[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
14/10/2008 22:47:46 (+0700) | #31 | 155198 |
|
louisnguyen27
Member
|
0 |
|
|
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
|
|
seraphpl wrote:
Hi! Khi mà số lần "refresh", hoặc truy cập của 1 IP tăng đột biến thì có thể nghi ngờ nó DDOS chứ.
Mình ko hiểu câu này của bạn lắm. Bạn có thể đưa ra vài dẫn chứng hay quan điểm cụ thể để làm sáng tỏ cho cái "phát ngôn" của bạn ko
Theo bạn, nếu không xét số lần "refresh", "request" của 1 IP thì cách nào để tìm ra được IP đang DDOS mình?
Hì hì mình post thiếu câu: "BKIS đã dựng lên một hệ thống phòng thủ để đón lỏng tin tặc". Đúng là số lượng traffic của một IP tăng đột biến thì bạn phải nghi ngờ. Nhưng bạn đón lỏng tin tặc thế nào được khi có vài ngàn IP tấn công??? Trừ khi attacker quá sơ hở để lộ IP của mình, nhưng kể cả khi để lộ IP của mình thì việc tìm kiếm không phải là chuyện dễ.
Với lại nếu đã block IP thì các IP khác vẫn phải vào được bình thường và không lẽ BKIS đoán được ngày giờ và kể cả phương pháp DDoS nếu giả sử rằng cu cậu kia không xài backdoor mà định ngày giờ cụ thể. Mình thấy củ chuối là ở chỗ đó.
Ngoài ra bạn không thấy tào lao khi nói cái cơ chế block IP là "giải pháp tình thế" à? Có ai nói chuyện quan sát traffic rồi chặn IP có traffic tăng đột biến là một "giải pháp tình thế" để chống DDoS không?? Theo quan điểm của mình, cơ chế quan sát và hạn chế là kiến thức cơ bản trong việc phòng chống DDoS. Giải pháp tình thế tốt nhất để chống DDoS là tắt luôn server cho xong chuyện (không hiểu BKAV có xài chiêu này khi bị tấn công trong ngày 5/09 rồi nói là nâng cấp server gì gì đó không?). |
|
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!! |
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 02:07:15 (+0700) | #32 | 155231 |
|
f16
Member
|
0 |
|
|
Joined: 09/07/2008 08:21:43
Messages: 2
Offline
|
|
Bác Quảng trả lời báo chí hay quá! tài nghệ của bác và BKIS là số 1...!!!!!! chắc phải đề xuất cho bác qua Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam để bác phát triển nhiều hơn nữa. |
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 02:52:54 (+0700) | #33 | 155243 |
protectHat
Member
|
0 |
|
|
Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline
|
|
c0mm3nt wrote:
quỷ lệ wrote:
refresh là request àh?
Mỗi lần ấn refresh, trình duyệt sẽ gửi 1 http request tới web sever chứa website mà nó đang hiển thị
Cảm ơn bác chỉ cách nha
em ghét mấy người cùng xài mạng ftp với em lắm, để em bấm f5 cho nhiều rồi ai xài chung proxy thì chết chùm khỏi down ba cái bkav.exe về cho nặng máy |
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 02:58:39 (+0700) | #34 | 155244 |
c0mm3nt
Member
|
0 |
|
|
Joined: 26/09/2008 17:21:14
Messages: 15
Offline
|
|
Theo mình biết thì có thể phát hiện và ngăn chặn được kiểu tấn công DDos dùng botnet với kiểu request (hoặc ping) liên tiếp tới server (vài->vài chục request/giây) bằng cách thiết lập rule cho firewall hoặc sử dụng một giải pháp tổng thể nào đó được cung cấp từ hãng thứ 3. Trước đây thường người ta sử dụng IDS - Intrusion detection system - http://en.wikipedia.org/wiki/Intrusion-detection_system để phân tích các gói tin, phát hiện tấn công để cảnh báo sớm cho quản trị. Ngày nay hệ thống này đã được cải tiến, không chỉ mỗi chức năng cảnh báo mà còn có thể đặt luật để chặn các cuộc tấn công, nên gọi là IPS - Intrusion-prevention system - http://en.wikipedia.org/wiki/Intrusion-detection_system
Hì chả biết vụ này như thế nào nhưng mà có 2 điều rất thú vị:
- Một: Ai bắt thủ phạm? BKAV á? Ngộ àh nghen...
