dongdu.info

Tấn công từ chối dịch vụ ngày này đã trở thành nổi ám ảnh lớn đối với tất cả các mạng máy tính. Như bạn biết đó, các websites lớn như Yahoo, eBay đã từng bị hackers tấn công bằng DDoS.
Ở VN gần đây nhất là vụ một thành viên nhóm Bé Yêu -DantruongX tấn công vào website của Công ty thuơng mại ĐT Việt cơ.Vụ HVA bị Dos rồi đánh sập...
Vậy DoS Attack là gì có những loại nào?
Sau đây là thứ mà tớ vừa tìm thấy^^.
-DN:(từ điển^^online)Thực chất của tấn công bằng từ chối dịch vụ(Denial Of Services Attack) là hacker sẽ chiếm dụng một lựợng lớn tài nguyên trên server, tài nguyên có thể là băng thông, bộ nhớ, cpu, đĩa cứng, ... làm cho server không thể nào đáp ứng các yêu cầu khác từ các clients của những người dùng bình thường và có thể nhanh chónh bị ngừng hoạt động, crash hoặc reboot.
-Một số dạng tấn công từ chối dịch vụ:phần này là sưutập đuợc^^.
Có rất nhiều kiểu tấn công bằng từ chối dịch vụ, bao gồm tấn công từ bên ngoài và tấn công từ mạng bên trong. Ở đây chỉ đề cập đến một số dạng tấn công từ chối dịch vụ thường gặp.

Ping of Death

Một số máy tính sẽ ngưng hoạt động, reboot hoặc bị crash khi gởi gói data ping với kích thước lớn đến chúng.

Ví dụ: C:\> ping -l 655540  

Teardrop

Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình sau: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu. Ví dụ, có một dữ liệu gồm 4000 bytes cần được chuyển đi, giả sử rằng 4000 bytes này được chia thành 3 gói nhỏ(packet):

packet thứ nhất sẽ mang các 1bytes dữ liệu từ  1 đến 1500
packet thứ hai sẽ mang các bytes dữ liệu từ 1501 đến 3000
packet thứ ba sẽ mang các bytes dữ liệu còn lại, từ 3001 đến 4000

Khi các packets này đến đích, hệ thống đích sẽ dựa vào offset của các gói packets để sắp xếp lại cho đúng với thứ tự ban đầu: packet thứ nhất -> packet thứ hai -> packet thứ ba

Trong tấn công Teardrop, một loạt gói packets với giá trị offset chồng chéo lên nhau được gởi đến hệ thống đích. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng packets với giá trị offset chồng chéo lên nhau quá lớn!

Hãy xem lại ví dụ trên, đúng ra các packet được gởi đến hệ thống đích có dạng như sau: (1->1500 bytes đầu tiên) (1501->3000 bytes tiếp theo) (3001->4000 bytes sau cùng), trong tấn công Teardrop sẽ có dạng khác: (1->1500 bytes) (1501->3000 bytes) (1001->4000 bytes). Gói packet thứ ba có lượng dữ liệu sai!

SYN Attack

Trước hết, bạn hãy xem lại tiến trình bắt tay 3 bước của một kết nối TCP/IP. Một client muốn kết nối đến một host khác trên mạng.

;Bước 1: client gởi một SYN packet với số Sequence Number ban đầu(ISN) đến host cần kết nối:

client-----SYN packet----->host

;Bước 2: host sẽ phản hồi lại client bằng một SYN/ACK packet, ACK của packet này có giá trị đúng bằng ISN ban đầu do client gởi đã gởi đến host ở bước 1 và chờ nhận một ACK packet từ client

host-----SYN/ACK packet----->client

;Bước 3: client phản hồi lại host bằng một ACK packet

client-----ACK packet----->host

Khi host nhân được ACK packet này thì kết nối được thiết lập, client vào host có thể trao đổi các dữ liệu cho nhau.

Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ ip nguồn không có thực. Hệ thống đích khi nhận được các bad SYN packets này sẽ gởi trở lại SYN/ACK packet đến các địa chỉ không có thực này vào chờ nhận được ACK messages từ các địa chỉ ip đó. Vì đây là các địa chỉ ip không có thực, hệ thống đích sẽ sẽ chờ đợi vô ích và còn nối đuôi các "request" chờ đợi này nào hàng đợi, gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi ACK messages.

