Многие другие сайты работают с перерывами т.к. подвергаются DDOS атакам.
Решил поискать откуда ноги растут и нашел ряд телеграмм каналов, откуда координируют действия DDOSеры:
- основной канал, 300 тыс. пользователей (укр) https://t.me/itarmyofukraine2022
- дублирующий канал (укр) https://t.me/itarmyukraine2022
- еще один дублирующий (укр) https://t.me/it_army_of_ua
- английская версия: https://t.me/itarmyofukraine2022eng
- дублирующий на английском https://t.me/itarmyofuraine
- еще один канал на английском https://t.me/itARMYofUkraine2022_INT
- канал куда сливают анкеты силовиков РФ: https://t.me/ruleaksdotorg
Диванным воинам предлагается скачать программку с Гитхаба (там же и исходники) и запустить:
https://github.com/Arriven/db1000n/releases/tag/v0.8.2
все цели (адреса сайтов) прописаны разработчиком.
также прилагается инструкция:
укр https://telegra.ph/Death-by-1000-needles-03-17
англ https://telegra.ph/Death-by-1000-needles-03-18
В общем самое очевидное - предлагаю закидать жалобами в телеграмме.
но думаю может быть жалоб недостаточно. Есть идеи как прикрыть этот гадюшник?
ЗЫ: https://t.me/ivukr - основной телеграмм канал интернет войск, по сути инфоцентр, если текущие каналы прикроют- организовывать ботов будут тут)
Комментарии
Видать ЦИПСО всё-таки не накрыли. Да и укроТВ до сих пор работает, что удивительно.
Почему удивительно?
Потому что это надо было в первую очередь снести. Один удар был по телецентру, но как то не убедительно.
Вот я и спрашиваю - почему удивительно? Какие нафиг телецентры и вышки, если всё ТВ в интернетах? И вообще непонятно, где находятся те журналюги. При этом, напротив, совершенно понятно, что Зеленский не в Киеве, по топорно сделанному монтажу на фоне Банковой. Но опять непонятно - а где же он на самом деле.
Спасибо, очень интересно!
ЦИПСО накрыли - прекратились звонки вымогателей, которые, по всей вероятности, арендовали у них телефонный анонимизатор.
Но остались удалёнщики :)
Не накрыли, потому что центров ЦИПСО штук 5, а накрыли один.
И накрывать надо днем, а не ночью когда здание пустое и работники все спят.
А вот днем можно было всех ботов перебить. Но только надо было одновременно, по всем ботофермам отбомбиться.
Так и этот-то накрыли, когда ещё оставались остатки веры в адекватность вурдалаков. Вера в лучшее чаще мешает, чем помогает, между тем на войне лучше выживают параноики...
Судя по тому, что прекратились звонки, инфраструктура связи была именно в этом.
Днём накрывать - заманчиво, конечно, но, вообще-то, эти мудаки - тоже люди, хоть и мудаки. Если таких начать убивать, то вообще никого не останется. В т.ч. и здесь.
Думается, что эту инфу надо кидать не в Телеграм, а в ФСБ, СК, Роскомнадзор.
Да накрыли рядовых ципсошников. А скорее всего организаторы и координаторы сидят в других местах/странах.
Не думаю, что МО не фиксирует номера, пароли и явки. Там уже скорее всего многие персонажи себе на пожизненное натыкали.
И да, не лишним еще разок это в ФСБ показать будет...
Киевский режим в надежде оседлать волну внезапной украинофилии, охватившей страны «прогрессивного Запада», не прекращает плодить всевозможные «мобилизационные» инициативы.
Осознав, что агрессивные пацифисты в Вашингтоне и Брюсселе, а также в других миролюбивых натовских столицах, вообще перестали даже для успокоения собственной общественности реагировать на любые выходки своих украинских протеже, там пошли вразнос.
Не брезгуют буквально ничем. То наемников со всего мира прямо через информресурсы посольств начнут Тут вот дошла очередь и до виртуальной «мобилизации», связанной, очевидно, с тем, что собственные ресурсы всяческих фейкометов из ЦИПсО к настоящему моменту оказались немного потрепаны.
Так, на днях заместитель министра цифровой трансформации Украины Александр Борняков сделал громкое заявление: на Украине создается ни много ни мало интернациональная «IT-армия».
Метод комплектования примерно тот же, что и в случае с «легионом». В рядах нового диджитал-формирования будут рады видеть самых отъявленных хакеров, цифровых преступников и прочий киберсброд со всего света. Основная разница с солдатами удачи из мира материального – у «бойцов виртуального фронта» нет необходимости ехать за тридевять земель и подвергать себя риску непосредственно столкнуться с проявлениями демилитаризации Украины. А тут – сидишь себе в уютном креслице и делаешь то, за что еще вчера обязательно привлекли бы к уголовной ответственности.
