[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
18/03/2010 17:08:56 (+0700) | #31 | 207262 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
WinDak wrote:
Em không đồng ý hoặc chưa hiểu ý tác giả theo cái ví dụ đó, mong anh giải thích thêm. Dưới đây là ý kiến của em
Apache là web server (HTTP server), là application phụ trách trực tiếp các gói tin HTTP. Nếu apache nhận diện request đến type php/phtml/... theo configuration, thì nó mới gọi module PHP ra và nhờ PHP interpret
Như vậy thì process apache.exe - window / httpd - linux sẽ tiếp nhận request đầu tiên mới chính xác.
Detail tại http://modules.apache.org/doc/API.html
Handlers, Modules, and Requests
Apache breaks down request handling into a series of steps, more or less the same way the Netscape Server API does (although this API has a few more stages than NetSite does, as hooks for stuff I thought might be useful in the future). These are:
* URI -> Filename translation
* Auth ID checking [is the user who they say they are?]
* Auth access checking [is the user authorized here?]
* Access checking other than auth
* Determining MIME type of the object requested
* "Fixups" --- there aren't any of these yet, but the phase is intended as a hook for possible extensions like SetEnv, which don't really fit well elsewhere.
* Actually sending a response back to the client.
* Logging the request
These phases are handled by looking at each of a succession of modules, looking to see if each of them has a handler for the phase, and attempting invoking it if so. The handler can typically do one of three things:
* Handle the request, and indicate that it has done so by returning the magic constant OK.
* Decline to handle the request, by returning the magic integer constant DECLINED. In this case, the server behaves in all respects as if the handler simply hadn't been there.
* Signal an error, by returning one of the HTTP error codes. This terminates normal handling of the request, although an ErrorDocument may be invoked to try to mop up, and it will be logged in any case.
Most phases are terminated by the first module that handles them; however, for logging, "fixups", and non-access authentication checking, all handlers always run (barring an error). Also, the response phase is unique in that modules may declare multiple handlers for it, via a dispatch table keyed on the MIME type of the requested object. Modules may declare a response-phase handler which can handle any request, by giving it the key */* (i.e., a wildcard MIME type specification). However, wildcard handlers are only invoked if the server has already tried and failed to find a more specific response handler for the MIME type of the requested object (either none existed, or they all declined).
Đây là những thông tin hết sức quan trọng. Ngoài ra, một trang thông tin http://httpd.apache.org/docs/2.0/developer/request.html cũng không nên bỏ qua, đặc biệt cho những ai nghiên cứu sâu về cách thức hoạt động của apache và muốn tìm hiểu + ứng dụng những biện pháp bảo mật cho apache (kể cả chống đỡ DDoS).
Gần đây có một số bồ hỏi thăm tớ tại sao mod_security không "xử" được http://ha.ckers.org/slowloris/. Chuyện slowloris thì đã có lần bàn trên HVA rồi nhưng lý do đi sâu vào trong thì chưa. Lý do cốt lõi của câu hỏi "tại sao mod_security" không "xử" được slowloris nằm trong việc apache xử lý requests ở phase nào và mod_security đụng đến request ở phase nào.
Bảo mật và đặc biệt là chuyện chống đỡ DDoS đòi hỏi phải hiểu rõ về giao thức và cách dịch vụ xử lý requests như thế nào là chuyện tối quan trọng. DDoS cho đến ngày nay không còn đơn giản là "ping of death" hoặc "x-flash" (mặc dù x-flash vẫn còn chết người) mà DDoS ngày nay đã đi đến chỗ khai thác tận cùng đến những điểm yếu thâm sâu trong ứng dụng tạo dịch vụ. DDoS ngày nay không cần một khối lượng packets khổng lồ để làm tràn ngập máy chủ, để tạo load hoặc để bảo hòa băng thông mà chỉ là những "cú đấm" nhẹ nhàng vào những điểm cực nhỏ nhưng cực yếu. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
18/03/2010 17:54:45 (+0700) | #32 | 207267 |
Dpm
Member
|
0 |
|
|
Joined: 06/04/2009 01:43:30
Messages: 85
Offline
|
|
@ bác PXMMRF:
Chẳng hạn như chỗ này:
Vì PHP là "người tiếp đón đầu tiên" dòng packet DDoS-request để rồi chuyển yêu cầu truy vấn đến Apache (hay trình quản lý web khác)
Xét theo mô hình gì đi nữa thì cũng không đúng,ví dụ mô hình máy chủ apache,người tiếp quản đầu tiên và handle các connections phải là TCP-Server(tcpserver,inetd,Xinetd) nếu không muốn nói là card mạng,và lại apache thường chạy trên chế độ stand-alone nên coi như cả phần Tcp-Server đã tích hợp luôn vào apache rồi,nên apache mới là "người tiếp đón đầu tiên dòng packet" và xử lý trước khi chuyển dữ liệu đến cho các trình biên dịch khác,mặt khác có những dữ liệu mà apache không cần phải gọi đến PHP compiler.
