noet
Опытный user
- Регистрация
- 2 Авг 2021
- Сообщения
- 177
- Реакции
- 18
Прежде всего я расскажу вам про то, что такое спуфабл VPS и для чего он вообще нужен?
Спуфабл VPS - это сервер, который позволяет подменять IP-адрес источника (src IP) в сетевых пакетах.
Зачем это нужно? Например, для Amplification DDoS-атак, где IP-адрес источника подменяется на адрес жертвы, чтобы уязвимые сервисы (DNS, NTP, CLDAP, MEMCACHED и другие
(может быть когда-нибудь расскажу как искать такие сервисы)
) отправляли огромные ответы не обратно на VPS, а прямо на жертву.
Без спуфинга не получится сделать амплификацию. А амплификация - ключ к тому, чтобы превратить условные 100 Мбит собственного трафика в гигабиты отражённого. Наверняка некоторые из вас уже пытались "поиграть в хакера" с амплификацией насканив себе уязвимых сервисов, но ловили разочарование и удивлялись: "Почему атака не работает? Пакеты вроде летят, а жертва продолжает жить".
Всё очень просто - в 90% случаев ваш провайдер или сервер НЕ spoofable, поэтому просто отсекает такие подменные пакеты ещё до выхода в магистраль, поэтому они никогда не достигают уязвимых сервисов, простыми словами: Ваш трафик шел вникуда и жертва не получала ровным счётом ни-че-го.
Эта статья скорее пища для размышлений, чем готовый мануал. Кто-то напишет свой скрипт для автоматизации поиска, кто-то будет проверять всё руками, а кому-то просто будет интересно почитать.
Первым делом идём на официальный сайт CAIDA, а именно в последние тесты пользователей:
https://spoofer.caida.org/recent_tests.php
Тут мы видим таблицу последних тестов. Да, понимаю, выглядит страшно, сейчас всё объясню
![[IMG]](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7 "[IMG]")
Что значат столбцы:
• NAT - если стоит yes, значит клиент был за роутером и результаты искажены. Нас интересует no.
• Outbound Private - проверка спуфа локальных адресов (10.0.0.0, 192.168.0.0 и тд). Можно смело игнорировать.
• Outbound Routable - это и есть наше золото, если здесь стоит надпись received, значит пакеты с подменённым IP действительно дошли до CAIDA.
• Adj Spoof Prefix Len - размер диапазона, в котором спуф работает.
- /8 = очень крупная сеть (~16 млн адресов)
- /16 = ~65 тыс. адресов
- /24 = 256 адресов
Чем "шире" диапазон (ближе к /8), тем ценнее.
Большинство результатов приходят от обычных ISP (домашний интернет), которые нам не подходят.
Нам нужны именно хостинг-провайдеры, которые продают сервера/VPS.
1. Берём IP из таблицы CAIDA и проверяем его на https://ipinfo.io или через whois.
2. Ищем, чтобы владелец был hosting / data center, а не ISP / telecom / broadband ISP.
Пример:
Тут мы уже нашли сразу две интересные подсети:
• 216.114.75.x/24
• 187.109.17.x/24
Проверяем их через ipinfo.
Первый же адрес (216.114.75.1) оказался провайдером серверов:
Второй (187.109.17.1) же - обычным провайдером связи без VPS (таких мы скипаем):
В итоге процесс поиска выглядит так:
1. Смотрим список "recent tests" на CAIDA
2. Ищем строки, где NAT = no
3. Ищум строки, где Outbound Routable = received
4. Обращаем внимание на префиксы с /8.../24
5. Проверяем владельца IP через ipinfo/whois
6. Если это хостинг-провайдер, проверяем у него наличие VPS
На этом этапе уже всё зависит от вас:
Кто-то пойдёт собирать базу вручную, кто-то напишет автоматизацию.
Не знаю, как подвести итог этой статьи, наверное, какими-то красивыми словами. В общем, те, кому это действительно нужно - увидят в описанном подходе полезную либо уже знакомую идею, кому не интересно - просто пройдут мимо.
Дудосеров прошу не обижаться, я не пытаюсь убить ваш рынок, скорее наоборот, вдохнуть в него хоть немного свежего воздуха
UPD: Если вам лень всем этим заниматься, тратить деньги на поиск и проверку спуфабл VPS и вам проще переплатить, оставляю реддит ветку где люди иногда оставляют спуфбабл серваки: https://www.reddit.com/r/IPHM_Servers
Спуфабл VPS - это сервер, который позволяет подменять IP-адрес источника (src IP) в сетевых пакетах.
