banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Điểm yếu TCP  XML
  [Question]   Re: Điểm yếu TCP 08/02/2009 01:28:01 (+0700) | #31 | 168626
antidos
Member

[Minus]    0    [Plus]
Joined: 06/02/2009 18:11:51
Messages: 15
Offline
[Profile] [PM]

conmale wrote:

boom_jt wrote:
Bác conmale thử check log tại chính xác thời điểm này xem sao : 06/02 19:33:22 (giờ vn, tức là +0700 nhé)
Boom thấy ghi trên hosttracker như vậy, có vẻ khá hợp với thời gian gửi bài của antidos - 06/02/2009 19:39:31 (+0700)
 


Hì hì, có. Chỉ thấy hàng lô hàng lốc requests đi từ nhiều IP khác nhau nhưng đều có referer là host-tracker. Có lẽ có một nhóm người có nhiều máy chia nhau liên tục dùng host-tracker để "track" HVA hay sao đó. 


Điều này rất dễ hiểu, vì sau khi xem kết quả trên host-tracker, chắc chắn sẽ có nhiều người muốn lặp lại thí nghiệm để kiểm chứng. Bản thân tôi cũng thử vài lần trước khi công bố. Và host-tracker mỗi lần test đều gửi 30+ yêu cầu từ các máy ở nhiều nơi khác nhau, diễn ra trong khoảng 3p.

Mặc khác tôi đăng ký dịch vụ 30 day trial để monitor hàng phút, nên host-tracker vẫn đều đặn kiểm tra độ sẵn sàng của hva.

Tuy nhiên mật độ request của host-tracker là rất thấp, nếu vì thế mà web server chết thì hẳn là server dùng phần cứng của 20 năm trước smilie

Tôi cũng vừa đọc về sockstress, khá thú vị, vì trong bước đầu thử nghiệm phần mềm tấn công của tôi, tôi cũng đạt được các hiệu ứng giống hệt như các mô tả của sockstress, tuy nhiên sockstress tạo rất nhiều connection nên module recent của iptables có thể chặn được, còn cuộc tấn công của tôi hiệu quả hơn ngay cả khi nạn nhân dùng ipt_recent.ko. Tôi đoán rằng 1 site như hva thì connlimit và recent là 2 thứ đương nhiên phải triển khai, nhưng rất tiếc cuộc tấn công của tôi được thiết kế để qua mặt 2 hình thức bảo vệ này. Mặt khác bản cài đặt của tôi cũng an toàn hơn, cho phép huỷ cuộc tấn công để mọi người có thể truy cập lại được như cũ.

Hình như tác giả sockstress còn úp mở ghê hơn, cũng k0 công bố chi tiết cuộc tấn công. Nếu trên mạng chưa có bản cài đặt nào của sockstress thì tôi sẽ làm thử 1 bản cài đặt và công bố cho vui.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 01:31:40 (+0700) | #32 | 168627
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

antidos wrote:

conmale wrote:

boom_jt wrote:
Bác conmale thử check log tại chính xác thời điểm này xem sao : 06/02 19:33:22 (giờ vn, tức là +0700 nhé)
Boom thấy ghi trên hosttracker như vậy, có vẻ khá hợp với thời gian gửi bài của antidos - 06/02/2009 19:39:31 (+0700)
 


Hì hì, có. Chỉ thấy hàng lô hàng lốc requests đi từ nhiều IP khác nhau nhưng đều có referer là host-tracker. Có lẽ có một nhóm người có nhiều máy chia nhau liên tục dùng host-tracker để "track" HVA hay sao đó. 


Điều này rất dễ hiểu, vì sau khi xem kết quả trên host-tracker, chắc chắn sẽ có nhiều người muốn lặp lại thí nghiệm để kiểm chứng. Bản thân tôi cũng thử vài lần trước khi công bố. Và host-tracker mỗi lần test đều gửi 30+ yêu cầu từ các máy ở nhiều nơi khác nhau, diễn ra trong khoảng 3p.

Mặc khác tôi đăng ký dịch vụ 30 day trial để monitor hàng phút, nên host-tracker vẫn đều đặn kiểm tra độ sẵn sàng của hva.

Tuy nhiên mật độ request của host-tracker là rất thấp, nếu vì thế mà web server chết thì hẳn là server dùng phần cứng của 20 năm trước smilie

Tôi cũng vừa đọc về sockstress, khá thú vị, vì trong bước đầu thử nghiệm phần mềm tấn công của tôi, tôi cũng đạt được các hiệu ứng giống hệt như các mô tả của sockstress, tuy nhiên sockstress tạo rất nhiều connection nên module recent của iptables có thể chặn được, còn cuộc tấn công của tôi hiệu quả hơn ngay cả khi nạn nhân dùng ipt_recent.ko. Tôi đoán rằng 1 site như hva thì connlimit và recent là 2 thứ đương nhiên phải triển khai, nhưng rất tiếc cuộc tấn công của tôi được thiết kế để qua mặt 2 hình thức bảo vệ này. Mặt khác bản cài đặt của tôi cũng an toàn hơn, cho phép huỷ cuộc tấn công để mọi người có thể truy cập lại được như cũ.

Hình như tác giả sockstress còn úp mở ghê hơn, cũng k0 công bố chi tiết cuộc tấn công. Nếu trên mạng chưa có bản cài đặt nào của sockstress thì tôi sẽ làm thử 1 bản cài đặt và công bố cho vui.
 


Vậy bồ tấn công đi. Tôi theo dõi đây.
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 01:55:12 (+0700) | #33 | 168633
Aqrius
Member

[Minus]    0    [Plus]
Joined: 07/12/2008 19:27:11
Messages: 14
Offline
[Profile] [PM]
Duyệt site HVA cả sáng nay vẫn bình thường,chưa thấy vấn đề gì cả
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 02:48:13 (+0700) | #34 | 168636
adtechniques
Member

[Minus]    0    [Plus]
Joined: 31/07/2006 15:29:14
Messages: 2
Offline
[Profile] [PM]
Đáng để theo dõi. Hiện đang thấy cả 2 bác Antidos và Command đang cùng online trên HVA. Nếu các bác tiến hành test đuợc luôn thì vui quá. Thân@
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 02:54:23 (+0700) | #35 | 168638
choc_
Member

[Minus]    0    [Plus]
Joined: 27/01/2009 06:46:01
Messages: 122
Offline
[Profile] [PM]

antidos wrote:

Tôi cũng vừa đọc về sockstress, khá thú vị, vì trong bước đầu thử nghiệm phần mềm tấn công của tôi, tôi cũng đạt được các hiệu ứng giống hệt như các mô tả của sockstress, tuy nhiên sockstress tạo rất nhiều connection nên module recent của iptables có thể chặn được, còn cuộc tấn công của tôi hiệu quả hơn ngay cả khi nạn nhân dùng ipt_recent.ko. Tôi đoán rằng 1 site như hva thì connlimit và recent là 2 thứ đương nhiên phải triển khai, nhưng rất tiếc cuộc tấn công của tôi được thiết kế để qua mặt 2 hình thức bảo vệ này. Mặt khác bản cài đặt của tôi cũng an toàn hơn, cho phép huỷ cuộc tấn công để mọi người có thể truy cập lại được như cũ.
 


mình đoán là cái cách mà bạn làm với sockstress chỉ là khác nhau về hình thức triển khai thôi, chứ thật ra cũng đều giống nhau về ý tưởng: làm hết resource của host bằng cách mở càng nhiều càng tốt tcp connection.

để qua mặt connlimit và recent thì không quá khó, chỉ cần có một dãy public IP, càng nhiều càng tốt. tiếp theo thì cần có 2 host (1 cũng được), host A thì thay phiên dùng raw packet gửi SYN đến HVA, sử dụng một trong các public IP. host B còn lại (được cấu hình trên router) nhận các packet ACK/SYN trả về từ HVA (bằng cách sniff trực tiếp), và tạo ACK/SYN giả để hoàn thành 3-way handshake.

với cách làm này, phía attacker chẳng cần phải keep track gì hết các tcp connection, nên sẽ rất nhẹ nhàng. ngược lại, phía HVA, phải tốn resource (memory, file descriptor...) cho mỗi tcp connection, nên sẽ rất nhanh bị quá tải. muốn hủy tấn công thì từ chỉ cần ra lệnh cho host B gửi FIN hay RST đến HVA, để đóng kết nối, giải tỏa resource là xong.

điều cuối cùng mình muốn nói là việc úp úp mở mở này chẳng hay ho gì. nó chẳng làm cho bạn trở nên smart hơn trong mắt người khác đâu.

[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 05:21:43 (+0700) | #36 | 168646
nguyenvanhack
Member

[Minus]    0    [Plus]
Joined: 04/11/2008 14:56:28
Messages: 12
Offline
[Profile] [PM]

quanta wrote:

nguyenvanhack wrote:

- Thông báo: Để đối phó tạm thời với "Điểm yếu TCP" website của HIV đã được change sang dùng UDP. 

Tôi cảnh cáo bạn vì phát biểu trên. 

- Xin nhận khuyết điểm. Xuất phát từ ý đồ "kích động" để Antidos demo phát hiện mới thôi, không phải vô ý thức ạ.

LeVuHoang wrote:
@nguyenvanhack: IDS, không phải IPS smilie. Việc ngăn chặn có thể theo nhiều cách. Hoặc là block IP, hoặc đưa gói tin vào /dev/null. Như vậy những packet không hợp lệ sẽ bị drop và các máy hợp lệ nằm trong cùng 1 proxy vẫn truy cập được như bình thường. 

@anh Hoang: Em hiểu ý của anh. Tại em dùng như là 1 IPS nên em hỏi vậy. Cám ơn anh đã trả lời.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 07:58:25 (+0700) | #37 | 168656
[Avatar]
PhanPhungTien
Member

[Minus]    0    [Plus]
Joined: 13/08/2008 11:28:57
Messages: 133
Offline
[Profile] [PM]
Mới bị Viettel cúp net nên hơi tiết, ko theo dõi được trận này. smilie

Tuy nhiên, sao bồ antidos cứ úp úp mở mở mãi, Tui chưa thấy tinh thần THẢO LUẬN của bồ khi mở topic này. smilie Tốt hơn, nếu đã chia sẻ thì hãy chia sẻ cho hết, đừng lưng lửng như thế, chả đi đến đâu.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 08:39:03 (+0700) | #38 | 168661
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

PhanPhungTien wrote:
Mới bị Viettel cúp net nên hơi tiết, ko theo dõi được trận này. smilie

Tuy nhiên, sao bồ antidos cứ úp úp mở mở mãi, Tui chưa thấy tinh thần THẢO LUẬN của bồ khi mở topic này. smilie Tốt hơn, nếu đã chia sẻ thì hãy chia sẻ cho hết, đừng lưng lửng như thế, chả đi đến đâu.  


Chẳng có gì để "tiết" đâu. Tôi đợi mấy giờ mà có thấy bạn antidos làm gì đâu mà "tiết".

Điểm yếu TCP (IPv4) thì đến nay cả thế giới đã rõ chớ đâu phải đợi đến lúc bạn antidos khám phá ra đâu smilie
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 08:39:41 (+0700) | #39 | 168663
[Avatar]
hizit91
Member

[Minus]    0    [Plus]
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
[Profile] [PM] [Yahoo!]

PhanPhungTien wrote:
Mới bị Viettel cúp net nên hơi tiết, ko theo dõi được trận này. smilie

Tuy nhiên, sao bồ antidos cứ úp úp mở mở mãi, Tui chưa thấy tinh thần THẢO LUẬN của bồ khi mở topic này. smilie Tốt hơn, nếu đã chia sẻ thì hãy chia sẻ cho hết, đừng lưng lửng như thế, chả đi đến đâu.  

Theo tôi thì việc này không phải do antidos, "không có thông tin gì là từ phía HVA", hay nói cách khác, là các mod không muốn đưa vấn đề này ra bàn luận, hoặc là tới bây giờ, vẫn chưa đủ thông tin cần thiết về vụ việc nên anh conmale chưa post lên.

Về phía antidos, thì anh chính là người tấn công, việc thông báo tấn cống và chỉ cung cấp vài thông tin smilie, là phù hợp, quả thật đây cũng không phải là hành động ác ý, nó tạo ra một "cơ hội" nghiên cứu và bàn luận, giải quyết vấn đề cho phía HVA.

Mà thật ra việc Dos, khi nói rõ ra thì không có gì là quá khó hiểu, thú vị ở đây( thuộc về bên HVA) là tìm hiểu nguyên nhân, cơ chế hoạt động thông qua nhiều đặc điểm khác nhau, từ đó tìm ra cách phòng tránh, ngăn chặn nó.