- Hai: Nhìn bức hình trong bài báo Dân Trí đăng tải sao thấy nó giống mã AutoIt thế
- Cũng không biết ai bắt, nhưng theo mình có thể là Bkis+C15, "hacker" là 1 chú học sinh trong quảng nam thì phải, hôm qua mới xem video cậu ta quay cảnh điều khiển botnet
- Chính xác là mã autoit, cậu học sinh kia viêt virus bằng autoit và dùng nó để điều khiển zoombie. Cái lợi là dễ viết, cái hại là người ta có thể dịch ngược ra xem mình định làm gì, và cái ngu là dùng chính site của mình, nick của mình, email của mình để điều khiển và tấn công.
Bồ giải thích rõ hơn được không? ấn refresh là ấn cái gì mà lại gởi http request đến webserver? Nếu được thì tớ cũng thử ngồi "ấn refresh" để ddos cho bỏ ghé
- Ừ, thì mình nói rõ vậy, bạn mở 1 trang web bằng browser, thì browser sẽ gửi 1 http request đến webserver đó. Mỗi lần ấn refresh, browser lại 1 lần gửi 1 http request đến webserver. Có điều theo mình mỗi lần gửi http request bằng browser (ấn refresh chẳng hạn) thì nó sẽ đợi http response của webserver trả về. Còn nếu bạn viết chương trình thì có thể request nhiều gói tin một lúc (hi, cái này là suy đoán thôi, cũng chưa kiểm chứng). Nếu bạn có 10 000 máy tính, mỗi máy 1 giây ấn refresh trang web 1 lần thì chắc cũng tương tự dùng 1000 zoombie, mỗi zoombie request 10 gói tin 1 giây mà thôi (gói tin = gói http request)
Hì hì mình post thiếu câu: "BKIS đã dựng lên một hệ thống phòng thủ để đón lỏng tin tặc". Đúng là số lượng traffic của một IP tăng đột biến thì bạn phải nghi ngờ. Nhưng bạn đón lỏng tin tặc thế nào được khi có vài ngàn IP tấn công??? Trừ khi attacker quá sơ hở để lộ IP của mình, nhưng kể cả khi để lộ IP của mình thì việc tìm kiếm không phải là chuyện dễ.
Với lại nếu đã block IP thì các IP khác vẫn phải vào được bình thường và không lẽ BKIS đoán được ngày giờ và kể cả phương pháp DDoS nếu giả sử rằng cu cậu kia không xài backdoor mà định ngày giờ cụ thể. Mình thấy củ chuối là ở chỗ đó.
Ngoài ra bạn không thấy tào lao khi nói cái cơ chế block IP là "giải pháp tình thế" à? Có ai nói chuyện quan sát traffic rồi chặn IP có traffic tăng đột biến là một "giải pháp tình thế" để chống DDoS không?? Theo quan điểm của mình, cơ chế quan sát và hạn chế là kiến thức cơ bản trong việc phòng chống DDoS. Giải pháp tình thế tốt nhất để chống DDoS là tắt luôn server cho xong chuyện (không hiểu BKAV có xài chiêu này khi bị tấn công trong ngày 5/09 rồi nói là nâng cấp server gì gì đó không?).
-Vài ngàn IP cũng có thể đón lõng được, nếu phân tích đúng được kiểu tấn công, và dùng phần mềm hỗ trợ, mình ví dụ như IPS đã nói ở trên
-Theo mình khi ddos thì ip trong gói tin gửi tới server là ip của zoombie chứ ko phải ip của attacker (master), và nó cũng chẳng khác gì 1 máy tính thông thường cả, với kiến thức bảo mật còn hạn chế như mình thì mình nghĩ có thể thiết lập 1 luận là nếu 1 ip nào đó trong 1 giây gửi >=5 (10 - 15...) gói tin gì đó thì block ip đó lại??? He he, chẳng nhẽ các bác bkis cũng dùng cách này? Thế thì gà quá.
-Cái câu có chữ backdoor của bạn mình ko hiểu lắm, vì theo mình hiểu thì ông bạn này điều khiển botnet qua irc chứ ko liên quan gì tới backdoor cả (hay ý bạn là backdoor tại zoombie?)
- Thực sự thì mình cũng chưa biết được cách chống DDos nào là tốt nhất, có lẽ vẫn chỉ là thiết lập được những luật tốt và đối phó với từng cuộc tấn công thôi (
|
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 03:41:50 (+0700) | #35 | 155252 |
|
louisnguyen27
Member
|
0 |
|
|
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
|
|
c0mm3nt wrote:
-Vài ngàn IP cũng có thể đón lõng được, nếu phân tích đúng được kiểu tấn công, và dùng phần mềm hỗ trợ, mình ví dụ như IPS đã nói ở trên
-Theo mình khi ddos thì ip trong gói tin gửi tới server là ip của zoombie chứ ko phải ip của attacker (master), và nó cũng chẳng khác gì 1 máy tính thông thường cả, với kiến thức bảo mật còn hạn chế như mình thì mình nghĩ có thể thiết lập 1 luận là nếu 1 ip nào đó trong 1 giây gửi >=5 (10 - 15...) gói tin gì đó thì block ip đó lại??? He he, chẳng nhẽ các bác bkis cũng dùng cách này? Thế thì gà quá.
