A
Есть любопытная статья на Хабре, где автор предлагает свой метод для нанесения урона ботнету. Суть метода в том, чтобы автоматизировать процесс отсылки абуз провайдерам, обслуживающим машины ддос-ботов. Едва ли такие меры помогут нанести серьезный урон ддосеру, но они могут удорожить ддос, ведь даже если ддосер потеряет только 100 ботов из 10000, ему будет необходимо компенсировать эту потерю за счет повышения цены на своих услуги.
Итак, автор статьи предлагает воспользоваться своими скриптами для сбора IP адресов ботов и автоматической отсылки абуз.
Ссылка для скачивания: https://github.com/Ajex/AntiDdosAbuse
Тут хочу заметить, что абузить всех ботов подряд - занятие малополезное, изначально надо запретить доступ на сервер для ряда стран, таких как Китай, Индонезия, Ирак, Индия и других азиатских стран, ведь писать им абузы бессмысленно. Уже отфильтрованный траффик мы будем анализировать скриптами и абузить.
Для начала установим утилиту whois.
Скрипт show_ips.sh — выводит список ip адресов из лога и количество пакетов, которые прошли за интервал сбора.
Команда
сохранит список ботов за указанную дату в файл ddos_ips.txt в формате:
где слева количество подключений, а справа IP адрес бота.
В атаке могут участвовать как зараженные машины обычных пользователей, так и мощные сервера. Если количество подключений большое, то можно предположить, что атака ведется с сервера (через зараженный сайт), а в этом случае на абузу могут отреагировать немедленно.
Скрипт get_info.sh — извлекает abuse email из whois информации для каждого айпишника, полученного скриптом show_ips.sh:
Вывод будет таким:
Где слева IP бота, а справа Email.
В скрипте есть конфигурационный параметр th_limit , он означает с какого количества соединений считать ип ботом, эта граница определяется на предыдущем шаге.
Скрипт get_logs.sh — скрипт извлекает из лога iptraf информацию по каждому конкретному ip адресу, сохраняет в отдельный файл и упаковывает в Gzip:
где, pref префикс создаваемых логов для удобства их сортировки
В параметрах обязательно указать th_limit, это опять число коннектов из файла ddos_ips.txt отделяющих хорошие ip адреса от ботов.
На выходе в текущей папке будут созданы Gzip файлы содержащие логи по каждому отдельному ипу.
--------------------------------------
Эта идея "ударить по ботнету" показалось мне очень интересной, требующей глубокого изучения и развития.
Сегодня ддосеры не несут практически никакого ущерба в процессе атак и нередко занимаются банальным шантажом - ддосят случайный сайт и требуют с админа деньги за прекращение атаки. Зарабатывают на ддосе и всевозможные антиддос-сервисы, владельцами которых, кстати, могут быть тоже ддосеры (они могут сами переодически ддосить сайты своих клиентов, чтобы удержать их). С этой паразитической системой необходимо бороться совместными усилиями вебмастеров.
Итак, автор статьи предлагает воспользоваться своими скриптами для сбора IP адресов ботов и автоматической отсылки абуз.
Ссылка для скачивания: https://github.com/Ajex/AntiDdosAbuse
Тут хочу заметить, что абузить всех ботов подряд - занятие малополезное, изначально надо запретить доступ на сервер для ряда стран, таких как Китай, Индонезия, Ирак, Индия и других азиатских стран, ведь писать им абузы бессмысленно. Уже отфильтрованный траффик мы будем анализировать скриптами и абузить.
Для начала установим утилиту whois.
Код:
apt install whois
# проверем
whois 85.115.248.144Скрипт show_ips.sh — выводит список ip адресов из лога и количество пакетов, которые прошли за интервал сбора.
Команда
Код:
./show_ips.sh iptraf.log "Dec 12" > ddos_ips.txt
Код:
7833 x.x.x.x
19343 y.y.y.y
58234 z.z.z.zВ атаке могут участвовать как зараженные машины обычных пользователей, так и мощные сервера. Если количество подключений большое, то можно предположить, что атака ведется с сервера (через зараженный сайт), а в этом случае на абузу могут отреагировать немедленно.
Скрипт get_info.sh — извлекает abuse email из whois информации для каждого айпишника, полученного скриптом show_ips.sh:
Код:
./get_info.sh ddos_ips.txt > abuse_email.txt
Код:
x.x.x.x [email protected] [email protected]
y.y.y.y [email protected]
z.z.z.z [email protected]В скрипте есть конфигурационный параметр th_limit , он означает с какого количества соединений считать ип ботом, эта граница определяется на предыдущем шаге.
Скрипт get_logs.sh — скрипт извлекает из лога iptraf информацию по каждому конкретному ip адресу, сохраняет в отдельный файл и упаковывает в Gzip:
Код:
./get_logs.sh ddos_ips.txt iptraf.log "Nov 20" prefВ параметрах обязательно указать th_limit, это опять число коннектов из файла ddos_ips.txt отделяющих хорошие ip адреса от ботов.
На выходе в текущей папке будут созданы Gzip файлы содержащие логи по каждому отдельному ипу.
--------------------------------------
Эта идея "ударить по ботнету" показалось мне очень интересной, требующей глубокого изучения и развития.
Сегодня ддосеры не несут практически никакого ущерба в процессе атак и нередко занимаются банальным шантажом - ддосят случайный сайт и требуют с админа деньги за прекращение атаки. Зарабатывают на ддосе и всевозможные антиддос-сервисы, владельцами которых, кстати, могут быть тоже ддосеры (они могут сами переодически ддосить сайты своих клиентов, чтобы удержать их). С этой паразитической системой необходимо бороться совместными усилиями вебмастеров.
Последнее редактирование модератором:
