Kada losi momci imaju vise moci nego dobri...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uf, Peco...slab sam ti ja nesto sa Linuxom...
Ali evo recimo da ti objasnim za pf, znaci imamo pravilo:

pass in on $ext_if inet proto tcp from any to $web_server port www \
flags S/SA synproxy state ( max-src-conn 50, max-src-conn-rate 10/15, overload <flooderi_tabela> flush global)

Ovo znaci:

- Dozvoli konekcije na portu 80
- Dozvoli samo pakete koji zapocinju konekciju (SYN)
- Proxy-raj konekciju umesto hosta, i tek onda kada je konekcija uspostavljena (three-way-handshake) prosledu konekciju do hosta (korisno za SYN-flood napade)
- Ogranici maksimalni broj konekcija koje peer moze imati na 50
- Ako peer napravi 10 konekcija za 15 sekundi onda njegovu adresu ubaci u tabelu <flooderi_tabela> i prekini svaku vezu sa njim bez obzira dali je na portu 80 ili na nekom drugom.
- Tabela <flooderi_tabela> se blokira odmah (drugo pravilo, nije prikazano ovde)

Sledece, default za pf je 10.000 state-a, sto se naravno moze promeniti. pf sadrzi i tajminge koji se mogu 'zategnuti' u slucaju flood napada. Jos jedna korisna stvar u pf-u je adaptive.start i adaptive.end.
Znaci imamo 10000 konekcija dostupnih u state tabeli. Razni tajminzi odredjuju kako ce se paketi tretirati (da ne zalazim u tematiku, malo je vise opsirno). E sad, ako imamo recimo:
set timeout {adaptive.start 6000 adaptive.end 12000}
To znaci da kada se dostigne limit od 6000 state unosa onda pocinje linearno "zatezavanje" tajminga. Ako imamo 9000 unosa tajmizni ce se zategnuti za 50% i tako ranije zatvarati konekcije sprecavajuci da se tabela napuni. Malo sam ovo bezveze obasnio, nadam se da kapirate nesto od ovoga.

Pogledacu za Linux. Kako rece blood ako je neko velik dzaba ti sve.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Bobby,
Ni jedan ti ne radi, bar meni.

Inače po slici vidim da je to taj program koji sam ja okačio. Može da se skine sa gornjeg linka. Pokrenuo sam ga i vidim da je prava stvar.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pokušao sam da pokrenem gmer, ali mi Kaspersky prijavljuje sumnjivu instalaciju?
Bobi, o čemu se radi?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

BMW ::Bobby,
Ni jedan ti ne radi, bar meni.

Inače po slici vidim da je to taj program koji sam ja okačio. Može da se skine sa gornjeg linka. Pokrenuo sam ga i vidim da je prava stvar.

Yup, od javnih mirrora radi jos samo taj na MajorGeeksu, koji si i ti nasao uz pomoc Googleta. Imas i njega na onoj listi.

Dopuna: 12 Jan 2007 1:34

E, necemo ovde o samom programu, ovo je tema o napadu na servere na kojima se hostuje GMER.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ok, sorry!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Evo ga za svaki slučaj i ovde ali preimenovan u Gamer

gamer.exe - 0.55MB

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ja sam ga sad skinuo sa "major geeks" bez vecih problema.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Еххх такве ламерске групе "bring shame to the game".
Иначе овај гмер и није нешто напредан, много је бољи Rootkit Unhooker и IceSword, DarkSpy је исто добар али нестабилан.
Иначе на sysinternals форуму, EP_X0FF је дао анализу овог ддос-а на гмер-ов сајт, тврдећи да је гмер то све сам излажирао. Мада, 'бем ли га, ниједан од ових анти-рооткит-а није нешто претерано добар, сваки се да заобићи, чак лакше него АВови.