Мы вобще не рассматриваем зараженные девайсы в контексте nat/public

то есть дословно "клиент долбоеб и поднял dns-сервер, который не должен был быть открыт в фаерволе наружу, но оказался открыт, поэтому нат - добро."

Нет конечно. Это атака на конфигурацию DNS сервера.

Нет. Это в первую очередь про тех, кто не сделал на свой сети bcp-38

Нет. Это в первую очередь про тех, кто не сделал на свой сети bcp-38

О чем это вобще? Кто не сделал?

Клиент пошел в магазин и купил дешевое китайское говно.

О чем это вобще? Кто не сделал?

Начну издалека: почему возможна амплификация?

2a05:3580:d400:12ab::8a6

Ipv4 давай, v6 не нужен никому пока

213.180.217.221

NAT - это костыль. Какая разница, какие у него преимущества, если от него избавляются.

Ipv4 давай, v6 не нужен никому пока

приватные адреса тоже никому не нужны так-то. поэтому >Вот мой 192.168.88.17. Мне нечего скрывать это оксюморон

213.180.217.221

Ты сотрудник Яндекса?

Ты сотрудник Яндекса?

да

И к тебе домой прокинут IP через VPN ?

Еще раз: что мешает закрыть fw клиента?

И к тебе домой прокинут IP через VPN ?

эй, ты взламываешь или может тебе рут-пароль сказать?

этот адрес висит на физическом интерфейсе моей машины.

Зачем мне что то взламывать?

ну ты тут хорохорился "дайте адрес, я взломаю"

а спорить ни на 500к, ни на ящик пива про долю ipv6 через год так и не стал

между прочим твой public routable v4-адрес так никто и не услышал. а маршрут на адрес, который ты указал, у меня почему-то идет в блекхол. интересно, почему?

ну ты тут хорохорился "дайте адрес, я взломаю"

Цитату?

Давай твой и я активирую на него ботнет

Давай твой и я активирую на него ботнет

Сотрудник Яндекса не понимант разницу между взломом и DDOS?

Сотрудник Яндекса не понимант разницу между взломом и DDOS?

сотрудник (хз что) не понимает, что ддос в сторону жертвы независимо от NAT'а будет убивать жертву/шлюз по пути?

И потом, любой нормальный хостер имеет давно ащиту от DDOS.

Давай твой и я активирую на него ботнет

94.19.20.29 Жги :)

ботнет не обязательно досит, тащемта. ботнет может долго-долго долбить меня всеми известными эксплоитами.

И потом, любой нормальный хостер имеет давно ащиту от DDOS.

Нет

Мы же рассматриваем говнотелеком

На самом деле больнее всякие app level ddos

Мы же рассматриваем говнотелеком

блин, опять дополнительные условия!

привет всем

нужна помощь по Nginx

нужно сделать регэксп

под ?mlfzsxxcjf такое

если есть в урл, например site.ru/?mlfzsxxcjf

поможет кто? :)

И потом, любой нормальный хостер имеет давно ащиту от DDOS.

И кто из хостеров нормально переживет 100гбит в их сторону?

поможет кто? :)

Гугл?

если есть в урл, например site.ru/?mlfzsxxcjf

if ($args ~ "mlfzsxxcjf") {}

-_-

ну так эти буквы

каждый раз разные

ээ, ну раз они каждый раз разные, то тебе подойдет любой набор (:

ботнет не обязательно досит, тащемта. ботнет может долго-долго долбить меня всеми известными эксплоитами.

Блин ты действительно не понимаешь, что твоя машинка может состоять в ботнете и ты никаких проблем не будешь испытывать? Потому что она будет срать в кого то небольшим потоком говна.

Блин ты действительно не понимаешь, что твоя машинка может состоять в ботнете и ты никаких проблем не будешь испытывать? Потому что она будет срать в кого то небольшим потоком говна.

я? я понимаю. я не понимаю, с чего ты решил, что нат спасет от того, что машинка клиента будет спокойно досить кого-нибудь в какой-нибудь франции.

Потому что к ней нельзя подключиться снаружи и отдать команду если она не заражена

Потому что к ней нельзя подключиться снаружи и отдать команду если она не заражена

Чо?

Потому что к ней нельзя подключиться снаружи и отдать команду если она не заражена

давно дизайн ботнетов смотрели-то? никто давным давно не подключается к клиентам. клиенты ходят за заданиями куда положено. иногда например в твиттер. :)

Чо?