=======
hizit91.

Hết cấp ba, ta lên cấp bố smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 09:42:54 (+0700) | #40 | 168665
JAL
Administrator

Joined: 21/12/2001 08:20:25
Messages: 342
Offline
[Profile] [PM]
3 ngày hôm nay ngồi làm việc mạng trên server hva có thấy cái gì khác biệt đâu trời, về tốc độ đường truyền, server load, vvv đều không thấy có dấu hiệu gì cả, cho dầu lão conmale có không thấy thì tôi ngồi trực tiếp làm việc, chat chít, cua bồ, cua ghệ qua nét, xem phim cũng có thấy gì chậm hay khác đâu? Cũng hy vọng bị DoS cho đỡ buồn, đóng cửa vài hôm hva đi chơi, chứ ngồi máy hoài dạo này bụng bự ra rồi.
Như conmale nói, log đến rất nhiều, với nhiều hình thức tấn công, nhưng không thành công, việc có ảnh hưởng thật sự hay không phải có cái gì đó khác biệt, làm đơ sv hay tràn pk, làm nghẽn thì mới alert chứ. smilie
Cứ cho nó chạy DoS cả ngày xem thử coi sao. Không ảnh hưởng member đâu. ! yên tâm.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 11:56:57 (+0700) | #41 | 168674
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Đồng ý, bạn antidos cứ cho server HVA đơ vài ngày là có log liền smilie.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 14:39:55 (+0700) | #42 | 168697
antidos
Member

[Minus]    0    [Plus]
Joined: 06/02/2009 18:11:51
Messages: 15
Offline
[Profile] [PM]

conmale wrote:

Chẳng có gì để "tiết" đâu. Tôi đợi mấy giờ mà có thấy bạn antidos làm gì đâu mà "tiết".

Điểm yếu TCP (IPv4) thì đến nay cả thế giới đã rõ chớ đâu phải đợi đến lúc bạn antidos khám phá ra đâu smilie  

Xin lỗi thứ 7 tôi bận nhiều việc như nghỉ ngơi, làm vườn, đi chơi, nên giờ mới trả lời đc.

Ở site này, khách lạ (tôi) được chứng kiến sự thay đổi thái độ rất nhanh, đầu tiên là COI THƯỜNG rồi chuyển sang THÙ ĐỊCH rồi hiện nay còn chuyển sang gì khác nữa.

Đầu tiên tôi cảnh báo rồi tấn công nhiều lần, nhưng admin không coi ra gì, cũng k0 tìm hiểu hay tăng cường bảo mật. Đấy là sự coi thường.

Sau đó tôi dùng công cụ độc lập để http://host-tracker.com/event_list/?show_all=true&task_id=2261394&cnt=100, ghi lại được 3 lần hva bị fail. Khi công bố bằng chứng rõ ràng này thì không khí trở thành THÙ ĐỊCH. Mọi người bắt đầu denounce, kiểu: "cái này có quái gì đâu", "úp mở thấy ghét", "cái này ai cũng biết hết rồi", "lúc đó đang ngủ với cua gái, làm sao mà log", thậm chí "host-tracker sai, host-tracker bị chặn chứ có thấy tấn công gì đâu mà bốc phét"

Xin lỗi tôi đang gõ dở nhưng buồn ngủ quá, để lần sau quay lại tiếp tục câu chuyện với các bạn.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 15:01:25 (+0700) | #43 | 168698
antidos
Member

[Minus]    0    [Plus]
Joined: 06/02/2009 18:11:51
Messages: 15
Offline
[Profile] [PM]
cập nhật: Mắt kèm nhèm nên nhìn nhầm, admin phản ứng sau 2 lần tấn công ban đầu được host-tracker ghi nhận tận 1 ngày smilie

Tôi click lại vào link của host-tracker để kiểm tra thì phát hiện 1 điểm thú vị nên cố cưỡng buồn ngủ post tiếp 1 tẹo. Hoá ra tại thời điểm loạt tấn công của tôi diễn ra, có admin phản ứng:

Vốn tôi đặt cho host-tracker monitor /hvaonline/forums/list.html Trước thời điểm 10:36:43 thì các request được trả lời với kích thước 70KB+:

10:36:43 2.34 sec 72.232.199.28/Ok 72811 


Nhưng sau đó chắc admin nghi ngờ việc request này chính là DOS nên đã phản ứng, khiến URL này bị 404 trong vài phút.
10:39:37 0.08 sec 72.232.199.28/Http error:400 2194 


Sau đó sửa lại, trả lại nội dung đặc biệt để đỡ phải phục vụ host-tracker:
10:45:50 3.41 sec 72.232.199.28/Ok 260

<HTML><HEAD><META HTTP-EQUIV="REFRESH" CONTENT="0;URL=/hvaonline/forums/list.html"></HEAD><BODY>
</BODY></HTML>

[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 15:01:43 (+0700) | #44 | 168699
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Có lẽ bạn mới vào nên chưa rõ cách hành xử của mọi người trong HVA. Tại đây được coi như bình đẳng, và hoàn toàn không có thái độ "COI THƯỜNG" và càng không "THÙ ĐỊCH". Nếu có thể, bạn khiến server không thể truy cập được trong vài ngày sẽ thuyết phục hơn.

Thân
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 15:08:52 (+0700) | #45 | 168700
antidos
Member

[Minus]    0    [Plus]
Joined: 06/02/2009 18:11:51
Messages: 15
Offline
[Profile] [PM]

LeVuHoang wrote:
Có lẽ bạn mới vào nên chưa rõ cách hành xử của mọi người trong HVA. Tại đây được coi như bình đẳng, và hoàn toàn không có thái độ "COI THƯỜNG" và càng không "THÙ ĐỊCH". Nếu có thể, bạn khiến server không thể truy cập được trong vài ngày sẽ thuyết phục hơn.
 

Thú thật mà nói là phần mềm của tôi hiện nay viết bị lỗi gì đó chạy được trên 5p ít lâu là treo k0 rõ nguyên nhân smilie Nhưng tôi cũng k0 muốn sửa vì thế là đủ mục đích demo rồi. Hơn nữa nhỡ code lọt vào tay kẻ xấu thì tác hại cũng giảm nhiều.

Còn thái độ COI THƯỜNG -> THÙ ĐỊCH -> ... tôi cảm nhận được là sự kiện thực tế đã diễn ra. Nó có thể nặng tính chủ quan của cá nhân tôi, nhưng nó là sự thật. Tôi có quote 1 số dạng phát biểu cụ thể đem lại cảm giác tiêu cực cho tôi ở trên.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 15:22:47 (+0700) | #46 | 168701
itcc
Member

[Minus]    0    [Plus]
Joined: 16/11/2008 13:50:29
Messages: 29
Offline
[Profile] [PM]

antidos wrote:

LeVuHoang wrote:
Có lẽ bạn mới vào nên chưa rõ cách hành xử của mọi người trong HVA. Tại đây được coi như bình đẳng, và hoàn toàn không có thái độ "COI THƯỜNG" và càng không "THÙ ĐỊCH". Nếu có thể, bạn khiến server không thể truy cập được trong vài ngày sẽ thuyết phục hơn.
 

Thú thật mà nói là phần mềm của tôi hiện nay viết bị lỗi gì đó chạy được trên 5p ít lâu là treo k0 rõ nguyên nhân smilie Nhưng tôi cũng k0 muốn sửa vì thế là đủ mục đích demo rồi. Hơn nữa nhỡ code lọt vào tay kẻ xấu thì tác hại cũng giảm nhiều.
 

Thất vọng quá, tưởng được coi hva treo vài ngày chứ smilie
Nếu phần mềm mà chỉ DOS được tối đa 5 phút thì chắc cũng không mấy nguy hiểm đâu nhỉ. Vả lại thời với thời gian ngắn như vậy ai có thể ngồi đó mà canh sẵn để coi mà bạn demo, như vậy mất đi sự thuyết phục.
Bạn thử cố gắng phát triển thêm đi rồi lên lại demo smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 18:54:04 (+0700) | #47 | 168711
boom_jt
Member

[Minus]    0    [Plus]
Joined: 02/08/2007 23:51:10
Messages: 125
Offline
[Profile] [PM]
uhm, là người đứng xem và nhận xét khách quan thì boom nói thế này:
- boom không thấy thái độ coi thường hay thù địch gì ở đây cả, antidos có thể hơi "nhạy cảm" chăng ^^
- một điểm lạ là antidos đã thực hiện thử nghiệm vài ba lần, trong khi hva lúc nào cũng có mem truy nhập, trong số đó hẳn phải có một vài mod, nhưng chưa thấy ai xác nhận hva bị từ chối dịch vụ cả. Bằng chứng đưa ra chỉ là 1 link tới host-tracker, bằng chứng này liệu có đáng tin cậy?
- Từ lúc antidos bắt đầu thread tới giờ, có lẽ không chỉ boom, mà nhiều người cũng đoán già đoán non xem cách thức tấn công, và việc muốn antidos chia sẻ là chuyện hoàn toàn tự nhiên. Cũng phải nói thêm là nếu đây là điều đúng, thì nó có thể không chỉ nguy hiểm cho hva, hay một trang web nói riêng nào đó, mà hoàn toàn có thể đánh sập hệ thống mạng toàn cầu (hi vọng boom không nói quá). 1 lỗi đã tồn tại, antidos không phát hiện ra, sẽ có người khác phát hiện ra. Hi vọng antidos hiểu điều boom định nói, giữ riêng cho mình không để ai biết không phải là cách hay, nhưng công bố thế nào cũng cần suy nghĩ thận trọng.
Thân
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 20:51:21 (+0700) | #48 | 168714
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

antidos wrote:

conmale wrote:

Chẳng có gì để "tiết" đâu. Tôi đợi mấy giờ mà có thấy bạn antidos làm gì đâu mà "tiết".

Điểm yếu TCP (IPv4) thì đến nay cả thế giới đã rõ chớ đâu phải đợi đến lúc bạn antidos khám phá ra đâu smilie  

Xin lỗi thứ 7 tôi bận nhiều việc như nghỉ ngơi, làm vườn, đi chơi, nên giờ mới trả lời đc.

Ở site này, khách lạ (tôi) được chứng kiến sự thay đổi thái độ rất nhanh, đầu tiên là COI THƯỜNG rồi chuyển sang THÙ ĐỊCH rồi hiện nay còn chuyển sang gì khác nữa.

Đầu tiên tôi cảnh báo rồi tấn công nhiều lần, nhưng admin không coi ra gì, cũng k0 tìm hiểu hay tăng cường bảo mật. Đấy là sự coi thường.

Sau đó tôi dùng công cụ độc lập để http://host-tracker.com/event_list/?show_all=true&task_id=2261394&cnt=100, ghi lại được 3 lần hva bị fail. Khi công bố bằng chứng rõ ràng này thì không khí trở thành THÙ ĐỊCH. Mọi người bắt đầu denounce, kiểu: "cái này có quái gì đâu", "úp mở thấy ghét", "cái này ai cũng biết hết rồi", "lúc đó đang ngủ với cua gái, làm sao mà log", thậm chí "host-tracker sai, host-tracker bị chặn chứ có thấy tấn công gì đâu mà bốc phét"

Xin lỗi tôi đang gõ dở nhưng buồn ngủ quá, để lần sau quay lại tiếp tục câu chuyện với các bạn. 


Tôi thấy bồ antidos hơi nhạy cảm và hơi vòng vo.

Bồ tuyên bố là bồ đã tấn công HVA và làm cho nó bị tê liệt ngay lúc tôi đang ngủ khò và ngày hôm sau, khi tôi đọc tiếp chủ đề này, tôi đã dành thời gian kiểm tra servers của HVA và không thấy gì bất thường, tôi mới đề nghị bồ tấn công lại để tôi tiện theo dõi và phân tích nhưng bồ lại viện cớ rằng bồ bận rộn.

Bồ cảm nhận thế nào thì tùy bồ nhưng tránh vòng vo và tránh né những câu hỏi trực tiếp.

Với trách nhiệm bảo trì máy chủ HVA, một số anh em và cá nhân tôi không hề xem thường bất cứ hiện tượng nào mang tính nguy hại hoặc tạo gián đoạn đến HVA. Tôi không cần phải chứng minh với bồ tôi quan tâm sâu sát đến vấn đề bảo mật của HVA như thế nào. Bồ chỉ cần biết rằng mọi hiện tượng, mọi hoạt động, mọi diễn tiến trên hệ thống servers của HVA đều được theo dõi, phân tích và ghi nhận đều đặn mỗi tuần 2 lần.

