banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận mạng và thiết bị mạng [hỏi]:Liệu có thể dùng IP giả để thiết lập "3 bước bắt tay"được không?  XML
  [Question]   [hỏi]:Liệu có thể dùng IP giả để thiết lập "3 bước bắt tay"được không? 26/02/2009 23:28:51 (+0700) | #1 | 171110
[Avatar]
hizit91
Member

[Minus]    0    [Plus]
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
[Profile] [PM] [Yahoo!]
bạn choc_ có nói cái này:
mình đoán là cái cách mà bạn làm với sockstress chỉ là khác nhau về hình thức triển khai thôi, chứ thật ra cũng đều giống nhau về ý tưởng: làm hết resource của host bằng cách mở càng nhiều càng tốt tcp connection.

để qua mặt connlimit và recent thì không quá khó, chỉ cần có một dãy public IP, càng nhiều càng tốt. tiếp theo thì cần có 2 host (1 cũng được), host A thì thay phiên dùng raw packet gửi SYN đến HVA, sử dụng một trong các public IP. host B còn lại (được cấu hình trên router) nhận các packet ACK/SYN trả về từ HVA (bằng cách sniff trực tiếp), và tạo ACK/SYN giả để hoàn thành 3-way handshake.

với cách làm này, phía attacker chẳng cần phải keep track gì hết các tcp connection, nên sẽ rất nhẹ nhàng. ngược lại, phía HVA, phải tốn resource (memory, file descriptor...) cho mỗi tcp connection, nên sẽ rất nhanh bị quá tải. muốn hủy tấn công thì từ chỉ cần ra lệnh cho host B gửi FIN hay RST đến HVA, để đóng kết nối, giải tỏa resource là xong. 


Ở đây, cho em hỏi là, host B có nhận được các gói tin ACK/SYN từ HVA gửi tới ,để hoàn thành "Ba bước băt tay", hay không?

Hết cấp ba, ta lên cấp bố smilie
[Up] [Print Copy]
  [Question]   Re: [hỏi]:Liệu có thể dùng IP giả để thiết lập "3 bước bắt tay"được không? 26/02/2009 23:43:54 (+0700) | #2 | 171115
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
Được, vì attacker có một dãy public IP mà. Vấn đề quan trọng là, attacker lấy đâu ra một đống public IP đây. Chuyện này quay lại tấn công DDoS sử dụng zombies thôi, chẳng có gì mới mẻ cả. Và cái này khác với cái người ta gọi là sockstress, vì sockstress dựa vào lỗi TCP implementation (có thể gây ra bởi lỗi trong design của TCP) của OS (ít nhất là với thông tin gần đây).
Mind your thought.
[Up] [Print Copy]
  [Question]   Re: [hỏi]:Liệu có thể dùng IP giả để thiết lập "3 bước bắt tay"được không? 26/02/2009 23:53:05 (+0700) | #3 | 171116
[Avatar]
hizit91
Member

[Minus]    0    [Plus]
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
[Profile] [PM] [Yahoo!]

StarGhost wrote:
Được, vì attacker có một dãy public IP mà. Vấn đề quan trọng là, attacker lấy đâu ra một đống public IP đây. Chuyện này quay lại tấn công DDoS sử dụng zombies thôi, chẳng có gì mới mẻ cả. Và cái này khác với cái người ta gọi là sockstress, vì sockstress dựa vào lỗi TCP implementation (có thể gây ra bởi lỗi trong design của TCP) của OS (ít nhất là với thông tin gần đây). 

Anh ơi, cho em hỏi là zombies là cái gì thế?
và cái này nữa, em thắc mắc là tại sao host B chỉ có 1 IP, thế thì sao gói tin HVA gửi đi tới nhiều IP khác nhau lại cùng hướng về B?
thanks anhsmilie!
Hết cấp ba, ta lên cấp bố smilie
[Up] [Print Copy]
  [Question]   Re: [hỏi]:Liệu có thể dùng IP giả để thiết lập "3 bước bắt tay"được không? 30/03/2009 13:33:33 (+0700) | #4 | 175286
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]

hizit91 wrote:

Anh ơi, cho em hỏi là zombies là cái gì thế?
và cái này nữa, em thắc mắc là tại sao host B chỉ có 1 IP, thế thì sao gói tin HVA gửi đi tới nhiều IP khác nhau lại cùng hướng về B?
thanks anhsmilie

zombies là các máy tính nối mạng Internet mà attacker bằng cách nào đó khống chế và lơị dụng đc. Tra google đi.
Hva gửi tơí nhiều ip khác nhau, nhưng chúng phải là các ip của zombies, ko thì host B ko bao giờ hoàn thành 3 bước cả.
tuy nhiên nếu ng ta có 1 mạng zombies thì ng ta gưỉ syn ngay từ các zombies chớ ko gửi từ host B đó đâu.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|