Land Attack

Land Attack cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ ip không có thực, hacker sẽ dùng chính địa chỉ ip của hệ thống nạn nhân. Điều này sẽ tạo nên một vòng lặp vô tận giữa hệ thống nạn nhân với chính hệ thống nạn nhân đó, giữa một bên cần nhận ACK messages còn một bên thì chảng bao giờ gởi ACK messages. Tuy nhiên, hầu hết các hệ thống đều dùng filter hoặc firewall để tránh khỏi kiểu tấn công này!

Smurf Attack

Hai nhân tố chính trong Smuft Attack là là các ICMP echo request packets và chuyển trực tiếp các packets đến các địa chỉ broadcast.

+ Giao thức ICMP thường dùng để xác định một máy tính trên mạng Internet có còn hoạt động(alive) hay không. Để xác định một máy có alive không, bạn cần gởi một ICMP echo request đến máy đó. Khi máy nhận được packet này, nó sẽ gởi trả lại bạn một ICMP echo reply packet. Trong trường hợp bạn không nhận được ICMP echo reply packet, điều này có nghĩa là máy đó không còn hoạt động(not alive). Đây cũng chính là cách hoạt động của các chương trình ping.



+ Mỗi mạng máy tính đều có địa chỉ địa chỉ broadcast và địa chỉ mạng. Địa chỉ broadcast có các bit host đều bằng 0 và địa chỉ broadcast có các bit host đều bằng 1. Ví dụ địa chỉ ip lớp B 140.179.220.200 sẽ có địa chỉ mạng là 140.179.0.0 và địa chỉ broadcast mặc định là 140.179.0.0. Khi một packet được gởi đến địa chỉ broadcast, lập tức packet này sẽ được chuyển đến tất cả các máy trong mạng.



Trong Smurf Attack, cần có ba thành phần: hacker(người ra lệnh tấn công), mạng khuếch đại(sẽ nghe lệnh của hacker) và dĩ nhiên là hê thống nạn nhân. Hacker sẽ gởi các ICMP echo request packets đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các ICMP echo request packets này có địa chỉ ip nguồn chính là địa chỉ ip của nạn nhân. Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, lập tức tất cả các máy tính trong mạng khuếch đại sẽ nhận được các packets này. Các máy này tưởng rằng máy tính nạn nhân đã gởi ICMP echo request packets đến(do hacker đã làm giả địa chỉ ip nguồn), lập tức chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các ICMP reply echo request packets. Hệ thống máy nạn nhân sẽ không chịu nỗi một khối lượng khổng lồ các packets này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot. Như vậy, bạn có thể thấy rằng hacker chỉ cần gởi một lượng nhỏ các ICMP echo request packets đi, và hệ thống mạng khuếch đại sẽ khuếch đại lượng ICMP echo request packets này lên gấp bội. Tỉ lệ khuếch đại phụ thuộc vào số mạng tính có trong mạng khuếch đại. Nhiệm vụ của các hacker là cố chiếm được càng nhiều hệ thống mạng hoặc routers cho phép chuyển trực tiếp các packets đến địa chỉ broadcast và không lọc địa chỉ nguồn của các outgoing packets. Có được các hệ thống này, hacker sẽ dễ dàng tiến hành Smurf Attack trên các hệ thống cần tấn công.

UDP Flooding

Ngập lụt UDP đòi hỏi phải có 2 hệ thống máy cùng tham gia. Hackers sẽ làm cho hệ thống đi vào môt vòng lặp trao đổi các dữ liệu vô ích qua giao thức UDP. Hacker có thể giả mạo địa chỉ ip của các packets là địa chỉ loopback(127.0.0.1), gởi packet này đến hệ thống của nạn nhân trên cổng udp echo(7). Hệ thống của nạn nhân sẽ echo lại các messages do 127.0.0.1(chính nó) gởi đến, kết quả là nó sẽ đi vòng một vòng lặp echo vô tận. Tuy nhiên, nhiều hệ thống sẽ không cho dùng địa chỉ loopback. Hacker sẽ giả mạo một địa chỉ ip của một máy tính nào đó trên mạng nạn nhân và tiến hành ngập lụt udp trên hệ thống của nạn nhân.