Còn web động theo mình hiểu là web được viết bằng một số ngôn ngữ lập trình nào đó và động ở đây nhấn mạnh đến quá trình biên dịch và xử lý dữ liệu ở phía máy chủ(trước khí trả về text/htm tới web browser) hơn là nhưng thao tác ở phía client.
Mong bác giải thích giúp! |
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
18/03/2010 18:10:21 (+0700) | #33 | 207268 |
|
hizit91
Member
|
0 |
|
|
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
|
|
Dpm wrote:
@ bác PXMMRF:
Chẳng hạn như chỗ này:
Vì PHP là "người tiếp đón đầu tiên" dòng packet DDoS-request để rồi chuyển yêu cầu truy vấn đến Apache (hay trình quản lý web khác)
Xét theo mô hình gì đi nữa thì cũng không đúng,ví dụ mô hình máy chủ apache,người tiếp quản đầu tiên và handle các connections phải là TCP-Server(tcpserver,inetd,Xinetd) nếu không muốn nói là card mạng,và lại apache thường chạy trên chế độ stand-alone nên coi như cả phần Tcp-Server đã tích hợp luôn vào apache rồi,nên apache mới là "người tiếp đón đầu tiên dòng packet" và xử lý trước khi chuyển dữ liệu đến cho các trình biên dịch khác,mặt khác có những dữ liệu mà apache không cần phải gọi đến PHP compiler.
Còn web động theo mình hiểu là web được viết bằng một số ngôn ngữ lập trình nào đó và động ở đây nhấn mạnh đến quá trình biên dịch và xử lý dữ liệu ở phía máy chủ(trước khí trả về text/htm tới web browser) hơn là nhưng thao tác ở phía client.
Mong bác giải thích giúp!
PHP không phải là Trình Biên Dịch (compiler) mà là trình thông dịch (Interpreter) *Chúng khác nhau rất cơ bản.
|
|
Hết cấp ba, ta lên cấp bố |
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
18/03/2010 18:19:00 (+0700) | #34 | 207272 |
Dpm
Member
|
0 |
|
|
Joined: 06/04/2009 01:43:30
Messages: 85
Offline
|
|
@hizit91: Thanks,rất chính xác,tuy nhiên ý tôi muốn nói đến quá trình "thông dịch" đó. |
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
18/03/2010 19:04:52 (+0700) | #35 | 207276 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
Dpm wrote:
@ bác PXMMRF:
Chẳng hạn như chỗ này:
Vì PHP là "người tiếp đón đầu tiên" dòng packet DDoS-request để rồi chuyển yêu cầu truy vấn đến Apache (hay trình quản lý web khác)
Xét theo mô hình gì đi nữa thì cũng không đúng,ví dụ mô hình máy chủ apache,người tiếp quản đầu tiên và handle các connections phải là TCP-Server(tcpserver,inetd,Xinetd) nếu không muốn nói là card mạng,và lại apache thường chạy trên chế độ stand-alone nên coi như cả phần Tcp-Server đã tích hợp luôn vào apache rồi,nên apache mới là "người tiếp đón đầu tiên dòng packet" và xử lý trước khi chuyển dữ liệu đến cho các trình biên dịch khác,mặt khác có những dữ liệu mà apache không cần phải gọi đến PHP compiler.
Còn web động theo mình hiểu là web được viết bằng một số ngôn ngữ lập trình nào đó và động ở đây nhấn mạnh đến quá trình biên dịch và xử lý dữ liệu ở phía máy chủ(trước khí trả về text/htm tới web browser) hơn là nhưng thao tác ở phía client.
Mong bác giải thích giúp!
