共计 1691 个字符,预计需要花费 5 分钟才能阅读完成。
PS:本文纯学术讨论,黑产哥您走好成本低的 DDoS 都是利用 UDP 协议无连接无法验证源 IP 的特性,伪造源 IP 发响应报文远大于请求报文的特定 UDP 协议请求包来实现流量的反射和发大。典中典的就是 ntp 反射,虽说 ntpd 在 p4.2.7 后就禁用了 monlist,但是借助测绘引擎和特定语法,还是能找到大量存在 ntp monlist 漏洞的 ntp 服务器。我测试了一台 VPS,正常向某台存在漏洞的 ntp 服务器发 monlist 请求,同时 tcpdump 抓包,确实收到了来自漏洞 ntp 服务器的多个 ntp 响应包。之后我按照网上 ntpdos 的脚本伪造 VPSIP 向那台 ntp 服务器发包,同时在本机上 Wireshark、VPS 上 tcpdump 抓包,发现 VPS 此时并没有收到漏洞 ntp 服务器的响应包。但是对比我伪造的 ntp 报文在结构上和 VPS 正常 monlist 请求的 ntp 报文,结构上基本一致。为什么 VPS 收不到 ntp 响应包,属实让我蒙在鼓里。查了很多的资料,发现可能是因为运营商在路由器上部署了 IP 源地址验证的技术,导致我本机上伪造的请求根本没有到达 ntp 服务器。不知道这个猜想对不对,如果对的话,既然还有小学生用这招,就证明没有封死这条路。那么问题来了:哪家 IDC 能买到可以伪造 IP 的 VPS?mnihyc 2023-01-27 01:13 2 纯学术讨论,基本上不可能,除非加钱升级到那种没有过滤的 ip transit DaoChen 2023-01-27 01:14 3 额 所以你想问可伪造的发包机哪里买?cobra1 2023-01-27 01:15 4DaoChen 发表于 2023-1-27 01:14 额 所以你想问可伪造的发包机哪里买?所以哪里有,上 aff 链接,我想研究一下 diocat 2023-01-27 01:26 5 翻译:哪里买发包机我要打人 acpp 2023-01-27 01:34 6 应该不是 IP 检测,而是脚本产生的大流量导致被过滤。因为 ntp 的检测只要过滤 udp 123 端口就可以。如果是 IP 检测的话,你直接把脚本弄到 VPS 上,用 VPS 发起请求看会不会收到响应就知道了。cobra1 2023-01-27 01:42 7acpp 发表于 2023-1-27 01:34 应该不是 IP 检测,而是脚本产生的大流量导致被过滤。因为 ntp 的检测只要过滤 udp 123 端口就可以。如果是 IP 检 … 不,可以肯定就是 ISP(Internet service provider) 的源 IP 验证策略导致的。因为 VPS 可以正常收到 monlist 响应,证明 ntp monlist 请求检测没有过滤机制。但是收不到伪造的 monlist 请求响应包,证明伪造的 monlist 请求没有到 ntp 服务器,既然不是 ntp 检测,就是 IP 检测。脚本放 VPS 上跑当然能成功,因为源 IP 就是自己,放同 IDC 下别的 VPS 上跑,照样成功不了 acpp 2023-01-27 01:52 8 内容最后由 acpp 于 2023-1-27 01:53 编辑 cobra1 发表于 2023-1-27 01:42 不,可以肯定就是 ISP(Internet service provider) 的源 IP 验证策略导致的。因为 VPS 可以正常收到 monlist 响应,证明 ntp monlist 请求检测 … 脚本在 VPS 也能收到放大后的所有响应包?如果这也可以那只能开一台 ntp 单独测试,在这边抓包看能否收到请求。cobra1 2023-01-27 02:02 9acpp 发表于 2023-1-27 01:52 脚本在 VPS 也能收到放大后的所有响应包?如果这也可以那只能开一台 ntp 单独测试,在这边抓包看能否收到请 … 为了抓包分析方便我每次都是只给一台 ntp 服务器发一次请求的…… antbt 2023-01-27 02:03 10 许多做灰黑产的也想知道这个问题的答案? 伪造源 IP 在技术上来说没有任何难度,只是你很难找到允许这样发包的机器 cobra1 2023-01-27 02:15 11antbt 发表于 2023-1-27 02:03 许多做灰黑产的也想知道这个问题的答案伪造源 IP 在技术上来说没有任何难度,只是你很难找到允许这样 … 对啊,所以就想知道哪个机房可以,这就是坛友的专业了
