cho em hỏi khi lên hva thì thấy mấy anh nói rằng có thể tìm dc địa điểm,IP và nhìu thông số khác của kẻ đã ddos một trang web nào đó . Vậy cho em hỏi làm sao để xđ dc các thông số trên ?

sao ko ai trả lời vậy?

Chắc tại mọi người đang chú ý vụ "Công" với "Tội" quá rồi, không ai để ý đến bài của bạn cả :)

cho em hỏi khi lên hva thì thấy mấy anh nói rằng có thể tìm dc địa điểm,IP và nhìu thông số khác của kẻ đã ddos một trang web nào đó . Vậy cho em hỏi làm sao để xđ dc các thông số trên ?

Kỹ thuật tấn công DDoS là kiểu tấn công khó chịu nhất từ xưa đến nay, thực sự việc truy tìm rất khó khăn nếu hung thủ không chủ quan. Cuộc tấn công được huy động từ các máy tính bị khống chế (zombie), các máy tính zombie này hầu hết là các nạn nhân từ hung thủ thực. Việc xác định sẽ qua một số bước sau:
1. Xác định 1 hoặc nhiều zombie (việc này tương đối dễ, chỉ cần theo dõi log của web server).
2. Từ địa chỉ IP của zombie này, cần cơ quan chức năng để xác định địa chỉ thực và lấy mẫu malware này về ngâm kíu để truy ra máy chủ điều khiển (master) - có thể 1 hoặc nhiều máy chủ.
3. Từ máy chủ điều khiển này cần cơ quan chức năng để tiến hành lấy mẫu master và phân tích nhiều thông số kỹ thuật khác (với điều kiện là tiếp cận được với máy chủ này - điều này thực sự khó khăn nếu máy chủ điều khiển này nằm ngoài VN). Từ đó có thể tìm ra được kẻ đứng sau điều khiển máy chủ này.

Như bạn thấy, các bước điều tra cơ bản là như vậy. Thực sự rất khó khăn nếu không có sự hợp tác quốc tế. Nếu tầm ảnh hưởng của cuộc tấn công DDoS không ảnh hưởng đến an ninh quốc gia như vụ tấn công Mỹ và Hàn Quốc vừa rồi thì lại càng khó. Ngay cả việc truy tìm thủ phạm khi có sự hợp tác, xác xuất để thành công cũng <50%, trừ phi thủ phạm lộ sơ hở.

Mọi người góp ý thêm.

Như vậy bị tấn công là chết chắc rồi còn gì.

thanks huytranaz .
bạn có thể cho một vài hình ảnh của bước 2 ko? Đồng thơi bạn có thể nói sơ lược và chỉ rõ thêm về web sever dc ko .Mình còn gà lắm

thanks huytranaz .
bạn có thể cho một vài hình ảnh của bước 2 ko? Đồng thơi bạn có thể nói sơ lược và chỉ rõ thêm về web sever dc ko .Mình còn gà lắm

Việc phân tích ở bước 2 khá dễ, đơn giản bạn có thể dùng các chương trình tương tự firewall để kiểm tra các process có kết nối lạ (ví dụ: các chương trình firewall chuyên dụng của KIS, NAV hoặc Windows Defender cũng có tính năng này), để dễ nhận dạng hơn, bạn có thể đóng hết các ứng dụng có truy cập internet như browser, chat... Sau khi biết mã độc nằm ở ứng dụng nào, bạn có thể dùng process explorer để phân tích chi tiết hành động của nó. Nếu có chuyên môn hơn 1 chút, bạn sẽ biết nguồn lây lan của malware này từ đâu vào được máy bạn.

Về web server, web server là một ứng dụng cung cấp dịch vụ internet (ở đây là dịch vụ web), ngoài web server còn các ứng dụng cung cấp các dịch vụ khác như file server (ftp), mail server, chat server, ... Đơn giản, có thể hiểu web server là các ứng dụng mở 1 cổng trên server (thông thường là cổng 80 - HTTP), lắng nghe kết nối, khi có 1 yêu cầu kết nối nó sẽ phân tích và gọi nguồn tài nguyên phù hợp để trả về cho client. Các web server thông dụng hiện nay gồm: IIS (Internet Information Server), Apache,... Các ứng dụng PHP, ASP, ASP.NET, JSP, Coldfusion... là các middle ware. Các webserver khi nhận các truy vấn liên quan sẽ gọi các hàm của middle ware để thực hiện sau đó mới trả kết quả về client.

Nếu có kiến thức về network và lập trình, bạn cũng có thể tự build cho mình 1 web server đơn giản để thử nghiệm.

Chúc vui,