14.01.2017, 15:23
(
Последний раз редактировалось RDM; 23.01.2017 в 21:05.
)
Olб amigos do fуrum abro este topico para um breve relato sobre Layer 7 ataques em SA:MP servers,
bom primeiramente quero dizer que atualmente й muito simples criar um script clonando os pacotes do SA:MP , e fazendo o famoso
ataque DOS, negaзгo de serviзo, algumas 5 linhas utilizando python vocк consegue milagres (obviamente vocк deve ter conhecimento sobre redes , protocolos ), mas porque й tгo simples assim clonar pacotes no sa:mp ?
Primeiramente SA:MP roda no protocolo 17 (udp) , este nгo possui autenticaзгo ,
segundo fator й o fato do SA:MP fazer a autenticaзгo usando apenas a DATA( dado , ou seja o conteudo em si ) do packet , oque facilita muito a vida de atacantes.
Outras observaзхes importantes e o fato do client (aplicatico que o jogador usa para se connectar no servidor) SA:MP enviar pacotes seguindo a port do Servidor ( ou seja, a data do pacote й formada comforme a port do servidor) e o Servidor Envia os pacotes seguindo a port usada pelo client para se conectar , isso de certa forma era para ser uma barreira que dificultaria no caso a clonagem dos pacotes, porйm nгo й isso que realmente acontece , com um bбsico aprendizado em monitoramento de pacotes e algum conhecimento em sockets seja qual for a linguagem o atacante cria facilmente um exploit que passa por qualquer firewall,
Bom quando o pacote й originado de um ъnico atacante й fбcil lidar com o ataque, entretando quando este ataque й spoofed a coisa complica um pouco mais sim й possнvel bloquea-los , porйm entretanto ao ataque ser oriundo de uma botnet (algo que estб se tornando comum atualmente) a mitigaзгo й um tanto quanto difнcil,
pensem comigo o pacote й igual ao do client correto, se droparmos ele certamente iremos dropar(bloquear/descartar) o do client,
estes ataques sгo complexos de ser bloqueados justamente por isso,
Bom mas й possнvel claro que й possнvel bloquea-los , talvez apenas dropar os pacotes do atacante nгo seja possнvel obviamente ele й igual ao do client porйm й possнvel bloquear o ip do atacante ou seja, de todos os atacantes , fazendo uma especie de autenticaзгo , obviamente o atacante sу envia requisiзгo de cookie ele nгo quer conectar no servidor mas nossos jogadores querem , levando isso em conta й possнvel criar um especie de portгo usando iptables ou qualquer outro firewall ...
voltando ao assunto da botnet eu acabei me impressionando com a ousadia dos atacantes , donos de servidores estгo infectando seus proprios jogadores, sim isso parece loucura mais й verdade , sabem os anti-cheats ? й aqueles que executamos para podermos jogar em determinados servidores ? entгo estes em alguns servidores estгo infectados com uma especie de vнrus ( na verdade й um client de uma botnet) , assim os donos do servidor usam a internet de seus jogadores para fazerem ataques DDoS contra outros servidores , vocк deve estar se perguntando como eu descobrir isso , bom um cliente de minha empresa estava ( o mesmo й espanhol) a utilizar um vps para hospedar seu servidor, o mesmo estava a receber um ataque e me informou, entгo eu realmente nгo sabia que ele estava usando seu servidor vps para hospedar um servidor SA:MP rapidamente apliquei as regras de nosso firewall, atй ai tudo bem , ele me informou que alguns amigos dele estavam sendo bloqueados, porйm eu tinha certeza que o firewall nгo estava pegando inocentes , fui averiguar e realmente os amigos do meu cliente estava participando do ataque ou seja estavam atacando o servidor , bom como percebi que se tratava de uma botnet pedi a ele que pedisse aos seus amigos que fizessem a instalaзгo de um software em seu computador ( malwarebytes)( me parece que o crypter usado pelos safados nгo era algo muito bom , possivelmente algo baixado da internet, pois criar um crypter й um tarefa um tanto complexa ( experiencia propria) ) bom apуs isso ser feito os ips deles foram liberados no firewall, e eles puderam jogar normalmente , й realmente impressionante que donos de servidores estгo usando seus prуprios jogadores para fazerem ataques.
Bom realmente nгo sei qual o servidor que estб praticando tais atos, o dono do servidor falou que seus amigos haviam jogado em varios servidores com este tipo de anti-cheat ....
serб que as empresas estгo preparadas para isso, para receber este tipo de ataques Layer 7 oriundos de botnets ??
bom uma das empresas que й mais requisitada no sa:mp por ter um bom anti-ddos e uma das maiores empresas nгo conseguiram proteger o servidor do meu atual cliente destes ataques ( a botnet atualmente possui cerca de 1500 ~2000 bots ).
ah se essa moda pega em .....
Dica : Antes de baixarem qualquer coisa e executaram apesar de terem antivнrus tomem cuidado pois os crypters tem a intensгo de burlar os principais antivнrus, recomendo sempre utilizar o site: http://www.nodistribute.com/
Bom minhas experiencias com ele й excelente,
Eu nгo utilizo windows a pouco mais de 2 anos (passei a utilizar linux ) , porйm meus amigos me informaram que ele continua bom,
Й isso galera sу queria compartilhar este fato com vocкs do fуrum ,
Bom PT e alguns amigos aqui do fуrum haviam me pedido para trazer tutorias sobre estб vasta бrea de redes para o fуrum, bom infelizmente isso nгo serб possнvel pois deveria tratar sobre a comunicaзгo entre o client e o servidor, e se eu fizer isso qualquer pessoa que ficar atenta aos tutoriais conseguirб criar scripts maliciosos para atacarem servidores SA:MP
( pois como a autenticaзгo й por DATA(dado) enviando estб data(dado) que eu teria que fornecer em um simples pacote Udp utilizando sockets jб terнamos um script em potencial para fazer negaзгo de serviзo ( DOS))
Mas quem tiver interresse me procure obviamente nгo irei mostrar passo a passo mas mostrarei o caminho a ser seguido
.
bom primeiramente quero dizer que atualmente й muito simples criar um script clonando os pacotes do SA:MP , e fazendo o famoso
ataque DOS, negaзгo de serviзo, algumas 5 linhas utilizando python vocк consegue milagres (obviamente vocк deve ter conhecimento sobre redes , protocolos ), mas porque й tгo simples assim clonar pacotes no sa:mp ?
Primeiramente SA:MP roda no protocolo 17 (udp) , este nгo possui autenticaзгo ,
segundo fator й o fato do SA:MP fazer a autenticaзгo usando apenas a DATA( dado , ou seja o conteudo em si ) do packet , oque facilita muito a vida de atacantes.
Outras observaзхes importantes e o fato do client (aplicatico que o jogador usa para se connectar no servidor) SA:MP enviar pacotes seguindo a port do Servidor ( ou seja, a data do pacote й formada comforme a port do servidor) e o Servidor Envia os pacotes seguindo a port usada pelo client para se conectar , isso de certa forma era para ser uma barreira que dificultaria no caso a clonagem dos pacotes, porйm nгo й isso que realmente acontece , com um bбsico aprendizado em monitoramento de pacotes e algum conhecimento em sockets seja qual for a linguagem o atacante cria facilmente um exploit que passa por qualquer firewall,
Bom quando o pacote й originado de um ъnico atacante й fбcil lidar com o ataque, entretando quando este ataque й spoofed a coisa complica um pouco mais sim й possнvel bloquea-los , porйm entretanto ao ataque ser oriundo de uma botnet (algo que estб se tornando comum atualmente) a mitigaзгo й um tanto quanto difнcil,
pensem comigo o pacote й igual ao do client correto, se droparmos ele certamente iremos dropar(bloquear/descartar) o do client,
estes ataques sгo complexos de ser bloqueados justamente por isso,
Bom mas й possнvel claro que й possнvel bloquea-los , talvez apenas dropar os pacotes do atacante nгo seja possнvel obviamente ele й igual ao do client porйm й possнvel bloquear o ip do atacante ou seja, de todos os atacantes , fazendo uma especie de autenticaзгo , obviamente o atacante sу envia requisiзгo de cookie ele nгo quer conectar no servidor mas nossos jogadores querem , levando isso em conta й possнvel criar um especie de portгo usando iptables ou qualquer outro firewall ...