Ведь Киев не стесняется обозначать заведомо преступные цели этой мобкампании – нанесение атак по связанной с Россией «социально значимой» цифровой инфраструктуре, без каких-либо изъятий про гражданский сектор и жизнеобеспечивающие ресурсы. То есть, по больницам, роддомам, атомным энергостанциям. Еще прямым текстом приветствуется взлом аккаунтов крупных российских компаний. Проще говоря, Киев открыто благословляет своих будущих подопечных на интернет-терроризм.
Не прошло и трех дней после громких заявлений об «IT-армии», как на дочерние структуры ПАО «Роснефть» в Германии была совершена самая интенсивная за все время с начала спецоперации на Украине кибератака. Проукраинские кибервоины, проникли во внутренний сетевой контур, выкрали огромный массив данных и, заметая следы, уничтожили 20 Гб имеющей вполне прикладное назначение информации.
В результате созданы серьезные риски для операционной деятельности компании. Под угрозой функционирование местных нефтеперерабатывающих заводов, включая тот, что расположен в немецком Шведте. А он, между прочим, обеспечивает топливом большинство автозаправочных станций в Восточной Германии. И это на фоне известного удорожания бензина и дизтоплива в Европе. Почему-то власти ФРГ на время позабыли о благородной миссии, которую выполняли нападавшие, и подключили свои правоохранительные структуры к их активному поиску.
И этот пример весьма показателен. Раз за разом коллективный Запад коллективно наступает на одни и те же грабли. Положив в основу своих политических игр принцип, а скорее антипринцип, «цель оправдывает средства», либеральные демократии делают ставку на какую-то темную силу, будь то нацисты на Украине или радикальные исламисты на Ближнем Востоке, а потом сам становится ее мишенью. Выдавая карт-бланш параноидальному киевскому режиму на вызволение все новых и новых джиннов из бутылок, его патроны едва ли отдают себе отчет, с чем им придется иметь дело уже в самом ближайшем будущем. Что-то сомневаюсь, что 300 тысяч скоординированных в рамках «IT-армии» кибертеррористов (а именно такие цифры озвучиваются в украинской столице) сами собой расформируются и прекратят противоправную по своей природе, не говоря уже о юридической стороне вопроса деятельность, но уже в отношении западных стран.
Вот так создаётся кибер-игил.
М.Захарова
Вся инфа с головного сервера. Так его тоже, того, можно.
Гитхабу бы в панамку накидать... ) Ибо.
хорошая мысль. Пособничает распространению вредоносного ПО
Само ПО - двойного назначения и использует чужие тестовые программы. Даже не заморачивались убирать предупреждения, что нагружать можно только свои сервера, например: https://github.com/Arriven/db1000n/tree/main/src/core/dnsblast
Но вот этот репозиторий - и все в него контрибьюторы - https://github.com/db1000n-coordinators/ - уже без вариантов организаторы преступления.
Недаром LOIC по IRC чатам команды распространяли - сделал дело, из чата вышел, считай и нет тебя нигде. И нагрузку на сервера создавал гораздо хуже, SYN-flood это вам не тысяча правильных запросов.
1. У IP–адресов есть такое не очень известное в широких кругах качество, как резидентность. Измеряется от нуля до единицы. Резидентность, равная единице, говорит о том, что адрес принадлежит явно домашнему пользователю. Ноль - доподлинно известно, что адрес не домашний, то есть является серверным или инфраструктурным. Что-то между нулём и единицей говорит о том, что доподлинно установить принадлежность нельзя.
2. Все прокси и VPN дают пользователям нерезидентные адреса. По этому показателю очень легко отличить нормального пользователя от того, кому есть что скрывать, не имея на руках полного списка внешних адресов всех известных VPN–служб. Для проверки адресов на резидентность есть сервисы наподобие getipintel.
3. Все сайты, атаки на которые, а также злоупотребление ботоводством на которых, могут повлечь за собой финансовые, инфраструктурные, и тем паче государственные, риски обязаны проверять резидентность. Банки, биржи, букмекеры, финансисты следуют этому правилу хорошего тона практически поголовно.
4. Бывают и исключения из правил. Существуют прокси/ВПН, которые продают домашние адреса. Поиск по словам "residential proxy". Вот только цена такого трафика космическая. 10-20 долларов за гигабайт. Для DDOS не используется, ибо разорительно. Применяются в основном арбитражникамми, вилочниками, перекупщиками и т.п. нечистью.
