Заметка damagelib против СБУ. Кто победит ?

[0x42]

Все наверное в курсе хронологии событий:

Важно - xss.is - Всё ? Или вернутся ?

Заметка - Ситуация с XSS.IS, взгляд от СБУ

Важно - Апдейт по ситуации с XSS.IS. Что с xss.is. Где теперь xss

Если вкратце, модераторы xss.is сделали свой ресурс:

https://damagelib.tw/

СМИ молчат, но на самом деле сейчас развернулась настоящая война между СБУ, или незнаю кто стоит за новым админом xss и модераторами, теперь уже нового ресурса damagelib.
Что происходит, все хотят нарушить работу площадок путем ддос атак.

В итоге уже почти сутки оба ресурса и не работают, по этой причине...

Онион ресурс damagelib также недоступен.

Интересно каким образом ддосят onion, я думал это сложно, да и в новых серверах вроде защиту по крайне-мере rate-limit можно сделать.
А кто-то в курсе как ложат именно onion сайты ?

Ну и выкладывайте информацию с фронтов.)

 

[Pol1ch1n3lle]

Интересно каким образом ддосят onion, я думал это сложно

Тор работает с низкой пропускной способностью. Скорость 1-2Мб/сек.

Мне кажется удачным представление линка как трубы. И по одной трубе льются Download и Upload в разные стороны.
Если отправить запрос на 1кб, и сервер ответит 30кб или даже 100кб, то достаточно отправлять всего 100 rps, и сервер сам забьет свою трубу, не успевая выгрузить все ответы на ноду.
Итог: Труба забита, запросы стоят в очереди, ожидая возможности пройти через трубу. А значит сайт недоступен.

Посмотрите на страницы защиты от DDOS. Они сжаты, максимально простые и легкие, чтобы снизить отношение запрос/ответ.

Еще для защиты создают зеркала, запускают больше инстансов, используют балансировщики. Но это не меняет сути.
DDOS это математика и деньги

 

[bbbcode]

Итог: Труба забита, запросы стоят в очереди, ожидая возможности пройти через трубу. А значит сайт недоступен.

Да можно так, а можно и проще...

Атака на лимиты, например в торе есть есть лимиты, тот-же POW.

Вот например ситуация, админ поставил POW (вычислительная задача ботам), вот например такой лимит 30/100, т.е. 100 клиентам в секунду при всплеске задача не будет предлагаться, очередь 100, пополнение 30 (Т.е. после всплеска 30 клиентам в секунду задача не будет предлагаться).

Можно условно делать 200-300 коннектов в секунду и легальные посетители уже долго будут ждать очередь, короче относительно легко можно забить лимит, также лимиты на интро точку.

Тут если делать очень большие лимиты, то можно упереться в ресурсы сервера, маленькие лимиты просто забьют и новые посетители либо будут долго ждать, либо вообще не попадут на сайт.

Да всё верно:

DDOS это математика и деньги

Но как минимум зеркала можно поднять, в том-же клирнете, уже сложнее будет.)

 

[Pol1ch1n3lle]

в торе есть есть лимиты, тот-же POW.

Тут если делать очень большие лимиты, то можно упереться в ресурсы сервера, маленькие лимиты просто забьют и новые посетители либо будут долго ждать

Не думаю что получится положить через механизм POW.
POW сложно решить и легко проверить. Сервер почти не тратит ресурсы на проверку.
Такая атака замедлит на 1-2 секунды первое соединение для новых пользователей.

 

[bbbcode]

POW сложно решить и легко проверить. Сервер почти не тратит ресурсы на проверку.

Проблема что у POW есть лимиты.

Вот как это работает, для понимания пример с сильно урезанным лимитом.

HiddenServicePoWDefensesEnabled 1
HiddenServicePoWQueueRate 5
HiddenServicePoWQueueBurst 10

5 - это сколько клиентов могут пройти без задачи.
10 - всплеск

Вот допустим вы ддосите и пытаетесь законектиться с 200 клиентами, что произойдет:

10 - в первую секунду пройдут сразу.

190 - Будут ждать в очереди с интервалом 10 клиентов в секунду + им предложат задачу.

Итого легальный посетитель будет ждать около 30 секунд, не меньше, по сути не смогут достучаться до сервера.

Также есть лимит вообще на максимальное число клиентов.

Все упирается в ресурсы сервера и возможности атакующего.