voltando ao assunto da botnet eu acabei me impressionando com a ousadia dos atacantes , donos de servidores estгo infectando seus proprios jogadores, sim isso parece loucura mais й verdade , sabem os anti-cheats ? й aqueles que executamos para podermos jogar em determinados servidores ? entгo estes em alguns servidores estгo infectados com uma especie de vнrus ( na verdade й um client de uma botnet) , assim os donos do servidor usam a internet de seus jogadores para fazerem ataques DDoS contra outros servidores , vocк deve estar se perguntando como eu descobrir isso , bom um cliente de minha empresa estava ( o mesmo й espanhol) a utilizar um vps para hospedar seu servidor, o mesmo estava a receber um ataque e me informou, entгo eu realmente nгo sabia que ele estava usando seu servidor vps para hospedar um servidor SA:MP rapidamente apliquei as regras de nosso firewall, atй ai tudo bem , ele me informou que alguns amigos dele estavam sendo bloqueados, porйm eu tinha certeza que o firewall nгo estava pegando inocentes , fui averiguar e realmente os amigos do meu cliente estava participando do ataque ou seja estavam atacando o servidor , bom como percebi que se tratava de uma botnet pedi a ele que pedisse aos seus amigos que fizessem a instalaзгo de um software em seu computador ( malwarebytes)( me parece que o crypter usado pelos safados nгo era algo muito bom , possivelmente algo baixado da internet, pois criar um crypter й um tarefa um tanto complexa ( experiencia propria) ) bom apуs isso ser feito os ips deles foram liberados no firewall, e eles puderam jogar normalmente , й realmente impressionante que donos de servidores estгo usando seus prуprios jogadores para fazerem ataques.
Bom realmente nгo sei qual o servidor que estб praticando tais atos, o dono do servidor falou que seus amigos haviam jogado em varios servidores com este tipo de anti-cheat ....
serб que as empresas estгo preparadas para isso, para receber este tipo de ataques Layer 7 oriundos de botnets ??
bom uma das empresas que й mais requisitada no sa:mp por ter um bom anti-ddos e uma das maiores empresas nгo conseguiram proteger o servidor do meu atual cliente destes ataques ( a botnet atualmente possui cerca de 1500 ~2000 bots ).
ah se essa moda pega em .....
Dica : Antes de baixarem qualquer coisa e executaram apesar de terem antivнrus tomem cuidado pois os crypters tem a intensгo de burlar os principais antivнrus, recomendo sempre utilizar o site: http://www.nodistribute.com/
Bom minhas experiencias com ele й excelente,
Eu nгo utilizo windows a pouco mais de 2 anos (passei a utilizar linux ) , porйm meus amigos me informaram que ele continua bom,
Й isso galera sу queria compartilhar este fato com vocкs do fуrum ,
Bom PT e alguns amigos aqui do fуrum haviam me pedido para trazer tutorias sobre estб vasta бrea de redes para o fуrum, bom infelizmente isso nгo serб possнvel pois deveria tratar sobre a comunicaзгo entre o client e o servidor, e se eu fizer isso qualquer pessoa que ficar atenta aos tutoriais conseguirб criar scripts maliciosos para atacarem servidores SA:MP
( pois como a autenticaзгo й por DATA(dado) enviando estб data(dado) que eu teria que fornecer em um simples pacote Udp utilizando sockets jб terнamos um script em potencial para fazer negaзгo de serviзo ( DOS)) Mas quem tiver interresse me procure obviamente nгo irei mostrar passo a passo mas mostrarei o caminho a ser seguido
.
, os ataques em seu servidor era layer 7 (cookie flood e Query Mechanism flood ) como este que foi reportado acima vinha de uma botnet com cerca de 2 mil bots/zombies ..