Ddos Là Gì ?

[Vũ Thanh Lai]

Ddos Là Gì ?

Cái này chắc các bác ai cũng biết nhưng em xin post đây để những "Gà" như em đây bik thêm !

DDOS - Distributed Denial Of Service.

• 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi Phifli.

• Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động vì cuộc tấn công bằng (DDOS)

• Tháng 6 – 1999 Mạng Trinoo đã được cài đặt và kiểm tra trên hơn 2000 hệ thống.

DDOS – Distributed Denial Of Service ?

• Cuối tháng 8 đầu tháng 9 năm 1999, Tribal Flood Network đầu tiiên ra đời, Chương trình được Mixter Phát triển.

• Cuối tháng 9 năm 1999, Công cụ Stacheldraht đã bắt đầu xuất hiện trên những hệ thống của Châu âu và Hoa kỳ.

• Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington đã làm những phân tích về công cụ tấn công từ chối dịch vụ

• Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 ( TFN2K ).

• 10 : 30 / 7 – 2 -2000 Yahoo! ( Một trung tâm nổi tiếng ) đã bị tấn công từ chối dịch vụ và ngưng trệ hoạt động trong vòng 3 giờ đồng hồ. Web site Mail Yahoo và GeoCities đã bị tấn công từ 50 địa chỉ IP khác nhau với nhửng yêu cầu chuyễn vận lên đến 1 gigabit /s.

DDOS - Distributed Denial Of Service ?

• 8 -2 nhiều Web site lớn như Buy.com, Amazon.com, eBay, Datek, MSN, và CNN.com bị tấn công từ chối dịch vụ.

• Lúc 7 giờ tối ngày 9-2/2000 Website Excite.com là cái đích của một vụ tấn công từ chối dịch vụ, dữ liệu được luân chuyễn tới tấp trong vòng 1 giờ cho đến khi kết thúc, và gói dữ liệu đó đã hư hỏng nặng.

• Qua đó ta có thể thấy rõ những vụ tấn công từ chối dịch vụ (Denial Of Services Attack ) và những cuộc tấn công về việc gửi nhửng gói dữ liệu tới máy chủ (Flood Data Of Services Attack) tới tấp là những mối lo sợ cho nhiều mạng máy tính lớn và nhỏ hiện nay,

• Khi một mạng máy tính bị Hacker tấn công nó sẽ chiếm một lượng lớn tài nguyên trên server như dung lượng ổ cứng, bộ nhớ, CPU, băng thông …. Lượng tài nguyên này tùy thuộc vào khả năng huy động tấn công của mỗi Hacker. Khi đó Server sẽ không thể đáp ứng hết những yêu cầu từ những client của những người sử dụng và từ đó server có thể sẽ nhanh chóng bị ngừng hoạt động, crash hoặc reboot.

• Tấn công từ chối dịch vụ có rất nhiều dạng như Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS.

Ping Of Death.

Một số máy tính sẽ bị ngưng họat động, Reboot hoặc bị crash khi bị nhận những gói dữ liệu ping có kích thước lớn.

• Ví dụ như : ping địachỉ -n 1000
trong đó : số 1000 là số lần gửi gói dữ liệu.

• TCP/SYN Flooding:

Bước 1: Khách hàng gửi một TCP SYN packet đến cổng dịch vụ của máy chủ

Khách hàng -> SYN Packet -> Máy chủ

Bước 2 : Máy chủ sẽ phản hồi lại khách hàng bằng 1 SYN/ACK Packet và chờ nhận một 1 ACK packet từ khách hàng

Máy chủ -> SYN/ACK Packet -> Khách hàng

Bước 3: Khách hàng phản hồi lại Máy chủ bằng một ACK Packet và việc kết nối hòan tất Khách hàng và máy chủ thực hiện công việc trao đổi dữ liệu với nhau.

Khách hàng -> ACK Packet -> Máy chủ

• Trong trường hợp Hacker thực hiện việc SYN Flooding bằng cách gửi tới tấp, hàng loạt TCP SYN packet đến cổng dịch vụ của máy chủ sẽ làm máy chủ bị quá tải và không còn khả năng đáp ứng được nữa.

• UDP/ICMP Flooding:
Hacker thực hiện bằng cách gửi 1 số lượng lớn các gói tin UDP/ICMP có kích thước lớn đến hệ thống mạng, khi hệ thống mạng chịu phải sự tấn công này sẽ bị qua tải và chiếm hết băng thông đường truyền đi ra bên ngòai của mạng này, vì thế nó gây ra nhửng ảnh hưởng rất lớn đến đường truyền cũng như tốc độ của mạng, gây nên những khó khăn cho khách hàng khi truy cập từ bên ngoài vào mạng này.

• Những điều kiện đủ để có những cuộc tấn công DoS Có hiệu quả:
Để có được những cuộc tấn công DOS có hiệu quả thông thường một Hacker phải lựa chọn cho mình những đường truyền có dung lượng lớn cũng như tốc độ máy được dùng làm công cụ tấn công. Nếu không hội tụ được những điều kiện trên thì cuộc tấn công sẽ không mang lại mấy khả quan.

• Nhưng với những tiện ích như Trinoo, TFN2K, Stacheldraht… người tấn công không phải chỉ dùng 1 nơi để tấn công mà sử dụng nhiều mạng lưới khác nhau để thực hiện việc tấn công đồng lọat. Các máy được dùng để tấn công thường là các máy có kết nối Internet bị người tấn công xâm nhập.

• Qua đó chúng tôi đã tham khảo và biết một số cách nhưng hầu hết không chống được một cách triệt để.

1. Khi bạn phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm địa chỉ IP đó và cấm không cho gửi dữ liệu đến máy chủ.

2. Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ.

3. Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số lượng packet vào hệ thống.

4. Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập nhật các bản sửa lỗi cho hệ thống đó hoặc thay thế.

5. Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN Flooding.

6. Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứng tốt hơn. Nếu được có thể nâng cấp các thiết bị phần cứng để nâng cao khả năng đáp ứng của hệ thống hay sử dụng thêm các máy chủ cùng tính năng khác để phân chia tải.