Tấn công DNS

Hacker có thể đổi một entry trên Domain Name Server của hệ thống nạn nhân chỉ đến một website nào đó của hacker. Khi client yêu cầu DNS phân tích địa chỉ www.company.com thành địa chỉ ip, lập tức DNS(đã bị hacker thay đổi cache tạm thời) sẽ đổi thành địa chỉ ip của www.hacker.com. Kết quả là thay vì phải vào http://www.company.com/ thì các nạn nhân sẽ vào http://www.hacker.com/. Một cách tấn công từ chối dịch vụ thật hữu hiệu!

Distributed DoS Attacks

Phân pháp tấn công DoS hay còn gọi là DDoS yêu cầu phải có ít nhất vài hackers cùng tham gia. Đầu tiên các hackers sẽ cố thâm nhập vào các mạng máy tính được bảo mật kém, sau đó cài lên các hệ thống này chương trình DDoS server. Bây giờ các hackers sẽ hẹn nhau đến thời gian đã định sẽ dùng DDoS client kết nối đến các DDoS servers, sau đó đồng loạt ra lệnh cho các DDoS servers này tiến hành tấn công DDoS đến hệ thống nạn nhân.



Các công cụ DDoS Attack

Hiện nay có hai công cụ mà các hackers thường dùng để tiến hành DDoS Attack. Đó là Tribe Flood Network(TFN2K) và Stacheldraht. Stacheldraht mạnh hơn TF2K, dùng TCP và ICMP ECHO_REPLY, không dùng UDP nhưng có thêm chức năng bảo mật rất đáng tin cậy.

ST

 

Vụ Vietco.com:
Tư liệu từ BKIS

Cách thức chiếm quyền để tạo BOTNET và tấn công DDos

    1. Trước tiên chúng dụ người sử dụng vào trang web sex www.giacm....com, khi vào trang web này máy tính sẽ bị cài đặt một Trojan (con ngựa thành tơ roa - một dạng chương trình máy tính “nằm vùng” trên máy để chờ thời cơ sẽ thực hiện công việc phá hoại). Chúng tôi tạm đặt tên cho Trojan này là Netinfo. Như vậy máy tính này đã bị hacker kiểm soát mà chủ nhân không hề hay biết, trở thành 1 công cụ giúp chúng đi tấn công các website. Có rất nhiều máy tính đã bị chiếm quyền điều khiển như vậy ở Việt Nam, tạo thành mạng BOTNET.

    2. Mỗi khi máy tính nhiễm Netinfo nối mạng Internet, Trojan này sẽ kết nối tới một địa chỉ định trước trên Internet là www.geocities.jp/blsbhost để lấy về các lệnh tấn công trong một file văn bản có tên là blvb.txt.

    3. Nội dung File blvb.txt nói trên như sau:




File này quy định các thông tin: Cần tấn công website nào? tấn công với tần xuất như thế nào… Như vậy khi cần tấn công website nào thì Hacker chỉ việc sửa đổi nội dung file blvb.txt là lập tức tất cả các máy tính bị chiếm điều khiển sẽ đồng loạt tấn công ồ ạt vào mục tiêu và website mục tiêu đó khó có thể chống đỡ nổi, dẫn đến không thể cung cấp dịch vụ được nữa (bị từ chối dịch vụ - DDos).

Sơ đồ phát tán và tấn công DDOS trong vụ này

- Như vậy, tổng kết lại có thể thấy sơ đồ phát tán và tấn công DDOS trong vụ này như sau:



%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Trong vụ Dos HVA có nghe nói sử dụnh chiêu X-flash nhưng mình không hiểu rõ lắm,Anh em nào giải thích hộ với!

Trong vụ Dos HVA có nghe nói sử dụnh chiêu X-flash nhưng mình không hiểu rõ lắm,Anh em nào giải thích hộ với!

Chắc liên quan đến cái này.
http://www.dongdu.info/cgi-bin/index.cgi?action=forum&board=cn_cntt&op=display&num=1532&start=0#14

Không ngờ lại Post lặp bài lại mất.[tongue]
Ý anh nói là cái này phải không?

