banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Làm thế nào để request SYN/ACK về có dung lượng lớn?  XML
  [Question]   Làm thế nào để request SYN/ACK về có dung lượng lớn? 30/11/2013 12:34:01 (+0700) | #1 | 279114
Mũ Trắng
Member

[Minus]    0    [Plus]
Joined: 01/12/2009 08:15:19
Messages: 24
Offline
[Profile] [PM]
Hi các bạn!

Mình muốn hỏi, khi mình gửi request SYN được gửi tới 19.0.0.0 (gọi là host A) thì host A sẽ gửi SYN/ACK về máy của mình.

Vấn đề là làm thế nào để khi SYN/ACK gửi về thì nó sẽ là một request nặng đòi hỏi host A phải xử lý nhiều?

Thanks mọi ng
[Up] [Print Copy]
  [Question]   Làm thế nào để request SYN/ACK về có dung lượng lớn? 02/12/2013 11:53:41 (+0700) | #2 | 279123
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

Mũ Trắng wrote:
Hi các bạn!

Mình muốn hỏi, khi mình gửi request SYN được gửi tới 19.0.0.0 (gọi là host A) thì host A sẽ gửi SYN/ACK về máy của mình.

Vấn đề là làm thế nào để khi SYN/ACK gửi về thì nó sẽ là một request nặng đòi hỏi host A phải xử lý nhiều?

Thanks mọi ng 

=> Không có request SYN/ACK nào "nặng" hết nhé bạn smilie
Viết đoạn code gửi gói SYN/ACK rồi quăng nó vào vòng for rồi chạy thôi mà bạn smilie
Đơn giản nhất là bạn có thể viết một vòng for rồi sử dụng nemesis gửi hàng loạt gói tin là được smilie Tuy nhiên nó cũng chưa tạo ra gói tin đủ lớn để máy đích xử lý nhiều. Nếu nếu máy A và B có băng thông như nhau thì cả A và B cũng có thể tèo cùng lúc smilie

Tốt nhât là bạn nên code một chương trình gửi gói tin giả dạng IP nguồn rồi chạy multithread gửi đồng loạt thì may ra smilie

Thông tin về nemesis http://www.packetlevel.ch/html/nemesis.html

- Ky0 -

PS: Mấy cái SYN Flood này làm để nghiên cứu thêm thôi chứ mấy cái hệ điều hành *nix ngày nay như CentOS, fedora ... bây giờ syn/flood không ăn thua đâu smilie
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Làm thế nào để request SYN/ACK về có dung lượng lớn? 04/12/2013 19:09:37 (+0700) | #3 | 279149
Mũ Trắng
Member

[Minus]    0    [Plus]
Joined: 01/12/2009 08:15:19
Messages: 24
Offline
[Profile] [PM]
Ko phải SYN flood bác ạ, em làm drdos smilie theo bác thì drdos cỡ nào khiến victim die nhanh? dĩ nhiên là em đã spoof được source ip rồi smilie
[Up] [Print Copy]
  [Question]   Làm thế nào để request SYN/ACK về có dung lượng lớn? 05/12/2013 05:16:38 (+0700) | #4 | 279153
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Mũ Trắng wrote:
Ko phải SYN flood bác ạ, em làm drdos smilie theo bác thì drdos cỡ nào khiến victim die nhanh? dĩ nhiên là em đã spoof được source ip rồi smilie 


- Bị lỗ hổng kiến thức về giao thức.

- Thời buổi này mà còn drdos được sao? Bồ hiểu thế nào là drdos vậy?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Làm thế nào để request SYN/ACK về có dung lượng lớn? 05/12/2013 07:49:38 (+0700) | #5 | 279155
Mũ Trắng
Member

[Minus]    0    [Plus]
Joined: 01/12/2009 08:15:19
Messages: 24
Offline
[Profile] [PM]

conmale wrote:

Mũ Trắng wrote:
Ko phải SYN flood bác ạ, em làm drdos smilie theo bác thì drdos cỡ nào khiến victim die nhanh? dĩ nhiên là em đã spoof được source ip rồi smilie 


- Bị lỗ hổng kiến thức về giao thức.

- Thời buổi này mà còn drdos được sao? Bồ hiểu thế nào là drdos vậy? 


Chào anh conmale!

