Поиск источника DDoS атаки

Защита от DDoS это конечно хорошо, но поиск источника - еще лучше. Если у вас всё получится один раз - у ваших недоброжелателей очень надолго пропадёт всякий интерес к хулиганству.

Варианты поиска источника зависят от организации самой атаки.
Первым делом, нужно проанализировать IP адреса. Узнать, кому они принадлежат и уже тогда выбирать дальнейшее поведение.

Арендованные машины.
Т.е. IP адреса принадлежат какому-то хостингу. Это самый простой вариант. Пишите в тех. саппорт хостинга, мол с таких адресов проводилась атака, просьба выдать имя арендатора и прекратить его обслуживание. В противном случае, вас, товарищ хостер, ждет судебное разбирательство, т.к. IP ваши.
Хостер не обязан выдавать имя, не обязан прекращать обслуживание клиента, но обязан предотвратить повторение атаки, поэтому велика вероятность, что он пойдет вам навстречу.

Случайные машины.
Среди случайных могут быть и арендованные и "зомбированные". Нужно составить 2 списка с IP адресами хостинговых машин и адресами, принадлежащими провайдерам домашнего интернета.

Тут тоже полезно обратиться и к хостерам и к провайдерам.
Но с "зомби" можно поработать иначе. Проверяете на всех машинах наличие открытых портов веб серверов и RDP. Составляете 2 списка. Тут начинается грязная игра. Вся ответственность будет лежать на вас. Проверяете тачки с RDP на вход без пароля и с парочкой простых паролей каждую. Проверяете тачки с веб серверами на наличие файловых загрузчиков и исполнителей загружаемого контента, если найдете - заливаете (гуглите "залить шелл").

Велика вероятность, что хоть одну зомби машину вы сможете захватить. Дальше, нужно действовать быстро. Нужно найти троян. Проверяете процессы, службы, автозагрузку, запускаете антивирусные утилиты. Находите исполнительный файл. Проверяете по netstat (флаги гуглите), какие порты юзает троян. Хорошо бы заранее подготовить свой троян, который мониторит траффик. В любом случае, вам нужно сделать 2 вещи: скачать троян себе (не запускать), установить монитор траффика на зомби тачку, установить бэкдор на зомби тачку.

Можно получить троян, не марая рук. Так же как и с хостингом. Звоните провайдеру, объясняете ситуацию, выражаете готовность обратиться в суд, требуете выдать контактные данные юзера с таким-то IP. Выходите на связь с юзером, объясняете ситуацию, просите помочь, инструктируете его по поиску трояна. Тут вам должно повезти дважды: со сговорчивым провайдером и с юзером. Но ничего, в ботнете обычно сотни машин, а значит, у вас сотни попыток. И этот метод хорош тем, что юзер может выступать в роли свидетеля. Если разрешит "К" прошманать его историю и найти, откуда был занесен троян, то появляется еще одна ниточка к владельцу ботнета.

Подготовка завершена. Пришло время анализа. С помощью утилит обратного инжиниринга, ищете следы создателя. DDoS'овые трояны бывают "таймеровыми", т.е. запускающимися в определенный момент. Но чаще всего, они управляемые. Кроме того, чтобы владелец ботнета, узнал о новом "зомби", троян должен ему об этом сообщить. Ищите метод связи - мыло или IP. Анализ трояна проводите внутри виртуальной машины без доступа к сети.

В принципе, уже на этом этапе, можно писать заявление в "К". Процесс получения трояна опускаете (если получили его взломом). Такие заявления как правило не рассматривают, но настойчивые прорываются. Крупные фирмы нанимают адвокатов, которые отправляют по 3-4 заявления в день и дело получает ход.

Если хозяин ботнета и организатор ДДоС атаки - один человек, может получить до 4х лет. Если хозяин ботнета - исполнитель, а заказчик - другой перец, оба могут получить в несколько раз больший срок. Группа лиц по сговору.

Заключение.
DDoS - мероприятие не только незаконное, но еще и неэтичное. Интернет даёт всем свободу донести свой талант и свой труд до миллионов человек. Если вы делаете что-то хорошо, вам никакие DDoS'ы не нужны. Если плохо - стоит задуматься о смене рода деятельности. DDoS - не выход.

 

Отличная статья, беру в закладки. Пригодиться многим, молодец

Спойлер

С новой должность, желаю вам удачи и терпения, второе особенно важно на нашем форуме

 

Посмотри статус RikkiLook.

 

Добавил "чистый" метод получения трояна.

 

Не пишите таких советов, не дай бог кто еще воспользуется... Вполне неиллюзорный шанс самому сесть за такие вещи.