7. Tạm thời chuyển máy chủ sang một địa chỉ khác.

Flooding Data Attack ?

• Hoàn toàn khác với DDos về khả năng tấn công cũng như sự huy động tấn công rất dễ dàng để làm tràn ngập dữ liệu (Flood data attack !) được phát triển ở rất nhiều dạng nó dựa vào những lỗi của hầu hết các mã nguồn mở của ASP, PHP, JSP, CGI …..

• Với DDOS như chúng ta đã biết khi một số Hacker muốn mở những cuộc tấn công đều phải hội tụ những điều kiện, là phải dùng những máy chủ có đường truyền cao và thường thì phải @hắc vào server đó mới có thể huy động làm công cụ tấn công được, ngược lại với Flood data attack việc huy động quá dễ, nó chia ra làm 2 dạng tấn công như sau:

• Dạng 1: Được chạy trên trên môi trường Windonw, Unix, Linux …

• Dạng 2: Được đính kèm trên các Website và nhận lệnh tấn công từ một địa chỉ nào đó trên Mạng toàn cầu.

• Dạng 1: Với kích thước từ 500 byte đến 1Kb các Hacker dễ dàng đính kèm vào một Website nào đó có nhiều người hiện đang có mặt truy cập trên Website đó. Với đọan mã trên ta có thể thấy Hacker đã đặt kích thước tập tin Flooddata.swf ở chế độ Chiều rộng (width) là bằng 0 và chiều cao (height) cũng bằng 0 như thế tập tin này sẽ không thể hiển thị được trên trên trang Web đó

Khi người sử dụng vào Website này lập tức sẽ kích họat chương trình Flood Data Attack ! của Hacker tại địa chỉ là http://noitancong.com/filedata.swf và Hacker cũng dễ dàng điều khiển chương trình bằng 1 file nguồn ở 1 Website nào đó của Hacker trên mạng mà Hacker đó đặt ra trong chương trình Flooding data Attack.

Hacker có thể kiểm soát được số người hiện đang kích hoạt chương trình Flood data của mình trên Website đó và khi nào Hacker cảm thấy số lượng người đang kích hoạt chương trình đã đủ để việc tấn công một Website nào đó trên mạng thành công thì công việc đó có thể được bắt đầu.

Ví dụ như hacker vào một địa chỉ như http://www.vbuleetin.com để thực hiện công việc tấn công trang này hacker cần phải tìm những nơi có sự trao đổi dữ liệu cho nhau như Register, Search, Login, Sendmail ….. Sau khi đã thu thập được những thành phần trên Hacker bắt đầu thực hiện lấy những đầu vào(input) và gán nhửng giá trị đầu vào trên lên nơi điều khiển của chương trình Flood data attack!.

Ví dụ phần trên sẽ được gán với biến như sau :

Url=http://www.vbuleetin.com/register.php&username=user + random(999999999)&password = flood&passwordconfim=password&email=random(1000000 00)+@vbulleetin.com

Trong đó Url là giá trị của Website bị tấn công, Username với giá trị là một user nào đó do hacker đặt ra và cộng với biến ngẫu nhiên ở sau mỗi user mà hacker đặt ra là khác nhau. Một khi Website này bị tấn công, toàn bộ họat động của Server chứa Website đó sẽ bị hậu quả rất ngiêm trọng tùy theo số lượng người kích họat vào chương trình Flood data attack! Của hacker đó, Lúc này những phần bị ảnh hưởng sẽ là MailServer, MySQL, PHP, Apache, FTP….

• Đối với MySQL : Khi bị Flood data attack! Những yêu cầu sẽ được gửi liên tục đến Server và được chuyển qua MySQL xử lý với số lượng lớn và nối tiếp nhau cho đến khi quá tải chương trình MySQL sẽ hòan toàn bị vô tác dụng song song với việc ảnh hưởng đến MySQL là việc ảnh hưởng đến MailServer.

Với giá trị là random(100000000)+@vbuleetin.com thì khi thực thi nó sẽ gửi từ ‘1@vbuleetin.com’ cho đến ‘100000000@vbuleetin.com’ tất nhiên nhửng email này sẽ không có thực đối với trang chủ của Website ‘http://www. vbuleetin.com.

• Đối với sẽ nhửng địa chỉ email này MailServer đưa vào danh sách "Msgs Failed" nhưng với giá trị là @vbulletin.com thì hầu hết một nhà cung cấp "domain" và "hosting" sẽ chuyển về một số email mặc định như là postmaster, admin, administrator, supervisor, hostmaster, webmaster.

Những Hacker có thể lợi dụng những Form mail trong việc trao đổi thông tin giữa khách hàng với chủ cung cấp dịch vụ để thực hiện những cuộc tấn công, những cuốc tấn công này thường rất nguy hiễm vì có thể trong 1 giây Hacker thực hiện từ 100 lần đến hàng nghìn lần với những yêu cầu SendEmail từ 1 user trên server đó đến MailServer.

• Dạng 2: Được chạy dưới dạng file.exe với dạng thức này thì khả năng tấn công vẫn giống như cách tấn công nằm trên website nhưng khả năng tấn công được nâng thêm nhiều dạng như Ping, Flood Ftp, Flood Smtp… tùy vào khả năng phát triển của Hacker.

Cũng giống như chương trình Flood data attack! Được gắn trên website dạng .exe này cũng được điều khiển từ 1 Website. Thường thì nơi điều khiển được đặt chung 1 nơi để tiện cho việc điều khiển.

Với những phương thức tấn công như vậy ta cũng có thể thấy được tầm nguy hiểm của nó nếu như được đặt trên một server với số lượng người truy cập đông như Google hoặc 1 Website nổi tiếng nào đó thì sức phá hoại của nó là rất khủng khiếp.

• Với 1 client/1s có thể gửi từ 3 – 8 yêu cầu có thực đến máy chủ thực thi và xử lý thông qua đó nó có thể ảnh hưởng đến Php, Apache, Phpmail, MySQL, FTP …., Tùy theo những mã nguồn của ASP, PHP, JSP, CGI, PL hoặc chung quy là những mã nguồn có liên quan đến công việc xuất và nhập dữ liệu.

