайп у этого человека terandodik (додик согласно Викисловарю - это молодой пассивный гомосексуалист). Ну, тут всё ясно и с причиной атак тоже всё ясно, мне статус модератора форума не позволяет выражаться нецензурно потому все в рамках литературного языка.

Страницы этого пациента:
vk.com/chromo_sale
vk.com/esport.project

Судя по датам заявок на разбаны - внешний IP адрес у него всё таки статика, похоже на сегмент домашней сети размером в несколько домов или один квартал частного сектора.

Ну а теперь выдержки из переписки с пациентом.
Если кратко, то
1. Признает что это его Steam аккаунт (даже не переспрашивал какой)
2. Признает что когда-то баловался XFakePlayers (таких у меня много было, в бан уходили) именно на моих серверах, я их даже не запоминаю.
3. В принципе, понимает в технических вопросах.
3. Прикидывается дурачком и заявляет что DDoS атаки это не его, он не знает, он не умеет, у него нет ботнета, а есть только 2 ноутбука и роутер (видимо, продал почку).

Вообщем, тут далеко не вся информация а ровно то что нужно для полноты картины. Человек, выбравший себе соответствующий ник на игровом сервере и логин в Skype, пытается спрятать голову в песок. Первомайский, конечно, далековато от Харькова находится, это не Малая Даниловка, но когда мне скинут подробную информацию о пациенте - в адрес поедут проповедники, так сказать наставить человека на Путь Истинный.

На сегодня всё.

Metal Messiah,
Удали этот коммент и мой тоже!

Metal Messiah, тебе следаком работать нужно)

Metal Messiah, это всё замечательно, только вот я бы на месте этого парня тебя проучил, и уже сейчас пошел бы писать на тебя заяву, по сути найти вот именно тебя это вообще не проблема, по этому при самых плохих раскладах тебе может светить 129 статья УК если за тобой никого нету. А заяву примут, и внесут в ЕРДР и если кое кто под суетиться то всё это может получить реальный ход. А ты этого парня знаешь? В курсе в какой стране ты живешь? Короче понятно что никто никуда не поедет, это обычный треп на уровне кухонных разговоров, только вот всё это всегда может превратиться в реальное уголовное дело и как минимум условный срок - оно тебе надо?

Gecko, что ты куришь?)

Я не курю в отличие от некоторых ))) Но я неплохо знаком с УК (в частности).
Автор - модератор интернет ресурса, то есть несет повышенную ответственность за его контент. В данном посте я вижу угрозу жизни (а вдруг парень ещё и журналист или активист то это ппц 100%), и как минимум аднинка и штраф



ребята вы живете в своем выдуманном интернет мирке и не понимаете многих серьёзных вещей раз так рассуждаете,только тогда когда в соплях и слезах рассказываете в суде что вы не знали что так нельзя и под мамкины крики о бедном сыночке вы понимаете что вы не в сказке живете )))

боже udp с xml
ты откуда вылез дядька
стоит забанить его т.к. нету тут не 1 пруфа кроме логов коннектов

Если по делу: скрин переписки ничего не доказывает, сама переписка (если ты её предоставишь) не оправдание в деле о клевете, или даже об угрозе жизни. Следствию и суду будет это не интересно что именно тебя побудило сделать те или иные действия в сторону истца/заявителя. Даже если в переписке человек косвенно признается что именно он ддосил это ничего не значит
Хочешь доказать что парень ддосил твой ресурс - вперед ))) *** докажешь, только твои слова и переписка которые к делу не пришьешь. В этом направлении у тебя шансов почти нету.

По этому ненужно постить такие вот посты с угрозами, хочешь отомстить - делай это тихо, не публично. Если ты это сделал публично то ты должен понимать всю полноту ответственности.

Всё может быть, завтра с парнем реально может случиться "несчастный случай" и тут всплывает твой пост. Как ты думаешь кого в первую очередь будут кошмарить?

А я бы сделал так... Собрались все толпой, пошли в гости к дудосеру, и Дали бы на орехи... (Дать на орехи подразумевается: оштрафовать индивидуума на эннное количество денежных единиц) Бить не обязательно, это в наше время бесполезно, тем более из современной отбитой молодёжью...

Gecko, ты бы лучше тут расписал как дудосера посадить по 361 ч.1 (и там еще несколько пришить можно чтоб не повадно было), чем защищать его. Я понимаю что у тебя специализация - адвокат. Его адрес мне пока еще не скинули, хотя обещали после выходных.
Скрин переписки ничего не доказывает, а вот логи деятельности того чела вполне доказывают.

Журналист - врядли, по манере разговора видно что нет. Активист - может быть, вот тех которые марши равенства проводят :)
И вообще, причем тут угрозы? Я о проповедовании праведного образа жизни писал. Причем мог бы спокойно написать в бложеке, а тут ссылку выложить, но решил выложить сюда. Может кто знает. Может кто еще пострадал от его действий. Тип атаки подразумевает наличие специального софта, навыков сканирования уязвимых устройств и устройств в ДЦ, позволяющих спуфинг, для создания трафика.


Это что? Пакеты UDP, в них полезная нагрузка - текстовая, XML формат, протокол Web Services Dynamic Discovery

Metal Messiah, Я как раз того додика не защищаю. На счет доказательств в виде логов сервера, они не будут приняты не одним судом. IP-адрес с которого осуществляться правонарушение не является прямым доказательством. А вот протокол обыска и отчет проверки его ПК а также логи браузера - являются. Посадить грамотного ддосера нереально, и пофигу что он будет тебе писать в вк или говорить по телефону. Это только в кино по информации на касете с диктофона или с видеокамер можно составлять обвинительный акт. Ну а если он л о х то скорее за шантаж его можно взять за жопу, так-как любой грамотный адвокат его отмажет на раз-два, даже если у него найдут хакерское ПО.