> From: Dmitry Miloserdov <dmitry@bis.ru> > Date: Wed, 2 Apr 2014 14:39:19 +0000 (UTC) > >> DM> Просто если фильтровать то критерий фильтрации должен как-то учитывать >> DM> возможные случайно попавшие жертвы. >> "да и хер бы с ними"? Поймал триппер - страдай, а не лезь обниматься. >> >> DM> Вот ко мне какие-то турки лезут искать isc.org >> очень интересно, что бы это значило... >> У меня-то явный тоннельчик. Чем бы вот его попробовать расшифровать? > >Да не похоже у тебя на туннель. И у писателя по ссылке не похоже. >Hу по крайней мере в том что ты показал адреса слишком короткие >чтобы хоть как-то разделять сессии и склеивать куски одной.
Один короткий пакет (icmp ping или там tcp syn) - вполне подходит. А сессия туннельная между двумя адресами всего одна, чего её разделять-то?
>А вот на DDoS похоже, только не тебя а неизвестной жертвы - >если б у тебя был рекурсивный dns который отвечал кому ни попадя. >Жертву укажут в "IN NS" для www.dytt8.net. >Случайные префиксы для того чтоб ты случайно не закешировал ответы.
Как раз на DDOS не похоже: при DDOS стараются заполнить пакет по максимуму (например, длинным списком IN NS), точнее, чтобы ты заполнил из своего кэша. Source же address при DDOSе, как правило, один, а именно адрес жертвы.