Thực ra đón lỏng trong trường hợp này cũng không có tác dụng phát hiện ra attacker đúng không? Cho nên mình cũng chịu không hiểu các bác BKIS đón lỏng cái kiểu gì? Đến 90% công việc là của ISP và cơ quan công an rồi.
c0mm3nt wrote:
-Cái câu có chữ backdoor của bạn mình ko hiểu lắm, vì theo mình hiểu thì ông bạn này điều khiển botnet qua irc chứ ko liên quan gì tới backdoor cả (hay ý bạn là backdoor tại zoombie?)
- Thực sự thì mình cũng chưa biết được cách chống DDos nào là tốt nhất, có lẽ vẫn chỉ là thiết lập được những luật tốt và đối phó với từng cuộc tấn công thôi (
Ừ mình nói backdoor là tại zoombie, còn chống DDoS thì vẫn phải dựa trên nguyên tắc quan sát traffic rồi phòng thủ thôi.
mrro wrote:
tớ thì tớ thấy mừng khi các khứa này bị bắt. ngày nào tớ cũng thắp nhang, cầu cho chúng nó sớm siêu thoát, nhưng mà chắc là dạo này kinh tế suy thoái, cô hồn mạng nhiều quá, cúng hoài mà cũng không hết.
nghĩ lại có bác Quảng cũng đỡ khổ, chúng nó cứ bu quanh bác ấy, thành ra công việc của tớ cũng khỏe hơn mấy phần. nói tóm lại là cảm ơn bác Quảng.
--m
Nói đi thì cũng nói lại, cũng tội nghiệp BKIS, thần khẩu hại xác phàm. Nhưng nếu không có cái "thần khẩu" ấy thì làm sao có thể phối hợp được với cơ quan công an để dẹp mấy khứa kia đi. |
|
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!! |
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 04:27:51 (+0700) | #36 | 155256 |
c0mm3nt
Member
|
0 |
|
|
Joined: 26/09/2008 17:21:14
Messages: 15
Offline
|
|
Thực ra đón lỏng trong trường hợp này cũng không có tác dụng phát hiện ra attacker đúng không? Cho nên mình cũng chịu không hiểu các bác BKIS đón lỏng cái kiểu gì? Đến 90% công việc là của ISP và cơ quan công an rồi.
Theo ngu ý của mình thì mình hiểu đón lõng là đón lõng cuộc tấn công (mới?) để hạn chế thiệt hại (mình có đọc "kỹ" trên 1 vài báo là có 2 cuộc tấn công vào bkav vào ngày 5 và ngày 8/10 thì phải (bkav không công nhận bị tấn công vào ngày 5!) có thể là họ đã dựng IPS sau ngày 5 và đợi 1 cuộc tấn công mới?
Nếu họ đã chuẩn bị mà hacker tấn công tiếp thì có thể họ sẽ hoàn toàn theo dõi - khống chế được cuộc tấn công này - từ đó thu thập thêm nhiều bằng chứng để tìm ra kẻ tấn công chẳng hạn?
|
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 04:33:16 (+0700) | #37 | 155257 |
|
Phuongdong
Advisor
|
Joined: 10/03/2003 17:46:03
Messages: 323
Offline
|
|
c0mm3nt wrote:
- Ừ, thì mình nói rõ vậy, bạn mở 1 trang web bằng browser, thì browser sẽ gửi 1 http request đến webserver đó. Mỗi lần ấn refresh, browser lại 1 lần gửi 1 http request đến webserver. Có điều theo mình mỗi lần gửi http request bằng browser (ấn refresh chẳng hạn) thì nó sẽ đợi http response của webserver trả về.
Khi người dùng vào một Link và tha hồ F5 cũng không có ảnh hưởng gì xấu đâu vì lúc đó nó GET thông tin về , bạn có thể đọc thêm thông tin về POST và GET. Chỉ có POST mới gửi requet đến server thôi.
c0mm3nt wrote:
Nếu bạn có 10 000 máy tính, mỗi máy 1 giây ấn refresh trang web 1 lần thì chắc cũng tương tự dùng 1000 zoombie, mỗi zoombie request 10 gói tin 1 giây mà thôi (gói tin = gói http request)
Có dùng FF không ? có sử dụng about:config không ? Có bao giờ thay đổi cái này không ?
network. http. max-connections Integer Determines the maximum number of simultaneous HTTP connections. Default value is 24. Valid values are between 1 and 65535 inclusive.
network. http. max-connections-per-server Integer Determines the maximum number of simultaneous HTTP connections that can be established per host. If a proxy server is configured, then the server is the proxy server. Default value is 8. Valid values are between 1 and 255 inclusive. |
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 05:01:26 (+0700) | #38 | 155262 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
Phuongdong wrote:
c0mm3nt wrote:
- Ừ, thì mình nói rõ vậy, bạn mở 1 trang web bằng browser, thì browser sẽ gửi 1 http request đến webserver đó. Mỗi lần ấn refresh, browser lại 1 lần gửi 1 http request đến webserver. Có điều theo mình mỗi lần gửi http request bằng browser (ấn refresh chẳng hạn) thì nó sẽ đợi http response của webserver trả về.
