😠 Deepfake Offensive Toolkit

dot (он же Deepfake Offensive Toolkit) - интересный инструмент, который позволяет в реальном времени создавать управляемые deepfake, готовые к внедрению в виртуальные камеры. dot создан для проведения тестирования на проникновение, например, в системы проверки личности и видеоконференцсвязи, для использования аналитиками безопасности.

sudo apt install ffmpeg cmake

▪Github
▪Colab

@linuxkalii

👣 ipfuscator

ipfuscator - это быстрый, потокобезопасный, простой и не требующий выделения памяти инструмент на Go для быстрой генерации IP(v4) адресов.

go install github.com/dwisiswant0/ipfuscator@latest

▪Github
▪Документация

@linuxkalii

😂 Client-Checker

Скрипт PowerShell для автоматизации пентестов / проверок клиентов.

Запускать его следует от администратора, так как некоторые функции можно запрашивать только с повышенными правами.
Используется для проверки клиента на наличие типичных ошибок в конфигурации.

▪Github

@linuxkalii

🧨 Установка DDoS Deflate для защиты от DoS-атак

(D)DOS DEFLATE – скрипт, который поможет администратору в защите сервера от простых атак.

Некоторые особенности:

🔴Есть возможность составлять белый список IP-адресов, через /etc/ddos/ignore.ip.list.
🔴Поддерживает Pv6.
🔴Можно составлять белый список имен хостов через /etc/ddos/ignore.host.list.
🔴В /etc/ddos/ignore.ip.list поддерживаются диапазоны IP-адресов и синтаксис CIDR.
🔴Простой конфигурационный файл: /etc/ddos/ddos.conf
🔴IP-адреса автоматически разблокируются после предварительной настройки.

DDoS Deflate – одно из самых простых программных решений такого типа для установки в системе.

Установка DDoS Deflate в Linux

откройте терминал и выполните от имени пользователя root эту команду, чтобы скачать его:
wget https://github.com/jgmdev/ddos-deflate/archive/master.zip -O ddos.zip

Распаковка:
unzip ddos.zip

Перейдите в созданную папку:
cd ddos-deflate-master

И приступайте к его установке:
./install.sh

Скрипт подготовлен для загрузки необходимых зависимостей.

Использование DDoS Deflate
Первое, что вам нужно сделать, это заглянуть в файл /etc/ddos/ignore.host.list, в котором находятся хосты, которые вы хотите, чтобы программа игнорировала.

Он похож на список allow list.
nano /etc/ddos/ignore.host.list

И добавьте те, которые хотите:
website.com
website2.com

Сохраните изменения и закройте редактор.

Еще один важный файл – /etc/ddos/ignore.ip.list, который, как видно из названия, задает IP-адреса, которые программа будет считать безопасными.

nano /etc/ddos/ign
И добавьте те, которые хотите:

12.34.56.78
18.19.203.22

Аналогичным образом сохраните изменения и закройте файл.

Однако самым важным файлом является /etc/ddos/ddos/ddos.conf, в котором находится конфигурация программы.

Первое, что вам нужно сделать, это исправить пути, чтобы вся конфигурация была правильной.

# Paths of the script and other files
PROGDIR="/usr/local/ddos"
SBINDIR="/usr/local/sbin"
PROG="$PROGDIR/ddos.sh"
IGNORE_IP_LIST="ignore.ip.list"
IGNORE_HOST_LIST="ignore.host.list"
CRON="/etc/cron.d/ddos"
APF="/usr/sbin/apf"
CSF="/usr/sbin/csf"
IPF="/sbin/ipfw"
IPT="/sbin/iptables" IPT="/sbin/iptables"
IPT6="/sbin/ip6tables"
TC="/sbin/tc"

Вы также можете определить частоту в секундах, с которой он будет запускаться в качестве демона.

Кроме того, важной опцией является определение того, сколько соединений IP будет считаться вредоносным.

NO_OF_CONNECTIONS=150
Вы можете определить время бана

BAN_PERIOD=600
И установите контроль полосы пропускания

BANDWIDTH_CONTROL=false
Файл очень хорошо задокументирован, поэтому у вас не должно возникнуть проблем с его чтением и пониманием.

Сохраните изменения и закройте текстовый редактор, а чтобы применить изменения, перезапустите службу

systemctl restart ddos

И проверьте, правильно ли он работает

systemctl status ddos
● ddos.service - (D)Dos Deflate
Loaded: loaded (/lib/systemd/system/ddos.service; enabled; vendor preset: enabled)
Active: active (running) since Sat 2023-02-18 18:04:01 UTC; 7s ago
Process: 62146 ExecStart=/usr/local/sbin/ddos --start (code=exited, status=0/SUCCESS)
Main PID: 62175 (ddos.sh)
Tasks: 2 (limit: 2258)
Memory: 560.0K
CPU: 113ms
CGroup: /system.slice/ddos.service
├─62175 /bin/sh /usr/local/ddos/ddos.sh -l
└─62258 sleep 5

Feb 18 18:04:01 unixcop systemd[1]: Starting (D)Dos Deflate...
Feb 18 18:04:01 unixcop ddos[62147]: starting ddos daemon...
Feb 18 18:04:01 unixcop systemd[1]: Started (D)Dos Deflate.