Tôi không bao giờ muốn HVA làm vật thử nghiệm cho ai cả nhưng tôi không có lựa chọn nào khác là phải chấp nhận "bị" thử nghiệm. Tôi xác định rõ ràng như thế để bồ biết quan điểm của cá nhân tôi về sự vụ này. Bồ có quyền không tiết lộ bồ làm gì nhưng cũng không nên tiếp tục mập mờ để rồi quay ngược lại mà trách móc về cảm giác bị coi thường hay thù địch gì đó.
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 22:19:39 (+0700) | #49 | 168718
[Avatar]
hizit91
Member

[Minus]    0    [Plus]
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
[Profile] [PM] [Yahoo!]
wa!!!
một cuộc chiến trên cả lĩnh vực công nghệ lẫn con người smilie
Thú vị quá, tiếp tục theo dõi nào, mình ở trung lập có vẻ thú vị hơn smilie
Hết cấp ba, ta lên cấp bố smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 22:23:52 (+0700) | #50 | 168719
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

hizit91 wrote:
wa!!!
một cuộc chiến trên cả lĩnh vực công nghệ lẫn con người smilie
Thú vị quá, tiếp tục theo dõi nào, mình ở trung lập có vẻ thú vị hơn smilie 


Cuộc chiến? Có cuộc chiến nào đâu?
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 08/02/2009 23:06:40 (+0700) | #51 | 168722
antidos
Member

[Minus]    0    [Plus]
Joined: 06/02/2009 18:11:51
Messages: 15
Offline
[Profile] [PM]

conmale wrote:

Bồ tuyên bố là bồ đã tấn công HVA và làm cho nó bị tê liệt ngay lúc tôi đang ngủ khò và ngày hôm sau, khi tôi đọc tiếp chủ đề này, tôi đã dành thời gian kiểm tra servers của HVA và không thấy gì bất thường, tôi mới đề nghị bồ tấn công lại để tôi tiện theo dõi và phân tích nhưng bồ lại viện cớ rằng bồ bận rộn.
 

Tôi mở chủ đề này lúc 06/02/2009 17:10:13 (+0700). Trước đó tôi đã thực hiện xong việc tấn công vài lần để kiểm tra chắc chắn độ hiệu quả.
Trong suốt vài tiếng sau đó, tôi và anh conmale đã có trao đổi vài bài viết, bài viết cuối anh conmale đi ngủ lúc 06/02/2009 18:48:22 (+0700) tức là sau đó gần 2 tiếng. Trong 2 tiếng đó tôi nhớ đã thực hiện tấn công 2 lần nữa theo đúng giờ đã cảnh báo trong bài viết (17:10 và 18:00)
Vậy mà từ đầu đến giờ anh conmale cứ khăng khăng là tôi làm site tê liệt lúc anh đang ngủ khò. Điều này không quá lạ với tôi vì tôi biết cuộc tấn công này có đặc điểm:
+ Tác động chính là dịch vụ dựa trên TCP bị khoá sau thời gian ngắn (tính bằng giây)
+ Rất trong suốt, khó phát hiện, hoàn toàn đúng đắn với firewall
+ Sử dụng ít băng thông, chắc trung bình chỉ đếm bằng KB/s
+ Không bao giờ làm tăng CPU usage
+ Có thể làm tăng RAM usage
+ Có thể không tác động đến load

conmale wrote:

Bồ có quyền không tiết lộ bồ làm gì nhưng cũng không nên tiếp tục mập mờ để rồi quay ngược lại mà trách móc về cảm giác bị coi thường hay thù địch gì đó. 

Đúng là tôi chưa có dự định gì về việc công bố vấn đề này. Ngay cả các nhân viên hay cộng sự cũng chưa được tự tay chạy PM, mà chỉ đc xem tôi chạy demo.

Tôi đã thử tác động của phương pháp này trên rất nhiều site nên tôi không nghi ngờ về tác động của nó. Vấn đề tôi muốn tìm kiếm ở hva là liệu 1 site được vũ trang tốt có khả năng tự động log và chỉ ra phương pháp tấn công và phòng chống không. Và tôi đã sớm có câu trả lời là "không". Đây không phải rocket science nên nếu các anh pcap được toàn bộ nội dung gói tin thì chắc các anh sẽ biết được điều gì xảy ra. Tôi không sợ lộ "bí mật" này, nhưng tôi cũng chưa sẵn sàng để công bố nó, vì thế sau khi cung cấp bằng chứng thông qua host-tracker thì tôi chưa hề nói mình định demo thêm 1 lần nữa trên site này. Các anh tự áp đặt quan điểm và nói tôi vòng vo là không đúng.

Giờ nếu có thể thì tôi muốn admin công bố cái nhìn bên trong của 1 site được vũ trang tốt về cuộc tất công này:

+ Server load
+ RAM usage
+ Network usage
+ Các chỉ số khác nếu có

Vì cuộc tấn công chỉ diễn ra mỗi lần 5-7 phút nên nếu các anh dùng các công cụ log RRD và không lưu log chi tiết trong 1 thời gian dài thì coi như là ta không có tẹo log nào, thật đáng tiếc.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 09/02/2009 01:20:14 (+0700) | #52 | 168729
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

antidos wrote:

conmale wrote:

Bồ tuyên bố là bồ đã tấn công HVA và làm cho nó bị tê liệt ngay lúc tôi đang ngủ khò và ngày hôm sau, khi tôi đọc tiếp chủ đề này, tôi đã dành thời gian kiểm tra servers của HVA và không thấy gì bất thường, tôi mới đề nghị bồ tấn công lại để tôi tiện theo dõi và phân tích nhưng bồ lại viện cớ rằng bồ bận rộn.
 