5. Исходя из вышесказанного, я бы подключил ДДОС-GUARD, действующий следующим образом: если адрес явно домашний (индекс больше 0.8, например) - пропускаем без вопросов. Если меньше - перенаправляем на ddos–защиту, отлавливающую ботов и принимающую на себя избыточный трафик.
6. db1000n, и ему подобная DDOS-дрянь, также использует список бесплатных прокси-серверов. Вот, например: https://github.com/Arriven/db1000n/blob/main/proxylist.json. Ищем на гитхабе подобные списки, и все эти IP нахрен блочим.
Впервые про такое слышу. Ни в одной книге, ни в одном учебном курсе нет ни единого упоминания про резидентность. Поподробней пожалуйста, на конкретном примере, расскажите где в этом адресе резидентность: 137.34.55.38
https://github.com/blackdotsh/getIPIntel
....но сами они это резидентностью не называют, только оценкой вероятности
Резидентность - это словечко, которое используют ходоки через подобные адреса, а не системы защиты. В поисковике забейте "residential proxies".
То есть, домашние прокси, а резидентность = домашность.
И нет, это не то, вероятность чего оценивают. Оценивают просто вероятность того, что это прокси, а не где он расположен, дом под столом или в дата-центре.
Домашность/домашнесть - крайне неблагозвучно, наверное поэтому так не говорят.
Есть сервисы, продащие очень дорогие домашние прокси, проходящие эти проверки на ура. Поэтому не совсем корректно говорить, что определяется факт использования прокси как технологии.
Так это ни какое ни качество IP адресов.
Это просто какой-то программист придумал такое называние переменной внутри своей софтинки. Какой-то алгоритм выдумал. В общем ни о чем.
Не программист даже, а всякие мутные личности, которые ходят с чужих домашних адресов. Не киберпреступники, а скорее теневики: арбитраж, вилки, мультоводство в покере, ставочники и т.д.
Слышал я его в 2017-м в кругах покер-бот писателей. Сейчас эта публика уже никак не называет качество прокси и VPN, потому что всё плюс/минус устаканилось, и они уже наизусть знают, где покупать эти услуги, а где подсунут плохие IP.
Обычный ботнет, коих сотни, если не тысячи. Со своими коэффициентами доступности ботов. Ничего особенного. Кто и как их использует - это уже отдельный разговор, да и какая разница. Понятно, что не для самых праведных целей.
Далеко не только ботнеты этим промышляют. Есть ещё Luminati и Netnut. Хитрые еврейские дельцы, продающие прокси, ведущие на IP из "правильных домашних" ASN–диапазонов, но не ботнетоводы, а владельцы крупных магистральных провайдеров.
ASN не может быть домашним или бездомным :)
Это просто номер автономной системы протокола BGP. Максимум на что они могут делиться так это на частные и публичные. Остальные все - от лукавого.
Мне кажется вы довольно слабо разбираетесь в вопросе, который взялись обсуждать.
O Господи. Опять теоретизмы и протоколизмы. По ASN можно установить компанию, по компании навести справки, и пробить, провайдер ли это для конечных пользователей, или нет. Не со 100%-й вероятностью, но с достаточной. Понятно, что в ASN, зарегистрированном на ISP, бывают и адреса серверов, но это допустимая погрешность.
Я прекрасно разбираюсь в вопросе для того, чтобы успешно вести свою узконишевую деятельность, которая Вам всё равно ни о чём не скажет. И много всего сделал, что в кругах "нормальных людей" считается несуществующим. В какое-нибудь производство сетевого оборудования да, мне лучше не лезть, там всё по стандартам.
PS. Вы когда-нибудь видели, как устроены внутри всякие-разные антифроды-скоринги? Много ли там стандартов и формализмов? Нет, одни эвристики и, на сторонний взгляд, отпотолочности. Задачу свою они выполняют? Да.
Пук в лужу. Есть и базы, и сервисы для получения юрлица по ASN. И плевать, что там говорят стандарты, мсье "жопаестьаслованет".
Наивный юноша, вы опять услышали звон, но не знаете откуда он.
Есть не базы, а реестр управления по присвоению номеров Интернета (IANA), он один единственный на весь Интернет. Этот реестр разделен на региональные интернет-реестры (RIR), в которых указаны организации, на которые зарегистрированы ASN. Причем это крупные телеком провайдеры, а не конечные пользователи. Даже мелким провайдерам свои публичные ASN зачастую не выдают, чтобы они не путали таблицы маршрутизации своими никудышными маршрутами.
