banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Điểm yếu TCP  XML
  [Question]   Điểm yếu TCP 07/02/2009 07:10:13 (+0700) | #1 | 168497
antidos
Member

[Minus]    0    [Plus]
Joined: 06/02/2009 18:11:51
Messages: 15
Offline
[Profile] [PM]
Đợt rồi tết có mấy ngày nhàn rỗi nên tôi vô tình nghĩ ra và đã viết 1 công cụ tự động khai thác điểm yếu trong các ứng dụng trên Internet. Khi dùng 01 máy tính tấn công vào các web site nhỏ và vừa (ước lượng có cỡ 10 máy chủ trở xuống) thì tất cả đều không chống được. Tôi chợt nhớ ra VN có 1 nhóm hacker là hva nên thử trên server của hva, và server hva cũng k0 tránh khỏi. Vào lúc 17:10 giờ HN, tôi sẽ thử tiếp 1 lần nữa (kéo dài tối đa 5p). Mời các bạn quan sát và bình luận về vấn đề an ninh này.
[Locked] [Up] [Print Copy]
  [Question]   Điểm yếu TCP 07/02/2009 07:36:20 (+0700) | #2 | 168504
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

antidos wrote:
Đợt rồi tết có mấy ngày nhàn rỗi nên tôi vô tình nghĩ ra và đã viết 1 công cụ tự động khai thác điểm yếu trong các ứng dụng trên Internet. Khi dùng 01 máy tính tấn công vào các web site nhỏ và vừa (ước lượng có cỡ 10 máy chủ trở xuống) thì tất cả đều không chống được. Tôi chợt nhớ ra VN có 1 nhóm hacker là hva nên thử trên server của hva, và server hva cũng k0 tránh khỏi. Vào lúc 17:10 giờ HN, tôi sẽ thử tiếp 1 lần nữa (kéo dài tối đa 5p). Mời các bạn quan sát và bình luận về vấn đề an ninh này.
 


Trong khi tấn công, muốn kiểm tra tình hình HVA thì đừng nên dùng 1 trong chuỗi các IP đang dùng để tấn công HVA mà duyệt HVA (vì sẽ không duyệt đâu). Nên dùng 1 IP hoàn toàn tách rời mà thử kiểm tra xem HVA còn sống hay chết.
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 07:45:52 (+0700) | #3 | 168505
antidos
Member

[Minus]    0    [Plus]
Joined: 06/02/2009 18:11:51
Messages: 15
Offline
[Profile] [PM]
Tôi dùng 1 máy khác máy đang dùng để test.
Hơn nữa cuộc tấn công này ứng dụng web không nhận biết được, nên script hva dùng để chặn k0 cho truy cập liên tiếp k0 có tác dụng. Cái script này đặt ngưỡng thấp quá, mới click mấy cái đã kêu người dùng click nhanh hơn tốc độ anh sáng rồi.

Lúc 18:00 tôi sẽ test thêm 5 phút nữa cho các admin quan sát rồi đi ăn tối. Nếu có thể thì gửi các CPU, RAM, traffic, ... graphs lên để mọi người tham khảo.

PS: Hi vọng hình thức test này k0 bị phản đối.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 08:48:22 (+0700) | #4 | 168510
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

antidos wrote:
Tôi dùng 1 máy khác máy đang dùng để test.
Hơn nữa cuộc tấn công này ứng dụng web không nhận biết được, nên script hva dùng để chặn k0 cho truy cập liên tiếp k0 có tác dụng. Cái script này đặt ngưỡng thấp quá, mới click mấy cái đã kêu người dùng click nhanh hơn tốc độ anh sáng rồi.

Lúc 18:00 tôi sẽ test thêm 5 phút nữa cho các admin quan sát rồi đi ăn tối. Nếu có thể thì gửi các CPU, RAM, traffic, ... graphs lên để mọi người tham khảo.

PS: Hi vọng hình thức test này k0 bị phản đối. 


Mảng "đọc nhanh như ánh sáng" chỉ là một mảng trên cùng của cơ chế bảo vệ. Đừng quá quan tâm đến mảng này.