Зачем это нужно? Например, для Amplification DDoS-атак, где IP-адрес источника подменяется на адрес жертвы, чтобы уязвимые сервисы (DNS, NTP, CLDAP, MEMCACHED и другие
(может быть когда-нибудь расскажу как искать такие сервисы)
) отправляли огромные ответы не обратно на VPS, а прямо на жертву.
Без спуфинга не получится сделать амплификацию. А амплификация - ключ к тому, чтобы превратить условные 100 Мбит собственного трафика в гигабиты отражённого. Наверняка некоторые из вас уже пытались "поиграть в хакера" с амплификацией насканив себе уязвимых сервисов, но ловили разочарование и удивлялись: "Почему атака не работает? Пакеты вроде летят, а жертва продолжает жить".
Всё очень просто - в 90% случаев ваш провайдер или сервер НЕ spoofable, поэтому просто отсекает такие подменные пакеты ещё до выхода в магистраль, поэтому они никогда не достигают уязвимых сервисов, простыми словами: Ваш трафик шел вникуда и жертва не получала ровным счётом ни-че-го.
Эта статья скорее пища для размышлений, чем готовый мануал. Кто-то напишет свой скрипт для автоматизации поиска, кто-то будет проверять всё руками, а кому-то просто будет интересно почитать.
Первым делом идём на официальный сайт CAIDA, а именно в последние тесты пользователей:
https://spoofer.caida.org/recent_tests.php
Тут мы видим таблицу последних тестов. Да, понимаю, выглядит страшно, сейчас всё объясню
![[IMG]](https://nztcdn.com/files/05d0cbdf-99d9-4b8a-aa14-487815581517.webp "[IMG]")
Что значат столбцы:
• NAT - если стоит yes, значит клиент был за роутером и результаты искажены. Нас интересует no.
• Outbound Private - проверка спуфа локальных адресов (10.0.0.0, 192.168.0.0 и тд). Можно смело игнорировать.
• Outbound Routable - это и есть наше золото, если здесь стоит надпись received, значит пакеты с подменённым IP действительно дошли до CAIDA.
• Adj Spoof Prefix Len - размер диапазона, в котором спуф работает.
- /8 = очень крупная сеть (~16 млн адресов)
- /16 = ~65 тыс. адресов
- /24 = 256 адресов
Чем "шире" диапазон (ближе к /8), тем ценнее.
Большинство результатов приходят от обычных ISP (домашний интернет), которые нам не подходят.
Нам нужны именно хостинг-провайдеры, которые продают сервера/VPS.
1. Берём IP из таблицы CAIDA и проверяем его на https://ipinfo.io или через whois.
2. Ищем, чтобы владелец был hosting / data center, а не ISP / telecom / broadband ISP.
Пример:
![[IMG]](https://nztcdn.com/files/ede4ca6f-dac9-4cd5-9c23-613622da2671.webp "[IMG]")
Тут мы уже нашли сразу две интересные подсети:
• 216.114.75.x/24
• 187.109.17.x/24
Проверяем их через ipinfo.
Первый же адрес (216.114.75.1) оказался провайдером серверов:
![[IMG]](https://nztcdn.com/files/0cb0142a-fbb1-4511-aaaa-dcce38e06dd4.webp "[IMG]")
![[IMG]](https://nztcdn.com/files/0eb5f6b2-828a-4739-9a18-efcb2e4c1ec2.webp "[IMG]")
![[IMG]](https://nztcdn.com/files/b6c19941-080e-460d-a810-97360857d160.webp "[IMG]")
Второй (187.109.17.1) же - обычным провайдером связи без VPS (таких мы скипаем):
![[IMG]](https://nztcdn.com/files/15dd083b-4ae6-4f4a-915a-a2833ba1889e.webp "[IMG]")
В итоге процесс поиска выглядит так:
1. Смотрим список "recent tests" на CAIDA
2. Ищем строки, где NAT = no
3. Ищум строки, где Outbound Routable = received
4. Обращаем внимание на префиксы с /8.../24
5. Проверяем владельца IP через ipinfo/whois
6. Если это хостинг-провайдер, проверяем у него наличие VPS
На этом этапе уже всё зависит от вас:
Кто-то пойдёт собирать базу вручную, кто-то напишет автоматизацию.
Не знаю, как подвести итог этой статьи, наверное, какими-то красивыми словами. В общем, те, кому это действительно нужно - увидят в описанном подходе полезную либо уже знакомую идею, кому не интересно - просто пройдут мимо.
Дудосеров прошу не обижаться, я не пытаюсь убить ваш рынок, скорее наоборот, вдохнуть в него хоть немного свежего воздуха
UPD: Если вам лень всем этим заниматься, тратить деньги на поиск и проверку спуфабл VPS и вам проще переплатить, оставляю реддит ветку где люди иногда оставляют спуфбабл серваки: https://www.reddit.com/r/IPHM_Servers