Nếu hacker huy động hoặc @hắc được những server hoặc Website nào đó có số lượng người Online khoảng 2000 thì trong 1 giây Server đó sẽ phải thực thi khoảng 6000 yêu cầu từ các client gửi đến Server đó.

Ví dụ : Có User nằm trên server X nào đó user đó có cài đặt mã nguồn mở như Forum IPB (Invision Power Boards) khi hacker sử dụng mục đăng ký làm nơi tấn công Flood data thì trong vòng một giây như phần trên đã nêu sẽ có khoãng 6000 nickname được khởi tạo đi kèm theo đó là 6000 yêu cầu đã được mã nguồn mử thiết lập khi đăng ký và sẽ kèm theo việc gửi email đến các địa chỉ đã đăng ký.

• Như vậy đi kèm với 6000 nickname trên, MailServer sẽ phải gửi đi 6000 yêu cầu trong vòng 1/s việc này nếu như bị kéo dài từ 5 – 10 phút thì Server đó hầu như sẽ không còn họat động được.

Bandwith lúc này có thể tăng 5 – 10 MB/s cộng thêm data khi được chuyển đến MySQL lúc này có thể đạt tới 5 -7 MB/s nữa khi đó toàn bộ các phần mềm như Apache, MailServer, PHP, MySQL, FTP đều bị ngưng họat động. Lúc đó server có thể sẽ bị reboot.

Vì Hacker sử dụng phương tiện tấn công Online trên Website và dựa vào lượng khách truy cập thông tin ở nhiều Website nên phương pháp này hầu như rất khó chống, mỗi ngày Hacker có thể dùng hàng ngàn địa chỉ IP trên khắp thế giới để thực hiện việc tấn công như thế ta có thể thấy nó đơn giản so với DDos rất nhiều nhưng sự nguy hiểm có lẽ hơn hẳn DDos. Vì Flooding Data Attack tấn công theo dạng địa chỉ ‘http://victim.com/data.php&bien1&bien2&bien3’ theo cổng GET hoặc POST vì vậy, cho dù bất cứ lý do gì khi tấn công cũng phải đi qua hướng này.

Do lỗi được xuất hiện ở các mã nguốn ASP hay PHP nên cách tốt nhất là sửa và xem lại những mã nguồn mà người sử dụng muốn đưa lên mạng. Để tránh bị Flood data Attack! Thì cách phòng chống tạm thời vẫn là thêm một chuỗi ngẫu nhiên trên mỗi Form có sự xuất và nhập dữ liệu tuy nhiên những cách trên chưa phải là những cách hòan thiện để chống lại nhửng cuộc tấn công tràn ngập dữ liệu (Flooding Data Attack).

[Vũ Thanh Lai]

Ddos Là Gì ?

Tấn công DDOS sẽ luôn là mối đe dọa hàng đầu đến các hệ thống trên thế giới. Về kỹ thuật, hầu như chúng ta có thể hy vọng attacker sử dụng những công cụ v cĩ hiểu biết km cỏi về các protocol để có thể nhận biết và lọai trừ các traffic gây nên cuộc sống. Một điều mà các chuyên gia ai cũng thừa nhận, đó là nếu DDOS được thực hiện bởi một hacker có trình độ, thì việc chống đỡ là không thể. Cách đây 4 năm, giới hacker chính quy thế giới đ khai tứ kỹ thuật tấn công này và chấm dứt mọi hoạt động nghiên cứu-trình diễn hay pht tn cơng cụ do chính bản thn họ cũng nhìn thấy mức độ nguy hiểm và không công bằng của kiểu tấn công này. Đối với hacker đẳng cấp thì “Hacking is get root”.

Với một hạ tầng mạng hết sức yếu kém, cùng với nền thương mại điện tử mới được hình thanh, DDOS sẽ l một mối nguy hại rất lớn cho Internet Việt Nam. Commaz ku gọi sự hợp tc v hỗ trợ của tất cả thnh vin cộng đồng Internet Việt Nam, hy cĩ một ci nhìn v hnh động thật chín chắn, DDOS là một hành động hết sức vô ý nghĩa về mọi mặt.


Tấn công từ chối dịch vụ (DoS) là các cuộc tấn công trên hệ thống mạng nhằm ngăn cản những truy xuất tới một dịch vụ. Tấn công DoS phá hủy dịch vụ mạng bằng cách làm tràn ngập số lượng kết nối, quá tải server hoặc chương trình chạy trên server, tiêu tốn tài nguyên của server, hoặc ngăn chặn người dùng hợp lệ truy nhập tới dịch vụ mạng.
Có rất nhiều các phương cách để thực hiện các cuộc tấn công từ chối dịch vụ, vì thế cũng có rất nhiều cách phân loại DoS.
Cách phân loại phổ biến thường dùng dựa vào giao thức trong hình thức tấn công của DoS, ví dụ như tràn ngập ICMP với Smurf, Ping of Death, khai thác điểm yếu của TCP trong hoạt động của giao thức và phân mảnh gói tin với SYN flood, LanD attacks, TearDrop hay trên mức dịch vụ như với Flash Crowds (ở Việt Nam thường biết đến với tên X-flash).
Phân loại theo phương thức tấn công, DoS có thể được thực hiện bằng một vài gói tin đơn lẻ gửi thẳng tới server gây rối loạn hoạt động (như slammer worm), hoặc kích hoạt để gửi từ nhiều nguồn (từ chối dịch vụ phân tán DdoS). Tấn công có thể thực hiện trên mạng Internet (sử dụng ngay các web server), hoặc broadcast trong mạng bên trong (insider attacks như với Blaster worm), trên mạng P2P (P2P index poinsioning) hay Wireless (WLAN authentication rejection attack- spoof sender). Tuy nhiên, có thể thấy các cách phân loại trên dựa chủ yếu vào cách nhìn từ sự phát sinh tấn công, và vì thế, không hệ thống hóa được phương thức phòng tránh.