 

Хороши мануал, если делать так же но наоборот

 

"Но наоборот" - это заражать машины и ддосить? :7

 

Видимо да)

 

Я сначала хотел попросить хотя бы один отчет об успехе такого мероприятия, но вовремя понял, что это будет звучать глупо. Но просто есть определенные сомнения по поводу всего этого. У всех возникают вопросы по поводу вероятности успеха некоторых шагов из предложенных (я не говорю даже о законности). Найти беспарольного или взломать с простым паролем одного из "зомби", или вынудить провайдера дать доступ к машине, мне кажется - самое слабое место в этом списке. Но даже если это пройдет успешно, что даст полученный экземпляр трояна или даже его анализ до выяснения источника (хотя и это - нетривиальная работка. обратный инжиниринг, хех)? Очевидно, это даст только то же, что даст обнаружение трояна у себя на компе. Любой его создатель уж точно позаботился о том, чтобы прикрыть свою систему управления. И тут, может быть, реально, только "К" справится - если может пролезть в места, прикрытые какими-нибудь левыми провайдерами, которые хрен что кому дадут, и "непростыми" паролями. Я бы лучше подумал о том, чтобы послать этот троян Касперскому, это гораздо более простой вариант, пусть сами препарируют его и рассылают сигнатуры всем по миру, чтобы это не повторялось. Это их хлеб.
Гораздо важнее в этом всем, мне кажется, две другие вещи:
1. Очевидно, что вся эта бодяга по успеху зависит от того, насколько серьезен ущерб. Когда какой-нибудь товарищ, которому ты пошлешь свое письмо, начнет разбираться, он прежде всего посмотрит, "а кто спрашивает?". Если большая компания, которой стало сильно хреново от ДДоСа, то дело одно, а если серверок майна, то дело другое. Все упирается в "Такие заявления как правило не рассматривают, но настойчивые прорываются." - не настойчивые прорываются, а только толстые и злые.
2. И самое "милое". "Если хозяин ботнета и организатор ДДоС атаки - один человек, может получить до 4х лет." Оцениваю в 95% вероятность того, что заказчик использует покупные услуги спецов по ботнетам, то есть, это разные люди. Дальше - все равно, что вычислять заказчика по исполнителю. Пойди найди того, кто один раз насрал и испарился. А заказчик может в это же время мирно стоять рядом и корчить безобидную мину. Гораздо проще вычислить сразу заказчика по косвенным данным и мотиву "кому выгодно".
Но я бы с удовольствием почитал другой гайд, в котором больше запугивания ддосеров, и меньше деталей. Вот это было бы полезно. Если бы каждый из них знал, что ему это не сойдет с рук, было бы гораздо легче.

 

За примерами далеко ходить не надо. На этом форуме есть юзер, который ддосил и которого сдал его же провайдер. К счастью для хулигана, всё закончилось извинениями.

Такая же история и с тем же результатом была на сервере гринкубс. Всё это происходило в 2011 году.

И до "К" можно достучаться, на хабре прецеденты описывались.

Главное, что полностью автоматизированных систем нет нигде. Хозяин ботнета, менеджер провайдера, ребята из "К" - все люди, у всех бывает разное настроение, все совершают ошибки и не всегда поступают идеально. Видел даже, как тикет хетзнера, написанный в пятницу вечером, выполнялся в тот же вечер, хотя ожидать его выполнение раньше понедельника или вторника было бессмысленно. Час убеждений и дело в шляпе.

 

Круто. Я знаю, что есть один популярный сервер майнкрафта, администратор которого нацелил на мой IP ддос(правда, не только мой, был второй селовек, у которого Белтелеком, ему пришлось менять провайдера, канал был забит).

 

В лихом 2011, 3 крупнейших сервера майна обменивались ДДоСами, плюс еще и крупнейший рейтинг собирал ботнет. Если пошерстить web.archive.org, можно даже найти их троянов, вшитых в лаунчеры и голосовалки.
"Хватит это терпеть" )

 

Хе, я же в 11 году и разбирал этот лаунчер (сервера chaoscraft или что-то такое, сейчас - world4play), писал админам топкрафта, авардкрафта и находил сплоит-пак на mctop'е
С того ддоса я минут 10 катался по полу, ибо он (как и весь лаунчер) был написан... НА АВТОИТЕ!!1!1

 

Сейчас каждый не ленивый школьник умеет дос и ддос
Спасет от этого только защита сервера и желательно аппаратная.
Не надо надеется на доброго дяденьку из отдела К, так как кроме себя ты на х ни кому не нужен.
У нас например уже 8й день вэб хостинг под атакой.
Ну ни что? Предложили клиентам перейти на тарифы с защитой с минимальной наценкой.
Вроде все довольны)
Сейчас уже совсм другой интернет и другие масштабы.
Ни кто не будет бегать и искать из миллионов атакующих именно вашего страшителя.
Самим надо заботится о защите, на дворе 21 век, все должно быть под контролем.
Ну а те кто не заботиться о своей защите, а рассчитывают на свое упорство в отделе К
так и будут всю жизнь терпилами.

 

От хорошего ддоса аппаратная защита не поможет.

 

С чего бы это? Ты такой спец аж не могу? Буквально на днях 40 гигабит лили нам в сайт, все стоит и работает.
Не надо говорить то чего не знаешь.

 

Мы с тобой, Кувырок, пользуемся не совсем "аппаратной защитой". Эта вещь несколько похитрее - это централизованная система регистрации и блокирования атак. Хотя аппаратная часть там тоже не последнюю роль играет.
А так - в кои-то веки с тобой согласен. Никому нахрен не надо разбираться в наших проблемах.

 

Мне за 20 минут слили 80 гб трафика,в ходе дипломатических переговоров все решили мирным путем

 

Лол, не стоит договариваться с террористами.

 

А вы думаете стоит писать заяву?