Em xin trình bày mọi thứ em hiểu về drdos trên mức lý thuyết mà em đã đọc rất nhiều + rất kỹ các topic trong
hva những ngày qua.

trước hết em giả mạo ip của mình thành ip của victim sau đó em sử dụng ip giả mạo ấy và gửi SYN request tới
các web server lớn, sau khi các server nhận được SYN request ấy sẽ phản hồi lại SYN/ACK với ip vừa
SYN với mình (tức là sẽ trả lời lại cú SYN đó vào ip của victim).

Về mặt lý thuyết thì em chỉ hiểu như vậy không biết có đúng không anh? Em đã đọc rất kỹ cả tài liệu gốc lẫn
những bản dịch trên hva rồi và cũng biết là cách tấn công này không phải là tấn công vào tài nguyên của server
mà bản chất là tấn công vào router của server đó.

Tuy nhiên em vẫn chưa hiểu làm sao mà victim lại die được với những cú SYN/ACK như vậy?

Em đã rất vất vả hàng tháng trời để xây dựng một gói tin SYN hoàn chỉnh và phần khó nhất - Giả mạo
ip nguồn rồi bây giờ chỉ cần thực hiện drdos nhưng thật sự bây giờ là năm 2013 chứ không còn là năm 2002
khi mà grc.com bị đánh với 200 router, thật sự bây giờ phải cần tới 2,000,000 router chắc là mới có thể
đánh sập được server nào đó.

Cảm ơn anh đã để ý tới topic của em, có gì em chưa đúng mong anh chỉ bảo.

P/S: Mọi thứ em làm cũng chỉ nhằm mục đích nâng cao kiến thức về bảo mật, và thoả mãn đam mê lập
trình chứ không hề có ý muốn phá hoại.
[Up] [Print Copy]
  [Question]   Làm thế nào để request SYN/ACK về có dung lượng lớn? 05/12/2013 17:29:40 (+0700) | #6 | 279168
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
- Bản thân SYN-ACK không chứa payload. Năm 2009 có thêm một "draft" RFC nhưng vẫn chưa được thông qua. Bởi vậy, ý muốn tạo SYN-ACK có "dung lượng lớn" là chuyện không thể được.

- Nếu đã spoof IP nào đó để gởi SYN nhằm tạo SYN-ACK từ IP ấy thì SYN-ACK được tạo ra từ máy bị spoofed chớ không phải máy của mình. Bởi vậy, cho dù có thể tạo SYN-ACK có dung lượng lớn đi chăng nữa, cũng không thể được vì mình không điều khiến máy bị spoofed IP.

- DrDOS chỉ có thời đầu thâp niên 2000, khi các routers còn cho phép source routing. Ngày nay, chuyện này hầu như không thể được vì hầu như các router theo mặc định đều disable chức năng này.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Làm thế nào để request SYN/ACK về có dung lượng lớn? 05/12/2013 18:00:33 (+0700) | #7 | 279169
Mũ Trắng
Member

[Minus]    0    [Plus]
Joined: 01/12/2009 08:15:19
Messages: 24
Offline
[Profile] [PM]

conmale wrote:

- Nếu đã spoof IP nào đó để gởi SYN nhằm tạo SYN-ACK từ IP ấy thì SYN-ACK được tạo ra từ máy bị spoofed chớ không phải máy của mình. Bởi vậy, cho dù có thể tạo SYN-ACK có dung lượng lớn đi chăng nữa, cũng không thể được vì mình không điều khiến máy bị spoofed IP. 

Phần này anh nói em không hiểu lắm, thực sự cú SYN em gửi đã được trả lời SYN-ACK từ máy chủ về victim rồi
và em nghĩ rằng như vậy là đủ để thực hiện tấn công ánh xạ phân tán "drdos" rồi chứ anh? Chỉ cần gửi nhiều
SYN tới nhiều máy chủ với ip giả mạo victim và các máy chủ ấy SYN-ACK về victim -> victim die.

conmale wrote:

- DrDOS chỉ có thời đầu thâp niên 2000, khi các routers còn cho phép source routing. Ngày nay, chuyện này hầu như không thể được vì hầu như các router theo mặc định đều disable chức năng này.
 


Ý anh là không thể giả mạo được source IP để gửi SYN phải không anh? Ban đầu em fail quá nhiều nên cũng
nghĩ như vậy, nhưng thật sự em đã rất cố gắng và đã làm được, nếu anh không tin em có thể chứng
minh.