Một cách chung nhất, có 7 phạm trù các tổ chức cần xem xét khi đối phó với các mối đe dọa về DoS như sau:

1. Phòng ngừa các điểm yếu của ứng dụng (Application Vulnerabilities)
Các điểm yếu trong tầng ứng dụng có thể bị khai thác gây lỗi tràn bộ đệm dẫn đến dịch vụ bị chấm đứt. Lỗi chủ yếu được tìm thấy trên các ứng dụng mạng nội bộ của Windows, trên các chương trình webserver, DNS, hay SQL database. Cập nhật bản vá (patching) là một trong những yêu cầu quan trọng cho việc phòng ngừa. Trong thời gian chưa
thể cập nhật toàn bộ mạng, hệ thống phải được bảo vệ bằng bản vá ảo (virtual patch). Ngoài ra, hệ thống cần đặc biệt xem xét những yêu cầu trao đổi nội dung giữa client và server, nhằm tránh cho server chịu tấn công qua các thành phần gián tiếp (ví dụ SQL injection).


2. Phòng ngừa việc tuyển mộ zombie

Zombie là các đối tượng được lợi dụng trở thành thành phần phát sinh tấn công. Một số trường hợp điển hình như thông qua rootkit (Sony hay Symantec), hay các thành phần hoạt động đính kèm trong mail, hoặc trang web, ví dụ như sử dụng các file jpeg khai thác lỗi của phần mềm xử lý ảnh, các đoạn mã đính kèm theo file flash, hoặc trojan cài đặt theo phishing, hay thông qua việc lây lan worm (Netsky, MyDoom, Sophos). Để phòng chống, hệ thống mạng cần có những công cụ theo dõi và lọc bỏ nội dung (content filtering) nhằm ngăn việc tuyển mộ zombie của hacker.



3. Ngăn ngừa kênh phát động tấn công sử
dụng công cụ
Có rất nhiều các công cụ tự động tấn công DoS, chủ yếu là tấn công phân tán DDoS như TFN, TFN2000 (Tribe Flood Network) tấn công dựa trên nguyên lý Smurf, UDP, SYN, hay ICMP; Trinoo cho UDP flood; Stacheldraht cho TCP ACK, TCP NULL, HAVOC, DNS flood, hoặc tràn ngập TCP với packets headers ngẫu nhiên. Các công cụ này có đặc điểm cần phải có các kênh phát động để zombie thực hiện tấn công tới một đích cụ thể. Hệ thống cần phải có sự giám sát và ngăn ngừa các kênh phát động đó.

4. Ngăn chặn tấn công trên băng thông
Khi một cuộc tấn công DdoS được phát động, nó thường được phát hiện dựa trên sự thay đổi đáng kể trong thành phần của lưu lượng hệ thống mạng. Ví dụ một hệ thống mạng điển hình có thể có 80% TCP và 20% UDP và ICMP. Thống kê này nếu có thay đổi rõ rệt có thể là dấu hiệu của một cuộc tấn công. Slammer worm sẽ làm tăng lưu lượng UDP, trong khi Welchi worm sẽ tạo ra ICMP flood. Việc phân tán lưu lượng gây ra bởi các worm đó gây tác hại lên router, firewall, hoặc cơ sở hạ tầng mạng. Hệ thống cần có những công cụ giám sát và điều phối băng thông nhằm giảm thiểu tác hại của tấn công dạng này.


5. Ngăn chặn tấn công qua SYN
SYN flood là một trong những tấn công cổ nhất còn tồn tại được đến hiện tại, dù tác hại của nó không giảm. Điểm căn bản để phòng ngừa việc tấn công này là khả năng kiểm soát được số lượng yêu cầu SYN-ACK tới hệ thống mạng.
6. Phát hiện và ngăn chặn tấn công tới hạn số kết nối
Bản thân các server có một số lượng tới hạn đáp ứng các kết nối tới nó. Ngay bản thân firewall (đặc biệt với các firewall có tính năng stateful inspection), các kết nối luôn được gắn liền với bảng trạng thái có giới hạn dung lượng. Đa phần các cuộc tấn công đều sinh số lượng kết nối ảo thông qua việc giả mạo. Để phòng ngừa tấn công dạng này, hệ thống cần phân tích và chống được spoofing. Giới hạn số lượng kết nối từ một nguồn cụ thể tới server (quota).

7. Phát hiện và ngăn chặn tấn công tới hạntốc độ thiết lập kết nối
Một trong những điểm các server thường bị lợi dụng là khả năng các bộ đệm giới hạn giành cho tốc độ thiết lập kết nối, dẫn đến quá tải phải chịu sự thay đổi đột ngột về số lượng sinh kết nối. Ở đây việc áp dụng bộ lọc để giới hạn số lượng kết nối trung bình rất quan trọng. Một bộ lọc sẽ xác định ngưỡng tốc độ kết nối cho từng đối tượng mạng. Thông thường, việc này được đo bằng số lượng kết nối trong thời gian nhất định để cho phép sự dao động trong lưu lượng.

Các phân tích ở trên được dựa trên những ngầm
định cơ bản sau trong việc bảo vệ hệ thống.
1. Đó là các thiết bị bảo vệ cần được đặt trên luồng thông tin và thực hiện trực tiếp việc ngăn ngừa. Điều này xuất phát từ lý do cho tốc độ của một cuộc tấn công (ví dụ khoảng 10.000 đăng ký thành viên trên 1s hướng tới 1 server, hoặc phát tán worm với tốc độ 200s trên hệ thống mạng Ethernet 100M). Với tốc độ như vậy, cách thức phòng ngừa dạng phát hiện thông báo ngăn chặn (Host Shun và TCP Reset) không còn phù hợp.
2. Các cuộc tấn công từ chối dịch vụ chủ yếu nhắm tới khả năng xử lý của hệ thống mạng mà đầu tiên là các thiết bị an ninh thông tin. Năng lực xử lý của IPS hoặc các thành phần content filtering là một trong những điểm cần chú ý, đặc biệt ở sự ổn định trong việc xử lý đồng thời các loại lưu lượng hỗn tạp với kích thước gói tin thay đổi.
3. Các cuộc tấn công luôn được tích hợp (blend attacks) với sự tổng hợp các phương thức khác nhau. Chính vì vậy, tầm quan trọng của việc phòng ngừa những dấu hiệu lây nhiễm đơn giản là bước đầu tiên để ngăn chặn những cuộc tấn công từ chối dịch vụ.
Trong hệ thống tổng thể về security, để đối phó với các cuộc tấn công từ chối dịch vụ, thì thành phần IPS được coi là quan trọng nhất ở tính trong suốt với người dùng, nên việc phân tích các luồng thông tin trao đổi giữa server và người dùng không bị ảnh hưởng bởi các luồng tấn công hướng thẳng đến nó.
Dưới đây là tóm tắt những báo cáo của NSS, tổ chức kiểm tra định khả năng các thiết bị mạng trong môi trường giả lập tấn công cho các thiết bị IPS của các hãng hàng đầu