Hiện nay trong giới hacker có một kiểu chơi biến thái của drdos là thay vì kích hoạt các server khác ,anh ta sẽ tạo ra một image được thiết kế bằng flash chứa đoạn code dos.
Hình như dùng đoạn code geturl gì đó phải không anh? Nếu như thế có thể làm như sau đuợc không?
Ví vụ như khi vào http://tensite.com/ nó sẽ đọc file index.php.File index.php này đặt ở 1 nơi khác.
Lúc này ta đặt một đoạn mã như sau vào index.php:

Enter site
Và thiết định timeout.
Nếu khách truy cập thật thì họ sẽ Click vào "Enter site" để được truy cập vào site, còn nếu vào "hiden xFlash" và nó sẽ không vào được và timeout,server ngắt kết nối.

Như vậy thì có chống đuợc X-flash hay không?Và cách chống như thế nào vậy hả anh?

[confused] bên HVA còn lần ra là server đã bị DOS bởi 1 hacker tại Nhật( ko biết có bác nào nhà mình chót nghịch dại ko??? ) DOS để lại thiệt hại khá lớn nên hầu hết các website đang tìm mọi cách để giảm nguy cơ bị DOS. Cách cho thêm 1 website vào trước khi vào Forum là 1 trong những cách phổ biến. Forum Rap Việt còn để cả 2 lớp mật khẩu trước khi cho xem nội dung trang chủ. Hix dạo hacker càng ngày càng nguy hiểm.
Vừa rồi KDDI của Nhật có server mạnh và bảo mật rất tốt nhưng cũng bị mất thông tin bảo mật của khách hàng.
1 dạng khác của cách tấn công bằng cách gửi 1 lượng lớn dữ liệu là đánh sập 1 quán Net dịch vụ. Hầu hết thủ phạm chính là mấy bác Hacker VN, phần thì vì tiền( được chủ quán Net khác nhờ) phần thì vì oai... cũng may dạo này ít dần đi rồi [confused] vì các hacker giỏi đã chuyển sang làm bảo mật.
Hack là tội phạm hay thiên tài nhỉ ????[smile]

Cách cho thêm 1 website vào trước khi vào Forum là 1 trong những cách phổ biến. Forum Rap Việt còn để cả 2 lớp mật khẩu trước khi cho xem nội dung trang chủ

Cách làm này đâu có ý nghĩa lắm nhỉ , vì mục đích của hacker là chỉ cần gửi được packets đến server mục tiêu , trang web dù có đặt pass hay không cũng vậy thôi. Và ngòai cổng 80(http) thì còn có thể DoS vào các cổng đang chạy các dịch vụ khác trên server.
Anh em nào biết phương thức chống Dos hay có thể chia sẻ ở đây được không . DoS là nan giải nhưng cũng không hẳn là  không có cách phòng ngừa, hạn chế.

[confused] lớp password của trang đầu tiên là để tránh mục đích truy cập website ko rõ ràng. Đại loại là đề phân biệt giữa người sử dụng với worm hay các gói thông tin của hacker.
Cách phòng chống DOS hoàn toàn thì em ko rõ. Nhưng có 1 cách ngăn chặn DoS đến 95% :
Nếu đang dùng Server Linux có sử dụng CPanel khi phát hiện ra có DDoS, nếu có thể root ngay lập tức các bác hãy Suppend Site đang bị tấn công và cài Password tạm thời lên sau khi thao tác xong phần cài password cho folder hoặc site bị tấn công thì có thể Unsuppend để tiếp tục theo dõi.

Tạo một file .htaccess đặt vào thư mục hoặc site đang bị Flood như sau:


.htaccess
****************************
AuthUserFile /forum/.htpasswd
AuthGroupFile /dev/null
AuthName "Password Protected Area"
AuthType Basic
****************************
và tạo một file .htpasswd
****************************
@domain::@dGdK8ZQg/FjU
****************************
user và pass ở trên là : @domain:

Đấy là 1 ví dụ hoặc có thể vào
http://google.com và Search với từ khóa .htaccess Generator để tự tạo password theo ý muốn.

Nên để password có ký tự @ phía trước và dấu : phía sau vì WinXP đã fix lổi cho nhập Password dạng URL http://user:pass@domain.com/, nếu có @ và : thì Attacker sẽ không thể vượt qua bằng cách nhập trực tiếp User và Pass bằng URL.

Sau đó thì phải lên một cấu hình Firewall phù hợp cho site.

