Thu, Feb 28, 2008 at 16:18:05, stesin wrote about "[uanog] Re: [uanog] Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту?":
Ну давай подумаем. Итак, у нас есть небольшой ботнет на 1000 машин. Каждая сидит на ADSL2+, провода идеальные, получается upstream'а 2.4Mb/s (как говорят наши канальщики - "если включен канал M"). Разделим на 3 для перехода в реальные условия, получаем 800Kb/s. В сумме они дадут мегабит 800. Чтобы парализовать одну машинку такого рода - надо выдать, мне кажется, хотя бы мегабит входящего с произвольными host:port Никакого "входящего". Сканим машинку на предмет уязвимостей и засаживаем в неё (навстречу) своего собственного бота.
Многие современные боты, проникнув в систему, затыкают путь такого проникновения. Это если оно не требует ручного локального вмешательства. Если требует (надо явно открыть аттач в письме) - тем более не пойдёт. И учти ещё, что меры заражения сейчас обычно сверхмассовые: распространим миллион писем - авось кто откроет; постучимся на миллион портов - авось кто не закрыл; попробуем миллиард попыток логина - авось у кого-то есть admin с паролем admin; и так далее. И они приносят свой результат просто по закону больших чисел. А если у тебя задача повторно заразить уже заражённую машину, не имея данных о том, какой из нескольких десятков возможных путей сработал - каким именно образом ты собираешься её решать? Мне кажется, что шансы решить её не сильно отличаются от нуля. Так что написав собственного бота - ты разве что сможешь организовать собственный ботнет. "Убить дракона" смотрел/читал? Эти меры приводят к тому, что победить дракона ты сможешь, только когда сам станешь драконом. И неизвестно, вернёшься ли обратно - наличие собственного ботнета и устойчивый приработок на ниве спама неплохо разлагают... а если есть жажда власти - так тем более - будешь принимать заказы хотя бы для того, чтобы доказать "им всем", что ты тоже в этом мире хозяин...
Каковой бот делает с машиной что-либо, лишающее её возможности работать в сети (например, сносит драйвер эзернета) и пишет на экран: "эй хозяин тазика, у тебя тут бот который досил моего хозяина, почисть и полатай машину".
После чего тот переустанавливает систему поверх текущей и плюёт на проблему (40%), переустанавливает систему поверх текущей, проходится по ней кривым бесплатным антивирусом прошлого года и успокаивается (40%), жалуется во все органы включая АНБ, ФСБ, Моссад, Сигуранцу и штаб-квартиру ХДС-ХСС одновременно, переустанавливает систему поверх текущей и успокаивается (10%). Оставшиеся 10%, может быть, что-то более вменяемое и сделают. Но вряд ли. Средняя эффективность лечения - стандартные 5%. В иную цифру - не верю. И учти, что твой бот, так как он создаёт явное окно, которое можно вычислить и по нему процесс и бинарник - пострадает сразу. А вредоносный троян - нет.
Ну и я молчу, что такие средства при первой возможности начинают генерировать поддельный обратный адрес, а uRPF стоит далеко не у всех. А вот за это надо показательно ТРАХАТЬ провайдеров, которые позволяют слать fake source IP своим лохам-юзерам
Уй насмешил. Да кто сейчас на такое вообще обращает внимание... тут идёт очередное соревнование "кто больше лохов подключит", всем микроволновкам дают адреса... все ищут, как бы похитрее извратить раутинг, так называемые мобильные адреса на каждом углу - ты думаешь, кто-то что-то в этих условиях собирается фильтровать??? Они тебя просто пошлют нафиг - скажут, в пятилетнем плане развития средства на такое не предусмотрены (ещё бы - это же не вклад в зарабатывание бабла, а защита от какой-то там "сетевой общественности", которая много трындит, но реально ничего не сможет сделать), и вообще - вы кто такой? Ах, админ... КАК ты его "трахнешь"? Если сейчас что-то поможет - то это методы стиля "Гринписа". Да-да, вонючая краска, зажигательная смесь - в гермозоны, датацентры и центры обслуживания клиентов. И как с тем же гринписом - подспудно это будет зарабатывание бабла на конкурентах того, кто подставился.
... и ничего не изменится. Потому что таких "добрых" как ты - будет 1 из 100. Остальные - хотя бы побоятся юридической мести провайдеров, которые будут кушать твой встречный трафик. Не будет там встречного трафика.
Прожектёрство. :( -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message