Khi người dùng vào một Link và tha hồ F5 cũng không có ảnh hưởng gì xấu đâu vì lúc đó nó GET thông tin về , bạn có thể đọc thêm thông tin về POST và GET. Chỉ có POST mới gửi requet đến server thôi.
Thì client cũng phải gởi cái gì lên để báo cho server biết là: "giờ tao GET info về nhá" chứ |
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 05:01:56 (+0700) | #39 | 155264 |
c0mm3nt
Member
|
0 |
|
|
Joined: 26/09/2008 17:21:14
Messages: 15
Offline
|
|
Phuongdong wrote:
Khi người dùng vào một Link và tha hồ F5 cũng không có ảnh hưởng gì xấu đâu vì lúc đó nó GET thông tin về , bạn có thể đọc thêm thông tin về POST và GET. Chỉ có POST mới gửi requet đến server thôi.
Cái này mình không nghĩ là bạn đúng
GET hay POST thì client đều gửi 1 http request lên webserver, và webserver phải xử lý cái request này, và trả kết quả về cho client (kết quả gọi là http response)
Mình chưa đọc kỹ mọi tài liệu xem liệu với post thì server có phải xử lý nhiều hơn get không, nhưng riêng chuyện GET nghĩa là chỉ get thông tin về mà không ảnh hưởng tới server và chỉ có post mới gửi request đến server là hoàn toàn sai về kiến thức cơ bản
Bạn có thể hỏi thêm một số người khác nữa, mình recommend nhờ bác conmale phân xử
(nếu ddos mà victim không chịu được, thì POST hay GET cũng thế thôi)
Phuongdong wrote:
Có dùng FF không ? có sử dụng about:config không ? Có bao giờ thay đổi cái này không ?
network. http. max-connections Integer Determines the maximum number of simultaneous HTTP connections. Default value is 24. Valid values are between 1 and 65535 inclusive.
network. http. max-connections-per-server Integer Determines the maximum number of simultaneous HTTP connections that can be established per host. If a proxy server is configured, then the server is the proxy server. Default value is 8. Valid values are between 1 and 255 inclusive.
Mình dùng FF là chủ yếu (95%), tuy nhiên hiếm khi sử dụng config, tìm hiểu kỹ về nó thì chưa bao giờ, có thể mình sẽ dành thời gian tìm hiểu về nó một lần cho biết.
================
Sau khi tìm hiểu sơ qua thì mình nghĩ thế này:
The semantics of the GET method change to a "partial GET" if the request message includes a Range header field. A partial GET requests that only part of the entity be transferred, as described in section 14.35. The partial GET method is intended to reduce unnecessary network usage by allowing partially-retrieved entities to be completed without transferring data already held by the client.
The response to a GET request is cacheable if and only if it meets the requirements for HTTP caching described in section 13.
Có thể nếu dùng GET thì không phải tất cả mọi request đếu được xử lý toàn bộ, hoặc là được xử lý bởi server, bởi vì trên đường truyền nếu có một hệ thống cache thì nó sẽ trả về kết quả trước khi gói tin đến được webserver và đc xử lý.
Tuy nhiên theo mình biết thì các hệ thống cache hiện nay không còn đc dùng nhiều nữa do tốc độ của mạng internet đã khá hơn rất nhiều (trước dùng dial up thì nó đc sử dụng khá phổ biến)
Còn GET hay POST thì chỉ là method được sử dụng trong 1 gói tin http request, nghĩ là GET chính xác là một gói tin http request (100%)! |
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 06:19:59 (+0700) | #40 | 155271 |
mediocre-ninja
Member
|
0 |
|
|
Joined: 06/10/2008 17:56:32
Messages: 26
Offline
|
|
quỷ lệ wrote:
refresh là request àh?
Dùng từ refresh có thể gây hiểu nhầm là kiểu nạp lại tụ điện (kiểu bấm F5 trong Windows) .
Nói đúng hơn phải là Reload của trình duyệt (IE dùng từ 'refresh' còn FF dùng 'reload' ) , khi đó browser sẽ gởi đi Request hệt như lần ngay trước đó .