Tôi mở chủ đề này lúc 06/02/2009 17:10:13 (+0700). Trước đó tôi đã thực hiện xong việc tấn công vài lần để kiểm tra chắc chắn độ hiệu quả.
Trong suốt vài tiếng sau đó, tôi và anh conmale đã có trao đổi vài bài viết, bài viết cuối anh conmale đi ngủ lúc 06/02/2009 18:48:22 (+0700) tức là sau đó gần 2 tiếng. Trong 2 tiếng đó tôi nhớ đã thực hiện tấn công 2 lần nữa theo đúng giờ đã cảnh báo trong bài viết (17:10 và 18:00)
Vậy mà từ đầu đến giờ anh conmale cứ khăng khăng là tôi làm site tê liệt lúc anh đang ngủ khò. Điều này không quá lạ với tôi vì tôi biết cuộc tấn công này có đặc điểm:
+ Tác động chính là dịch vụ dựa trên TCP bị khoá sau thời gian ngắn (tính bằng giây)
+ Rất trong suốt, khó phát hiện, hoàn toàn đúng đắn với firewall
+ Sử dụng ít băng thông, chắc trung bình chỉ đếm bằng KB/s
+ Không bao giờ làm tăng CPU usage
+ Có thể làm tăng RAM usage
+ Có thể không tác động đến load
 

Bồ antidos thiếu chính xác rồi. Tôi chưa hề bảo rằng bồ làm "tê liệt" HVA bao giờ cả. Tôi chỉ bảo bồ đã tấn công HVA lúc tôi đi ngủ. Chưa hề có một dấu hiệu nào cho thấy HVA bị tê liệt từ lần cuối server được restart cách đây đúng 42 ngày (khi tôi update kernel mới).

Bồ mở chủ đề ngày 6/2/2009 lúc 5 giờ 10 phút chiều giờ VN. Lúc ấy đã là 9 giờ 10 phút tối ở Sydney. Sau đó, lúc 5 giờ 36 phút giờ VN tôi mới vào chủ đề này và thấy bài của bồ nên mới trả lời. Ngay thời điểm ấy, tôi chưa hề kiểm tra HVA hoặc chưa hề thấy có dấu hiệu gì thất thường cả.

Lúc 5 giờ 45 chiều giờ VN, bồ lại hồi báo nhưng bồ không hề bảo bồ có đang test cái gì hay không. Trong bài viết số #3 này, bồ đề cập đến chuyện "Cái script này đặt ngưỡng thấp quá, mới click mấy cái đã kêu người dùng click nhanh hơn tốc độ anh sáng rồi. " khiến tôi phì cười nên cũng không buồn theo dõi HVA làm gì. Lý do tại sao tôi phì cười thì bồ tự suy luận để mà hiểu.

Tuy vậy, khoảng 1 giờ đồng hồ sau, lúc 10 giờ 48 giờ Sydney, có nghĩa là 8 giờ 48 phút giờ VN, tôi cũng hồi báo một bài nữa (bài số #4) nhằm mục đích nhắc khéo với bồ rằng cái thông điệp "nhanh hơn tốc độ ánh sáng" chỉ là "một mảng trên cùng của cơ chế bảo vệ" và tôi vẫn chưa hề theo dõi tình trạng máy chủ trên HVA. Sau đó tôi tắt máy đi ngủ vì đã gần 11 giờ đêm ở Sydney.

Mãi đến ngày hôm sau tôi mới tiếp tục tham gia và trong khoảng thời gian ấy bồ antidos thảo luận đủ thứ chuyện với các member khác. Ở post số #25 tôi mới bảo rằng trong suốt thời gian tôi đi ngủ, bồ làm cái gì thì tôi chẳng biết nhưng sau khi kiểm tra logs và stats thì tôi chẳng thấy có gì khác lạ cả. Tôi còn đề nghị bồ test lại để tôi theo dõi nhưng từ đó về sau, bồ chỉ đưa đẩy, viện lý do này, lý do khác. Ngày hôm qua, sau khi post bài số #29, tôi một lần nữa đề nghị bồ test và tôi ngồi chờ cả buổi mà chẳng thấy có gì ngoài hàng tràn request có referer đi từ "hosttracker".

Sau đó tôi để máy đó và đi ăn giỗ. Mãi đến khuya (giờ Sydney) tôi mới về. Các console tôi dùng để theo dõi HVA từ buổi chiều đến khi ấy vẫn còn đó và chẳng có thông tin gì đặc biệt ngoài cả đống request có referer đi từ "hosttracker".

Hôm nay, bồ tiếp tục đòi "stats" và tôi cho biết chẳng có gì khác lạ cả. Stats vẫn không có spike hay cái gì khác thường chẳng có gì để cung cấp cho bồ. Vả lại, tôi đề nghị bồ test để tôi theo dõi thì bồ lại im lặng không trả lời. Sau đó lại vào đòi stats là sao?

Câu chuyện chuyển hướng sang chỗ đả kích và cảm tưởng bị thế này, thế kia.

Cho đến ngay lúc này, bồ vẫn chưa đồng ý test để tôi theo dõi và vẫn tiếp tục vòng vo. Cho đến lúc này, ngoài cái mới requests có referers từ "hosttracker" ra, chẳng có thông tin gì gọi là đặc biệt. Ngay cả trên tcpdump (ở tầng thấp nhất) cũng chẳng có dấu hiệu gì khác thường. Nếu bồ bảo rằng bồ có thể craft packets đặc biệt đến nỗi tcpdump không sniff được thì tôi đành bó tay vậy.


antidos wrote:

conmale wrote:

Bồ có quyền không tiết lộ bồ làm gì nhưng cũng không nên tiếp tục mập mờ để rồi quay ngược lại mà trách móc về cảm giác bị coi thường hay thù địch gì đó. 

Đúng là tôi chưa có dự định gì về việc công bố vấn đề này. Ngay cả các nhân viên hay cộng sự cũng chưa được tự tay chạy PM, mà chỉ đc xem tôi chạy demo.

Tôi đã thử tác động của phương pháp này trên rất nhiều site nên tôi không nghi ngờ về tác động của nó. Vấn đề tôi muốn tìm kiếm ở hva là liệu 1 site được vũ trang tốt có khả năng tự động log và chỉ ra phương pháp tấn công và phòng chống không. Và tôi đã sớm có câu trả lời là "không". Đây không phải rocket science nên nếu các anh pcap được toàn bộ nội dung gói tin thì chắc các anh sẽ biết được điều gì xảy ra. Tôi không sợ lộ "bí mật" này, nhưng tôi cũng chưa sẵn sàng để công bố nó, vì thế sau khi cung cấp bằng chứng thông qua host-tracker thì tôi chưa hề nói mình định demo thêm 1 lần nữa trên site này. Các anh tự áp đặt quan điểm và nói tôi vòng vo là không đúng.
 

