DDoS-атака на веб-сайт через торрент-трекер

digger® · 14 марта 2015, 14:38:15

Оказывается, владельцы популярных торрент-трекеров при желании могут направить большой поток HTTP-трафика на любой сайт. Для этого им нужно просто поставить скрипт, который будет добавлять URL сайта жертвы в качестве трекера для новых раздач, публикуемых пользователями.

Каждый клиент периодически обращается к трекеру по TCP или UDP с запросом, в котором указаны:

SHA-1 словаря info (инфохэш);
порт, на котором клиент ждёт соединений от других клиентов;
количество данных, которыми клиент успел обменяться с другими клиентами;
некоторая другая информация.

Таким образом, если посторонний сайт указан в качестве трекера для какой-нибудь популярной раздачи, то сотни тысяч пользователей начнут бомбардировать запросами посторонний веб-ресурс, даже не подозревая об этом.

В реальности, неизвестно об умышленных DDoS-атаках такого типа, но они действительно теоретически возможны. Кроме того, пользователи могут по ошибке указывать некий посторонний сайт в качестве трекера. Например, сейчас от такой «атаки по ошибке» страдают разработчики open source программы Open Tracker. Они сами не являются трекером, а просто разрабатывают соответствующий модуль для других сайтов, но по какой-то причине на них сейчас идёт перманентный DDoS с миллионами запросов в час от разных торрент-клиентов. Разработчики перешли на веб-сервер nginx и пока выдерживают нагрузку, но эффективно заблокировать подобную атаку практически невозможно.

В июле 2012 года были внесены коррективы в протокол BitTorrent, которые дают возможность владельцам сайтам через запись DNS TXT прямо декларировать, работает ли на указанном хосте торрент-трекер. Если торрент-клиент при закачке торрента получает указание отправлять данные на некий торрент-трекер, а в DNS TXT прямо указано, что на данном хосте торрент-трекера не существует, то клиентская программа не будет направлять туда трафик.

Необходимые изменения уже внесены в протокол, теперь нужно реализовать данную функцию непосредственно в торрент-клиентах. Первыми её реализовали разработчики клиента Vuze в новой версии Vuze 4.7.2 (см. раздел DNS Tracker Changes). Разработчики μTorrent внесли изменения в последнюю альфа-версию программы, и в ближайшем будущем обещают перенести в стабильный релиз.

Источник: https://xakep.ru/2012/09/20/59349/

digger® · 14 марта 2015, 14:38:37

Только что, видел практическую реализацию.

Yarik · 14 марта 2015, 15:59:47

Гм,интересно.Меня ддосят нещадно уже вторые сутки.

Yarik · 14 марта 2015, 17:08:13

digger® эту практическую реализацию просчитать как-то можно?

digger® · 14 марта 2015, 18:16:08

Цитата: Yarik от 14 марта 2015, 17:08:13
digger® эту практическую реализацию просчитать как-то можно?

Посмотреть логи веб-сервера на предмет запросов вида
request: "GET /announce?info_hash=

Yworld_garry · 14 марта 2015, 18:25:29

Спасибо за инфу, реально полезная!
"атака по ошибке" как бы не превратилась в направленную. Я так понимаю от такой атаки не поможет большая часть бюджетных решений?

digger® · 14 марта 2015, 19:16:13

Можно попробовать в днс сделать рекомендованную запись.

Yworld_garry · 14 марта 2015, 19:45:08

Цитата: digger® от 14 марта 2015, 19:16:13Можно попробовать в днс сделать рекомендованную запись.

Перещелкал все ссылки что с первого поста на тему и там все, так и не смог объять.
Понятно что имеющие свой сервер и финансовые ресурсы все же смогут выдержать скажем не миллион, но близкие цифры.
Но любой впс, не говоря о шареде...трендец, хоть прописывай или не прописывай? Сорри просто реально интересно, но не владею вопросом напрочь.

digger® · 14 марта 2015, 23:12:55

Добавить в DNS зону TXT запись

Код (txt) Выделить

BITTORRENT DENY ALL

Yworld_garry · 14 марта 2015, 23:18:50

Радикально и просто)))

Mavn · 19 марта 2015, 20:22:04

Подтверждаю, такая атака была и на наш сервак. проблем это создало немало