Do đó nhận được request như nhau liên tục thì có thể đoán là client đang Reload.
Tuy nhiên GET thì dễ nhận ra (và vì thế dễ đối phó DoS) hơn là POST .
|
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 06:50:33 (+0700) | #41 | 155276 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
louisnguyen27 wrote:
vikjava wrote:
sao các bác không phân tích làm thế nào bkav tìm ra thủ phạm,đi sâu phân tích chi tiết cho a em mở rộng tầm nhin.
Hì hì, Bác Phương Đông đã nói rồi đấy thôi. BKAV lần ra thủ phạm như thế nào chỉ có họ biết, cũng giống như việc "nâng cấp server" hay "giăng bẫy đón tin tặc" hay là cơ chế "chặn IP".
Nhưng mà mình nghĩ mãi mà vẫn không hiểu nổi:
..."Với cơ chế này, khi ai đó truy cập vào website của BKIS nếu như refresh liên tục sẽ bị chặn IP, đây là giải pháp tình thế chúng tôi phải thực hiện để ngăn chặn tấn công vì việc refresh liên tục sẽ được hiểu như một hành động bất thường và rất có thể là việc tấn công của cơ chế DDOS"...
phát ngôn kiểu này thì không biết sinh viên IT của ĐHBK Hà Nội nghĩ gì trong đầu...
Tôi đoc đi đoc lai đoan trên mà thưc sự không hiểu các bác ở BKIS đang nói gì. Hay là cánh báo chí viết nhầm. Sao lại sử dụng từ "refresh" ở đây nhỉ?
Đành rằng khi ta dùng trình duyệt kết nôi đến một website, là ta gửi một HTTP command code "GET" kèm các code liên quan đến website này. Khi toàn bộ nôi dung URL của website đã hiên đủ trên màn hình của ta, thì coi như phiên kết nôi kết thúc. Nêu ta refresh để xem lại URL nói trên (để xem có chi tiết nào mới xuất hiện hay không, thí dụ như có ai vừa post bài mới trên forum chăng hạn) tức là ta khởi động lại trình duyêt để tái kết nối vơi chính URL này. Nếu ta cứ refresh liên tục thì trình duyêt cũng sẽ liên tục gửi các HTTP code đến website-webserver. Hành đông như vây có thể coi là DoS bằng tay- hay DoS thủ công, không dùng DoS tool.
Nhưng có ai lại DoS bằng tay như vây bao giờ!
Ngoài ra trong môt mang botnet thì các máy tham gia vào việc tấn công DoS tới môt muc tiêu đựoc gọi là các Zombie. Nhưng ta cần nhớ rằng các Zombie này tấn công vào muc tiêu (thí dụ BKIS server chẳng hạn) môt cách hoàn toàn "bất tự giác". Các Admin của các Zombie này không hề biết là server của mình đang bị hacker lơi dụng làm công cụ tấn công DoS vào môt máy mục tiêu. Chúng đưoc điều khiển từ hacker (đóng vai trò một "Master") . Hacker-Master đứng từ môt server khác, có thể gần hoặc rất xa các Zombie về đia lý. Quá trình điều khiển đựoc thưc hiện thông qua các kết nôi từ Mastrer server đến các Zombies. Hacker-Master chỉ cần đưa ra môt lệnh là các Zombie nào đã nhận lệnh, sẽ sử dụng môt DoS tool (bị hacker cài lén trong Zombie server) khởi sự tấn công tự động, liên tục, không nghỉ vào mục tiêu. Nó chỉ dừng lai khi hacker-master gửi lệnh "dừng", hay trong trình DoS tool đã có yếu tố giới hạn khoảng thơi gian tấn công, thí dụ như vây.
Như vậy thì làm gì có chuyện các admin của Zoombie phải cần "refresh' trong scenarios (bối cảnh) này. Mà họ không hề biết là mình đang tấn công 1 mục tiêu, cũng như nếu biết thì họ sẽ tìm cách dừng lại, thì làm sao họ lai nhấn refresh liên tục nhỉ?
Có lẽ các bác ở BKIS đinh dùng từ "reset" thay vì "refresh". Vì khi bị tấn công DDoS các server (chính xác là các service liên quan) hay bị crash, rơi vào trạng thai reset, nếu các server không đủ mạnh.
Các cuộc tấn công DDoS (Distributed Denial of Service attack) theo cơ chế Master-Zombie thì đã xuất hiện từ năm 1999-2000, sử dụng các DoS tool nổi tiếng như Trino (có thể tôi không viết chính xác từ này, chỉ nhớ phát âm). Cuôc tấn công DDoS theo kiểu Flash DDoS hay cuộc tấn công của câu học sinh Quảng nam vào BKIS server vừa rồi, cũng đều có cùng một nguyên lý-cơ chế chung: cơ chế Master-Zombie. Chúng chỉ khác các chi tiết: thí dụ cách cài các DoS tool (mã độc DoS) vào máy nạn nhân để biến máy thành Zombie, phương thức kết nôi từ Master server với các Zombie mà thôi....