[Vũ Thanh Lai]

Ddos Là Gì ?

Nhiều năm làm việc trong lĩnh vực infosec với không ít kỷ niệm vui buồn, thứ duy nhất làm tôi cảm thấy không trọn vẹn trong nghề nghiệp chính là “quái thú DDOS”. Suy cho cùng tất cả mọi vấn đề phức tạp của Internet đều xuất phát từ con người. Chúng ta đã để cho bản ngã dẫn dắt, chúng ta đã tạo điều kiện và nuôi dưỡng con quái thú này."

Rồi một ngày nào đó, chính nó sẽ huỷ diệt một hệ thống giao tiếp lớn nhất và hữu ích nhất hiện tại. Câu nhận định của người xưa - “Human is error” - nghe thật xót xa nhưng cũng thật chí lý!

Một Internet đầy khiếm khuyết

Cho đến tận bây giờ Internet vẫn mang trong mình nó những khiếm khuyết từ lúc nó được xây dựng – những khiếm khuyết của quá trình thiết kế ra Internet. Một số khiếm khuyết là do giới hạn về tầm nhìn và sự chủ quan, đa số các khiếm khuyết còn lại là do con người vô tình hay cố tình tạo ra:

Người Mỹ áp đặt free speak – Internet nặc danh toàn phần

Thật khó tin, một hệ thống với hơn 1 tỷ người tham gia sử dụng lại không hề có cơ chế định danh người dùng!

Điều này có nghĩa là bản chất thiết kế của Internet không hề đòi hỏi người dùng phải xác thực khi sử dụng. Muốn dùng internet? Bạn chỉ cần ngồi vào bất cứ máy tính nào có kết nối và sử dụng nó. Internet không quan tâm danh tính, dấu vân tay ... , hay bất cứ thứ gì khác ở bạn!

Rất ít người dám chạy ra đường và … cướp giật một thứ gì đó của người khác. Nhưng ở trên Internet, họ sẽ rất tự tin khi thực hiện một hành vi xấu, bởi vì họ biết Internet che chở cho họ!

Theo tôi nghĩ, nếu muốn người Mỹ đã có thể tạo ra một Internet an toàn hơn bằng cách “ép buộc” mọi người dùng xác thực danh tính trước khi sử dụng. Về kỹ thuật điều này có thể hiện thực rất đơn giản, bạn có thể hình dung trước khi có thể sử dụng internet bạn phải cung cấp dấu vân tay để kích hoạt network interface!

Người Mỹ không quan tâm đến vấn đề này, vì họ thích free speak và “áp đặt” đặc tính free speak cho toàn Internet. Loài người sử dụng Internet-nặc danh, họ sẽ rất tự tin để free speak. Tuy nhiên, khi nặc danh loài người lại trở nên rất hoang dã và thể hiện rõ nét đặc tính “con” của mình. Họ tấn công lẫn nhau, đánh cướp, v..v.

Về kỹ thuật, giao tiếp trên Internet là trực tiếp thuần tuý. A giao tiếp với B sẽ không cần phải xin phép C, bản chất thiết kế của Internet hỗ trợ điều này và mọi nỗ lực kiểm soát thông tin của C sẽ dễ dàng bị vô hiệu hoá. Bạn có thể nhìn thấy điều này với các website bị firewall bởi ISP sẽ dễ dàng bị vô hiệu bằng vô số proxy trên Internet hoặc các kỹ thuật tunneling. Internet là do người Mỹ thiết kế, quản lý, kiểm soát, khai thác và họ có khả năng áp đặt !!!

Loài người hành xử cục bộ - Internet thiếu khả năng phối hợp

Có rất nhiều vấn đề của Internet về phương diện kỹ thuật rất dễ giải quyết, nhưng do chúng ta hành xử cục bộ nên đã không giải quyết được.

Điển hình là vấn đề giả mạo địa chỉ IP. Nếu triệt tiêu được khả năng giả mạo địa chỉ IP thì gần như giải được 80% bài toán nặc danh và cả những bài toán khác của Internet.

Yêu cầu kỹ thuật để loại trừ vấn đề giả mạo địa chỉ IP là mỗi network owner phải thực hiện lọc (filter) kiểm soát các packet đi ra khỏi hệ thống của mạng mình và loại trừ các packet có địa chỉ nguồn không thích hợp. Làm việc này mất năm phút, đơn giản là thêm vào vài dòng trong access list của border router. Hơn hai mươi năm qua, vấn đề giả mạo địa chỉ vẫn không giải quyết được! Đơn giản chỉ vì việc giả mạo địa chỉ IP không ảnh hưởng trực tiếp đến network owner – chủ nghĩa “mặc kệ nó” điển hình.

Điều gì sẽ xảy ra nếu các quốc gia không phối hợp với nhau để giải quyết các vấn nạn của Internet. Một số hệ thống của nước X bị hacker nước Z sử dụng để tấn công mạng của nước Y, các quốc gia này sẽ phối hợp với nhau như thế nào? Làm sao để trừng phạt hành vi của hacker nếu không có thoả thuận về luật ??! Hiện tại hầu như chưa có bước tiến nào của các quốc gia trong việc chuẩn bị cho các khả năng này!