Vậy là bạn không đồng quan điểm với tôi chứ đâu phải tôi viết lủng củng, khó hiểu, phải không? Ý tôi viết rất rõ ràng, không ai hiểu sai được. Chỉ có vấn đề là nó đúng hay sai thôi. Hì hì
(Vấn đề đúng hay sai thì ta đang bàn mà. Nói thật, cách đây 2-3 năm gì đó, khi lần đầu đọc bài viết của các tác giả trong cuốn sách nói trên, tôi thấy rất khó chịu vì ý kiến của họ. Từ rất lâu rồi, tôi đều nghĩ như WinDak. Nhưng tại sao họ lại viết như vậy? Và tôi tìm đọc khá nhiều cuốn sách khác về PHP, cũng thấy rằng có nhiều trường hợp họ nói như thế là đúng. Thí dụ khi hacker không DDoS vào cổng 80 TCP hay hacker DDoS vào một cổng UDP nào đó... vân vân. Thôi ta cứ bàn luận thêm)
===============
Chính bạn đang viết một câu khó hiểu đây nè: "apache thường chạy trên chế độ stand-alone nên coi như cả phần Tcp-Server đã tích hợp luôn vào apache rồi"
Apache chạy trên chế độ stand-alone. Tôi không hiểu chế độ ở đây là gì. Theo bạn một program stand-alone là chương trình thế nào?
Ngoài ra tai sao vì Apache chạy trên chế độ stand-alone mà " nên coi như cả phần Tcp-Server đã tích hợp luôn vào apache rồi" ?
Mô hình máy chủ Apache là mô hình gì? Bạn thử nói rõ hơn về TCP-Server. Có UDP-Server không?
Còn "PHP decomplier" thì có bạn đã góp ý rồi.
Ngoài ra ra Apache xin nhớ viết hoa .Hì hì
Dynamic web, có nhiều cách định nghĩa, tôi viết theo cách dễ hiểu, đơn giản. Nhưng tôi cũng không phản đối cách viết của ban. Nó cơ bản đúng, dù chưa thật đầy đủ chính xác
À quên, còn chuyện Card mạng, thì sao lại đưa nó vào đây. Đang bàn về các APPLICATION cơ mà. Card mạng là hardware mà (Hì hì tôi từng sử dung, sửa chữa , ngâm cứu không dưới 20 loại card mang). Mà card mạng đâu phải là điểm đầu tiên gói tin DDoS đi đến. Phải là ADSL modem rồi đến router (nếu có lắp) chứ. Hì hì |
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
18/03/2010 19:56:18 (+0700) | #36 | 207279 |
Dpm
Member
|
0 |
|
|
Joined: 06/04/2009 01:43:30
Messages: 85
Offline
|
|
Vâng,Card mạng thì là nói đùa thôi.
Không phức tạp,cháu hiểu ngắn gọn và mộc mạc như thế này,chế độ stand-alone là chế độ gì thì có định nghĩa rõ trên google,còn trong trường hợp này ý nghĩa là nó chạy mà ko phụ thuộc vào Superserver(hoạt động tại lớp Tránport chiếu theo mô hình TCP/IP và trực tiếp điều khiển các tcp/udp packets) như inetd,xinetd...
vậy để điểu khiển đc các tcp/udp packet thì ít nhất trong apache phải có tính năng giống như xinetd,inetd...nên cháu xin tạm gọi là apache đã có Superserver.
còn biên dịch và thông dịch thì do cháu dùng từ sai,còn cái quá trình mà gọi là thông dịch đó thì chắc là hiểu thôi ah.
nếu sai chỗ nào thì xin chú chỉ luôn,không nên hỏi lại nhiều. |
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
18/03/2010 20:00:09 (+0700) | #37 | 207282 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
conmale wrote:
...........
Bảo mật và đặc biệt là chuyện chống đỡ DDoS đòi hỏi phải hiểu rõ về giao thức và cách dịch vụ xử lý requests như thế nào là chuyện tối quan trọng. DDoS cho đến ngày nay không còn đơn giản là "ping of death" hoặc "x-flash" (mặc dù x-flash vẫn còn chết người) mà DDoS ngày nay đã đi đến chỗ khai thác tận cùng đến những điểm yếu thâm sâu trong ứng dụng tạo dịch vụ. DDoS ngày nay không cần một khối lượng packets khổng lồ để làm tràn ngập máy chủ, để tạo load hoặc để bảo hòa băng thông mà chỉ là những "cú đấm" nhẹ nhàng vào những điểm cực nhỏ nhưng cực yếu.
Tôi hoàn toàn đồng ý với ý kiến anh conmale ở điểm này.
Tôi định viết về một nội dung tương tự như vậy, trong phần viết về phương thức phòng chống DDoS, trong đó đề cập nhiều hơn đến Flash DDoS (anh conmale gọi là x-DDoS). Nhưng chưa đến lúc viết phần đó, vì còn đang thảo luận một vấn đề khác, dù vấn đề này không phải là trong tâm của chủ đề.