Có dịp tôi sẽ viết kỹ về quá trình DDoS theo cơ chế Master-Zombie dùng DoS tool Trino.
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 07:11:26 (+0700) | #42 | 155280 |
|
Phuongdong
Advisor
|
Joined: 10/03/2003 17:46:03
Messages: 323
Offline
|
|
nbthanh wrote:
Phuongdong wrote:
c0mm3nt wrote:
- Ừ, thì mình nói rõ vậy, bạn mở 1 trang web bằng browser, thì browser sẽ gửi 1 http request đến webserver đó. Mỗi lần ấn refresh, browser lại 1 lần gửi 1 http request đến webserver. Có điều theo mình mỗi lần gửi http request bằng browser (ấn refresh chẳng hạn) thì nó sẽ đợi http response của webserver trả về.
Khi người dùng vào một Link và tha hồ F5 cũng không có ảnh hưởng gì xấu đâu vì lúc đó nó GET thông tin về , bạn có thể đọc thêm thông tin về POST và GET. Chỉ có POST mới gửi requet đến server thôi.
Thì client cũng phải gởi cái gì lên để báo cho server biết là: "giờ tao GET info về nhá" chứ
hehehe, viết ngắn gọn quá cũng bị soi ( hóa ra vẫn đọc mà không chịu vào buôn )
@c0mm3nt : ở đây mình đang nói đến trườnng hợp bạn nói khi vào một trang nếu F5 liên tục thì việc đấy sẽ không coi như một hành động tấn công DoS. Vì khi đó bạn sử dụng GET mà GET thì không làm thay đổi nội dung trên server nên có thể nói là server cũng sẽ không bị ảnh hưởng gì => Không thể nói vào một trang cứ ấn F5 liên tục là bị coi là đang DoS được.
Chỉ có POST thì mới gửi một request làm thay đổi gì đó trên server và server sẽ phải xử lý => sử dụng phương thức này để DoS |
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 10:26:48 (+0700) | #43 | 155292 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
Phuongdong wrote:
@c0mm3nt : ở đây mình đang nói đến trườnng hợp bạn nói khi vào một trang nếu F5 liên tục thì việc đấy sẽ không coi như một hành động tấn công DoS. Vì khi đó bạn sử dụng GET mà GET thì không làm thay đổi nội dung trên server nên có thể nói là server cũng sẽ không bị ảnh hưởng gì => Không thể nói vào một trang cứ ấn F5 liên tục là bị coi là đang DoS được.
Sao lại không! BKIS nói là DoS đấy, làm gì nhau nào
Mà nói chứ GET liên tục thì có khi cũng làm hết băng thông của host lắm chứ (host thuê bị giới hạn băng thông chẳng hạn ).
Phuongdong wrote:
Chỉ có POST thì mới gửi một request làm thay đổi gì đó trên server và server sẽ phải xử lý => sử dụng phương thức này để DoS
Thực ra thì có thay đổi hay không là do server thôi.
GET lần đầu tiên --> 1 session mới được tạo --> cũng có thể xem là thay đổi. Vậy nếu 1000 IP request tá lả liên miên và mỗi lần GET kẻ tấn công đều gởi thông tin lên server kiểu "tôi lần đầu tiên ghé thăm đây" thì session mới sẽ được tạo liên tục. Server mà yếu là cũng có thể sụm lắm. |
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 11:02:00 (+0700) | #44 | 155302 |
|
Phuongdong
Advisor
|
Joined: 10/03/2003 17:46:03
Messages: 323
Offline
|
|
nbthanh wrote:
GET lần đầu tiên --> 1 session mới được tạo --> cũng có thể xem là thay đổi.
Đây đang nói đến trường hợp là khi vào một trang rồi F5 liên tục, tức là trừ lần đầu tiên ( sau khi tạo lập ra session )ra thì các lần sau việc xử lý khi User ấn F5 có thể coi như rất nhỏ => 1 người vào một trang mà ấn F5 liên tục thì không coi là DoS được. Chỗ này nói nhau về phương thức GET vì khi ấn F5 chính là sử dụng GET để lấy thông tin từ server về.
Vậy nếu 1000 IP request tá lả liên miên và mỗi lần GET kẻ tấn công đều gởi thông tin lên server kiểu "tôi lần đầu tiên ghé thăm đây" thì session mới sẽ được tạo liên tục. Server mà yếu là cũng có thể sụm lắm.