Bản chất của "quái thú" DDOS

Tấn công DDOS không có gì phức tạp về phương diện kỹ thuật. Định nghĩa đơn thuần của tấn công DDOS : “Là một kiểu tấn công đưa một hệ thống cung cấp dịch vụ đến mức hoạt động tới hạn về tài nguyên, hay gây nhầm lẫn logic dẫn đến hệ thống ngừng hoạt động”.

Tôi không giải thích nhiều bản chất của DDOS, nhưng chỉ muốn so sánh hai dạng thức cổ điển và hình thái mới của DDOS là Flash-DDOS.

Hình thái DDOS cổ điển

Vấn đề then chốt của hacker tấn công bằng hình thái cổ điển là nắm quyền điều khiển càng nhiều máy tính càng tốt, sau đó anh ta sẽ trực tiếp phát động tấn công hàng loạt từ xa thông qua một kênh điều khiển. Với quy mô mạng lưới tấn công bao gồm vài trăm nghìn máy, hình thái này có thể đánh gục ngay lập tức bất cứ hệ thống nào. Phối hợp với khả năng giả mạo địa chỉ IP, kiểu tấn công này sẽ rất khó lần theo dầu vết.

Mô hình Hình thái DDOS cổ điển

Mô hình này có một số nhược điểm:

- Mạng lưới tấn công là cố định và tấn công xảy ra đồng loạt nên rất dễ điều tra ngược tìm manh mối.

- Software cài lên các Infected Agent là giống nhau và có thể dùng làm bằng chứng kết tội hacker.

- Phía nạn nhân có thể điều chỉnh hệ thống phòng vệ để ngăn chặn vì mạng lưới tấn công là “khả kiến”.

- Hacker buộc phải trực tiếp kết nối đến mạng lưới các máy tấn công tại thời điểm tấn công để điều khiển nên rất dễ lần ra thủ phạm.

Flash-DDOS

Lợi dụng tính phổ biến và khả năng có thể thực hiện vai trò của web client của Flash player (hầu như có trong mọi trình duyệt trên Internet hiện tại) hacker tiến hành “cải tiến” mô hình DDOS cổ điển.

Hacker treo một file flash trên một website trung gian có nhiều người truy xuất, người dùng truy xuất website này file flash sẽ được tải về máy và được chương trình Flash thực thi. Từ đây vô số các yêu cầu truy xuất sẽ gởi đến website mục tiêu.

Không thể chặn Flash DDoS !

Flash DDOS có một số đặc tính khiến cho việc ngăn chặn và phát hiện gần như là không thể:

- Mạng lưới tấn công phức tạp và tự hình thành:

+ Không cần thiết phải nắm quyền điều khiển và cài DDOS software vào các infected agent. Thay vào đó mọi user với một trình duyệt có hỗ trợ nội dung Flash (có Flash player) sẽ trở thành công cụ tấn công.

+ Số lượng attack agent tùy thuộc vào số lượng user truy xuất các 3rd party website đã bị hacker “nhúng” nội dung flash, số lượng này thay đổi theo thời gian và hoàn toàn không thể nhận biết địa chỉ IP nguồn, vì đây là các user thông thường.

+ Không hề có quá trình gởi lệnh và nhận báo cáo giữa hacker và mạng lưới tấn công, toàn bộ lệnh tấn công được “nhúng” trong nội dung flash và hacker không cần nhận báo cáo do đây là mô hình tấn công bất đồng bộ.

+ Tấn công bất đồng bộ: việc tấn công diễn ra không cần có mệnh lệnh. User truy xuất 3rd party website, load nội dung flash về trình duyệt và Flash player thực thi nội dung flash thì ngay lập tức máy của họ trở thành một attack agent-liên tục gởi hàng trăm request đến webserver nạn nhân.

+ Quy mô tấn công phụ thuộc vào số lượng 3rd party website bị lợi dụng và số lượng user thường xuyên truy xuất các website này. Chỉ tính trung bình hacker lợi dung được 10 3rd party website và mỗi website này có số lượng truy xuất khoảng 100 user tại một thời điểm thì tổng số request mà server nạn nhân phải hứng chịu tại một thời điểm lên đến con số vài chục ngàn!!! Đây là một số liệu kinh hoàng với bất kỳ ai làm quản tri hệ thống của bất cứ website nào và kết quả thường là hệ thống tê liệt ngay lập tức!

Phòng chống Flash-DDOS là cực kỳ khó khăn, Vì sao vậy?

+ Không thể phân biệt giữa request tấn công và request thông thường vào hệ thống. Khi số lượng request đến hệ thống rất lớn thì người quản trị sẽ cần “gạt bỏ” bớt các request tấn công, tuy nhiên anh ta sẽ gặp khó khăn trong việc “tìm và diệt” request tấn công.

+ Tấn công đến từ mọi phía: có mạng lưới tấn công linh hoạt nên hầu như không thể nhận diện request tấn công từ địa chỉ IP nguồn

+ Tất cả biện pháp kỹ thuật an toàn thông tin đều gặp phải một giới hạn thực tế-đó là tài nguyên của mọi hệ thống đều là hữu hạn. Khi xử lý các request thì các biện pháp này sẽ sử dụng tài nguyên của hệ thống, khi số lượng request là rất lớn thì chính việc xử lý “tìm và diệt” sẽ ngốn hết tài nguyên của hệ thống (CPU, RAM, ...)

- Truy lùng thủ phạm tấn công Flash-DDOS gặp nhiều khó khăn: hacker chỉ tiếp xúc các 3rd party website 1 lần duy nhất để upload flash và anh ta có quyền chọn lựa! Quá trình tấn công là tự xảy ra và bất đồng bộ, nên anh ta chỉ cần upload và sau đó mọi việc tự diễn ra. Hệ thống nạn nhân hầu như không thể biết các 3rd party website đang “treo” flash tử thần (trừ khi hacker không đủ trình độ và để lộ referer trong các flash request-trường hợp này ngày càng ít). Chỉ có chính user đang bị lợi dụng tấn công hoặc các ISP mới tiếp xúc trực tiếp các 3rd party website đang “treo” flash tử thần, user thì không thể biết và không cần biết, ISP thì có thể biết và không có trách nhiệm phải làm! Nạn nhân bị thiệt hại nhiều nhất và cảm thấy cô độc nhất – đặc biệt nếu họ là các doanh nghiệp có hoạt động diễn ra trên mạng – doanh nghiệp thương mại điện tử.

