kibizoidus 14 фев 2009 в 05:09

Crossite DoS

2 мин

1.4K

Информационная безопасность *

+26

Комментарии 22

odessky 14 фев 2009 в 08:03

Знаешь в чем разница между DoS ид DDoS?
В случае DoS — идет тупой флуд с конкретного IP, который банится на раз-два
В случае DDoS — идет атака с обычного зараженного компьютера, и тысячи их. Десятки тысяч. И каждый долбит по чуть-чуть.

postdig 14 фев 2009 в 08:07

не все сразу.
DOS когдато тоже начинался с тривиального флуд пинга.

а тут какой никакой, но новый вид атаки.

odessky 14 фев 2009 в 14:40

Тривиально на файре ставим лимит 1 коннект с 1 IP и флуд идет лесом вместе с новым видом атаки

kibizoidus 14 фев 2009 в 17:54

Вы думаете, все так просто решить?
Набрав несколько тысяч таких сервисов, собрав базу URL-ов обращения и написав небольшую софтинку обращения я получу рукотворный ботнет, который будет долбить чей-то сайт с частотой несколько тысяч запросов в секунду.

Да, очень много статистики и простого отбора урлов, но вы думаете, оно того не стоит?

kibizoidus 14 фев 2009 в 17:51

Прекрасно знаю, ибо изучаю этот вопрос уже не первую неделю. Спасибо за информацию.

zepps 15 фев 2009 в 04:01

Гм, господа, DoS, вообще говоря, к флуду никакого отношения не имеет.
DoS — это атака на известную взломщику уязвимость, которая приводит к отказу службы или ресурса. Не больше, не меньше.

driver_by 14 фев 2009 в 08:46

При таком виде атаки для сервисов аналогичных translate.ru достаточно ввести ограничение на кол-во запросов с одного IP в единицу времени. После этого появится Crossite DDoS, противостоять которому уже гораздо сложней, но для реализации уже нужен тот же ботнет.

almaz 14 фев 2009 в 09:31

такие сервисы и так зачастую еле работают чтобы ещё их добивать при попытке посредничества, 4DoS (Distributed Destination Distributed DoS) намного веселее же ;)

НЛО прилетело и опубликовало эту надпись здесь

deerua 14 фев 2009 в 13:06

Ты топиком не ошибся?

НЛО прилетело и опубликовало эту надпись здесь

kibizoidus 14 фев 2009 в 18:01

Жаль, что вместо обсужения заметки получается такое.
З.Ы. Все-таки я бы посоветовал обновить браузер ^_^

Sys3X 14 фев 2009 в 12:38

В nginx для этого есть ngx_http_limit_req_module, достаточно его включить и атака подобная той что описана выше не сработает.

borisko 14 фев 2009 в 15:42

Прокси тоже не зря придумывали.

TiGR 14 фев 2009 в 13:55

Насколько я помню, translate.google.com кэширует результаты, так что с ним этот трюк не пройдёт.

НЛО прилетело и опубликовало эту надпись здесь

kurokikaze 14 фев 2009 в 14:50

Ничего не мешает изменять какие-либо параметры при вызове.

http ://www.translate.ru//url/translation.aspx?direction=er&template=General&autotranslate=on&transliterate=&showvariants=&sourceURL=http://some-url.com/?rand1231241241

kibizoidus 14 фев 2009 в 17:58

Единственное, что я могу добавить — очень жаль, что в общем-то все халатно относятся к такому вопросу и лелеят надежды обойтись простыми средствами.

Это в один прекрасный момент может обернуться упавшим сайтом и прочими прелестями.

EiZeRR 14 фев 2009 в 22:00

Вы немного ошиблись в терминологии — правильнее назвать это Reflection DDoS (RDDoS), а попячить этот сайт можно было гораздо проще, — просто слать пакеты на запрос соединения от имени котячки на сайт translate.ru

kibizoidus 14 фев 2009 в 22:56

Но тема стоит внимания. В самое ближайшее время займусь исследованиями.

developer 16 фев 2009 в 19:58

статейка зачет 5 балов.Не знаю как но года 2 назад видел как одна сео контора натравила на другую Гуугл — реально пришли боты на 60 000 запросов! в секунду это по данным днс балансировки — благо он был тогда. вот таки дела товарищи. о том чтоб гугул так натравливали уж давно не слышал, но мало ли сервисов еще?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий