Giới thiệu về tấn công từ chối dịch vụ

Tư T2 02, 2005 7:28 pm

Trước đây do có 1 vài sích míc tôi đã có ý định tấn công serverr đong du,vậy nay xin giưói thiệu qua cho anh em hiểu về nó
Dos là gi?

Deny of Attcack, tấn công từ chối dịch vụ (DOS), đây là những điểm cơ bản nhất về tấn công từ chối dịch vụ.

Có 2 cách để tấn công từ chối dịch vụ là kiểu lame (tạm dịch là kiểu dành cho những kẻ trình độ thấp) và elite (cách thức tiên tiến):

Kiểu lame

Bom thư- là kĩ thuật làm cho hòm thư của người khác bị lụt bởi các bức thư, đây là một trong những dạng thấp nhất của DOS. Mọi người đều có thể lên mạng để kiếm vài chương trình boom thư như UNA hoặc KABOOOM , điền hòm thư của nạn nhân và … gửi thư. Hòm thư của nạn nhân sẽ đầy ắp thư hoặc có 1 cách đơn giản hơn đó là đăng kí địa chỉ của hắn với một site sex, hòm thư của hắn sẽ bị boom mà bạn chẳng cần phải làm gì cả.

Nếu như nạn nhân là admin của một site nào đó thì bằng cách boom thư bạn đã tiêu tốn một lượng lớn không gian đĩa cứng của hắn.

Đăng nhập liên tiếp: giả sử một mail server cho phép bạn đăng nhập một số ít lần và bạn biết tên đăng nhập của hắn, bạn có thể dùng một chương trình để đăng nhập liên tiếp, khi đó nạn nhân sẽ không thể đăng nhập vào hòm thư, như vậy là bạn đã khoá đường vào của hắn.

Bây giờ thì sẽ là những cách tiên tiến hơn nhưng cũng đòi hỏi ở bạn trình độ và sự thông minh của bạn

Tràn Syn

Đây là cách tấn công vào phương thức bắt tay của TCP/IP

Trước tiên chúng ta hãy tìm hiểu một chút về TCP/IP

Cách bình thường:-

Syn-packet được gửi tới máy chủ bởi máy khách có ý định thiết lập kết nối

SYN

Máy khách --------------> Máy chủ

Ở bước thứ 2 máy chủ sẽ trả lời với một gói SYN/Ack tới máy khách

SYN/ACK

Máy khách <-------------- Máy chủ

Bước thứ 3 và là bước cuối cùng.

Máy khách trả lời bằng một gói ack tới máy chủ và cơ chế bắt tay ba bước được hoàn thành

Bây giờ đến phần tấn công

Nhiều Syn-packet được gửi tới máy chủ thông qua một địa chỉ IP giả (địa chỉ IP chết hoặc không có), sau đó điều gì xảy ra, máy chủ sẽ trả lời với gói syn/ack và máy chủ đợi gói ack xác nhận. Nhưng vì địa chỉ IP không tồn tại nên nó vẫn phải chờ đợi, do vậy nó trì hoãn và tiêu tốn tài nguyên của hệ thống và làm cho hệ thống bị treo hoặc khởi động lại.

Tư T2 02, 2005 7:31 pm

Cao hơn nữa là DDOS (Distributed DOS ) và DRDOS (Distributed Reflection DOS) . 2 cái này chủ yếu tấn công qua giao thức TCP/IP cổng 80 hoặc UDP cổng 80 .Ở DDOS thì có một cái nữa là Zombie Code , nó giống như một dạng Client/Server progam . Zombie Client được cài trên một máy con tốc độ truy cập Internet lớn , còn Zombie Server sẽ chỉ ra khi nào được tấn công và tấn công cái gì . DRDOS là một phương thức cải tiến của kiểu tấn công SYN/ACK , cũng gửi hàng ngàn gói SYN tới router. Router lấy thông tin từ các gói và gửi lại gói SYN/ACK tới IP nạn nhân .Những người am hiểu và có khả năng tấn công bằng những cái này thực sự không nhiều

Tư T2 02, 2005 8:56 pm

Bàn tiếp với em trai một chút.
Trước hết về syn flood attack, nếu em dùng kiểu này tấn công vào dongdu.org thì không ăn thua.

Nhiều Syn-packet được gửi tới máy chủ thông qua một địa chỉ IP giả (địa chỉ IP chết hoặc không có), sau đó điều gì xảy ra, máy chủ sẽ trả lời với gói syn/ack và máy chủ đợi gói ack xác nhận. Nhưng vì địa chỉ IP không tồn tại nên nó vẫn phải chờ đợi, do vậy nó trì hoãn và tiêu tốn tài nguyên của hệ thống và làm cho hệ thống bị treo hoặc khởi động lại.

Cách chống loại hack kinh điển này. For Linux based on 2.4 kernel:

Enable TCP SYN Cookie Protection
A SYN Attack is a denial of service DoS attack that consumes all the resources on your machine, forcing you to reboot. Denial of service attacks -attacks which incapacitate a server due to high traffic volume or ones that tie-up system resources enough that the server cannot respond to a legitimate connection request from a remote system) are easily achievable from internal resources or external connections via extranets and Internet.
#sysctl -w net.ipv4.tcp_syncookies=1

Enable IP spoofing protection
The spoofing protection prevents your network from being the source of spoofed i.e. forged communications that are often used in DoS attacks

#sysctl -w net.ipv4.conf.all.rp_filter=1

Disables IP source routing
Routing and routing protocols can create several problems. The IP source routing, where an IP packet contains details of the path to its intended destination, is dangerous because according to RFC 1122 the destination host must respond along the same path. If an attacker was able to send a source routed packet into your network, then he would be able to intercept the replies and fool your host into thinking it is communicating with a trusted host. I strongly recommend that you disable IP source routing to protect your server from this hole.

#sysctl -w net.ipv4.conf.all.accept_source_route=0

# Disable ICMP Redirect Acceptance
When hosts use a non-optimal or defunct route to a particular destination, an ICMP redirect packet is used by routers to inform the hosts what the correct route should be. If an attacker is able to forge ICMP redirect packets, he or she can alter the routing tables on the host and possibly subvert the security of the host by causing traffic to flow via a path you didn't intend. It's strongly recommended to disable ICMP Redirect Acceptance to protect your server from this hole.

#sysctl -w net.ipv4.conf.all.accept_redirects=0

Log spoofed packets, source routed packets, redirect packets
#echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

Ngoai ra tăng số lượng cho tcp_max_syn_backlog.
Maximal number of remembered connection requests, which are still did not receive an acknowledgement from connecting client. Default value is 1024 for systems with more than 128Mb of memory, and 128 for low memory machines. If server suffers of overload, try to increase this number.

Luc co qua nhieu tan cong Dos them khoảng sau:

# Reduce DOS ability by reducing timeouts
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_keepalive_time = 1800
net.ipv4.tcp_sack = 0

Theo mình nghĩ nguy hiểm nhất là DDos, tuy nhiên nó chỉ phát huy được tác dụng khi các nguồn phóng thật sự tồn tại và có quá nhiều, chứ không phải kiểu packet giả tạo đâu. Các site lớn bị loại này tấn công cũng vì vậy.

Tư T2 02, 2005 9:13 pm

Anh có một lời góp ý thế này:
Hầu như những bài của em post là những bài rất quen thuộc trở thành văn bản tiếng việt hoàn chỉnh công khai ở trên mạng. Nói thật một câu những kiến thức phần này khi được trở thành văn bản việt chính thức thì em nên nghĩ là nó đã quá cũ rồi (tương lai thì không biết nhưng đến thời điểm này hầu như vậy).
Em sử dụng những kiến thức ở đây xưng mình là hacker, nghĩ sẽ đânh gục được server của người khác anh nghĩ là hơi lầm đấy. Nếu có đánh được thì đối phương quá kém hay thiết định bị lỗi, cũng không phải là đáng tự hào đâu. Hay nói một cách khác hơn là cái mục tiêu để phấn đấu đó quá vô lý.
Việt nam mình nhiều hacker xấu ít hacker tốt, tại sao vậy chứ? Trong lĩnh vực này, trên thế giới có tên tuổi gì của người Việt nam hay không? Ngay cả bây giờ window cũng vẫn phải phiên bản tiếng Anh cho người Việt. Những ai vô ngực xưng mình giỏi máy tính, nhìn những cảnh vậy mà không thấy xấu hổ ah?

Tư T2 02, 2005 10:12 pm

Ok,em kém cỏi lắm.Thế này nha,nếu ddos theo cách sau thì anh có nghĩ là server đong du ccó thế nào cũng treo không:
Ko những 1 máy từ 1ip mà là nhiều máy (trê n 50 máy )từ nhiều ip khác nhau thì sao,em đã nói rồi,em share tài liều lên cho anh em,em nghĩ là bổ ích,giúp anh em hiểu thế nào là tấn công và sao để phòng thủ,sao anh lại có thái độ thiếu thiện chí với em thế,em hỏi anh một điều thôi ,anh lôi chuyện hack serverr đong du ra đây để chứng tỏ rằng khi nào em hack được serverr đong du thì em mới đủ tư cách post bài đúng không,còn việc em chịu xin lỗi các anh đong du anh biết do sao ko,ko fải do em sợ dong du,ko phải do anh admin cũng chẳng phải do mấy anh viết thư chửi em trong mail (cái này em ma post lên hỏi xem các anh ăn nói thế nào)mà là do một bức thư từ 1 người khác của đong du mà em thấy rất có lý!Như thế là em đã nể các anh đong du Thế thôi,còn anh nghĩ kiến thức em cho lên là lạc hậu,là không cần thiết thì anh hãy xoa đi và tự post bài cho thành viên của mình đi,em nghĩ là anh chỉ đọc các tài liệu bằng tiếng anh và tiếng Nhật rồi dữ đó làm của riêng cho mình thôi chứ chẳng bao giờ chịu chỉ bảo cho ai đâu!EM thích nói thẳng,có phải í anh muốn nói là thách thức em khống chế được server đúng không,em đã có thiện chí còn các anh thì sao,hãy trả lời em sớm nhất

Tư T2 02, 2005 10:48 pm

Matrix2k-org đã nói lời xin lỗi về kế hoạch tấn công dongdu.org thì như thế mọi việc coi như là bỏ qua.Chú mày đương nhiên không còn ở cái thế đối địch với cả Đông du nữa.Từ nay chú mày cứ hoạt động như các thành viên khác.Nếu bác Admin thực sự có lời thách thức và chú cảm thấy máu thì cứ "bắn" vô tư.Vì khi này hành động của chú là đọ trình độ với Admin thôi,không còn có ý nghĩa là 1 sự chọc tức Đông du như lúc chưa nói lời xin lỗi nữa.Mọi thứ giờ là chuyện của cá nhân chú và Admin.Mọi người khác không can ngăn thì không có quyền hận chú đâu.
Làm gì thì làm ,máu đến đâu thì máu mà trong đầu không có ý thù địch thì mọi thứ sẽ dễ giải quyết thôi.

Tư T2 02, 2005 10:59 pm

Gửi matrix2k-org,có người trả lời bài viết của bạn có nghĩa là có người quan tâm đến bài bạn viết. Hoàn toàn không có nghĩa là không thiện chí!Mong rằng hai bên trao đổi với nhau theo hướng cùng học hỏi! Bỏ bớt cái tôi đi, chú ý cách dùng từ ngữ 教える立場じゃなく、単に情報を交換しようという立場からどうかな？
Thêm điều nữa, đơn giản bạn nêu cách tấn công và admin nêu phương án đối phó, hai bên phân tích lẫn nhau...vậy là ổn rồi! Nếu cách tấn công từ nhiều nguồn(trên 50ip)thì không chứng tỏ kĩ thuật, đơn giản vì khả năng xử lý của server không lớn (đây hoàn toàn là yếu tố khách quan), bạn thử trình bày cách tấn công thực sự mang ý nghĩa kỹ thuật cùng bàn luận với admin xem sao? Thật sự những lỗ hổng ở đây là cái gì..v..v.

Ok?

Tư T2 02, 2005 11:25 pm

Làm gì mà nóng vội thế em!Tuần này ngày nào online cũng đọc mấy bài hack hiếc newbie của em ! Tính trả lời em lâu rồi nhưng bận bịu thi cử quá nên thôi mãiđến giờ !Anh tóm lại một câu thế này mấy cái thủ thuật của em chỉ thuộc hàng newbie thôi những cái này chỉ loè lấy le với những người mới sờ con chuột thôi!Anh nói thật đừng giận!
Còn em hỏi 50 ip có làm treo server dongdu ko thì anh trả lời em là treo hay ko thì chưa biết nhưng trước mắt qua những bài viết của em thì anh thấy em chưa đủ trình độ để huy động ra 50 ip này,anh nói thế có đúng ko nhỉ ?
Tin học thì có nhiều cái để học chứ đâu nhất thiết là đi hack dos server người ta!Dính vào những cái này chỉ có nước mất thời gian,đi xin việc chẳng lẽ đưa ra mấy chứng tích đi trộm cắp vặt vãnh này ?Anh nói ít hiểu nhiều nhá !

Năm T2 03, 2005 12:11 am

Các anh đã nói vậy thì em cũng muốn nói như sau!Em sẽ huy động 50ip nhưng để làm chuyện khác(có thể là ddos 1 trang nào đó,các anh có thể làm 1 site demo trên 1 server bt như thế anh em mình mới thực sự hiểu nhau được,nói miệng thế này chắc lúc nào anh em mình cũng tranh luận mất thôi

Năm T2 03, 2005 1:13 am

Viết bài ở đây là để trao đổi học hỏi lẫn nhau.Dù là những thông tin cũ hay mới,trình độ thấp hay cao,có thể có nhiều người biết rồi những cũng còn nhiều người chưa biết.Đối với những người mới tập tẹ bước chân vào lĩnh vực máy tính như mình thì bài viết của matrix2k-org khá bổ ích.Mình nghĩ học hỏi những kỹ thuật hack không hẳn là việc xấu,chỉ cần không dùng nó để phá hoại là được.Phải biết các kỹ thuật tấn công thì ta mới có thể tìm cách đối phó được.Với lại học thì phải đi dần từ những cái đơn giản,những kiến thức cơ bản lên.Cao thủ nào cũng đều phải trải qua những bài học vỡ lòng cả.Cho nên mọi người đừng khiêu khích,chê bai lẫn nhau.Hãy cùng nhau học hỏi.

Giới thiệu về tấn công từ chối dịch vụ

Ai đang trực tuyến?