Комментарии 10
Было бы здорово, если бы к каждому «индивидуально исследованному ПО» при обнаружении антивирусом давалась ссылка на подобное исследование. Потому как иначе порой совершенно непонятно, паранойя у авторов, ложное срабатывание или и правда известное и какое-то «не такое».
Странный ход, как мне кажется. Только малое число провайдеров позволит отправить пакет с подставным source ip, так что, в общем случае, пакеты долетят до первого роутера и дропнутся.
Не знаю, как у моего провайдера насчёт отправить, но вот получить — пожалуйста. Стоит перевести карточку в promiscuous mode, как тут же начинают сыпаться всякие левые пакеты, у которых dst ip отличается от моего, а src ip может быть хоть на другой стороне планеты. Если смотреть HTTP пакеты, то видно, что запросы делаются к различным сайтам, при этом, в запросах указываются куки пользователей для тех сайтов, к которым делается запрос.
Решил проверить, реально ли это запросы пользователей, или просто «шумы интернета», добавил реврайт для всех несуществующих доменов своём веб сервере на страницу с несколькими картинками. В результате почти все пользователи успешно загрузили указанные картинки.
Решил проверить, реально ли это запросы пользователей, или просто «шумы интернета», добавил реврайт для всех несуществующих доменов своём веб сервере на страницу с несколькими картинками. В результате почти все пользователи успешно загрузили указанные картинки.
Ну нифига себе! У вас там хаб стоит, что ли?
Ближайшая железка к ко мне со стороны провайдера — управляемый коммутатор. Да и я бы ещё понял, если бы ко мне лился трафик от соседей, но ведь льётся совершенно левый трафик, от пользователей других провайдеров, городов и стран, различные оси, браузеры. Ничего общего у этих пользователей обнаружить мне не удалось.
Ну это очень странно и опасно. DST IP случаем не какого-нибудь CDN? Может, у провайдера случайно не заблокирован BGP и кто-то из вашего дома, например, сделал несколько анонсов в свою сторону?
Ресурсы всякие разные, IP адреса из различных диапазонов. Много запросов из вконтактика, причём чаще всего запрашивают картинки (аватарки и тд), а иногда страницы и даже хиты счётчиков, установленных во вконтакте. В некоторых случаях доходит до абсурда и судя по логам, у пользователя домен, с которого отдаётся скрипт яндекс.метрики вдруг резолвится на мой IP, и он с различных сайтов обращается ко мне за скриптом метрики. Кто-то обновления винды запрашивает у меня, кто-то вообще localhost. Бред какой то вообщем.
Разработчик этого менеджера загрузки получает доход от инсталляторов, таких как OpenCandy, который используется для установки ПО сторонних производителей и позволяет отображать рекламные объявления для получения прибыли. Подобный вид рекламы представляет из себя уже довольно типичное явление и является одной из причин, по которой аналитики ESET могут причислить подобное ПО к семейству «потенциально нежелательных приложений» (Potentially Unwanted Application, PUA).
Большинство бесплатных приложений использует подобный метод монетизации, utorrent, например. Не уверен используют ли они именно упомянутый вами OpenCandy, но они ставят Яндекс и еще парочку непонятных мне софтов.
Я не спорю DDoS — это очень плохая тема и за это надо гнать всех в шею :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Менеджер загрузок Orbit Downloader используется для DDoS-атак