Hì hì. Bồ đề cao HVA quá. HVA chỉ là một forum và nó khác hơn các forum thông thường ở chỗ nó có được hai nhánh servers khác nhau và được quan tâm về bảo mật nhiều hơn bình thường một tí. Bồ đòi hỏi "liệu 1 site được vũ trang tốt có khả năng tự động log và chỉ ra phương pháp tấn công và phòng chống không" là hơi quá đà với một site như HVA rồi đấy. HVA không phải là một nhóm thương mại, lắm tiền nhiều của mà chỉ là một vài anh em móc tiền túi ra để duy trì nó thôi. Đừng so HVA với những cty thương mại có nhiều tiền của và phương tiện.

Riêng cái chuyện bí mật gì đó thì tôi chẳng muốn biết và cũng chẳng cần biết. Tôi chỉ quan tâm đến một chuyện là bồ tấn công HVA thế nào và tôi có thể làm gì để ngăn chặn (y hệt như tôi đã và đang làm từ những nguồn tấn công khác). Cho đến lúc này, vẫn chẳng có một dấu hiệu gì từ phía server cho thấy bồ đã tấn công và làm tê liệt HVA cả. Bồ có muốn kết luận thế nào là tùy bồ. HVA có tê liệt hay không thì không chỉ có tôi dựa trên bằng chứng có được trên server logs và stats mà còn cả khối member ra vào HVA thường xuyên có thể xác thực điều ấy.


antidos wrote:

Giờ nếu có thể thì tôi muốn admin công bố cái nhìn bên trong của 1 site được vũ trang tốt về cuộc tất công này:

+ Server load
+ RAM usage
+ Network usage
+ Các chỉ số khác nếu có

Vì cuộc tấn công chỉ diễn ra mỗi lần 5-7 phút nên nếu các anh dùng các công cụ log RRD và không lưu log chi tiết trong 1 thời gian dài thì coi như là ta không có tẹo log nào, thật đáng tiếc. 

Rất tiếc, tôi chẳng bao giờ công bố tài nguyên của HVA cả và bồ cũng không phải là một ngoại lệ để tôi công bố những thứ này.

Một lần cuối, nếu bồ thật sự muốn tôi theo dõi và phân tích bồ tấn công thế nào, dù chỉ là 5, 7 phút, vui lòng hẹn giờ và thực hiện điều này. Nếu không, tôi xin miễn tiếp tục trao đổi.

Cám ơn.
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 09/02/2009 01:41:41 (+0700) | #53 | 168731
nbthanh
HVA Friend

Joined: 21/12/2001 14:51:51
Messages: 429
Offline
[Profile] [PM]
@antidos: bạn "tấn công" HVA và trong cùng thời gian đó bạn không truy cập được HVA trong vài ba phút nên bạn [i]kết luận rằng HVA "tê liệt" do bạn tấn công[/B]?

Cái test của bạn quá thiếu cơ sở!
Thứ nhất: vài phút không truy cập được HVA thì chưa nói lên được điều gì cụ thể (vì có rất nhiều nguyên nhân). Hơn nữa, nếu mà HVA "tê liệt" theo đúng nghĩa đen của nó (dù chỉ mấy phút thôi) thì bạn nghĩ coi mấy ngàn member của HVA lại "im re" thế à?

Thứ hai: server của HVA được monitor thường xuyên bởi các công cụ khác nhau. Và mấy bữa này, các công cụ monitor đó chưa hề alert là HVA bị "lê liệt".

Thứ ba: trong topic này có đủ cả mem, mod, admin mà từ đầu đến giờ chỉ có mình bạn nói HVA bị "tê liệt", chứ ngoài ra còn có ai khác thấy gì đâu?
--> bạn nên xem lại những dữ kiện của mình chứ sao lại quay đi nói là "hva khinh thường" bạn nhỉ?
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 09/02/2009 01:51:50 (+0700) | #54 | 168733
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Tôi cũng nghĩ, bạn antidos nên PM cho bác conmale, hỏi nick Yahoo và hẹn giờ để test thử. Nếu cứ vòng vo như vầy tôi e là phải dừng cái topic này tại đây thôi.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 09/02/2009 02:00:20 (+0700) | #55 | 168734
antidos
Member

[Minus]    0    [Plus]
Joined: 06/02/2009 18:11:51
Messages: 15
Offline
[Profile] [PM]
Tôi bị choáng khi một số người cố tình phủ nhận kết quả của host-tracker. Các bạn nghĩ 2 máy tính của các bạn bất khả xâm phạm đến như vậy sao smilie

Để khách quan, các bạn tìm giúp các công cụ monitor web độc lập để xác nhận availability của dịch vụ web vậy.

Tiêu chí nên có:
+ Miễn phí
+ Có thể share kết quả cho mọi người cùng xem
+ Truy cập đến dịch vụ từ nhiều điểm khác nhau
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 09/02/2009 02:16:39 (+0700) | #56 | 168737
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

antidos wrote:
Tôi bị choáng khi một số người cố tình phủ nhận kết quả của host-tracker. Các bạn nghĩ 2 máy tính của các bạn bất khả xâm phạm đến như vậy sao smilie

Để khách quan, các bạn tìm giúp các công cụ monitor web độc lập để xác nhận availability của dịch vụ web vậy.

Tiêu chí nên có:
+ Miễn phí
+ Có thể share kết quả cho mọi người cùng xem
+ Truy cập đến dịch vụ từ nhiều điểm khác nhau 


Tôi chỉ nói 1 câu ngắn gọn thế này: HVA muốn "trả lời" host-tracker thế nào thì host-tracker chỉ có thể ghi nhận thế ấy.

- HVA muốn cho host-tracker thấy là HVA is not contactible thì host-tracker sẽ ghi nhận như thế.
- HVA muốn cho host-tracker thấy là "access to HVA is forbidden" thì host-tracker sẽ ghi nhận như thế.
- HVA muốn cho host-tracker nhận 1K thì host-tracker sẽ nhận 1K.
- HVA muốn cho host-tracker không nhận byte nào thì host-tracker sẽ không nhận byte nào.

Bởi thế, đừng trông mong vào host-tracker để đánh giá. Nói thêm, chỉ một dòng "Cái script này đặt ngưỡng thấp quá, mới click mấy cái đã kêu người dùng click nhanh hơn tốc độ anh sáng rồi. " là đủ chứng tỏ kiến thức và kinh nghiệm của bồ antidos rồi. Không phải mất thời gian nữa đâu.
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 09/02/2009 02:48:56 (+0700) | #57 | 168743
choc_
Member

[Minus]    0    [Plus]
Joined: 27/01/2009 06:46:01
Messages: 122
Offline
[Profile] [PM]
Khi làm DoS, vấn đề không phải là bạn bring down được một hệ thống hay không, mà là bạn làm được chuyện đó trong bao lâu.

