Комментарии 9
Глупость какая-то написана. Или это трудности перевода. Пошел читать оригинал.
На самом, чтобы использовать рой из тысяч пиров для DDoS надо всех их заставить устанавливать соединения на какой-либо ip:port. Это возможно если в рой «подмешать» ip:port атакуемого сервера.
Но проблема в том что не каждый из 100 000 пиров роя будет коннектинся на этот адрес! А значит фиктивных пиров, коннекты на которые должны идти на сервер, должно быть много тысяч — вот это уже проблема.
И find_node тут совсем не причем.
На самом, чтобы использовать рой из тысяч пиров для DDoS надо всех их заставить устанавливать соединения на какой-либо ip:port. Это возможно если в рой «подмешать» ip:port атакуемого сервера.
Но проблема в том что не каждый из 100 000 пиров роя будет коннектинся на этот адрес! А значит фиктивных пиров, коннекты на которые должны идти на сервер, должно быть много тысяч — вот это уже проблема.
И find_node тут совсем не причем.
+2
Посмотрел материал по ссылке. Очень сложно понять презентацию…
Однако, там действительно автор получил DDoS из find_node запросов на свою машину. И на первый взгляд можно и удаленную машину сделать «популярной»! Но это не так, потому как прежде чем слать find_node на какой-либо узел, сначала посылается пинг, на который удаленный узел должен соответствующим образом ответить. Понятно что удаленный сервер который мы хотим ддосить не ответить на пинг согласно спецификации DHT, а значит не получит на себя запросы find_node.
Однако, там действительно автор получил DDoS из find_node запросов на свою машину. И на первый взгляд можно и удаленную машину сделать «популярной»! Но это не так, потому как прежде чем слать find_node на какой-либо узел, сначала посылается пинг, на который удаленный узел должен соответствующим образом ответить. Понятно что удаленный сервер который мы хотим ддосить не ответить на пинг согласно спецификации DHT, а значит не получит на себя запросы find_node.
+3
На сколько я понял из поста, find_node — это запрос на получение списка адресов пользователей, раздающий этот торрент. Мы становимся популярным пиром в сети, у нас много клиентов спрашивают find_node, а мы им говорим, что есть такой-то раздающий с адресом жертвы. И они начинают ему стучаться, чтобы скачать файл.
0
Нет, find_node это запрос который означает поиск узла с заданным id. Если узлу на который пришел find_node известен узел c искомым id, то в ответ возвращается ip:port, а если не известен то id ближайших к искомому узлов. Эти узлы опять опрашиваются запросом find_node и так далее.
Так что запрос find_node не имеет никакого отношения к торренту (инфо_хешу), а является служебным запросом обеспечивающим правильные таблицы маршрутизации всех узлов в сети.
Когда надой найти пиров к торрнету используются запросы get_peers и announce_peer.
Так что запрос find_node не имеет никакого отношения к торренту (инфо_хешу), а является служебным запросом обеспечивающим правильные таблицы маршрутизации всех узлов в сети.
Когда надой найти пиров к торрнету используются запросы get_peers и announce_peer.
+1
>>> надо стать популярным пиром в сети
Нифига не надо, достаточно узнать хеш популярного (лучше популярных) торрентов
Нифига не надо, достаточно узнать хеш популярного (лучше популярных) торрентов
0
Интересно, насколько реально применение на практике
0
Вот буквально на днях столкнулся с престраннейшим явлением. У меня в qBittorrent выключены всевозможные DHT и PEX. Юзаю локальный трекер с одним анонсом. И вот на нескольких торрентах стали появляться дополнительные непонятно откуда взявшиеся тререкры — goldenshara, rustorka, retracker.local. Удаляю — через некоторое время они опять появляются. Причем разбор самого торрент-файла показал, что в нем нет этих трекеров — очевидно, они приходят во время скачивания раздачи (но как? о_О). Но это только начало. На этих странных раздачах на самом трекере появился второй я (причем как сидер) с каким-то забугорным IP (порт 6881). Это вдвойне странно, учитывая, что трекер закрыт с внешки.
Не помогал ни перезапуск qBittorrent, ни полный ребут, ни удаление/добавление торрента — через несколько минут новые трекеры снова появлялись в этих раздачах. Объяснение этой оказии до сих пор найти не могу, но вину возложил на глючность qBittorrent'а.
Сомневаюсь, что это связано с описанной в топике атакой, но некоторые ассоциации рождает.
Не помогал ни перезапуск qBittorrent, ни полный ребут, ни удаление/добавление торрента — через несколько минут новые трекеры снова появлялись в этих раздачах. Объяснение этой оказии до сих пор найти не могу, но вину возложил на глючность qBittorrent'а.
Сомневаюсь, что это связано с описанной в топике атакой, но некоторые ассоциации рождает.
0
Очень странные вещи описываете!
Мне лично не известен механизм передачи анонс урлов между пирами. Когда идет скачка торрента через магнет-ссылку (без торрент-файла), то действительно торрент-файл скачивается с пиров, но без секции анонс урлов, а только метаданные.
Возможно это свойство qBittorrent'а — добавлять анонс урлы.
Что касается «на самом трекере появился второй я (причем как сидер) с каким-то забугорным IP (порт 6881)», то на самом деле порт номер 6881 используют многие торрент-клиенты, так что только по порту нельзя сказать что это именно вы.
Мне лично не известен механизм передачи анонс урлов между пирами. Когда идет скачка торрента через магнет-ссылку (без торрент-файла), то действительно торрент-файл скачивается с пиров, но без секции анонс урлов, а только метаданные.
Возможно это свойство qBittorrent'а — добавлять анонс урлы.
Что касается «на самом трекере появился второй я (причем как сидер) с каким-то забугорным IP (порт 6881)», то на самом деле порт номер 6881 используют многие торрент-клиенты, так что только по порту нельзя сказать что это именно вы.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
BitTorrent DHT можно использовать для DDoS