Tầng thấp nhất cũng là tầng IP là cùng chớ không thể là tầng physical được smilie
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 09:39:31 (+0700) | #5 | 168518
antidos
Member

[Minus]    0    [Plus]
Joined: 06/02/2009 18:11:51
Messages: 15
Offline
[Profile] [PM]
Đây là trạng thái của hva khi không bị tấn công: 33 điểm test đều thành công
http://host-tracker.com/check_res_ajx/2261553-0/share/

Đây là trạng thái khi bị tấn công: 31 điểm test đều thất bại, dù chờ 40s - 80s
http://host-tracker.com/check_res_ajx/2261599-0/share/
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 12:03:30 (+0700) | #6 | 168533
[Avatar]
hizit91
Member

[Minus]    0    [Plus]
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
[Profile] [PM] [Yahoo!]
Wa!!! thú vị quá!

Tuy mới "chân ướt chân ráo" tìm hiểu về network ...
nhưng em rất mong các mod, cho thêm vài thông tin(gói tin,...)
để anh em cùng xem xét.
Hết cấp ba, ta lên cấp bố smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 12:36:27 (+0700) | #7 | 168541
aguest
Member

[Minus]    0    [Plus]
Joined: 07/09/2006 23:48:15
Messages: 90
Offline
[Profile] [PM]
Tương đối thú vị. Xin admin xác nhận về vấn đề này.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 12:41:30 (+0700) | #8 | 168542
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Khá lý thú. Không biết log của iptables và snort trong tình huống này như thế nào. Nếu được, bác conmale post lên 1 mớ log tcpdump lúc đang thử nghiệm thì quá tuyệt.

@antidos: Theo như title thì đây là lỗi của TCP/TP, nhưng sao bạn lại viết "điểm yếu trong các ứng dụng trên internet" ? TCP/IP là thuộc về giao thức, Apache là thuộc về ứng dụng. Nếu bạn muốn nói là điểm yếu của TCP/IP thì có liên quan đến three ways handshake? Sự gởi và nhận SYN/ACK?
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 12:57:55 (+0700) | #9 | 168547
[Avatar]
hizit91
Member

[Minus]    0    [Plus]
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
[Profile] [PM] [Yahoo!]

LeVuHoang wrote:
Khá lý thú. Không biết log của iptables và snort trong tình huống này như thế nào. Nếu được, bác conmale post lên 1 mớ log tcpdump lúc đang thử nghiệm thì quá tuyệt.

 

He he, đó là những gì em mong ước,smilie
Không dễ mà có được cơ hội như thế này, hi hi
Hết cấp ba, ta lên cấp bố smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 13:02:04 (+0700) | #10 | 168548
antidos
Member

[Minus]    0    [Plus]
Joined: 06/02/2009 18:11:51
Messages: 15
Offline
[Profile] [PM]
Cách tấn công này là DOS nhưng nguy hiểm hơn các cách DOS nhảm nhí vì nó có thể được dùng để shutdown hoàn toàn các dịch vụ dựa trên TCP. Người dùng sẽ không có cơ may nào dù nhỏ nhất để có thể kết nối được vào máy chủ, thế nên nếu tấn công vào ssh thì sẽ trở thành 1 thảm hoạ với các máy chủ đặt ở data center.

Không hiểu hva host ở nhà hay ở data center.

Những site nhỏ như hva thì có thể shutdown bằng 1 máy từ xa, nếu sở hữu trong tay 1 bot net loại nhỏ thì vấn đề trở nên đáng ngại hơn nhiều.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 13:13:24 (+0700) | #11 | 168550
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Trong tình huống các packet-filtering như iptables (firewall) hay snort (IDS), ossec chặn các packet "có dấu hiệu lạ" từ các máy xuất phát (blocked), thì sẽ như thế nào? Bạn đã test thử chưa?
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 13:16:16 (+0700) | #12 | 168551
antidos
Member

[Minus]    0    [Plus]
Joined: 06/02/2009 18:11:51
Messages: 15
Offline
[Profile] [PM]

LeVuHoang wrote:

@antidos: Theo như title thì đây là lỗi của TCP/TP, nhưng sao bạn lại viết "điểm yếu trong các ứng dụng trên internet" ? TCP/IP là thuộc về giao thức, Apache là thuộc về ứng dụng. Nếu bạn muốn nói là điểm yếu của TCP/IP thì có liên quan đến three ways handshake? Sự gởi và nhận SYN/ACK? 


Chả biết nói thế nào smilie

Các dịch vụ chạy trên TCP hầu như đều có thể bị tổn thương nghiêm trọng bởi cách tấn công này, nên gọi là điểm yếu của TCP chắc cũng k0 có vấn đề gì.

App dùng TCP mà TCP có điểm yếu thì app cũng yếu theo. Nhưng nếu app viết tốt hoặc cấu hình firewall tốt thì có thể giảm đáng kể được thiệt hại do đối phương gây ra.

Trong trường hợp này máy chủ hva cấu hình chưa tối ưu nên bị hạ gục, tuy nhiên cũng đã tốt hơn khá nhiều so với cấu hình mặc định ở các site khác mà tôi thử qua, tuy nhiên vẫn còn thua nhanhoa.com
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 13:16:30 (+0700) | #13 | 168552
nguyenvanhack
Member

[Minus]    0    [Plus]
Joined: 04/11/2008 14:56:28
Messages: 12
Offline
[Profile] [PM]
Điểm yếu TCP 

Nghe như sắp có địa chấn trên Internet. Tôi đang hồi hộp chờ đợi, nghe ngóng, nguyên cầu ... sẵn sàng mì tôm vv... để ứng cứu đơn vị bị thiên tai.
- Thông báo: Để đối phó tạm thời với "Điểm yếu TCP" website của HIV đã được change sang dùng UDP.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 13:20:17 (+0700) | #14 | 168553
[Avatar]
hizit91
Member

[Minus]    0    [Plus]
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
[Profile] [PM] [Yahoo!]

antidos wrote:
Cách tấn công này là DOS nhưng nguy hiểm hơn các cách DOS nhảm nhí vì nó có thể được dùng để shutdown hoàn toàn các dịch vụ dựa trên TCP. Người dùng sẽ không có cơ may nào dù nhỏ nhất để có thể kết nối được vào máy chủ, thế nên nếu tấn công vào ssh thì sẽ trở thành 1 thảm hoạ với các máy chủ đặt ở data center.

Không hiểu hva host ở nhà hay ở data center.

Những site nhỏ như hva thì có thể shutdown bằng 1 máy từ xa, nếu sở hữu trong tay 1 bot net loại nhỏ thì vấn đề trở nên đáng ngại hơn nhiều.
 

Vụ này, phân tích gói tin, cộng với xem log, coi phần nào bị chiếm dụng tài nguyên (CPU, RAM) --( trừ khi cũng ko log được smilie ) ... chắc là rõ nguyên nhân...
Theo dự đoán của mình, thì các mod chắc là đang tìm cách ngăn chặn
và sẽ là khó khăn, nếu nó nằm ở nền tảng, ấy thế chắc phải xem lại phần "firewall" quá !

Chỉ là vài suy đoán, mọi người đừng chê trách smilie, dù sao cũng là 1 vấn đề thú vị smilie

Hết cấp ba, ta lên cấp bố smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 13:23:04 (+0700) | #15 | 168554
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
@antidos: Như vậy, theo lời bạn nói. Có lẽ firewall của HVA chưa tính đến trường hợp gặp gói tin "quái" như của bạn nên bị lọt qua và từ chối dịch vụ. Bác conmale có thể sẽ thêm rule vào là được. Dù sao cũng cám ơn bạn cho biết chỗ thiếu sót.
@nguyenvanhack: Vui lòng không chat chit trong box kỹ thuật.
@hizit91: Chỉ có Administrator mới làm được thôi, mod cỡi ngựa xem hoa smilie

Updated: Và đây cũng không thể gọi là "điểm yếu TCP" được nếu như suy luận ở trên là đúng.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 13:25:50 (+0700) | #16 | 168555
[Avatar]
hizit91
Member

[Minus]    0    [Plus]
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
[Profile] [PM] [Yahoo!]

LeVuHoang wrote:
@antidos: Như vậy, theo lời bạn nói. Có lẽ firewall của HVA chưa tính đến trường hợp gặp gói tin "quái" như của bạn nên bị lọt qua và từ chối dịch vụ. Bác conmale có thể sẽ thêm rule vào là được. Dù sao cũng cám ơn bạn cho biết chỗ thiếu sót.
@nguyenvanhack: Vui lòng không chat chit trong box kỹ thuật. 

em đồng ý với anh Hoàng, có lẽ mấu chốt giải quyết vấn đề sẽ nằm ở firewall

@hoang: tại anh không thân mật với admin chi smilie , he he smilie
Hết cấp ba, ta lên cấp bố smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 13:26:40 (+0700) | #17 | 168556
antidos
Member

[Minus]    0    [Plus]
Joined: 06/02/2009 18:11:51
Messages: 15
Offline
[Profile] [PM]

LeVuHoang wrote:
Trong tình huống các packet-filtering như iptables (firewall) hay snort (IDS), ossec chặn các packet "có dấu hiệu lạ" từ các máy xuất phát (blocked), thì sẽ như thế nào? Bạn đã test thử chưa? 

Như đã nói, iptables có thể dùng để hạn chế đáng kể tác động, nhưng iptables không thì không giải quyết được.

Tôi không làm trong lĩnh vực bảo mật nên mới chỉ nghe nói đến IDS/IPS chứ chưa động vào lần nào, nên ko có điều kiện để test. Nhưng về căn bản, tôi đoán là IPS nếu cấu hình tối ưu thì sẽ chống được.

Có 1 điều khó là cuộc tấn công này có thể qua proxy (chưa kiểm chứng), nhất là các transparent proxy của VDC, nên nếu chặn theo đ/c IP thì sẽ chặn luôn tất cả người dùng sử dụng VDC.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 13:28:46 (+0700) | #18 | 168557
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

Như đã nói, iptables có thể dùng để hạn chế đáng kể tác động, nhưng iptables không thì không giải quyết được.
 

Vậy phải chờ anh conmale thôi, tui không dám rớ tới server HVA. hehehe smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 13:31:03 (+0700) | #19 | 168558
[Avatar]
hizit91
Member

[Minus]    0    [Plus]
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
[Profile] [PM] [Yahoo!]

antidos wrote:

LeVuHoang wrote:
Trong tình huống các packet-filtering như iptables (firewall) hay snort (IDS), ossec chặn các packet "có dấu hiệu lạ" từ các máy xuất phát (blocked), thì sẽ như thế nào? Bạn đã test thử chưa? 

Như đã nói, iptables có thể dùng để hạn chế đáng kể tác động, nhưng iptables không thì không giải quyết được.

Tôi không làm trong lĩnh vực bảo mật nên mới chỉ nghe nói đến IDS/IPS chứ chưa động vào lần nào, nên ko có điều kiện để test. Nhưng về căn bản, tôi đoán là IPS nếu cấu hình tối ưu thì sẽ chống được.

Có 1 điều khó là cuộc tấn công này có thể qua proxy, nhất là các proxy của VDC, nên nếu chặn theo đ/c IP thì sẽ chặn luôn tất cả người dùng sử dụng VDC.
 

Lạ thật,
firewall đã là lớp ngoài cùng bảo vệ( trừ phần cứng smilie ) thì nó luôn là mấu chốt giải quyết vấn đề chứ! ( trừ khi việc chặn lại ở firewall là quá sớm smilie )
Hết cấp ba, ta lên cấp bố smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 13:51:44 (+0700) | #20 | 168563
nguyenvanhack
Member

[Minus]    0    [Plus]
Joined: 04/11/2008 14:56:28
Messages: 12
Offline
[Profile] [PM]
Trong khi đợi xác nhận thông tin từ ban quản trị, cho em hỏi Antidos và anh LeVuHoang câu này. Nếu firewall hoặc/và IPS của HVA ngăn chặn theo địa chỉ nguồn (là các proxy servers) dựa trên dấu hiệu nhận biết nào đấy (đã biết). Nếu địa chỉ nguồn là toàn bộ các proxy đang có ở VN thì khi ấy có thể bị coi là DOS không?
Có 1 điều khó là cuộc tấn công này có thể qua proxy (chưa kiểm chứng), nhất là các transparent proxy của VDC, nên nếu chặn theo đ/c IP thì sẽ chặn luôn tất cả người dùng sử dụng VDC 

Đoạn này chứng tỏ Antidos không dùng cách trên.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 14:25:27 (+0700) | #21 | 168566
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

nguyenvanhack wrote:

- Thông báo: Để đối phó tạm thời với "Điểm yếu TCP" website của HIV đã được change sang dùng UDP. 

Tôi cảnh cáo bạn vì phát biểu trên.
Let's build on a great foundation!
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 14:37:59 (+0700) | #22 | 168571
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
@nguyenvanhack: IDS, không phải IPS smilie. Việc ngăn chặn có thể theo nhiều cách. Hoặc là block IP, hoặc đưa gói tin vào /dev/null. Như vậy những packet không hợp lệ sẽ bị drop và các máy hợp lệ nằm trong cùng 1 proxy vẫn truy cập được như bình thường.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 15:25:31 (+0700) | #23 | 168574
[Avatar]
K4i
Moderator

Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline
[Profile] [PM]
@nguyenvanhack: về việc xây dựng rule, bạn nên đọc lại loạt kí sự về chống DDoS của bác conmale. Đọc kĩ đoạn bác ấy phân tích log và từ đó suy ra các rule ấy thì sẽ hiểu.

@antidos: mình muốn hỏi là nếu có thể, bạn có thể trình bày một cách rõ ràng hơn về cách thức tấn công được không. Vì ở title thì mình thấy là Điểm yếu TCP, trong khi đó vào đây chưa thấy yếu tố yếu nào của TCP mà bạn khai thác cả.


App dùng TCP mà TCP có điểm yếu thì app cũng yếu theo. Nhưng nếu app viết tốt hoặc cấu hình firewall tốt thì có thể giảm đáng kể được thiệt hại do đối phương gây ra.  


Có điểm này mình không đồng ý với quan điểm của bạn. Nếu nói nôm na mình sẽ tưởng tượng là lớp TCP và lớp App như đôi chân và phần thân của một con người. Nếu đôi chân yếu (TCP) thì cả cơ thể của con người ko thể được coi là khỏe mạnh được cho dù phần thân (lớp App) có khỏe mạnh, cơ bắp có săn chắc đến đâu. Vì thế nếu app đc viết tốt đến đâu thì việc giảm thiểu gần như là không thể chứ, vì điểm yếu là giao thức ở dưới cơ mà.
Sống là để không chết chứ không phải để trở thành anh hùng
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 15:53:02 (+0700) | #24 | 168576
choc_
Member

[Minus]    0    [Plus]
Joined: 27/01/2009 06:46:01
Messages: 122
Offline
[Profile] [PM]
sockstress? mình nghĩ tất cả các bài theo kiểu úp úp mở mở thế này thì nên cho vào sọt rác. empirical data cho thấy 100% là sẽ không có gì mới.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 18:19:21 (+0700) | #25 | 168582
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
E hèm.... bồ antidos thử cái gì mà lựa lúc tớ đi ngủ mà thử thì kẹt quá. Tớ chẳng biết chuyện gì xảy ra cả. smilie

Nãy giờ ngồi kiểm tra tình hình (logs, stats...) mà vẫn chưa thấy có gì lạ.

Bồ thử khoảng giấc trưa giờ VN được không? Nếu được thì quá hay.

Nếu bồ dùng nhiều máy và đồng loạt dùng HostTracker để "query" tình trạng của HVA khiến cho mấy chục host đồng loạt "flood" HVA thì chính các host đó sẽ bị timeout mà thôi. Bồ không thể dùng chúng để thử nghiệm một cách chính xác được.

Chiều hôm qua có lúc tớ thấy duyệt HVA có vẻ chậm hơn bình thường nên log vào server để xem thì thấy có cả đống IP đi từ 208. gởi các gói có flags là FP quá trời nhưng chúng bị drop hết vì đây là những gói bất hợp lệ (dựa trên "state" của gói tin). Lý do diễn đàn HVA lúc ấy chạy chậm là do có một cron job đang chạy để backup đồng thời apache tiếp nhận khá nhiều requests trong một lúc nào đó nên khá stress smilie . Chi tiết thế nào thì tớ chưa rõ vì hôm qua tớ chẳng dump packets để xem.
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 19:28:57 (+0700) | #26 | 168586
boom_jt
Member

[Minus]    0    [Plus]
Joined: 02/08/2007 23:51:10
Messages: 125
Offline
[Profile] [PM]
Bác conmale thử check log tại chính xác thời điểm này xem sao : 06/02 19:33:22 (giờ vn, tức là +0700 nhé)
Boom thấy ghi trên hosttracker như vậy, có vẻ khá hợp với thời gian gửi bài của antidos - 06/02/2009 19:39:31 (+0700)
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 21:59:26 (+0700) | #27 | 168592
antidos
Member

[Minus]    0    [Plus]
Joined: 06/02/2009 18:11:51
Messages: 15
Offline
[Profile] [PM]

conmale wrote:
E hèm.... bồ antidos thử cái gì mà lựa lúc tớ đi ngủ mà thử thì kẹt quá. Tớ chẳng biết chuyện gì xảy ra cả. smilie
 

Trong ngày hôm qua tôi thử tấn công dịch vụ web hva khoảng 6 lần. Do không muốn ảnh hưởng đến việc truy cập của người dùng nên tôi không kéo dài lâu, mỗi lần chỉ cỡ 5 phút. Lần đầu hình như bắt đầu 14:50, lúc đó đang thử vài site khác nhau. Lần cuối còn dùng 1 hệ thống monitor của 3rd party để theo dõi cho rõ ràng.

conmale wrote:

Nãy giờ ngồi kiểm tra tình hình (logs, stats...) mà vẫn chưa thấy có gì lạ.
 

Thử công bố stat xem sao, VD biểu đồ lưu lượng mạng. Log thì không hi vọng có, vì tuy tấn công vào cổng 80 nhưng k0 cấu thành 1 HTTP request, web server k0 biết được. Cuộc tấn công này gửi rất ít gói tin, và các traffic bình thường cũng k0 truy cập được nên lưu lượng mạng tại thời điểm tấn công sẽ là cực kỳ thấp.

conmale wrote:

Nếu bồ dùng nhiều máy và đồng loạt dùng HostTracker để "query" tình trạng của HVA khiến cho mấy chục host đồng loạt "flood" HVA thì chính các host đó sẽ bị timeout mà thôi. Bồ không thể dùng chúng để thử nghiệm một cách chính xác được.
 

Mấy chục host cùng truy cập khi bình thường vẫn thành công 100% mà (xem link 1)

Nói chung tôi thấy rõ là admin có trách nhiệm thì lại coi thường vấn đề, nên tôi cũng k0 show ra nữa. Lý do tôi không công bố rộng rãi vì nó quá nguy hiểm. Các web site hiện nay không sẵn sàng để chống đỡ. Bằng chứng thì xem tạm trên HostTracker
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 07/02/2009 23:33:27 (+0700) | #28 | 168606
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
Bác antidos nói rõ hơn phương thức tấn công của bác dựa vào cái gì cụ thể được không? Ví dụ như bác nói đánh vào port 80 mà web server "không biết được", chỗ này em không hiểu lắm.
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 00:01:07 (+0700) | #29 | 168611
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

antidos wrote:

conmale wrote:
E hèm.... bồ antidos thử cái gì mà lựa lúc tớ đi ngủ mà thử thì kẹt quá. Tớ chẳng biết chuyện gì xảy ra cả. smilie
 

Trong ngày hôm qua tôi thử tấn công dịch vụ web hva khoảng 6 lần. Do không muốn ảnh hưởng đến việc truy cập của người dùng nên tôi không kéo dài lâu, mỗi lần chỉ cỡ 5 phút. Lần đầu hình như bắt đầu 14:50, lúc đó đang thử vài site khác nhau. Lần cuối còn dùng 1 hệ thống monitor của 3rd party để theo dõi cho rõ ràng.

conmale wrote:

Nãy giờ ngồi kiểm tra tình hình (logs, stats...) mà vẫn chưa thấy có gì lạ.
 