Khi tư vấn cho webite giáo dân nói trên, tôi đã chuẩn bị 1 biện pháp cuối cùng để loại bỏ việc tấn công DDoS từ hacker. Đó là sau khi check kỹ hệ thống của hacker tôi tìm ra một lỗi trong một Application cài trong hệ thống. Với lỗi ấy chỉ cần DDoS lại vào hệ thống với số lương packet nhỏ, khá nhỏ, nhưng request có những code +character đăc biệt, là hệ thống nhanh chóng sup đổ. Đó là cách DDoS vào gót chân Achilles. Nhưng chưa cần dùng cách này, hacker đã phải dừng DDoS vì thấy không hiệu quả và vì vài lý do khác |
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
18/03/2010 20:15:56 (+0700) | #38 | 207286 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
Dpm wrote:
Vâng,Card mạng thì là nói đùa thôi.
Không phức tạp,cháu hiểu ngắn gọn và mộc mạc như thế này,chế độ stand-alone là chế độ gì thì có định nghĩa rõ trên google,còn trong trường hợp này ý nghĩa là nó chạy mà ko phụ thuộc vào Superserver(hoạt động tại lớp Tránport chiếu theo mô hình TCP/IP và trực tiếp điều khiển các tcp/udp packets) như inetd,xinetd...
vậy để điểu khiển đc các tcp/udp packet thì ít nhất trong apache phải có tính năng giống như xinetd,inetd...nên cháu xin tạm gọi là apache đã có Superserver.
còn biên dịch và thông dịch thì do cháu dùng từ sai,còn cái quá trình mà gọi là thông dịch đó thì chắc là hiểu thôi ah.
nếu sai chỗ nào thì xin chú chỉ luôn,không nên hỏi lại nhiều.
Đang thảo luận nghiêm túc sao lai đùa như thế.
Ban hiểu hoàn toàn sai về một chương trinh, application loại stand-alone rồi đấy. Đoc kỹ lại sách đi, đoc kỹ xong tôi sẽ giải thích.
Thôi bạn đừng viết nhiều nữa, càng viết càng sai.
Thí dụ. Không được viết là mô hỉnh TCP/IP mà phải viết là bộ giao thức TCP/IP. Mô hình thì là mô hình OSI cơ.
Còn nữa :"theo mô hình TCP/IP và trực tiếp điều khiển các tcp/udp packets) như inetd,xinetd...
vậy để điểu khiển đc các tcp/udp packet thì ít nhất trong apache phải có tính năng giống như xinetd,inetd...nên cháu xin tạm gọi là apache đã có Superserver."
Tôi hỏi thật: ban viết như vậy, nhưng bạn có thưc sự hiểu điều mình viết không?
Tôi thì thú thật chẳng hiểu bạn viết gì cả |
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
18/03/2010 20:39:49 (+0700) | #39 | 207288 |
Dpm
Member
|
0 |
|
|
Joined: 06/04/2009 01:43:30
Messages: 85
Offline
|
|
Thế đây là cái gì ạ!
http://en.wikipedia.org/wiki/TCP/IP_model |
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
18/03/2010 21:40:45 (+0700) | #40 | 207295 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
Dpm wrote:
Thế đây là cái gì ạ!
http://en.wikipedia.org/wiki/TCP/IP_model
Ừ từ xa xưa, thời ARPANET, người ta có áp dụng TCP/IP model. Nhưng bây giờ người ta đều sử dung mô hình OSI (7 lớp), do Tổ chức tiêu chuẩn TG xây dựng, phát triển và hoàn thiên. TCP/IP model (4 lớp) nay đươc sử dung rất ít, dù rằng trong sách giáo khoa đôi chỗ có nhắc đến, với muc đích so sánh với OSI để hoc sinh hiểu rõ OSI hơn.