Cái này tất nhiên khác giữa việc một nghìn người vào và một người vào ấn F5 liên tục 1000 lần vì cơ chế xử lý khác nhau.
Theo lão nếu một server cứ cho là có đủ sức chịu đựng được kết nối đồng thời được 2000 connection và giả sử có đúng 1000 thằng coi như về lý thuyết kết nối đồng thời và sử dụng FF với thiết lập trong config là 32 đi sau khi vào xong nó cứ ấn F5 liên tục thì con server ( 32000 kết nối ) sẽ bị die à |
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 11:08:13 (+0700) | #45 | 155303 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
Phuongdong wrote:
nbthanh wrote:
GET lần đầu tiên --> 1 session mới được tạo --> cũng có thể xem là thay đổi.
Đây đang nói đến trường hợp là khi vào một trang rồi F5 liên tục, tức là trừ lần đầu tiên ( sau khi tạo lập ra session )ra thì các lần sau việc xử lý khi User ấn F5 có thể coi như rất nhỏ => 1 người vào một trang mà ấn F5 liên tục thì không coi là DoS được. Chỗ này nói nhau về phương thức GET vì khi ấn F5 chính là sử dụng GET để lấy thông tin từ server về.
Thì tắt cookie, disable session (FF có plugin thì phải) là refresh lần nào cũng là lần đầu
Mà BKIS đã nói thế là phải nghe thế nhá |
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 11:14:48 (+0700) | #46 | 155304 |
|
Phuongdong
Advisor
|
Joined: 10/03/2003 17:46:03
Messages: 323
Offline
|
|
Thôi chết
Trung tâm Phần mềm và Giải pháp An ninh mạng – gọi tắt là Trung tâm An ninh mạng Bkis - là Trung tâm tiên phong trong lĩnh vực nghiên cứu, triển khai phần mềm và các giải pháp an ninh mạng tại Việt Nam
Mulan vào xin lỗi các anh đi |
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 12:13:15 (+0700) | #47 | 155312 |
|
Mulan
HVA Friend
|
Joined: 01/02/2002 15:09:07
Messages: 274
Location: 127.0.0.1
Offline
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 21:09:32 (+0700) | #48 | 155342 |
|
vippro123
Locked
|
0 |
|
|
Joined: 22/03/2007 18:15:50
Messages: 111
Location: HuẾ MộNg mơ
Offline
|
|
Video Clip Quay phương thức DDos BKAV do chính thủ phạm DDos quay
Đây là link download toàn bộ bài tường thuật lại cách ddos bằng botnet của Llykil. Có thể nhiều bạn coi sẽ không hiểu, nhưng sẽ nhìn thấy mức độ tấn công cực mạnh của nó, chỉ trong 30s mà toàn bộ server của truongton.net (một diễn đàn đứng top tại việt nam) hoàn toàn tê liệt (503 Error). Tác giả (bây giờ có lẽ đang ngồi uống trà với pc15 ) đã khẳng định nếu kiên trì thêm 1 khoảng thời gian nữa thì Google còn phải die .
Đại khái clip phần đầu nói về độ công phá khủng khiếp của nó, phần sau phân tích các cách họat động cụ thể của nó. BN sẽ tóm tắt lại như sau : Sau 1 thời gian phát tán virus kiên trì, trong tay tác giả đã thu thập đc một số lượng kha khá Zombies (máy tính bị virus điều khiển), và các zombies này sẽ đc tác giả của nó điều khiển thông qua mIRC (một ctrình chat có từ rất lâu đời có khả năng chạy các câu lệnh linh hoạt do chủ server đó thiết lập), chỉ với 1 câu lệnh tác giả sẽ có thể điều khiển hoàn toàn các Zombies của mình một lúc, và câu lệnh thứ 2 sẽ là làm cho tất cả các zombies tấn công thẳng vào máy chủ nạn nhân với cường độ dày đặc.
Thôi nói nhiều hiểu ít, các bạn cứ download clip này về xem sẽ rõ . (Yên tâm 100% link ko có virus )
Download (Size : 20mb) :
Link 1:
http://174.132.12.223/~lk111/BotNet.rar
Link 2 :
http://rapidshare.com/files/153350253/Bmt9x.com__BotNet__DDos_BKAV__By___LlyKil.rar
Nguồn : Bmt9x.com
|
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 21:45:01 (+0700) | #49 | 155346 |
c0mm3nt
Member
|
0 |
|
|
Joined: 26/09/2008 17:21:14
Messages: 15
Offline
|
|
Mình thì vẫn nghĩ là GET hay POST đều có thể dùng để DDOS cả, dù có thể khi POST server sẽ phải xử lý nhiều hơn.