.htaccess
********************************************************
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tenmienbitancong.com [NC]
RewriteRule \.(phphtmlasp)$ http://sitefirewall.com [NC,R,L]
********************************************************

Đây là cách mà hacker DantruongX nêu ra để chống bị DDoS. Thực sự thế nào em cũng ko rõ lắm.
Giải thích : trên máy chủ chạy mã lập trình của PHP, ASP, HTML khi một Attacker tấn công vào site của bác cụ thể ví vụ như tấn công vào http://tenmienbitancong.com/ nó sẽ đọc file index.php lúc này Mod Rewrite sẽ hoạt động và Foward về http://sitefirewall.com sau đó từ http://sitefirewall.com bác đặt một đoạn mã như sau:
Vao Web Site
Nếu là khách truy cập thật thì họ sẽ Click vào "Vao Web SIte" để được truy cập vào site. còn nếu vào "hiden xFlash" và nó sẽ không vào được. Bác có thể nghiên cứu 1 số kiểu ModRewrite Kết hợp với mã nguốn trên site để config site chống xFlash tốt hơn.

(đại khái như thế)

Cách tránh thành 1 Client hidden cho DDoS của xFlash là nâng cấp bản http://macromedia.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash&promoid=BIOW

miễn phí....
(sưu tầm từ nhiều website)

Mấy cách mà NTC nêu cũng thấy hay lắm.Nhưng em vẫn chưa hiểu Tạo một file .htaccess Em chưa hiểu kiểu file này ,ai đó giải thích hộ em với.

ái chà mấy bữa này trang này nóng quá nhỉ. Mình cũng tham gia mot chút. Về file .htaccess có thể hiểu đơn giản như sau:

Hãy hình dung một trang web lớn với hằng trăm người sử dụng, tuy nhiên đương nhiên rằng người quản lý chỉ là một số nhỏ thôi. Tất cả những thiết định của web server muốn đổi thì phải nhờ vào những người này. Tuy nhiên làm như vậy thì quá phiền phức, ở tại một folder bất kỳ chỉ cần gắn .htaccess thì có thể custom lại thiết định của web server theo ý muốn của người sử dụng. Tóm lại cái file này thực hiện 2 điều sau:
1. Cho phép người sử dụng có thể custom thiết định mà không cần quyền admin web server.
2. Đảm bảo được policy chung của trang web đó, người quản lý sẽ thiết định theo đúng policy đã định, chỉ có cho nào muốn thay đổi chút thì custom bằng .htacces.

Nguyên tắc nó là như vậy, trước đến nay thường thì .htaccess được sử dụng nhiều nhất trong những trường hợp sau:
1. Basic authentication
Cai này đúng theo phần đầu của bài bodoicuho viết. Cái auth này cực kỳ đơn giản nhưng rất hiệu quả. Để vào được một folder nào đấy thì bạn phải có nick và password mới được. Sau khi vào được rồi thì tài khoảng đấy sẽ được lưu lại tại session hiên tại của browser, chỉ đến khi nào tắt cái browser đó di thôi còn lại thì ra vào folder đó thõa mái.
(Bản thân anh thì thường dùng cái này để chống bọn robot như của google, không đề phòng những thông tin kín bị bọn robot này search ra hết:))
2. Cho quyen chạy cgi.
Bây giờ thời đại hơi thay đổi rồi chứ trước đây khi cgi còn thịnh, thì hay có câu: "Đã setting .htaccess chưa" ảm chỉ có setting để permit thực hiện file *.cgi *.pl (Mà cái này cũng do cấu trúc của cgi không tốt nên mới phải vất vả vậy, sau này đến đời php về sau thì đã oke roi)
3. Thay đổi thiết định để thích ứng với một số web application.
Những web application hiện tại, đặc biệt là php thi` rất cần những thiết định này. ví dụ file_upload = On, session time v.v..

dongdu.org cũng đã có hằng loạt cố gắng để chống dos đấy. Nói chung môt khi trang web nào đó có tên tuổi khá lên một chút thì dos bao giờ cũng là vấn đề người quản lý đau đầu nhất. Anh em nào muốn biết cứ liên hệ Sở Lưu Anh nhé:D

Thanks anh Chung nhìu nhìu.Em cũng không rành về mấy khoản này lắm.[tongue]