Tìm hiểu về DDos Attack

[dreamboy812002]

Đúng rồi,mong mọi người tiếp tục post bài để các newbie được học hỏi thêm kinh nghiệm. Mong rằng chủ đề này sẽ có thêm nhiều cao thủ tham gia thảo luận cho sôi nổi

[applet]

Trong các cách DOS/DDOS, có thể nói SYN/ACK DoS la nguy hiểm nhất và khó chặn nhất. Các cách DoS/DDoS khác vẫn có thể hạn chế được bằng firewall.

Sự khác biệt giữa ICMP/UDP và SYN/ACK DoS.

icmp/udp gửi dữ liệu đến server để làm tê liệt bandwidth/cpu của server, thế nhưng, nếu chúng ta có firewall và một router khá tốt + multiline - network thi có thể ngăn chặn được cách dos này.

Cách syn/ack dos là một cách khó chịu và khá nguy hiểm, đặc biệt, nó rất thích hợp cho những hacker có bandwidth thấp như ở Việt Nam.

thật ra, syn/ack không được dùng để tiêu diệt toàn bộ hệ thống, nó chỉ tiêu diệt một service nào đó thôi (irc/http/...)
Một TCP/IP serivce trên một port nào đó quy đinh chỉ chấp nhận cung lúc một số hữu han half connection. khi những half connection đạt đến một ngưỡng nào đó thì service hoàn toan tê liệt. Do đó, bandwidth của bạn không cần phải mạnh hơn mạng của victim cũng có thể kill một service của họ.

Việc phòng chống syn/ack flood cũng khá khó khăn. Bạn có thể thực hiện những điều như vikhoa noi. Tuy nhiên, việc điều chỉnh những thông số đó có thể nói là "very dificult". Nếu thông số đó quá nhạy cảm thì service của bạn sẽ từ chối các kết nối thực, nếu thông số đó quá thấp thi syn/ack flood vẫn còn hiệu lực.

Thật ra, muốn thực hiện một syn/ack attack không khó, chỉ cần bạn có mot *ix box có superuser, một chút kiến thức về C + raw socket là bạn có thể làm được, và vấn đề dấu source ip thì càng dể. Trong raw socket, bạn có thể quy đinh source ip và dest ip tuỳ ý, chỉ cần cho random 1-255 là xong.

Chấm. Hết.

Bài viết được gửi bởi Neo
Do một số người vẫn chưa rõ lắm, xin phép nói căn bản lại 1 chút về DoS.
Đơn giản là dzầy nè, để tạo 1 kết nối TCP cần 3 bước(3-way handshake):
SYN
A -----------------> B
ACK/SYN
A <----------------- B
SYN
A -----------------> B
1. A gửi B yêu cầu kết nối
2. B báo đã nhận (ACK) và yêu cầu A hồi đáp để hoàn thành kết nối(SYN)
3. Nếu A đồng ý (SYN) thì kết nối sẽ được tạo.
Nếu A không trả lời thì kết nối không hoàn thành, ta gọi đó là nửa kết nối (haft-connection).
Nếu số lượng kết nối này vượt quá giới hạn của field điều khiển kết nối thì hệ thống sẽ tự động bỏ các yêu cầu kết nối tới sau cho đến khi số lượng haft-connection giảm đến mức giới hạn (mức backlog).
Sau timeout mà B không nhận được SYN từ A thì sẽ loại bỏ kết nối, nhường chỗ cho các yêu cầu kết nối đến sau.
Như vậy nếu A chỉ gửi đi các packet SYN yêu cầu kết nối mà không quan tâm đến việc nhận SYN/ACK & không trả lời hoàn thành kết nối sẽ dẫn đến haft-connection, nếu haft-connection liên tục bị bỏ sẽ dẫn đến DoS. Cách thức này còn gọi là SYN flooding.
Để viết 1 chương trình thực hiện SYN flooding đòi hỏi phải dùng IP giả (xem thêm về IP http://www.diendantinhoc.com/showthr...&threadid=1929 ) để xoá dấu vết & thực hiện tấn công hiệu quả hơn.
Như vậy DDoS chỉ làm gián đoạn khả năng cung cấp dịch vụ của hệ thống trong 1 thời gian chứ không nguy hại đến dữ liệu.
Để viết 1 tool phục vụ cho việc SYN Flooding thì ta cần phải tìm hiểu kỹ thêm nữa.
Cheers!

[yuna_admirer]

hì,

Anh Applet ơi, nếu dùng *ix box, các đoạn C đó, anh có source đoạn này không ? Trên www.antionline.com/download có khá nhiều đoạn *.c, em down về xem thì cũng chỉ là các đoạn code chương trình DoS thông thường(ICMP,UDP.v.v.), nên phải sửa lại một tý, thêm vào các tính năng như Spoof Source, Fragment bit set, có điều sai tùm lum hết :P, hì hì, anh có source nào đầy đủ hết không ?