DOS chính là đánh vào "Availability" - tính sẵn sàng của hệ thống. Nếu hệ thống không thể cung cấp dịch vụ cho khách hàng nữa thì cuộc DOS đó gọi là thành công
DDOS thì cũng là 1 dạng DOS, tuy nhiên sử dụng nhiều client để đánh vào 1 victim. Có thể làm cho hệ thống victim không thể đáp ứng bằng nhiều cách: xử lý quá nhiều lệnh nên không có khả năng đáp ứng (POST), băng thông bị nghẽn (GET), timeout quá lâu (SYN FLOOD)...
Thêm một ý nữa là mình thấy tiếc là những bàn luận thế này lại ở trong box tán gẫu.
Nếu có thể, chúng ta tranh luận ở 1 box nào đấy mang tính chuyên môn hơn chăng? |
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 22:22:50 (+0700) | #50 | 155352 |
|
louisnguyen27
Member
|
0 |
|
|
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
|
|
@PXMMRF Dù báo chí viết lộn reset, request thành refresh thì mình vẫn thấy nó chuối chuối thế nào ấy.
Bài viết rất rõ ràng dễ hiểu và... cũng đúng ý mình.
Có dịp tôi sẽ viết kỹ về quá trình DDoS theo cơ chế Master-Zombie dùng DoS tool Trino.
Đợi bài viết của bồ.
vippro123 wrote:
Tác giả (bây giờ có lẽ đang ngồi uống trà với pc15 ) đã khẳng định nếu kiên trì thêm 1 khoảng thời gian nữa thì Google còn phải die.
Trên lý thuyết thì hoàn toàn có thể vì nó là DDoS. Nhưng trên thực tế thì nó là điều hoang tưởng, có lẽ cu cậu đang bay lên mây khi DDoS được bác Quảng.
|
|
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!! |
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
15/10/2008 23:39:18 (+0700) | #51 | 155361 |
|
K4i
Moderator
|
Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline
|
|
Đây là link download toàn bộ bài tường thuật lại cách ddos bằng botnet của Llykil. Có thể nhiều bạn coi sẽ không hiểu, nhưng sẽ nhìn thấy mức độ tấn công cực mạnh của nó, chỉ trong 30s mà toàn bộ server của truongton.net (một diễn đàn đứng top tại việt nam) hoàn toàn tê liệt (503 Error). Tác giả (bây giờ có lẽ đang ngồi uống trà với pc15 ) đã khẳng định nếu kiên trì thêm 1 khoảng thời gian nữa thì Google còn phải die .
Die một cụm hay cho die cả site :-s. |
|
Sống là để không chết chứ không phải để trở thành anh hùng |
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
16/10/2008 02:31:10 (+0700) | #52 | 155373 |
StarGhost
Elite Member
|
0 |
|
|
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
|
|
Cái trò này có gì hay ho và tài giỏi mà sao nhiều người cứ quảng cáo với lăng xê mãi thế nhỉ? Ngay đến track covering cũng không làm nổi khi mà tấn công ở mức độ gián tiếp thì thật là... Ngẫm lại câu của "các cụ", đại khái "kiến thức đòi hỏi trong tấn công càng ngày càng giảm, trong khi mức độ thiệt hại càng ngày càng tăng", mới thấy chí lí làm sao.
|
|
Mind your thought. |
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
16/10/2008 08:59:17 (+0700) | #53 | 155411 |
|
hacnho
HVA Friend
|
Joined: 28/01/2003 12:07:45
Messages: 199
Location: OEP
Offline
|
|
Chủ đề đã bắt đầu có dấu hiệu spam. Tôi khóa lại. Nếu có chi tiết gì mới, anh em mod có thể điều hợp lại! |
|
Mọi câu hỏi vui lòng gửi lên diễn đàn! |
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
19/10/2008 22:34:22 (+0700) | #54 | 155809 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
Theo yêu cầu của một vài bạn, tôi đã chuyển topic này đến box bảo mật, để các bạn có thể thảo luận thêm về kỹ thuật.
Tuy nhiên , như hacnho đã nhắc, chúng ta không spam, post vớ vẩn trong topic này, vì đây là box kỹ thuật |
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] Re: Thủ phạm tấn công DDoS một số website VN bị bắt |
20/10/2008 18:48:04 (+0700) | #55 | 155904 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Tôi xin nhắc lại một lần cuối, chủ đề này đã được dời vào phân mục thảo luận kỹ thuật và các bài tham gia mang tính chit chat đã bị xóa bỏ. Nếu thành viên nào tiếp tục chit chat và thắc mắc những điều không trực tiếp liên quan đến chủ đề, vé tham dự ấy sẽ bị khóa.
Cám ơn. |
|
What bringing us together is stronger than what pulling us apart. |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|