Подключись к 192.168.88.17

давно дизайн ботнетов смотрели-то? никто давным давно не подключается к клиентам. клиенты ходят за заданиями куда положено. иногда например в твиттер. :)

Куда твой маршрутизатор ходит?

Подключись к 192.168.88.17

Похоже, ты никогда не видел ботнетов

Командные центры - это irc/telegram/etc

Куда твой маршрутизатор ходит?

а при чем тут маршрутизатор? машина за маршрутизатором (натом) замечательно сходит.

Домен командного центра каждый день новый

а при чем тут маршрутизатор? машина за маршрутизатором (натом) замечательно сходит.

А причем здесь машина?

Где мы обсуждаем зараженные компы? Я чио с идиотами разговариваю?

Генерится по псевдослучайному алгоритму

Где мы обсуждаем зараженные компы? Я чио с идиотами разговариваю?

Машины прекрасно инфектятся без того что ты пишешь

Машины прекрасно инфектятся без того что ты пишешь

благородный дон утверждает, что зло в интернете от китаедевайсов

И да, все команды к ботнету имеют подпись.

Машины прекрасно инфектятся без того что ты пишешь

Да это хуйня по сравнению с дырявыми железками

Да это хуйня по сравнению с дырявыми железками

Я выше уже писал: пользователь за нат попросит тебя дать доступ к его камере.

Я ждудемонстрацию DNS амплификейшин через нат. До этого момента - отъебитесь пожалуйста.

Я ждудемонстрацию DNS амплификейшин через нат. До этого момента - отъебитесь пожалуйста.

Что есть "через Нат"? Днс за нат?

Вот устройство за нат: 192.168.88.17 когда покажешь мне к нему доступ, будем дальше разговаривать.

Вот устройство за нат: 192.168.88.17 когда покажешь мне к нему доступ, будем дальше разговаривать.

я щас сделаю устройство с этим адресом и покажу к нему доступ.

и ты не сможешь сказать, что твое устройство с этим адресом лучше моего.

К твоей опенвртшке я доступ получил

Вот устройство за нат: 192.168.88.17 когда покажешь мне к нему доступ, будем дальше разговаривать.

Да тот же ftp

и ты не сможешь сказать, что твое устройство с этим адресом лучше моего.

Смогу. Утверждалось что никакой разницы между nat/public нету

Между нат/паблик нет разницы?

К твоей опенвртшке я доступ получил

Скажи адрес внутренней подсети

Интересные у вас разговоры

Смогу. Утверждалось что никакой разницы между nat/public нету

кем?

https://habrahabr.ru/post/134638/

ты даешь адрес устройства. я показываю устройство с этим адресом. ты не сможешь доказать, что это "не то устройство".

Нет разницы между nat/public в этом контексте

Нет разницы между nat/public в этом контексте

statefull firewall. В nat есть стейты, но это не firewall

Роман, ваше требование "взломайте Х, но где Х - я не скажу, а пока вы не взломаете Х, я буду считать вас долбоебами" - такое же как у Паши Дурова с его доказательством безопасности телеграма. https://habrahabr.ru/post/206724/ - подробнее про такое.

мда, что-то без конструктива как-то

Роман, ваше требование "взломайте Х, но где Х - я не скажу, а пока вы не взломаете Х, я буду считать вас долбоебами" - такое же как у Паши Дурова с его доказательством безопасности телеграма. https://habrahabr.ru/post/206724/ - подробнее про такое.

Интересная статья, не видел, спасибо

ну справедливости ради, я тоже не спрашивал у своего провайдера про ipv6.

мне как-то было грустно работать в субботу в 2 ночи и я решил доебаться до провайдера и спросить через тех поддержку где же мой ipv6 )

ну ты тут хорохорился "дайте адрес, я взломаю"

а чего ты 127.0.0.6 ему не сказал?)

а чего ты 127.0.0.6 ему не сказал?)

я сказал ::1

я сказал ::1

а, я видимо пропустил

Нет разницы между nat/public в этом контексте

Ты смешиваешь две проблемы: нат и то что пользователи ставят всякое дырявое говно

я так и не понял. LinkedIN работает или нет? у меня как-то кусками он

я так и не понял. LinkedIN работает или нет? у меня как-то кусками он

Работает, не в рф

Мде, кто-то явно не понимает как работает ботнет

Причём тут нат/паблик так и не понял

Причём тут нат/паблик так и не понял

Типа нельзя к челу за натом подцепиться и поломать

Типа нельзя к челу за натом подцепиться и поломать

Аа, можно куда угодно же

Это да, но точно так же нельзя и к устройству за stateful firewall.

Угу, это естественно