Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Detection de bot

angele-celeste

raisor
C'est marrant, j'ai aussi été convoqué par Sispano pour suspicion de bot.
J'ai en effet modifier le fichier config.xml pour rediriger vers mon serveur en local (solution plus simple).
Pour moi bizarrement, il ne m'a pas banni (j'ai dû bien répondre aux questions)).
Je ne sais pas si il m'a testé car on m'a dénoncé ou si il l'a fait car il a détecté une anomalie dans le fichier de config... bizarre.

Ton système est certes plus simple mais surtout il ne bloque pas la résolution du domaine, il ne fais que changer la route sans changer la destination. Par contre, assure toi que la taille de ton fichier config sois identique au fichier initial pusique c'est, comme le sugère le code que j'ai publié dans le second message de ce sujet, leur actuel moyen de vérifié l'intégrité du client et il semblerait qu'il n'ai pas vérifié ton fichier pour cette fois-ci.

jeanno11

zouhair
je n'ai modifié aucun fichier. j'ai juste fait une résolution DNS,
j'ai modifié le fichier hosts de mon PC,
# real dns of co-retro.ankama-games.com is 172.65.206.193
127.0.0.1 co-retro.ankama-games.com
[edit] :
je veux essayer cette technique pour injecter le DDL, mais je ne sais pas comment le réaliser, un tuto pour une technique sera la bienvenue :)

Regarde du côté de Frida pour la redirection.

zouhair

Hello tout le monde , je viens update cette conversation,

j'ai utilisé frida, voici mon code JS injecté


var connect_p = Module.getExportByName(null, 'connect');

Interceptor.attach(connect_p, {
    onEnter: function (args) {
        // int connect(int sockfd, const struct sockaddr *addr,
        //             socklen_t addrlen);
        this.sockfd = args[0];
        var sockaddr_p = args[1];
        this.port = 256 * sockaddr_p.add(2).readU8() + sockaddr_p.add(3).readU8();
        this.addr = "";
        for (var i = 0; i < 4; i++) {
            this.addr += sockaddr_p.add(4 + i).readU8(4);
            if (i < 3) this.addr += '.';
        }
        var newport = 443;
        sockaddr_p.add(2).writeByteArray([Math.floor(newport / 256), newport % 256]);
        sockaddr_p.add(4).writeByteArray([127, 0, 0, 1]);
        console.log("connection to:", this.addr, this.port);
    },
    onLeave: function (retval) {
        console.log("retval:", retval.toInt32());
    },
})

pour expliquer brièvement ce qu'elle fait ce code, c'est que pendant l'authentification, frida altère l'IP/port de destination.

après avoir envoyé ces packets de check (qui sont envoyé normalement par le modérateur), j'ai remarqué que j'ai les memes réponses, frida ne nous met pas à l'abris.

je vous tiens au courant dès que j'ai trouvé une solution

Sapoupi

Salut @zouhair

Comme dit plus haut par Brizze, le client check si la requête part vers un serveur local (127.0.0.1 ou 192.168...), donc si tu positionnes ton MITM sur une adresse locale c'est normal que ça ne passe pas.

A priori tu peux utiliser Frida si ton MITM est derrière un simple proxy, tu n'auras touché aucun fichier du jeu et le check de l'IP sera ok, à moins que je me trompe ?

Tiens nous au jus

zouhair

Sapoupi
Salut @zouhair
Comme dit plus haut par Brizze, le client check si la requête part vers un serveur local (127.0.0.1 ou 192.168...), donc si tu positionnes ton MITM sur une adresse locale c'est normal que ça ne passe pas.
A priori tu peux utiliser Frida si ton MITM est derrière un simple proxy, tu n'auras touché aucun fichier du jeu et le check de l'IP sera ok, à moins que je me trompe ?
Tiens nous au jus

pour que le check fonctionne, faudrait que l'adresse du MITM soit différente du 192.168/127.0.0.1,

Ankama a mis à jour une nouvelle politique (antibot), cette politique consiste à bloquer les connexions si l'adresse ip source est différente de 192.168.***. (le proxy (MITM) ne peut pas avoir une adresse IP genre 10.10.10.x/x), donc le check plantera tjrs. (du moins que je me trompe)

pour l'instant, j'essaye de trouver une alternative

anon

zouhair
pour que le check fonctionne, faudrait que l'adresse du MITM soit différente du 192.168/127.0.0.1,
Ankama a mis à jour une nouvelle politique (antibot), cette politique consiste à bloquer les connexions si l'adresse ip source est différente de 192.168.***. (le proxy (MITM) ne peut pas avoir une adresse IP genre 10.10.10.x/x), donc le check plantera tjrs. (du moins que je me trompe)
pour l'instant, j'essaye de trouver une alternative

oui j'ai vu ce bout de code aussi, le mieux c'est de modifier cette fonction en supprimant la vérif sur l'ip et de renvoyer dans ton mitm la bonne taille de fichier du loader.swf, pour les autres fichiers aucune modif à faire et la fonction de vérif du loader fera le taff.

Brasvengeur

Vous parlez de mitm du coup j'ai du mal à comprendre ce qui vous bloque , pourquoi ne pas tout simplement renvoyé l'adresse attendu plutôt que celle de votre serveur ?

solomon75

zouhair
Je poste ce message, essayant d'informer tout le monde des nouvelles mesures AntiBot sur dofus retro.
Aujourdhui, j'étais intérogé par le modérateur Sispano :
et voici les packets :
2020-10-10 15:59:54.696  INFO --- [IN] :  BC1;http://dofusretro.cdn.ankama.com/lang/versions.swf
2020-10-10 15:59:54.706  INFO --- [IN] :  BC2;invisiblemodules/enable.swf
2020-10-10 15:59:54.733  INFO --- [IN] :  BC3;invisiblemodules/netfucheck.swf
2020-10-10 15:59:54.733  INFO --- [IN] :  BC4;invisiblemodules/snowbotcheck.swf
2020-10-10 15:59:54.735  INFO --- [OUT] : BC2;-11
2020-10-10 15:59:54.737  INFO --- [OUT] : BC3;-11
2020-10-10 15:59:54.737  INFO --- [OUT] : BC4;-11
2020-10-10 15:59:54.762  INFO --- [IN] :  BC5;loader.swf
2020-10-10 15:59:54.766  INFO --- [IN] :  BC6;modules/core.swf
2020-10-10 15:59:54.785  INFO --- [OUT] : BC1;6449
2020-10-10 15:59:54.901  INFO --- [OUT] : BC6;2558383
2020-10-10 15:59:54.903  INFO --- [OUT] : BC5;2921346
2020-10-10 15:59:55.252  INFO --- [IN] :  BC7;je-sais-que-tu-triches.swf
2020-10-10 15:59:55.360  INFO --- [OUT] : BC7;-11
après cette analyse (initié par le modérateur), j'ai été banni (MITM qui necessite aucune modification du serveur, le client se connecte sur mon MITM tout simplement en modifiant le fichier hosts, pour modifier le DNS localement)
D'après cette analyse, je vois mon client cherche le fichier versions.swf, puis active qlq chose, puis vérifie si mon bot est un netfu / snowbot .. puis des BC5, BC6, BC7 que j'ignore leur utilisé,
je suis trop curieux, je veux comprendre à quoi ca correspend, mais en decompressant tous les swf (utiles) du projet, je ne vois aucun moment les swf netfucheck.swf ou autre,
sauriez vous ou est ce que je peux retrouver ces fichiers ? et comprendre le resultat de chaque étape ? merci

Du nouveau ?

bigtux

2020-10-10 15:59:54.735 INFO --- [OUT] : BC2;-11

2020-10-10 15:59:54.737 INFO --- [OUT] : BC3;-11

2020-10-10 15:59:54.737 INFO --- [OUT] : BC4;-11

il sort d'ou ton -11 ?

Mitm : new data received from client : aborted : BC2;-1\n\x00

Mitm : new data received from client : aborted : BC3;-1\n\x00

Mitm : new data received from client : aborted : BC4;-1\n\x00

Mitm : new data received from client : aborted : BC1;6459\n\x00

Mitm : new data received from client : aborted : BC5;2923459\n\x00

ZyFox

Bonjour

Avez vous du nouveau sur la détection ?

Merci pour vos réponses :) bon botting

mathmath

Petit up, des gens ont trouvé des solutions en utilisant frida/fritm? Est-ce vrai que ça permet pas de contourner la restriction anti-bot ?

JeBotPas

mathmath
Petit up, des gens ont trouvé des solutions en utilisant frida/fritm? Est-ce vrai que ça permet pas de contourner la restriction anti-bot ?

Ne pas les utilisés, plutôt que d'up un sujet de 2020 ... Soit vous ne trichez pas soit vous utilisez des méthodes plus intelligente. Moi je lis les reçus sur la carte réseau et je peux optionnellement envoyé aussi. Sans jamais toucher au client.

mathmath

Quelle condescendance!

JeBotPas

mathmath
Quelle condescendance!

Loin de là, c'est surtout de la logique, c'est comme si tu demande une solution à comment ne pas tuer quelqu'un en lui m'étant une balle dans la tête. Baaaah désoler ça n'existe pas.

Le sujet est quand même claire: Les modérateurs vérifient les fichiers.

Une modification sur le client ou autre à part du bricolage vous vous feriez griller. A moins d'avoir 2 clients un non modifier et un modifier et que celui modifier retourne les fichiers du modifier, bref un gros bordel. Il n'existe aucune technique et ces logiciels dates et je ne sais même pas si ils sont encore mis à jour.

Plus grand chose gratuit ou libre aujourd'hui.

mathmath

JeBotPas
Loin de là, c'est surtout de la logique, c'est comme si tu demande une solution à comment ne pas tuer quelqu'un en lui m'étant une balle dans la tête. Baaaah désoler ça n'existe pas.
Le sujet est quand même claire: Les modérateurs vérifient les fichiers.
Une modification sur le client ou autre à part du bricolage vous vous feriez griller. A moins d'avoir 2 clients un non modifier et un modifier et que celui modifier retourne les fichiers du modifier, bref un gros bordel. Il n'existe aucune technique et ces logiciels dates et je ne sais même pas si ils sont encore mis à jour.
Plus grand chose gratuit ou libre aujourd'hui.

Ok c'est bien ce que je pensais, tu es à l'ouest complet....

Je parlais de Frida et Fritm. Qui a parlé de modification de fichiers ? La solution de fritm permet de ne pas modifier les fichiers, et donc, d'où ma question, est-ce que c'est sécure

JeBotPas

mathmath
Ok c'est bien ce que je pensais, tu es à l'ouest complet....
Je parlais de Frida et Fritm. Qui a parlé de modification de fichiers ? La solution de fritm permet de ne pas modifier les fichiers, et donc, d'où ma question, est-ce que c'est sécure

Comprend tes sujets avant d'en parler j'insiste sur la modification de fichiers donc :)

Que ce soit par toi ou par logiciel que ce soit simuler ou artificiel c'est de la modification.

Soit les créateurs mettent en place un système pour retourner une valeur cohérente soit il faut pas les utiliser car ils sont pas anti ban. (Rien est anti ban mais la vérif de fichier est easy ban)

Et pour l'URL en 2020 ils disaient "ouai il à télécharger" non ceci est interdit le téléchargement a distance comme cela c'est proche d'un cheval de Troie. Il récupère la taille de la version héberger pour vérifier que ce soit correct (pas de modification d'ip direct ou URL).

mathmath

JeBotPas
Comprend tes sujets avant d'en parler j'insiste sur la modification de fichiers donc :)
Que ce soit par toi ou par logiciel que ce soit simuler ou artificiel c'est de la modification.
Soit les créateurs mettent en place un système pour retourner une valeur cohérente soit il faut pas les utiliser car ils sont pas anti ban. (Rien est anti ban mais la vérif de fichier est easy ban)
Et pour l'URL en 2020 ils disaient "ouai il à télécharger" non ceci est interdit le téléchargement a distance comme cela c'est proche d'un cheval de Troie. Il récupère la taille de la version héberger pour vérifier que ce soit correct (pas de modification d'ip direct ou URL).

Je ne comprends absolument rien à ce que tu dis, aucun fichier n’est modifié de mon côté, vaut mieux en arriver là, puis je pense que mon bot est assez fonctionnel, il est connecté h24 depuis 10 semaines et eu aucun problème. Tu vas pas m’apprendre si je modifie un fichier ou pas

BlueDream

Du calme sur ce topic,

Je suis d'accord avec @JeBotPas sur la théorie, si tu veux passer une sécurité, il vaut mieux le faire dans les règles.

Cependant dans les faits, je suis d'accord avec @mathmath , ça passe ou ça casse, le resultat démontre l'efficacité.

Vous êtes à 50/50 pour moi :teeth:

Pour autant, niveau pratique, modifier un client à chaque maj c'est relou, tu peux aussi faire une bdd avec les md5 hash de chaque fichier.

Peace.

JeBotPas

BlueDream
Du calme sur ce topic,
Je suis d'accord avec @JeBotPas sur la théorie, si tu veux passer une sécurité, il vaut mieux le faire dans les règles.
Cependant dans les faits, je suis d'accord avec @mathmath , ça passe ou ça casse, le resultat démontre l'efficacité.
Vous êtes à 50/50 pour moi :teeth:
Pour autant, niveau pratique, modifier un client à chaque maj c'est relou, tu peux aussi faire une bdd avec les md5 hash de chaque fichier.
Peace.

La bdd avec les hash c'est ce qui est utilisé sur la majorité des bots aujourd'hui (ou récupération et stockage des infos).

Personnellement je suis flemmard pour ce genre d'activité, j'adore quand ça peut suivre sur le temps et quand c'est souple.

Cela sera facilement vu dans la nouvelle mise à jour du CommunityTools d'ailleurs.

Dans tout les cas, ça fait des années que je ne bot plus, mais mes compétences les plus élevés en programmation reste la sécurité.

Personnellement je ne risquerais pas un ban bêtement en utilisant un outil / logiciel qui n'est pas capable de passer la simple vérification fichier.

BlueDream

Je ne vois vraiment pas l'intérêt du débat, je pense qu'on peut clore la discussion.

« Page précédente