Vì vậy hiện nay khi nói đến TCP/IP, là người ta nói đến, ám chỉ đến bô giao thức TCP/IP vì các giao thức TCP/IP cũng là những cốt lõi mà mô hình OSI dưa vào, để tránh nhầm sang cái trước kia đươc gọi (mà theo tôi không thật là chính xác)là TCP/IP model. Nếu có gọi, nên gọi là DoD model thì đúng hơn, để tránh hiểu lầm, thay vì gọi TCP/IP model |
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
18/03/2010 21:41:37 (+0700) | #41 | 207296 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
Dpm wrote:
Thế đây là cái gì ạ!
http://en.wikipedia.org/wiki/TCP/IP_model
Ừ từ xa xưa, thời ARPANET, người ta có áp dụng TCP/IP model. Nhưng bây giờ người ta đều sử dung mô hình OSI (7 lớp), do Tổ chức tiêu chuẩn TG xây dựng, phát triển và hoàn thiên. TCP/IP model (4 lớp) nay đươc sử dung rất ít, dù rằng trong sách giáo khoa đôi chỗ có nhắc đến, với muc đích so sánh với OSI để hoc sinh hiểu rõ OSI hơn.
Vì vậy hiện nay khi nói đến TCP/IP, là người ta nói đến, ám chỉ đến bô giao thức TCP/IP vì các giao thức TCP/IP cũng là những cốt lõi mà mô hình OSI dưa vào, để tránh nhầm sang cái trước kia đươc gọi (mà theo tôi không thật là chính xác)là TCP/IP model. Nếu có gọi, nên gọi là DoD model thì đúng hơn, để tránh hiểu lầm, thay vì gọi TCP/IP model |
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
18/03/2010 21:56:19 (+0700) | #42 | 207299 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
Tôi có một số câu hỏi ở một post phía trên. Xin các bạn có ý kiến trả lời và các comment bổ sung. Thanks |
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
19/03/2010 09:32:20 (+0700) | #43 | 207334 |
phuchn71
HVA Friend
|
Joined: 07/07/2003 07:02:53
Messages: 495
Location: X%
Offline
|
|
DDoS Shockwave Flash file (tool) này giống hệt như tool đã sử dụng để DDoS vào trang web giáo dân TP HCM mà tôi nói ở trên. Shockwave Flash file này đươc encrypted (mã hóa) với tiện ích SWF encrypt của công ty Amayeta http://www.amayeta.com/). Mục đích của việc encryption một SWF là để cho người khác không thể decompile file này ra và đọc-xem nó, cũng như chống việc Reverse engineering. Tuy nhiên có thể hacker đã áp dụng quá trình encryption không đúng cách và/hoăc sử dung SWF encryption soft. đã lạc hậu (như ta thấy hacker dùng SWFENCRYPT ver. 3.0, trong khi soft. mới nhất của Amayeta là SWFENCRYPT ver. 6.0) nên nếu ta dùng các SWF decomplier mới nhất, tiên tiến nhất thì vẫn "mở" DDoS tool này ra, xem được nôi dung các ActionScript.
Hi Anh PMX,
Lâu lắm không được gặp Anh. Cảm ơn anh về bài các viết (vẫn những bài viết chi tiết, đầy màu sắc và sinh động).
Em đang muốn hỏi:
Quá trình mã hóa file flash đã có lỗi gì?
Giả sử Anh không decompile được cái file đó thì có hướng giải quyết nào không?
|
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
19/03/2010 10:34:32 (+0700) | #44 | 207341 |
|
Ikut3
Elite Member
|
0 |
|
|
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
|
|
Quá trình mã hóa file flash đã có lỗi gì?
Hi anh Phuchn
Em nghĩ quá trình mã hóa file flash kia hoàn toàn không có lỗi gì mà rất có thể là nó đã được mã hóa bằng 1 công cụ với version cũ. Vì thực ra cái tool X-flash này đã được phát tán trên mạng ở thời điểm 1-2 năm trước . Suy ra theo thời gian công cụ mã hóa của đã lỗi thời. Chính vì thế mà với thời điểm hiện tại chỉ cần dùng 1 soft decomplier SWF tầm trung là đã có thể giải mã file SWF trên
|
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
19/03/2010 11:55:03 (+0700) | #45 | 207347 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
phuchn71 wrote:
DDoS Shockwave Flash file (tool) này giống hệt như tool đã sử dụng để DDoS vào trang web giáo dân TP HCM mà tôi nói ở trên. Shockwave Flash file này đươc encrypted (mã hóa) với tiện ích SWF encrypt của công ty Amayeta http://www.amayeta.com/). Mục đích của việc encryption một SWF là để cho người khác không thể decompile file này ra và đọc-xem nó, cũng như chống việc Reverse engineering. Tuy nhiên có thể hacker đã áp dụng quá trình encryption không đúng cách và/hoăc sử dung SWF encryption soft. đã lạc hậu (như ta thấy hacker dùng SWFENCRYPT ver. 3.0, trong khi soft. mới nhất của Amayeta là SWFENCRYPT ver. 6.0) nên nếu ta dùng các SWF decomplier mới nhất, tiên tiến nhất thì vẫn "mở" DDoS tool này ra, xem được nôi dung các ActionScript.
