Комментарии 9
Глупость какая-то написана. Или это трудности перевода. Пошел читать оригинал.
На самом, чтобы использовать рой из тысяч пиров для DDoS надо всех их заставить устанавливать соединения на какой-либо ip:port. Это возможно если в рой «подмешать» ip:port атакуемого сервера.
Но проблема в том что не каждый из 100 000 пиров роя будет коннектинся на этот адрес! А значит фиктивных пиров, коннекты на которые должны идти на сервер, должно быть много тысяч — вот это уже проблема.
И find_node тут совсем не причем.
На самом, чтобы использовать рой из тысяч пиров для DDoS надо всех их заставить устанавливать соединения на какой-либо ip:port. Это возможно если в рой «подмешать» ip:port атакуемого сервера.
Но проблема в том что не каждый из 100 000 пиров роя будет коннектинся на этот адрес! А значит фиктивных пиров, коннекты на которые должны идти на сервер, должно быть много тысяч — вот это уже проблема.
И find_node тут совсем не причем.
Посмотрел материал по ссылке. Очень сложно понять презентацию…
Однако, там действительно автор получил DDoS из find_node запросов на свою машину. И на первый взгляд можно и удаленную машину сделать «популярной»! Но это не так, потому как прежде чем слать find_node на какой-либо узел, сначала посылается пинг, на который удаленный узел должен соответствующим образом ответить. Понятно что удаленный сервер который мы хотим ддосить не ответить на пинг согласно спецификации DHT, а значит не получит на себя запросы find_node.
Однако, там действительно автор получил DDoS из find_node запросов на свою машину. И на первый взгляд можно и удаленную машину сделать «популярной»! Но это не так, потому как прежде чем слать find_node на какой-либо узел, сначала посылается пинг, на который удаленный узел должен соответствующим образом ответить. Понятно что удаленный сервер который мы хотим ддосить не ответить на пинг согласно спецификации DHT, а значит не получит на себя запросы find_node.
На сколько я понял из поста, find_node — это запрос на получение списка адресов пользователей, раздающий этот торрент. Мы становимся популярным пиром в сети, у нас много клиентов спрашивают find_node, а мы им говорим, что есть такой-то раздающий с адресом жертвы. И они начинают ему стучаться, чтобы скачать файл.
Нет, find_node это запрос который означает поиск узла с заданным id. Если узлу на который пришел find_node известен узел c искомым id, то в ответ возвращается ip:port, а если не известен то id ближайших к искомому узлов. Эти узлы опять опрашиваются запросом find_node и так далее.
Так что запрос find_node не имеет никакого отношения к торренту (инфо_хешу), а является служебным запросом обеспечивающим правильные таблицы маршрутизации всех узлов в сети.
Когда надой найти пиров к торрнету используются запросы get_peers и announce_peer.
Так что запрос find_node не имеет никакого отношения к торренту (инфо_хешу), а является служебным запросом обеспечивающим правильные таблицы маршрутизации всех узлов в сети.
Когда надой найти пиров к торрнету используются запросы get_peers и announce_peer.
>>> надо стать популярным пиром в сети
Нифига не надо, достаточно узнать хеш популярного (лучше популярных) торрентов
Нифига не надо, достаточно узнать хеш популярного (лучше популярных) торрентов
Интересно, насколько реально применение на практике
Вот буквально на днях столкнулся с престраннейшим явлением. У меня в qBittorrent выключены всевозможные DHT и PEX. Юзаю локальный трекер с одним анонсом. И вот на нескольких торрентах стали появляться дополнительные непонятно откуда взявшиеся тререкры — goldenshara, rustorka, retracker.local. Удаляю — через некоторое время они опять появляются. Причем разбор самого торрент-файла показал, что в нем нет этих трекеров — очевидно, они приходят во время скачивания раздачи (но как? о_О). Но это только начало. На этих странных раздачах на самом трекере появился второй я (причем как сидер) с каким-то забугорным IP (порт 6881). Это вдвойне странно, учитывая, что трекер закрыт с внешки.
Не помогал ни перезапуск qBittorrent, ни полный ребут, ни удаление/добавление торрента — через несколько минут новые трекеры снова появлялись в этих раздачах. Объяснение этой оказии до сих пор найти не могу, но вину возложил на глючность qBittorrent'а.
Сомневаюсь, что это связано с описанной в топике атакой, но некоторые ассоциации рождает.
Не помогал ни перезапуск qBittorrent, ни полный ребут, ни удаление/добавление торрента — через несколько минут новые трекеры снова появлялись в этих раздачах. Объяснение этой оказии до сих пор найти не могу, но вину возложил на глючность qBittorrent'а.
Сомневаюсь, что это связано с описанной в топике атакой, но некоторые ассоциации рождает.
Очень странные вещи описываете!
Мне лично не известен механизм передачи анонс урлов между пирами. Когда идет скачка торрента через магнет-ссылку (без торрент-файла), то действительно торрент-файл скачивается с пиров, но без секции анонс урлов, а только метаданные.
Возможно это свойство qBittorrent'а — добавлять анонс урлы.
Что касается «на самом трекере появился второй я (причем как сидер) с каким-то забугорным IP (порт 6881)», то на самом деле порт номер 6881 используют многие торрент-клиенты, так что только по порту нельзя сказать что это именно вы.
Мне лично не известен механизм передачи анонс урлов между пирами. Когда идет скачка торрента через магнет-ссылку (без торрент-файла), то действительно торрент-файл скачивается с пиров, но без секции анонс урлов, а только метаданные.
Возможно это свойство qBittorrent'а — добавлять анонс урлы.
Что касается «на самом трекере появился второй я (причем как сидер) с каким-то забугорным IP (порт 6881)», то на самом деле порт номер 6881 используют многие торрент-клиенты, так что только по порту нельзя сказать что это именно вы.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
BitTorrent DHT можно использовать для DDoS