Cảm ơn anh đã reply.
[Up] [Print Copy]
  [Question]   Làm thế nào để request SYN/ACK về có dung lượng lớn? 05/12/2013 18:55:04 (+0700) | #8 | 279170
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Mũ Trắng wrote:

conmale wrote:

- Nếu đã spoof IP nào đó để gởi SYN nhằm tạo SYN-ACK từ IP ấy thì SYN-ACK được tạo ra từ máy bị spoofed chớ không phải máy của mình. Bởi vậy, cho dù có thể tạo SYN-ACK có dung lượng lớn đi chăng nữa, cũng không thể được vì mình không điều khiến máy bị spoofed IP. 

Phần này anh nói em không hiểu lắm, thực sự cú SYN em gửi đã được trả lời SYN-ACK từ máy chủ về victim rồi
và em nghĩ rằng như vậy là đủ để thực hiện tấn công ánh xạ phân tán "drdos" rồi chứ anh? Chỉ cần gửi nhiều
SYN tới nhiều máy chủ với ip giả mạo victim và các máy chủ ấy SYN-ACK về victim -> victim die.

conmale wrote:

- DrDOS chỉ có thời đầu thâp niên 2000, khi các routers còn cho phép source routing. Ngày nay, chuyện này hầu như không thể được vì hầu như các router theo mặc định đều disable chức năng này.
 


Ý anh là không thể giả mạo được source IP để gửi SYN phải không anh? Ban đầu em fail quá nhiều nên cũng
nghĩ như vậy, nhưng thật sự em đã rất cố gắng và đã làm được, nếu anh không tin em có thể chứng
minh.

Cảm ơn anh đã reply. 



Những thứ em trình bày ở trên không phải là drDoS.

Cần bao nhiêu "máy chủ" bị spoofed để tạo ra DDoS?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Làm thế nào để request SYN/ACK về có dung lượng lớn? 05/12/2013 21:27:55 (+0700) | #9 | 279171
Mũ Trắng
Member

[Minus]    0    [Plus]
Joined: 01/12/2009 08:15:19
Messages: 24
Offline
[Profile] [PM]

conmale wrote:

Những thứ em trình bày ở trên không phải là drDoS.

Cần bao nhiêu "máy chủ" bị spoofed để tạo ra DDoS? 


Vậy như nào mới là drdos hả anh? Anh giải thích giúp em với! Em đã vừa đọc lại rất kỹ các tài liệu drdos cả
trong HVA và cả tài liệu gốc nữa, những thứ em đang hiểu chính là những điều em vừa nói.

[Up] [Print Copy]
  [Question]   Làm thế nào để request SYN/ACK về có dung lượng lớn? 06/12/2013 13:59:26 (+0700) | #10 | 279175
Mũ Trắng
Member

[Minus]    0    [Plus]
Joined: 01/12/2009 08:15:19
Messages: 24
Offline
[Profile] [PM]
Bây giờ em mới đọc kỹ lại bài viết của anh sau khi đã thử nghiệm drdos thất bại, em đã không chú ý tới phần
source routing, nghĩa là khi attacker tấn công victim, hắn sẽ không gửi hàng trăm ngàn packet tới hàng trăm ngàn server
mà thực ra nó chỉ gửi vài trăm packet tới vài trăm cái router thôi
nhưng bằng cách nào đó cái router ấy đã kêu gọi toàn bộ dãy ip trong nó gửi SYN-ACK trả về vào ip đã bị attacker giả mạo.

Cứ cho mỗi router có 254 ip bên trong nó (tương đương với 254 máy chủ nhỏ) 100 cái router = 25,400 cái cùng
SYN-ACK một lúc thì cũng mệt lắm.

Như vậy thìmới là khuếc đại được lưu lượng băng thông và mới có thể gửi 1,000,000 packet trong vòng một giờ và victim mới có thể die được.
Chứ nếu attacker tốn công đi gửi SYN tới hàng trăm ngàn server thì thà SYN Flood cho nhanh.

Em vừa gửi SYN tới 200,000 server để nó dội ngược trở lại SYN-ACK vào host của em nhưng kỳ lạ host của em
vẫn chả sao cả vì tổng số các request SYN-ACK ấy chưa thấm vào đâu.