Видать плохо вас учили, раз вы до сих пор таких вещей не знаете.
Спасибо, капитан. Я знаю, что он есть. Но это не всё.
И средние, и большинство мелких.
Кто-то разве вёл речь про "ASN конечных пользователей"? Это сейчас серьёзно было?
Да что вы говорите? Вот, например, малюсенький провайдер городка Наро-Фоминска, bizbi internet. Свой AS42511. Те, у кого нет ASN, это даже не провайдеры, а какие-то субпровайдеры дворового или общажного уровня. Которые, внимание, тоже приписаны к ASN настоящего провайдера.
Кроме официозного Интернета с большой буквы, есть и неофициальные платные базы. Уже не на уровне ASN (хотя и его в большинстве случаев достаточно, чтобы с 90% вероятностью отсечь мусорные IP), а более детальные.
Имеете сертификат Циски - вот и рассуждайте в этих рамках. И не лезьте в другие виды бизнеса, которые выходят за рамки уставщины, и прекрасно себя чувствуют. У maxmind, например, отличный детектор мусорных IP (getipintel, который я в начале приводил - его дешманский/полубесплатный аналог). Вас послушать, так он тоже невозможен :)
PS. Раз уж Вы такой человек-стандарт, то назовите RFC, согласно которому работает.... ну, например, "Глаз Бога". Жду )))
Я ж говорю - не очень известное в широких кругах. Книги... Отвечу Вам, пожалуй, вот этими строками:
---
Ладно, завязываю стебаться. Узнать об этом можно не из книг, а в хацкерских и около сообществах. А как ещё Вы хотели бороться с теневыми деятелями не зная их методов?
Конкретно по антидетекту и анти-анти-фроду специализируется VektorT13:
https://www.youtube.com/channel/UCbROHoWZ5s89islB1BXxCiQ
https://t.me/vschannel
---
Адрес недоступен на пинг, не принадлежит к известным диапазонам ASN, в известных мне базах не фигурирует. Ответ - неопределённость.
Вы же утверждали, что у IP адресов есть некое качество.
А потом сами говорите, что его нет.
Фигня какая-то получается.
Значит нет никакого такого качества в самом IP адресе.
А эта пресловутая "резидентивность" - не более, чем название коэффициента, используемого внутри какой-то там программы. Которая, как выясняется, ещё и не работает как следует, что впрочем и не удивительно. Потому что, на самом деле, нет никакого надёжного способа определения того, кому принадлежит тот или иной IP адрес. Не предусмотрено такого в стандартах TCP/IP, даже в IPv6.
Остальное - это какие-то жалкие попытки что-то изобразить, детские поделки и костыли кульхацкеров.
P.S.
Я думал, у нас профессиональный разговор получится. Вы мне хотя бы номер RFC назовете по этой теме. Разочарован.
Ох уж это книжничество. Ясен пень, что имелся в виду не IPv4–адрес как 4-байтовое число, а белый IP адрес реального, работающего, подключенного к сети хоста.
Ну понятно, в общем, фигня это всё на постном масле. Белые адреса уже 100 лет пользователям никто не раздает.
Неправда. Многие провайдеры раздают, за отдельную денежку.
PS. Вы мне напоминаете моего препода по ИБ в начале 2000-х, самодовольного всезнайку. Тоже всё строго и по стандартам у него было. Вздумал утверждать, что win2k – хорошо защищённая система. Пока я ему не продемонстрировал эксплоит. Или бюрократа-безопасника из банка в 2010-м, который мне по ушам тёр, что скиммеров не существует, это, мол, выдумки. Смешной теоретизм головного мозга. В интернетах существует такой пласт теневого бизнеса со своей терминологией, и совершенно превратным и извратным использованием технологий, что я часами могу об этом рассказывать. Но здесь - не буду, не та площадка.
Правильно не надо рассказывать то, о чем сам не знаешь. Лучше изучи как это работает. Тогда будешь не на уровне пользователя чужими разработками играться, а сам начнешь понимать что там и как сделано.
Хакер не тот, кто чужие скрипты научился запускать, а кто в совершенстве знает технологии, с которыми работает, сам умеет находить уязвимости в них и разрабатывать необходимый инструментарий для их эксплуатации.
А изучение технологий начинается, как раз, с чтения книг, штудирования стандартов, скучных и нудных технических документов, разбора чужих исходников и разработки собственных тулзов.
Так что дерзайте, мой друг, и воздержитесь от написания всякой ериси. Глаза колит.
Вы не препод ли часом? Лексикон и самонадеянный стиль общения, вкупе с занудством, очень похожи :)
Откуда Вам знать, что я сам делал, а что не сам?
