Jak kupić laptopa za 10 zł
Wszyscy pewnie znają już te wszystkie serwisy gdzie każda licytacja jest płatna, jednak na koniec można sprzęt wykupić za grosze. Każdy pewnie zdaje sobie sprawę jak minimalna jest szansa na wygraną jeśli się nie wykupi od razu tysiąca podbić i nie ustawi automatu. Czy jest nadzieja by wygrać?
Mówię na przykładzie podbij.pl, bo innych nie znam, ale wiem że jest ich od groma. No więc zakładamy że podbicie kosztuje 1zł i można kupić najmniejszy pakiet 10 podbić. Kosztuje nas to 10zł. Teraz należy się zdecydować jaki przedmiot chcemy kupić - ważne by nie było blokady automatów, musimy mieć możliwość ich ustalenia. Aukcja oczywiście ma się kończyć za kilkanaście sekund (choć śpieszyć się nie trzeba, ludzie na pewno zadbają o to by się czas nie skończył).
A teraz magia. Potrzebne będzie kilka serwerów (nawet nie muszą mieć szybkich łączy - nawet 1mbit wystarczy) i slowloris (tu: moja wersja w ruby, którą napisałem bo google mi nie zwracał wyników - myślałem że się to nazywa "slowris"...).
Na serwerach przygotowany slowloris, my jesteśmy gotowi do licytacji. Puf, ustawiamy podbij-automat na wszystkie swoje podbicia i odpalamy slowloris na serwer - potrzymajmy go niedostępnego przez kilka(najlepiej: kilkanaście) minut. Potem atak kończymy i odbieramy nagrodę.
Simple as that ;) tylko że niestety tytułowy podbij.pl nie jest podatny na ten typ ataku, trzeba sobie znaleźć taki serwis gdzie jest np. apache. Po odebraniu nagrody trzeba szybko uciekać na Kajmany albo coś, bo raczej administratorzy głupi nie są ;)
nie wiem czy takie how-to nie jest karalne :)
E, to nawet nie jest how-to, tylko raczej taki pstryczek w mózg, że slowloris daje taką możliwość. Bo zainteresowani i tak wiedzą jak i gdzie atakować, a niezainteresowani nie będą w stanie sprawdzić czy dany serwis jest podatny ani uruchomić skryptu ;) Swoją drogą zapomniałem o meritum - otóż chodzi o to że automat działa po stronie serwera, automatycznie wrzucając twoje podbicie gdy podbije kto inny; ale nikt się nie dopcha poza innymi automatami. Jest szansa ;)
w sumie racja newbie i tak nic nie zrobi :)
A inne osoby, które też mają automat?
Zabrakło czegoś w stylu: "Ten tekst został napisany tylko i wyłącznie w celach edukacyjnych. Autor nie ponosi żadnej odpowiedzialności za wykorzystanie zawartych w nim informacji w celach sprzecznych z prawem.", lub innych jakichś sztuczek prawnych, czy jak to tam nazwać. Ciekawi mnie też to, o co pytał Marcin.
Kucyk: Nienawidzę hipokryzji, nienawidzę takich tekstów jak "blabla edukacyjne blabla". Aż mnie skręca jak takie widzę...
Cóż, nie testowałem tego, ale wydaje mi się że wtedy wygra ten kto będzie miał więcej podbić ustawionych w automacie lub ten kto będzie miał po prostu szczęście. Inna sprawa że może to zadziałać inaczej: jeśli automaty są uruchamiane przez odwiedzających dowolną część strony (taki cron wstawiony np. jako obrazek) to bardzo możliwe że po prostu ostatnia osoba której się udało dopchać do strony spowoduje ostatni refresh wszystkich automatów i znowu zadziała szczęście. Lub nikomu już się nie uda dopchać i jeśli slowloris się odpali w momencie gdy nasza oferta wygrywa (nawet jak np. minuta do końca - wtedy mało kto licytuje) to mamy większa szansę na sukces.
na to bym nie wpadł. ale jest myśl
Czyli co, zwykły DDoS? Nie lepiej po UDP?
Eeee nie. Przecież to nie jest zwykły ddos, tylko utrzymywanie połączenia z serwerem www - wielu połączeń. Nie trzeba nawet floodować, wystarczy kilkanascie bajtów na każdym połączeniu, co kilkanascie sekund. Nie wyobrażam sobie co ma udp do rzeczy :P
Wywnioskowałem to z kodu, ale chyba czegoś nie rozumiem.
PO CO?
Jak chcesz zabić jakiś serwer, to lepiej po UDP ze zmienionym adresem nadawcy.
Po to, żeby dało się zabić serwer mając gorsze łącze niż on. Slowloris polega na tym że otwierasz połączenie, wysyłasz prawidłowe nagłówki (ale ich nie kończysz!) a potem w nieskończoność losowe inne nagłówki- nie trzeba szybko, wystarczy 1 co kilka-kilkanascie sekund. Serwer trzyma połączenie, nigdy nie wysyła strony. Jeśli wziąć pod uwagę że taki apache tworzy osobny proces dla każdego połączenia, a my na zwykłym mbit spokojnie zrobimy 200-500 połączeń... ale jak wspomniałem podbij.pl to nie dotyczy i tak go nie ubijemy. Rozumiem że można zwykłym, tradycyjnym ddosem - ale tak jest łatwo i równie skutecznie - o ile serwer jest na to podatny. Hm, właściwie to może zwykły keep-alive by się nadał? Nie wiem, muszę przetestować. Ten skrypt wyżej na pewno działa.
Gwarantuję Ci, że porządnie skonfigurowany Apache na średniej jakości sprzęcie wytrzyma 500 jednoczesnych połączeń. Jak skończę grać mogę nawet zrobić testy.
To skonfiguruj apache, otwórz go na świat i potestujemy :)
Akurat moje łącze to pewnie nawet i 10 naraz nie wytrzyma :)
To może na redwatch.info potestujemy? Zaraz sprawdzę ;>
hm, 1500 połączeń go nie zabiło - raczej sam nie dam rady... jedynie go lekko spowolniłem. Cóż, na innych stronach (jak bloodandhonour) to 200 wystarczyło :) może później zbiorę lepszą "moc" to zrobię lepszy test.
Myślę, że admini jak wykryją, że ktoś coś kombinował (nieważne, czy jest tam userem czy nie) to wstrzymają wszystkie licytacje dopóki sprawa się nie wyjaśni, więc takie łatwe to to nie jest ;)