打造TB级流量DDoS大杀器
insight-labs (Root Yourself in Success) | 2013-08-26 20:43
zmap扫遍ipv4地址的udp 53端口,或者某安全意识薄弱国家的ip段
然后编程序,多线程udp异步验证是否为开放式的服务器:
方法:
在自己控制的域名下面建立一个TXT字段,里面随便放点啥。
直接生成dns查询数据包,不要用系统自带的查询功能,以获得最高性能的查询。
按照那些ip地址批量发送查询指定域名TXT字段的数据包,哪个ip返回的dns回复里面有你在域名DNS TXT里设定的值,就说明那个ip存在open resolver。
搜集完整后,可以对ip列表进行进行reverse dns查询,确定所属的运营商或公司。根据ip归属,可以大体按带宽来分类,比如大ISP的是A类,带宽最高,中型ISP是B类等等。
然后搜集一些有DNS域传送漏洞的域名(里面东西越多越好),或者用了DNSsec的,或者TXT里有大量内容的域名(最好不要用自己的……)。这些用来做payload,返回数据越大越好,域传送的最好不过了。
直接生成查询域传送域名的数据包,伪造sender ip,raw_socket发送……
放大效果在50倍-1000倍左右。
如果使用得当的话,1个G口带宽服务器能达到1TB的理论反射流量
相关讨论:
1#
无敌L.t.H (:?门安天京北爱我) | 2013-08-26 20:45
其实放大倍数没这么大
2#
insight-labs (Root Yourself in Success) | 2013-08-26 20:53
@无敌L.t.H
变量很多,选用服务器的带宽,dns服务器的带宽,payload等等都会影响。不过基本上用的好的话都能有100倍左右的放大。
3#
无敌L.t.H (:?门安天京北爱我) | 2013-08-26 20:58
@insight-labs 其实最开始是BGP反射,射挂一堆骨干路由。
4#
whirlwind (我们天真的梦在哪里?我们的快乐遗落在哪里?相信自己你最了不起,没人可以,对你的梦看不起。) | 2013-08-26 22:33
好高级的样子,,没研究过这些,求详解。。
5#
陈再胜 (http://t.qq.com/mibboy求收听) | 2013-08-26 23:05
今天啊D网站被D是你干的把······
6#
Ki11 (????????????????????????????) | 2013-08-27 07:35
好像很牛逼的样子
7#
insight-labs (Root Yourself in Success) | 2013-08-27 11:23
@陈再胜 我对ddos兴趣不大,比较喜欢7层DoS,这才是比较有技术含量的事情。
8#
九九 (你说我是禽兽,可我连禽兽都不如。) | 2013-08-27 13:54
@insight-labs 啥是7层DOS
9#
insight-labs (Root Yourself in Success) | 2013-08-27 14:24
@九九 利用应用层的漏洞,比如slow loris,slow post,php的hash碰撞导致hash table退化成链表等等
10#
九九 (你说我是禽兽,可我连禽兽都不如。) | 2013-08-27 14:48
@insight-labs 好高端。
11#
_Evil (年轻人切忌浮躁,性趣是最好的导师.) | 2013-08-27 16:20
@insight-labs 其实我膜拜你很久了只是不好意思说出来...
12#
khjian | 2013-08-27 17:15
@insight-labs 不明觉厉!
13#
Mujj (我主要是不太会说话,如有冒犯,你他妈来打我啊。) | 2013-08-27 17:40
最牛B的DDOS是用AS广播别人的IP为自己的,然后他就宕了。
14#
无敌L.t.H (:?门安天京北爱我) | 2013-08-27 18:02
@Mujj 以前某省电信收回过8.8.8.8这一不可侵犯的神圣IP,转到自己的机房……
15#
insight-labs (Root Yourself in Success) | 2013-08-27 19:09
@无敌L.t.H @Mujj
这是路由污染,要么拿下主干网BGP路由,要么自己是GFW
16#
_Evil (年轻人切忌浮躁,性趣是最好的导师.) | 2013-08-29 12:39
@insight-labs 这个思路真的不错~! 直接生成查询域传送域名的数据包,伪造sender ip,raw_socket发送……
自己空间准备好待查询的DNS TXT ->>>找53端口批量查询->>>>哪个返回了证明哪个open resolver->>>>最后找多点存在DNS传送域漏洞的网站然后伪造sender ip,raw_socket发送……
结果是:被伪造攻击的IP受到四面八方的数据包返回挂死了....
17#
insight-labs (Root Yourself in Success) | 2013-08-29 21:37
@_Evil
对啊,dns反射攻击不就是这样的么
18#
9k九块钱 | 2013-08-30 01:41
ddos有娱乐的价值,但重来没有研究过
19#
CplusHua (都是被逼的~) | 2013-08-30 03:08
楼主的思路很好,这个思路之前在一次攻击报道中也见过。大量的UDP 53端口返回的信息直接导致服务器宕机,不过过滤此类攻击也很简单,只要限制源端口为53的UDP包就可以过滤掉了,不知道有没有办法可以绕过这种过滤机制。
20#
liner (/\) | 2013-08-30 06:57
dongtaiwang最近被攻击是楼主干的吗
21#
insight-labs (Root Yourself in Success) | 2013-08-30 08:08
@CplusHua 看在那个点过滤了,TB级可以把机房都干掉了
22#
insight-labs (Root Yourself in Success) | 2013-08-30 09:04
@liner 本组织政治中立