Не угадали. Гастрит.
Я эксперт в сетевых технологиях и ИБ. Работал много лет в этой области, в крупнейших мировых телеком операторах, как у нас в стране, так и за рубежом. Несколько лет, действительно, работал сертифицированным тренером компании Cisco и возглавлял свой учебный центр в Москве. Так что, кое-что я понимаю в том, как на самом деле устроен Интернет, какие технологии, стандарты и протоколы там существуют.
100% надежности нет. Достаточная - есть.
Фрод, антифрод, анти-анти-фрод тусовки и те, кто полагаются лишь на формальные RFC - это очень разные и практически непересекающиеся круги.
В комментариях канала Кадырова часто публикуется призыв, якобы от русских хакеров, чтобы народ присоединялся к ddos-атакам. Так и написано, что делать ничего особо не надо. Скачал прогу. Установил и запустил.
Я еще подумал - а ничего себе такая "Биткойн"-ферма получается.
Так этому сто лет в обед, как иначе DDoS-атаки устраивать, конечно должно было быть "лёгкое в применении" оружие.
Правда раньше вроде стандартным ружжом был Low Orbit Ion Cannon - https://ru.wikipedia.org/wiki/LOIC
Та гадость ещё и SYN-flood умела, если правильно помню.
Ну для начала... https://arriven.github.io/db1000n/
Скорее всего большинство чайников так и делают...
...и подставляют эти VPN-службы. Хорошо бы узнать из "выходные точки" и накатать жалобы на соучастие в атаках - самим VPN-щикам (им такое использование их серверов едва ли приятно) и какому-нибудь РКН
А дальше ещё забавнее...
https://github.com/db1000n-coordinators/LoadTestConfig - вот тут json-файлы это как раз список "жертв".
Как минимум можно отслеживать на кого идёт атака.
А так же хорошо бы потребовать от Майкрософта забанить не только этот репозиторий - но и всех контрибьюторов, птому что они по факту участвуют в DDoS-атаке, причём под своим github-именем.
https://github.com/db1000n-coordinators/LoadTestConfig/graphs/contributors
Всякие там увертки, что "смерть от тысячи уколов" - это просто шутка, перестают работать когда в "тестовой конфигурации" торчат совсем даже не твои адреса жертв. Тут уже и умысел и состав.
Двое - одноразовые новореги
https://github.com/glowiron
https://github.com/rusni4eban
Но вот четверо - старички. И тут они засветились в организации DDoS-атаки. Как минимум иск об ущербе со стороны провайдеров и VPN-службы кажется в тему был бы.
А кроме того в истории коммитов имена:
Тут уже в принципе можно и Гугл запросить о таких весёлых пользователях. Чисто в рамках гражданского иска о компенсаии убытков.
Опачки :) Интересно, никто ещё не поднял бесплатный VPN–сервис в России для "ловли на живца" и журналирования IP–адресов дудос-сброда?
А вот это вряд ли соответствует действительности. Эти сервисы спецом же дают бесплатный доступ из Украины. Понятно для чего.
они всем дают бесплатный доступ на низкой скорости в качестве рекламы, чтобы о них говорили и знали
но не в качестве же трубы для слива говна - как минимум это портит скорость для их остальных, нормальных пользователей
вот представьте у вас дорога под окном - она бесплатная вроде для всех. И тут приехали какие-то безумные то ли байкеры, то ли стритрейсеры. С отпиленными глушителями - чтобы на километр вокруг слышно было. И начали гонки устраивать прямо на трассе. Это понравится разве властям города? Хотя сама-то дорога бесплатная.
"Властям города" это, похоже, даже нравится: https://github.com/Arriven/db1000n/issues/153 - чел попал на 5К бакинских за трафик на AWS, кторые те ему любезно компенсировали.
Не уверен, иначе бы не было "my previous account was suspended after using common config."
Они скорее всего просто не в курсе, у них таких залетевших на копейки (по меркам амазона) неопытных дураков.
Но сам по себе факт хорош, амазон соучаствует в DDoS атаке и платит за нее
Amazon ожидаемо отморозился.
Либо вы будете нам репортить каждую отдельную витуалку, причём с точки- рения каждого атакованного хоста, либо нам пофиг.
Дальше уже вопросы к "компетентным органам".
Они, кстати, теперь переключились СДЭК гасить.
Военные цели уничтожены, теперь олигархов-плутократов мочат.
https://github.com/db1000n-coordinators/LoadTestConfig/pull/35/files/461dee174f759b2ffbd220d002ead9a0563736ea
Страницы