Наносим удар по ddos ботнету своими силами

Тема в разделе "Борьба с ддосерами", создана пользователем Devider, 22 авг 2013.

  1. Есть любопытная статья на Хабре, где автор предлагает свой метод для нанесения урона ботнету. Суть метода в том, чтобы автоматизировать процесс отсылки абуз провайдерам, обслуживающим машины ддос-ботов. Едва ли такие меры помогут нанести серьезный урон ддосеру, но они могут удорожить ддос, ведь даже если ддосер потеряет только 100 ботов из 10000, ему будет необходимо компенсировать эту потерю за счет повышения цены на своих услуги.

    Итак, автор статьи предлагает воспользоваться своими скриптами для сбора IP адресов ботов и автоматической отсылки абуз.
    Ссылка для скачивания: https://github.com/Ajex/AntiDdosAbuse

    Тут хочу заметить, что абузить всех ботов подряд - занятие малополезное, изначально надо запретить доступ на сервер для ряда стран, таких как Китай, Индонезия, Ирак, Индия и других азиатских стран, ведь писать им абузы бессмысленно. Уже отфильтрованный траффик мы будем анализировать скриптами и абузить.

    Скрипт show_ips.sh — выводит список ip адресов из лога и количество пакетов, которые прошли за интервал сбора.
    Команда
    Код:
    ./show_ips.sh iptraf.log "Dec 12" > ddos_ips.txt 
    сохранит список ботов за указанную дату в файл ddos_ips.txt в формате:
    Код:
    7833 x.x.x.x
    19343 y.y.y.y
    58234 z.z.z.z
    где слева количество подключений, а справа IP адрес бота.
    В атаке могут участвовать как зараженные машины обычных пользователей, так и мощные сервера. Если количество подключений большое, то можно предположить, что атака ведется с сервера (через зараженный сайт), а в этом случае на абузу могут отреагировать немедленно.

    Скрипт get_info.sh — извлекает abuse email из whois информации для каждого айпишника, полученного скриптом show_ips.sh:
    Код:
     ./get_info.sh ddos_ips.txt > abuse_email.txt 
    Вывод будет таким:
    Код:
    x.x.x.x abuse@aaa.com master@aaa.com
    y.y.y.y abuse@bbb.com
    z.z.z.z abuse@ccc.com
    Где слева IP бота, а справа Email.

    В скрипте есть конфигурационный параметр th_limit , он означает с какого количества соединений считать ип ботом, эта граница определяется на предыдущем шаге.

    Скрипт get_logs.sh — скрипт извлекает из лога iptraf информацию по каждому конкретному ip адресу, сохраняет в отдельный файл и упаковывает в Gzip:
    Код:
     ./get_logs.sh ddos_ips.txt iptraf.log "Nov 20" pref 
    где, pref префикс создаваемых логов для удобства их сортировки

    В параметрах обязательно указать th_limit, это опять число коннектов из файла ddos_ips.txt отделяющих хорошие ip адреса от ботов.
    На выходе в текущей папке будут созданы Gzip файлы содержащие логи по каждому отдельному ипу.



    --------------------------------------

    Эта идея "ударить по ботнету" показалось мне очень интересной, требующей глубокого изучения и развития.
    Сегодня ддосеры не несут практически никакого ущерба в процессе атак и нередко занимаются банальным шантажом - ддосят случайный сайт и требуют с админа деньги за прекращение атаки. Зарабатывают на ддосе и всевозможные антиддос-сервисы, владельцами которых, кстати, могут быть тоже ддосеры (они могут сами переодически ддосить сайты своих клиентов, чтобы удержать их). С этой паразитической системой необходимо бороться совместными усилиями вебмастеров.
     
    22 авг 2013
  2. Короче, речь идет о комбинации сетевого и локального алгоритма. Сначала на подлете выявляется подозрительное, а потом в полуручную фильтруется айпихи. Думаю, реально нужно тестить, но сомневаюсь, что таким способом можно обойтись при серьезных атаках, а не легких "пробах пера" новичков.
     
    24 июн 2014
  3. На мощном сервере помогает. На VDS-ке сжирает все ресурсы в раз.

    Этот метод можно использовать но только как дополнительный, например, настройка Nginx от ддоса и автоматический бан этим скриптом.
     
    24 июн 2014

Поделиться этой страницей