Quái thú và bản ngã của "netizen"

Các kiếm khuyết của Internet sẽ càng làm các bản ngã của con người bộc lộ rõ nét. Flash-DDOS là vô cùng nguy hiểm, dễ thực hiện, hầu như không thể chống đỡ hay truy lùng thủ phạm!

Bản ngã thứ nhất – muốn có quyền lực

Nắm quyền điều khiển hệ thống thông tin của người khác là một quyền lực! Để có quyền lực này, giới hacker chính quy sẽ phải nghiên cứu và làm việc thật nghiêm túc trong một thời gian rất dài (5-10 năm). Đối với họ, mục tiêu sau cùng của quá trình hacking là nắm quyền điều khiển toàn bộ hệ thống – có thể coi đó là một thú vui, họ không phá hoại hay tước đoạt công sức của người khác. Đó là một trò chơi trí tuệ và mang lại sự phát triển cho các hệ thống thông tin.

Nhiều người muốn có quyền lực này, nhưng họ lại không muốn làm việc và không muốn chờ đợi lâu! Họ sử dụng “quái thú DDOS”, họ muốn có một quyền lực đơn giản là làm cho một hệ thống bị ngưng hoạt động và từ đó họ cho rằng mình đã đạt đến quyền lực tối thượng – quyền sinh sát!

Thật ra, họ đã đặt dấu chấm hết cho con đường trở thành một hacker chính quy và bước vào bóng tối với những kiến thức và mục tiếu hết sức nông cạn. Điểm thú vị của trò chơi là ở quá trình chơi, kết quả thì có gì là quan trọng?

Sao lại chơi một trò chơi mà bạn có quá nhiều lợi thế, buộc người khác phải tham gia và luôn gây thiệt hại nặng nề cho xã hội?

Bản ngã thứ hai – tham lam và bất tài

Gần đây có rất nhiều vụ DDOS vì các nguyên nhân kinh tế, các doanh nghiệp TMĐT vừa chớm hình thành trong quá trình cạnh tranh đã “huy động” DDOS như một phương cách cạnh tranh và đoạt tiên cơ trên thị trường hết sức nóng bỏng này!

Một đồng xu bạn bỏ ra để thuê DDOS chính là một nhát cuốc đào mồ chôn TMĐT của Việt Nam - trong đó có bạn. Hãy suy nghĩ và hành động thật chín chắn! Hãy tạo ra các sản phẩm tốt, giá rẻ, dịch vụ chu đáo, thị trường sẽ có chọn lựa của nó.

Bản ngã thứ ba – ích kỷ cục bộ và dối trá

Để giải quyết bài toán DDOS rất cần sự phối hợp của nhiều đối tượng: người dùng cuối, ISP, các nhà làm luật, các chuyên gia, …

Nhận thấy nguy cơ từ DDOS, chúng ta vẫn còn chậm chân trong việc đưa những cánh tay ra cùng nhau giải quyết vấn nạn này. Chúng ta đang cố thủ trong cái vỏ ốc cá nhân và chờ đợi một phép màu xảy ra để DDOS không còn tồn tại. Điều này là không thể, ít nhất là trong 05 năm tới, đã đến lúc phải hành động!

Là những chuyên gia, chúng ta phải trung thực và thật sự có những nhận định đúng đắn về thảm hoạ này. Dối trá vì bất cứ lý do gì đều là không thể chấp nhận được. Chúng ta không thể có bất kỳ dấu vết hay thông tin gì từ log trên các hệ thống, hãy nói sự thật về khả năng điều tra DDOS cho cộng đồng biết và cùng nhau nhìn nhận bản chất của vấn đề, từ đó đề ra các biện pháp phối hợp giải quyết! Không che dấu thông tin về một “nạn dịch” – điều mà mọi bác sĩ đều biết!

Kết luận

DDOS và các hình thái tấn công khác trên Internet là có thể khắc phục với sự quyết tâm cao và sự mạnh mẽ gạt bỏ các bản ngã của chúng ta, với sự cộng tác nhiệt tình và có trách nhiệm của các ISP.Trung tâm VNCERT ra đời là một sự đáp ứng cho các kỳ vọng lớn lao của cộng đồng TMĐT Việt Nam. Tôi vẫn có niềm tin lớn vào sự ổn định của Internet Việt Nam trong thời gian sắp đến.

[Vũ Thanh Lai]

Ddos Là Gì ?

Website video lớn nhất VN đón năm mới bằng... DDoS
Ảnh mang tính minh họa. Cao điểm của đợt tấn công vào trang Clip.vn diễn ra vào hai ngày 12 và 13/1. Hệ thống liên tục báo lỗi và rất ít yêu cầu truy cập được đáp ứng. Thậm chí, ban quản trị website này phải “tranh thủ” tỉ lệ đó để thông báo sự cố trên trang chủ.
Khác với hồi tháng 8/2007, vụ tấn công từ chối dịch vụ (DDoS) này tinh vi và phức tạp hơn. "Các request đều có địa chỉ IP từ nước ngoài khiến việc tìm dấu vết rất khó khăn”, ông Nguyễn Sơn Tùng, Giám đốc phát triển Clip.vn, cho biết. "Khả năng ngăn chặn các gói yêu cầu đó rất khó mà chỉ có thể lái chúng sang một nơi khác, tránh cho hệ thống không bị quá tải". Sau khi phục hồi vào đầu tuần này, website vẫn tiếp tục bị "dính đòn" với tần suất trung bình 6 lần/ngày.
Website chia sẻ video đầu tiên của Việt Nam Tấn công DDoS chủ yếu nhắm vào web thương mại điện tử Không thể chống đỡ tấn công từ chối dịch vụ Theo ông Tùng, vụ DDoS đã làm số lượt truy cập, xem và lượng clip upload, download trên trang này giảm ít nhất là 40% so với bình thường. "Đây hiện là kênh quảng cáo của khá nhiều doanh nghiệp. Việc hệ thống bị tấn công không chỉ ảnh hưởng đến hoạt động kinh doanh của Vega Coporation (đơn vị chủ quản Clip.vn) mà còn ảnh hưởng đến cả các khách hàng", ông Tùng nói. "Chúng tôi rất lấy làm tiếc vì chịu thiệt thòi nhất vẫn là người sử dụng".
Xuất hiện đầu năm 2007, Clip.vn hiện là website chia sẻ video trực tuyến phổ biến nhất ở Việt Nam với 200 nghìn thành viên và gần 200 nghìn clip.