Готово!

@linuxkalii

😂DNS-флуд

Одна из разновидностей UDP Flood, которая направлена на DNS сервис.

В время атаки DNS Flood направляется огромное количество DNS запросов с очень широким диапазона IP-адресов.

Сервер-источник атаки не в состоянии определить, какой из пакетов пришел от реального клиента, а какой нет, и отвечает на все запросы.

В результате чего, DNS Flood занимает все сетевые ресурсы и полосу пропускания DNS-сервера, вызывая его отказ.

DDoS-атаки: пакеты данных организованы таким образом, чтобы они выглядели идентичными настоящим DNS запросам. Эту атаку невозможно обнаружить с помощью подробного анализа, поскольку каждый запрос выглядит обычным. С использованием широкого спектра атакующих IP-адресов злоумышленник без проблем может обойти большинство алгоритмов, предназначенных для обнаружения необычного трафика.

Наберем 50 🔥 и мы расскажем о способах защиты от DNS-флуда

@linuxkalii

🛡 Защита от DNS Flood. Часть 1

DNS Flood является очень продуманным видом DDoS-атак: содержимое пакетов организовано точно так, как в реальных DNS запросах. Такую атаку почти невозможно отследить с помощью глубокого анализа: каждый запрос будет выглядеть нормальным.

Методы защиты:
1.Построение распределенных систем. Это позволяет раскидывать запросы по разным узлам единой системы, если какие-то сервера стали недоступными.
Они физически находятся в разных странах и дублируют всю информацию. Еще лучше будет, если эти дата-центры подключены к разным транспортным сетям, в которых нет очевидных «узких мест» в одной точк.Этот подход рекомендуется использовать только для крупных проектов. Т
2. Увеличить полосу пропускания. При этом возможно распознать всплески трафика на ранней стадии. Однако в настоящее время это уже плохо помогает предотвратить массированные DDoS-атаки.
3.Конфигурировать сетевое оборудования так, чтобы противодействовать DDoS-атакам. Например, можно сконфигурировать файрволл или маршрутизатор так, чтобы они сбрасывали входные пакеты с протоколом ICMP или блокировали ответы от DNS-сервера вне корпоративной сети. Это может помочь предотвратить DDoS-атаки пингования.
4.Использовать аппаратные и программные средства анти-DDoS. Серверы должны быть защищены сетевыми фаерволами, а также фаерволами для веб-приложений. Кроме того, полезно использовать балансировщики нагрузки. Многие вендоры оборудования включают программную защиту от DDoS-атак, таких как SYN-flood, которая следит за количеством незакрытых соединений и сбрасывает их при превышении порога. На веб-серверах, которые наиболее часто подвергаются DDoS-атакам, может быть установлено специальное ПО. Например, это может быть ПО, предотвращающее на 7-м уровне OSI такие атаки, как Slowloris.
5.Специальные защитные средства. Защитные средства анти-DDoS для фаерволов и контроллеров пограничных сессий поставляются такими вендорами, как NetScout Arbor, Fortinet, Check Point, Cisco, Radware и др. В них могут использоваться в т. ч. и средства искусственного интеллекта по распознаванию сигнатур во входящем трафике. Однако слабым местом такого метода защиты является то, что эти средства часто имеют ограничения по объему пропускаемого ими трафика. Самые мощные из них могут обрабатывать трафик около 80 Гб/с, а современные техники DDoS-атак могут превосходить и этот уровень трафика.
6.Защита DNS-сервера. Не следует забывать и о том, что злоумышленники могут атаковать веб-серверы не напрямую, а «положив» DNS-сервер корпоративной сети. Поэтому важно резервировать DNS-серверы, располагая их в разных дата-центрах с балансировщиками нагрузки.

Приведем пример бесплатного инструмента зашиты.
Gatekeeper - это система защиты от DDoS-атак с открытым исходным кодом. Она рассчитана на любую пиковую пропускную способность, поэтому способна противостоять даже серьезным DDoS-атакам. Несмотря на географически распределенную архитектуру Gatekeeper, управление входящим трафиком, осуществляется централизованно.

Такая централизованная политика позволяет сетевым операторам использовать распределенные алгоритмы, которые были бы нежизнеспособны в условиях высокой задержки (например, распределенные базы данных), и позволяет бороться с несколькими многовекторными DDoS-атаками одновременно.

• Github
• Архитектура Gatekeeper

@linuxkalii