Một tấn công DoS hiệu quả phải là một tấn công mà bạn hoàn toàn chủ động về thời gian, kiểu như muốn hệ thống nào đó chết lúc nào là nó phải chết lúc đó, và chết cho đến khi bạn muốn nó sống lại, bất kể bất kỳ thao tác prevention/reaction nào của người quản lý hệ thống đó.

Kiểu DoS mà bạn antidos đề cập, như mình đã mô tả ý tưởng ở trên, không thể làm được điều này, bởi lẽ chỉ cần người quản trị có mặt để block nhóm các IP tấn công là xong. Bọn tấn công DoS cũng không dại gì chơi cái trò mà antidos đang chơi, bởi nguy cơ bị lần ra là rất cao. Cứ xflash mà quất cho nó an toàn, nhỉ?

Nên dẫu phát hiện của bạn antidos có gì đó mới, điều mà mình nghi ngờ, thì mình nghĩ nó cũng chẳng ảnh hưởng gì đến hòa bình thế giới. Có thể nó có gì đó hay ho trong cách triển khai, nhưng chẳng có ứng dụng thực tế.

Vậy thôi cho vào /dev/null nha các bạn?
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 09/02/2009 03:31:29 (+0700) | #58 | 168748
FaL
Moderator

Joined: 14/04/2006 09:31:18
Messages: 1232
Offline
[Profile] [PM]
Tui mà là antidos thì sau những hồi đáp của các thành viên HVA, tui sẽ sửa lại code (cho nó ko còn lỗi gì đó mà chỉ chạy 5 phút nữa), cho HVA die 5 ngày luôn. Khỏi giải thích dài dòng. Nói hoài mà mấy ông ở HVA này chẳng hiểu cho, bực quá, antidos nhỉ? smilie
Hãy giữ một trái tim nóng và một cái đầu lạnh
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 09/02/2009 04:24:33 (+0700) | #59 | 168751
[Avatar]
hizit91
Member

[Minus]    0    [Plus]
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
[Profile] [PM] [Yahoo!]
Hahahaha
HVA không những chuyên về kỹ thuật,
mà còn chuyên cả khích tướng nữa ,
em rất thích vụ ni...
anh antidos cứ cho HVA die cở vài ngày luôn đi smilie, dù sao thì băng thông cũng rất ít mà smilie
Hết cấp ba, ta lên cấp bố smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Điểm yếu TCP 09/02/2009 05:33:00 (+0700) | #60 | 168758
nbthanh
HVA Friend

Joined: 21/12/2001 14:51:51
Messages: 429
Offline
[Profile] [PM]

antidos wrote:
Tôi bị choáng khi một số người cố tình phủ nhận kết quả của host-tracker. Các bạn nghĩ 2 máy tính của các bạn bất khả xâm phạm đến như vậy sao smilie

Để khách quan, các bạn tìm giúp các công cụ monitor web độc lập để xác nhận availability của dịch vụ web vậy.

Tiêu chí nên có:
+ Miễn phí
+ Có thể share kết quả cho mọi người cùng xem
+ Truy cập đến dịch vụ từ nhiều điểm khác nhau 

Còn tôi thì bị choáng với sự "cứng đầu" của bạn.

1. Cả trăm người online, cả ngàn member mà chỉ có mình bạn "phán" là HVA "tê liệt". Trước khi cứ cố lôi host-tracker ra thì bạn cũng nên dành vài giây suy nghĩ là tại sao 99 (hoặc 999?) người còn lại không có hiện tượng như bạn?

2. Qui trình hoạt động:
Nhiều request từ 1 IP --> cho vào diện nghi ngờ ==> block
Nhiều request từ 1 dải IP --> cho vào diện nghi ngờ ==> block
Nhiều request từ 1 refererer --> cho vào diện nghi ngờ ==> block

Cả 3 cách hoạt động như trên đều có thể hoàn toàn tự động, không cần phải có admin ngồi canh chừng server. Ít nhất, host-tracker rơi vào rule thứ 3: thấy lượng request có referer là host-tracker tự nhiên tăgn lên đột biến, server HVA có thể chặn hết các request dạng này ==> host-tracker sẽ cho ra kết quả vô nghĩa. Chẳng hạn như khi tôi đang viết bài này thì host-tracker trả về kết quả toàn là 0Kb cho HVA (vậy chả lẽ tôi lại la làng lên là HVA đagn "tê liệt"?)

3. HVA chủ động chặn hết các dịch vụ thăm dò tự động và định kỳ (thậm chỉ ping cũng chặn luôn). Vậy giả sử bạn dùng 1 dịch vụ nào đó ra kết quả "HVA đang 'tê liệt' vì ping lần nào cũng không được" thì lại đi kết luận là HVA đang "tê liệt"?
Tool/dịch vụ của bạn không thăm dò được server HVA thì không có nghĩa là server HVA die hay tê liệt.

4. Ban quản trị HVA có thể có tool minotor riêng để alert khi cần thiết. Không có lý do gì BQT HVA phải "share kết quả cho mọi người cùng xem" hoặc tiết lộ thêm thông tin gì về cái tool này cả (mà thực ra trên diễn đàn cũng có 1 topic mổ xẻ về cái tool này rồi, bác conmale cũng có tiết lộ 90% thông tin rồi)!

5. Tặng thêm bạn antidos cái này:
Nhưng sau đó chắc admin nghi ngờ việc request này chính là DOS nên đã phản ứng, khiến URL này bị 404 trong vài phút.
10:39:37 0.08 sec 72.232.199.28/Http error:400 2194  
 

(Bài #43 trong topic này)
Đoạn bạn copy & paste từ host-tracking ghi rõ ràng là 400 mà sao qua tay bạn nó lại thành 404 thế?
Mà 400 hay 404 thì cũng đều do Application của server chủ động trả về. Điều đó suy ra server vẫn còn đang hoạt động tốt, firewall của diễn đàn cũng hoạt động tốt luôn (xem lại (2) ở trên, nhiều request có referer từ host-tracker quá nên server HVA chặn rồi trả về 40x không được sao?)
[Locked] [Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|