打造TB级流量DDoS大杀器

insight-labs (Root Yourself in Success) | 2013-08-26 20:43

zmap扫遍ipv4地址的udp 53端口，或者某安全意识薄弱国家的ip段

然后编程序，多线程udp异步验证是否为开放式的服务器：

方法：

在自己控制的域名下面建立一个TXT字段，里面随便放点啥。

直接生成dns查询数据包，不要用系统自带的查询功能，以获得最高性能的查询。

按照那些ip地址批量发送查询指定域名TXT字段的数据包，哪个ip返回的dns回复里面有你在域名DNS TXT里设定的值，就说明那个ip存在open resolver。

搜集完整后，可以对ip列表进行进行reverse dns查询，确定所属的运营商或公司。根据ip归属，可以大体按带宽来分类，比如大ISP的是A类，带宽最高，中型ISP是B类等等。

然后搜集一些有DNS域传送漏洞的域名（里面东西越多越好），或者用了DNSsec的，或者TXT里有大量内容的域名(最好不要用自己的……)。这些用来做payload，返回数据越大越好，域传送的最好不过了。

直接生成查询域传送域名的数据包，伪造sender ip，raw_socket发送……

放大效果在50倍-1000倍左右。

如果使用得当的话，1个G口带宽服务器能达到1TB的理论反射流量

相关讨论：

1#

无敌L.t.H (:?门安天京北爱我) | 2013-08-26 20:45

其实放大倍数没这么大

2#

insight-labs (Root Yourself in Success) | 2013-08-26 20:53

@无敌L.t.H

变量很多，选用服务器的带宽，dns服务器的带宽，payload等等都会影响。不过基本上用的好的话都能有100倍左右的放大。

3#

无敌L.t.H (:?门安天京北爱我) | 2013-08-26 20:58

@insight-labs 其实最开始是BGP反射，射挂一堆骨干路由。

4#

whirlwind (我们天真的梦在哪里?我们的快乐遗落在哪里?相信自己你最了不起，没人可以，对你的梦看不起。) | 2013-08-26 22:33

好高级的样子，，没研究过这些，求详解。。

5#

陈再胜 (http://t.qq.com/mibboy求收听) | 2013-08-26 23:05

今天啊D网站被D是你干的把······

6#

Ki11 (????????????????????????????) | 2013-08-27 07:35

好像很牛逼的样子

7#

insight-labs (Root Yourself in Success) | 2013-08-27 11:23

@陈再胜 我对ddos兴趣不大，比较喜欢7层DoS，这才是比较有技术含量的事情。

8#

九九 (你说我是禽兽，可我连禽兽都不如。) | 2013-08-27 13:54

@insight-labs 啥是7层DOS

9#

insight-labs (Root Yourself in Success) | 2013-08-27 14:24

@九九 利用应用层的漏洞，比如slow loris，slow post，php的hash碰撞导致hash table退化成链表等等

10#

九九 (你说我是禽兽，可我连禽兽都不如。) | 2013-08-27 14:48

@insight-labs 好高端。

11#

_Evil (年轻人切忌浮躁,性趣是最好的导师.) | 2013-08-27 16:20

@insight-labs 其实我膜拜你很久了只是不好意思说出来...

12#

khjian | 2013-08-27 17:15

@insight-labs 不明觉厉！

13#

Mujj (我主要是不太会说话，如有冒犯，你他妈来打我啊。) | 2013-08-27 17:40

最牛B的DDOS是用AS广播别人的IP为自己的，然后他就宕了。

14#

无敌L.t.H (:?门安天京北爱我) | 2013-08-27 18:02

@Mujj 以前某省电信收回过8.8.8.8这一不可侵犯的神圣IP，转到自己的机房……

15#

insight-labs (Root Yourself in Success) | 2013-08-27 19:09

@无敌L.t.H @Mujj

这是路由污染，要么拿下主干网BGP路由，要么自己是GFW

16#

_Evil (年轻人切忌浮躁,性趣是最好的导师.) | 2013-08-29 12:39

@insight-labs 这个思路真的不错~! 直接生成查询域传送域名的数据包，伪造sender ip，raw_socket发送……

自己空间准备好待查询的DNS TXT ->>>找53端口批量查询->>>>哪个返回了证明哪个open resolver->>>>最后找多点存在DNS传送域漏洞的网站然后伪造sender ip，raw_socket发送……

结果是:被伪造攻击的IP受到四面八方的数据包返回挂死了....

17#

insight-labs (Root Yourself in Success) | 2013-08-29 21:37

@_Evil

对啊，dns反射攻击不就是这样的么

18#

9k九块钱 | 2013-08-30 01:41

ddos有娱乐的价值，但重来没有研究过

19#

CplusHua (都是被逼的~) | 2013-08-30 03:08

楼主的思路很好，这个思路之前在一次攻击报道中也见过。大量的UDP 53端口返回的信息直接导致服务器宕机，不过过滤此类攻击也很简单，只要限制源端口为53的UDP包就可以过滤掉了，不知道有没有办法可以绕过这种过滤机制。

20#

liner (/\) | 2013-08-30 06:57

dongtaiwang最近被攻击是楼主干的吗

21#

insight-labs (Root Yourself in Success) | 2013-08-30 08:08

@CplusHua 看在那个点过滤了，TB级可以把机房都干掉了

22#

insight-labs (Root Yourself in Success) | 2013-08-30 09:04

@liner 本组织政治中立