[Sexy_Boy]

Ddos Là Gì ?

Lý thuyết nhìu wá ! Ai có công cụ Ddos thì share cho anh em nghịch thử xem nèo !

[Vũ Thanh Lai]

Ddos Là Gì ?

http://www.google.com.vn/search?hl=v...i+Google&meta=

C15 thik mí cái nì lém, bấm zô đi, xem ngay dòng đầu tiên á ! níu còn can đảm thì anh em share cho ! OK !

[iSam]

Ddos Là Gì ?

nói chung thì .. tốt nhất là .. đã là dân ngoài nghề + chưa rành + soft free thì đừng nên thử .. có thế thôi .. còn về sâu hơn áh .. keke .. chờ đấy ..

[Vũ Thanh Lai]

Ddos Là Gì ?

nói chung thì .. tốt nhất là .. đã là dân ngoài nghề + chưa rành + soft free thì đừng nên thử .. có thế thôi .. còn về sâu hơn áh .. keke .. chờ đấy ..

Nếu anh em muốn thử thì tui share cho 1 cái, nhưng chớ có nghịch lung tung coi chừng "zô tù" thì tui ko chịu trách nhiệm đâu:

Xem sơ wa cái này cho hỉu đi cái đã :

+ Smuft attack: trong kiểu tấn công này attacker gởi packet đến network amplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa chỉ của nạn nhân. Thông thường những packet được dùng là ICMP ECHO REQUEST, các packet này yêu cầu yêu cầu bên nhận phải trả lời bằng một ICMP ECHO REPLY packet. Network amplifier sẽ gửi đến ICMP ECHO REQUEST packet đến tất cả các hệ thống thuộc địa chỉ broadcast và tất cả các hệ thống này sẽ REPLY packet về địa chỉ IP của mục tiêu tấn công Smuft Attack.
+ Fraggle Attack: tương tự như Smuft attack nhưng thay vì dùng ICMP ECHO REQUEST packet thì sẽ dùng UDP ECHO packet gởi đếm mục tiêu. Thật ra còn một biến thể khác của Fraggle attack sẽ gửi đến UDP ECHO packet đến chargen port (port 19/UNIX) của mục tiêu, với địa chỉ bên gửi là echo port (port 7/UNIX) của mục tiêu, tạo nên một vòng lặp vô hạn. Attacker phát động cuộc tấn công bằng một ECHO REQUEST với địa chỉ bên nhận là một địa chỉ broadcast, toàn bộ hệ thống thuộc địa chỉ này lập tức gửi REPLY đến port echo của nạn nhân, sau đó từ nạn nhân một ECHO REPLY lại gửi trở về địa chỉ broadcast, quá trình cứ thế tiếp diễn. Đây chính là nguyên nhân Flaggle Attack nguy hiểm hơn Smuft Attack rất nhiều.

Phần mềm smurf2k để các bạn tấn công dạng miêu tả như trên các bạn có thể down

http://uploadingit.com/files/500685_x4cbp/Smurf2K.zip

Pass giải nén : tanphu.net

Để tấn công 1 website đầu tiên tôi phải tìm ip của nó . Tôi vào dos gõ lện
Ping Namedomain
vd tôi ping website của vtv4 là 66.166.138.83
okie bây giời tôi đã có ip của kẻ thù . Công việc tiếp theo là mở chương trình smurf2k .

Điền ip của kẻ mà bạn muốn đánh sập .
trước hết mục đích của công cụ này là send các gói dữ liệu đến website hoặc máy tính của nạn nhân, nhằm mục đích bắt máy tính của nạn nhân hoặc website đó phải send trở lại 1 gói dữ liệu, chuyện này là rất bình thường, nhưng do send quá nhiều đến website hay PC , do đó website hay PC sẽ bi treo tạm thời, công cụ này sử dụng rất nhiều IP các bạn lưu ý file broadcast.txt vào mục đích trên vì thế chúng ta có nhiều ip sống càng thuận lợi cho cuộc tấn công cái này tôi nghĩ admin có rất nhiềumọi chuyện xong xui chúng ta nhấn smurf như hình . Bây giời ngồi đợi xem cuộc tấn công có thuận lợi hay không nhé .
Cách này có hiệu quả hay không tuỳ thuộc vào các yếu tố sau :
1) Số ip trong file broadcast.txt nhiều hay ít còn sống bao nhiêu
2) Có bao nhiêu người cùng thực hiện kiểu tấn công này
3) Tuỳ vào mạng ở người tấn công nhanh hay chậm

cái này có thể tấn công đc máy của Victim bằng cách điền ip và thực hiện thao tác tg tự
Các bạn tự tìm lấy phần mềm scan ip để cho vào broadcoast.txt , lúc dùng nhớ load broadcoast.txt rùi ấn smurfk là xong!!!

[Sexy_Boy]

Ddos Là Gì ?

Hè hè, hay đấy. Đối tượng thử nghịm đầu tin là tanphu.net xem nìu ! hìhì. nói giỡn thui. thanks anh đã share !

[Off_To_Study]

Ddos Là Gì ?

link die rồi anh ơi cho lại đi anh