Đối với các Syn/AckDoS, hiện nay hầu hết các Firewallm IDS tiên tiến đều có thể ngăn chặn được hết, tốt nửa là khác.
Các Server chạy hệ điều hành Linux or Sun nếu cài hết Patch vào thì cũng chống lại được hết mất cái đó rồi.

to NhuQuynh: Chị Quỳnh cho em hỏi, dạo gần đây em có nghiên cứu về Audit/Signature attact detection của IDS, về mặt công nghệ, cấu hình, hiệu quả, áp dụng thì hiểu rồi, nhưng cái quan trọng nhất vẩn là cơ chế audit detect của nó, chị có một bào tut nào nhỏ nhỏ không?

[applet]

App co vai chuong trinh, nhung quang het roi (hack la xa^'u hehe)
Neu ban muon, len google, search keyword: syn.c hay dai loai dzi a'. co' ca do^'ng a'. Cai tool c hi khong trong vong 250 dong code thoi.

Khong biet ve mat ly thuyet lam sao ngan duoc syn/ack dos ta? Lam sao phan biet duoc cai nao la dos cai nao la connection hop le^. ??!!??!! Vi thuc chat 2 packet deu nhu nhau ma`

??????

[yuna_admirer]

Sequencing có thể là Incremental hoặc là Random. Dựa vào cơ chế Random Sequence "Guessing" có thể truy ra được Random, còn incremental thì dể rồi. Tùy vào loại firewall nào mà có cơ chế detect khác nhau. Còn vì sao thì em bó tay

[tdk]

Tuyệt cú mèo!

[tulipxanh]

hi`hi` con DrDos cung loi hai lam cac chu' a`

[tulipxanh]

cac ban ba`n ve drdos di..theo tui .thi cach tan cong nay cung loi hai la'm...nghe noi sever cua hackervn da tung bi tan cong bang cach nay do'...
the ba con oi .cho tui hoi..cach su dung tool drdos la ta phai co mot shell account a..va co ca GCC de complie no'..vay thi lam saode co cai do vay ??

[Cyberguard]

1- DDoS va` QoS la` mo^.t ca'ch cu? ro^`i va` nhu+~ng hacker gio?i ho. kho^ng bao gio+` sa`i ca'ch na`y, nhu+ nhuquynh no'i la` CheckPoint co' anti-spoofing (cho^'ng DDoS) va` kho^ng tra? lo+`i nhu+~ng ca^u ho?i cu?a hacker thi` ho. chi.u tho^i (cho^'ng QoS).
Vi du.: ba.n ho?i to^i ma` to^i kho^ng tra? lo+`i thi` ba.n chi? phi' co^ng tho^i, co`n ba.n ho?i to^i ma` 1000 ngu+o+`i ho?i thi` to^i tra? lo+`i thi` tra? lo+`i hoa`i thi` to^i bi. dduo^'i thi` to^i si?u.

2- Pha^`n lo+'n thi` hacker du`ng sniffer dde^? a(n ca('p information cu?a na.n nha^n, nhu+ng ne^'u du`ng VPN (or SSL)thi` hacker chi.u, nhu+ng hie^.n gio+` co`n ra^'t nhie^`u ngu+o+`i kho^ng du`ng VPN va` ho. ddo^.t nha^.p va`o ma'y ddo' va` tie^'p ddo' tie^'n va`o trong Intranet cu?a ba.n va` tu+` ddo' ho. co' co+ ho^.i ta`n pha'. Qu'a tri`nh ra^'t co^ng phu

3- Ca'ch dda'ng so+. nha^'t la` ca`i sa^u va`o trong email va` send ddi, sa^u co' the^? a(n ca('p tin tu+'c cu?a ba.n va` co' the^? ta`n pha' ra^'t lo+'n. Nhu+ redcode, slammer,...etc.. va` ca'i ma` ca'c co^ng ty lo+'n ra^'t dda'ng so+. vi` no' sa^m nha^.p mo^.t ca'ch ra^'t dda da.ng va` kho' bie^'t tru+o+'c, vi` va^.y to^'t nha^'t pha?i du`ng anti-virus ca`i trong ma'y cu?a ba.n va` thu+o+`ng xuye^n update, nhu+ng cu~ng không ba?o dda?m la` vi` virus no' ra tru+o+'c khi la` ngu+o+`i ta pha't hie^.n dde^? cho^'ng.

[Cyberguard]

Co`n ca'c ba.n muo^'n ho.c ho?i tho^ng tha.o ve^` hack thi` to^'t nha^'t ba.n ti`m kie^'m cu.m tu+` "honeypot"
Co' nghi~ ba.n dda(.t honeypot va`o trong ma'y ba.n va` cho nhu+~ng hacker ta^'n co^ng va`o ma'y ba.n va` ba.n monitor nhu+~ng ha`nh ddo^.ng ho. ta^'n co^ng ma.ng cu?a ba.n va` tu+` ddo' ba.n co' co+ ho^.i ho.c ho?i ra^'t nhie^`u tu+` real hacker.