Admin

ufo
Administrator
12.08.2016
636
404
#1
DRDoS-Diagram.png
Я хочу рассказать о том, как можно устроить мощнейшую атаку не взломав не единого устройства. Некоторые из протоколов имеют уязвимости, т.е мы присылаем им пакет, а они отвечают пакетом, только большим размером.

DNS Amplification (DNS усиление).
Объясняя простым языком, суть усиления заключается в том, что злоумышленник посылает (обычно короткий) запрос уязвимому DNS-серверу, который отвечает на запрос уже значительно большим по размеру пакетом. Если использовать в качестве исходного IP-адреса при отправке запроса адрес компьютера жертвы (ip spoofing), то уязвимый DNS-сервер будет посылать в большом количестве ненужные пакеты компьютеру-жертве, пока полностью не парализует его работу.

NTP amplification
Зараженные компьютеры отправляют запрос monlist с поддельным IP-адресом отправителя к NTP-серверу. Запрос monlist возвращает список из последних 600 клиентов ntpd. Таким образом, небольшим запросом от зараженного компьютера к жертве отправляется большой поток UDP. В этом и заключается сущность амплификации.

CLDAP amplification
Применение LDAP или CLDAP требует, чтобы злоумышленники обратились к серверу, используя спуфинг IP-адреса отправителя (якобы обращение исходит с адреса жертвы). В итоге сервер отвечает на LDAP/CLDAP-запрос, адресуя ответ жертве атаки. Если другие протоколы способны усилить DDoS-атаку в среднем на 10 (то есть пакет размером 1 байт превращается в 10 байт), то LDAP или CLDAP более эффективны. Так, LDAP дает прирост в 46 раз (до 55 в пиковом состоянии), а CLDAP и вовсе дает усиление в 56 раз (в пиковом состоянии до 70).

XMLRPC / Pingback
Всего в течение нескольких часов, более 162.000 обыкновенных WordPress сайтов атаковали их проект. Скорее всего, обнаружилось бы и больше сайтов, но мы решили, что увидели достаточно, и заблокировали эти запросы на нашем файрволе, в основном, чтобы избежать засорения логов.

Один атакующий может использовать тысячи популярных не взломанных WordPress сайтов для DDOS атаки, и в то же время оставаться в тени, и всё это возможно благодаря простому Pingback запросу к файлу XML-RPC.

Для того, чтобы провести данные типы атак нам понадобится специальный софт и список уязвимых сайтов. Чтобы провести ntp amplification мы установим программу с github: https://github.com/vpnguy/ntpdos/blob/master/ntpdos.py. И возьмем список уязвимых сайтов: https://pastebin.com/qDEfUskz.
Запускаем программу:

ntpdos.py <target ip> <ntpserver list> <number of threads> ex: ntpdos.py 1.2.3.4 file.txt 10
Теперь рассмотри скрипт позволяющий увеличить атаку в 70 раз. Для этого нам нужен уже установленный perl. Качаем код: https://pastebin.com/kx5hWM70.
И запускаем программу.
perl cldapdrdos.pl <ldap server> <target> <port>
Видеоинструкция:
И следующий метод, который использует wordpress сайты. Также качаем программу: https://pastebin.com/KVp94VF7. Указываем путь к списку. Вводим кол-во потоков и цель.
python xmlrpc.py list.txt
111.png
Скриншот запуска программы на windows.

Чтобы объединить методы был написан инструмент Saddam.
Видеоинструкция:


SNMP Аmplification
Суть атаки заключается в том, чтобы инициировать многократно увеличенный ответ на SNMP-запрос. Изначально разработанные для автоматизации получения табличных данных при минимизации количества отправляемых пакетов BULK-запросы стали довольно эффективным инструментом проведения DDoS-атак в руках злоумышленников. Как гласит RFC3416, GetBulkRequest, реализованный в SNMP версии 2, предназначен для возможности запросить большой объем данных, чем и пользуются атакующие, задействуя неправильно настроенные серверы в интернете.

Качаем код: https://pastebin.com/0C3gBJ8S. Запускаем программу:
python snmpdos.py 1.2.3.4 file.txt 10"
И еще один инструмент позволяющий проводить DNS и SNMP атаки: https://pastebin.com/3n2hjkYP.
Видеоинструкция:
Также есть chargen и SSDP. Они реализованы в Saddam
P.S. Вот еще несколько инструментов: https://github.com/LOLSquad/DDoS-Scripts, https://github.com/TheChiefCoC/DDoS-Scripts-1/blob/master/Chargen.c,https://pastebin.com/ryZu9cT8