Em cũng đã cố ép server attack gửi 10,000 packet trên giây nhưng bị quá tải nên sập luôn smilie còn victim vẫn
sống nhăn.

Kết luận: Source routing đã không còn tồn tại nên các router sẽ không bao giờ tự đông kêu gọi các con của nó
để tham gia vào trận tấn công nữa và drdos bây giờ thực sự chỉ là huyền thoại và không còn thực hiện được
nữa smilie

Đó có phải DRDOS không anh conmale?
[Up] [Print Copy]
  [Question]   Làm thế nào để request SYN/ACK về có dung lượng lớn? 08/12/2013 02:19:25 (+0700) | #11 | 279191
[Avatar]
__ikaZuchi
Member

[Minus]    0    [Plus]
Joined: 27/05/2012 22:34:00
Messages: 51
Offline
[Profile] [PM]
Em vừa gửi SYN tới 200,000 server để nó dội ngược trở lại SYN-ACK vào host của em nhưng kỳ lạ host của em
vẫn chả sao cả vì tổng số các request SYN-ACK ấy chưa thấm vào đâu.  

Bồ ác nhỉ? Gửi tới 200 000 server cơ đấy? Hỏi khí không phải tí, lấy đâu ra danh sách 200 000 server vậy :p
Theo "ngu" kiến của mình thì bạn chỉ cần thử với 1 server, xong capture gói tin trả về trên host victim. Nếu có syn-ack từ server kia trả về thì lúc đó tính tiếp. smilie
When the limit is reached, the thunder will appear
[Up] [Print Copy]
  [Question]   Làm thế nào để request SYN/ACK về có dung lượng lớn? 08/12/2013 10:50:21 (+0700) | #12 | 279192
Mũ Trắng
Member

[Minus]    0    [Plus]
Joined: 01/12/2009 08:15:19
Messages: 24
Offline
[Profile] [PM]

__ikaZuchi wrote:
Em vừa gửi SYN tới 200,000 server để nó dội ngược trở lại SYN-ACK vào host của em nhưng kỳ lạ host của em
vẫn chả sao cả vì tổng số các request SYN-ACK ấy chưa thấm vào đâu.  

Bồ ác nhỉ? Gửi tới 200 000 server cơ đấy? Hỏi khí không phải tí, lấy đâu ra danh sách 200 000 server vậy :p
Theo "ngu" kiến của mình thì bạn chỉ cần thử với 1 server, xong capture gói tin trả về trên host victim. Nếu có syn-ack từ server kia trả về thì lúc đó tính tiếp. smilie
 


Sài nmap scan random rồi lọc trùng đi bác, 1 tuần có mà 500k host live.

Tất nhiên là mình đã test rất kỹ và chắc chắn 100% là có syn-ack trả về rồi mình mới bắt đầu thực hiện
tấn công với số lượng lớn, khi tấn công mình capture trên host victim rồi, syn-ack về ào ạt nhưng host
vẫn bình thường không có gì gọi là quá tải, mình gửi mỗi giây 1000 request tới 1000 host mà host victim
vẫn chả sao cả.
[Up] [Print Copy]
  [Question]   Làm thế nào để request SYN/ACK về có dung lượng lớn? 09/12/2013 02:19:29 (+0700) | #13 | 279194
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

Mũ Trắng wrote:

conmale wrote:

Những thứ em trình bày ở trên không phải là drDoS.

Cần bao nhiêu "máy chủ" bị spoofed để tạo ra DDoS? 


Vậy như nào mới là drdos hả anh? Anh giải thích giúp em với! Em đã vừa đọc lại rất kỹ các tài liệu drdos cả
trong HVA và cả tài liệu gốc nữa, những thứ em đang hiểu chính là những điều em vừa nói.

 


Một cuộc tấn công DRDoS cần thoả mãn 2 yêu cầu sau:
1. attacker giả mạo victim và gửi hàng loạt requests đến nhiều nơi, và mỗi request sẽ tạo ra reply gửi trả về victim, và
2. chi phí cho việc tạo ra mỗi request phải ít hơn (nhiều) so với chi phí mà request đó tạo ra cho victim.

Các attacks dùng source routing trong quá khứ thoả mãn cả 2 điều kiện, nên chúng là một ví dụ của DRDoS.
Mind your thought.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|