Thử công bố stat xem sao, VD biểu đồ lưu lượng mạng. Log thì không hi vọng có, vì tuy tấn công vào cổng 80 nhưng k0 cấu thành 1 HTTP request, web server k0 biết được. Cuộc tấn công này gửi rất ít gói tin, và các traffic bình thường cũng k0 truy cập được nên lưu lượng mạng tại thời điểm tấn công sẽ là cực kỳ thấp.
 

Stats đo dung lượng không thấy có gì đặt biệt cả, cũng chỉ là hình răng cưa lên xuống với biên độ sai biệt rất bé nhỏ giữa các giờ trong ngày. Còn logs thì mỗi giờ có hàng ngàn requests bất hợp lệ bị logged và dropped nên để xác định những packets nào của bồ thì hơi khó.

Việc HVA "bị" làm vật thử nghiệm là việc khá bình thường. Hầu như không ngày nào, tuần nào mà HVA không bị "thử" cả. Ngay cả những bugs hoàn toàn không có liên quan gì đến hệ điều hành và công nghệ HVA đang dùng nhưng vẫn dùng để thử trên HVA.

antidos wrote:

conmale wrote:

Nếu bồ dùng nhiều máy và đồng loạt dùng HostTracker để "query" tình trạng của HVA khiến cho mấy chục host đồng loạt "flood" HVA thì chính các host đó sẽ bị timeout mà thôi. Bồ không thể dùng chúng để thử nghiệm một cách chính xác được.
 

Mấy chục host cùng truy cập khi bình thường vẫn thành công 100% mà (xem link 1)

Nói chung tôi thấy rõ là admin có trách nhiệm thì lại coi thường vấn đề, nên tôi cũng k0 show ra nữa. Lý do tôi không công bố rộng rãi vì nó quá nguy hiểm. Các web site hiện nay không sẵn sàng để chống đỡ. Bằng chứng thì xem tạm trên HostTracker 

Tôi không hề xem thường vấn đề. Bồ test lúc 8 giờ tối giờ VN thì lúc đó là nửa đêm ở Sydney cho nên tôi không cách gì có thể thức để theo dõi cả (hì hì, tôi cũng không còn trẻ trung để thức khuya mà ôm cái máy như những năm trước nữa). Bồ không nên công bố rộng rãi là đúng vì flooding chỉ là những trò phá hoại mang tính tuyệt vọng mà thôi.

Thông tin trên HostTracker quả thật không giúp gì và cũng chưa có gì rõ ràng cả. Nếu bồ thật sự quan tâm đến việc này, tôi hiện đang rảnh và đang online (từ 10 giờ sáng đến khoảng 1 giờ trưa giờ VN), bồ cho biết khoảng thời gian tấn công để tôi tiện theo dõi và sẽ công bố chính thức thông tin thu thập được.
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 00:53:08 (+0700) | #30 | 168622
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

boom_jt wrote:
Bác conmale thử check log tại chính xác thời điểm này xem sao : 06/02 19:33:22 (giờ vn, tức là +0700 nhé)
Boom thấy ghi trên hosttracker như vậy, có vẻ khá hợp với thời gian gửi bài của antidos - 06/02/2009 19:39:31 (+0700)
 


Hì hì, có. Chỉ thấy hàng lô hàng lốc requests đi từ nhiều IP khác nhau nhưng đều có referer là host-tracker. Có lẽ có một nhóm người có nhiều máy chia nhau liên tục dùng host-tracker để "track" HVA hay sao đó.
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|