Hi Anh PMX,
Lâu lắm không được gặp Anh. Cảm ơn anh về bài các viết (vẫn những bài viết chi tiết, đầy màu sắc và sinh động).
Em đang muốn hỏi:
Quá trình mã hóa file flash đã có lỗi gì?
Giả sử Anh không decompile được cái file đó thì có hướng giải quyết nào không?
Phuchn71 thân,
Hacker dùng phần mềm Trial (dùng thử trước khi mua) và phần mềm này đã cũ (version 3.0), nên có thể có trục trặc. Cũng không loại trừ khả năng "thao tác" dùng phần mềm không đúng cách. Ngoài ra Ikut3 cũng đã nói rõ thêm rồi đấy.
Nếu không thể decompiled SWF File ra đươc thì cũng vẫn có một cách khác là check bảo mật vào thẳng website-server này, kiểm tra cấu trúc của website, tìm ra các file, hay directory chứa các file có text là data mà SWF file sẽ import vào. Việc này đòi hỏi phải có kinh nghiệm check bảo mật , cũng như đã biết về những cách hacker thường sẽ dùng để tao một Flash DDoS tool
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
19/03/2010 12:28:19 (+0700) | #46 | 207350 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
Vì các bài reply đã kéo xài thêm gần 10 cái mà chẳng ai vào thảo luận đúng luồng chủ đề để bác Mai viết tiếp, nên em mạn phép thảo luận chút với mấy câu hỏi của bác Mai ở Post /hvaonline/posts/quote/20/207217.html
PXMMRF wrote:
- Khi không có người truy câp đến thì những service nào trong webserver, thí dụ webserver chứa website vnexpress.net, vẫn đang chay trong hệ thống, những services visible (có thể thấy trên Task manager hay trình tương tự chẳng hạn) và cả những hiden services?
Thường thì khi có khách tới website hay không thì các dịch vụ phục vụ cho việc “chế biến” và “thể hiện” nội dung của website vẫn thường ở trạng thái “sẵn sàng” phục vụ ( nếu không có khách vào chơi thì các dịch vụ này thường ở trạng thái Idle – cắt giảm một số tác vụ không cần thiết)
PXMMRF wrote:
Khi trang web bị tấn công F-DDoS thì những System, Application services nào sẽ chạy, sẽ được kích hoạt, sự tương tác của chúng như thế nào: cái nào chạy trước, cái nào chạy sau, có trường hơp nào chúng "chà đạp" lên nhau, ngăn trở nhau làm cho hệ thống nhanh chóng bị sụp đổ không? (Như khi có tiếng nổ trên boong một tầu chở khách, các hành khách chen lấn nhau, chạy dạt về một phía boong tầu, làm cho tầu nghiêng về một phía và chìm nhanh xuống biển, thí dụ ví von như vậy cho dễ hiểu)
1. Vấn đề “chà đạp” và “đụng độ” lẫn nhau của các ứng dụng ( hoặc dịch vụ ) mà bác Mai đưa ra khá là thú vị . Việc “đụng độ” này có lẽ là sự tranh chấp các nguồn tài nguyên có hạn ( tài nguyên phục vụ việc tính toán, xử lý ) của máy tính chủ như tranh chấp về không gian bộ nhớ RAM, tài nguyên tính toán của Vi xử lý, đôi khi là sự tranh chấp về số kết nối đến ứng dụng quản trị cơ sở dữ liệu , hay sự tranh chấp về quyền ghi lên một tệp tin trên thiết bị lưu trữ…
PXMMRF wrote:
Các script (phần mềm nhỏ) dùng để fix DDoS (như người ta thường gọi) nếu không được biên soạn , thử nghiệm kỹ, có góp phần làm hệ thông thêm "rối rắm' (vì chúng dễ conflict-xung đột với các services hệ thông và service của các Application) và sụp đổ nhanh hơn hay không?
- Điều gì sẽ xẩy ra khi hacker "vô tình" tấn công F -DDoS hay chỉ là DDoS thông thường vào đúng lúc webserver đang backup dữ liệu, hay quan trong hơn khi Antivirus program trong hệ thống đang quét virus toàn bộ hệ thống, theo định kỳ hay theo ý muốn cùa người quản trị (On-demand virus scanning)? Khi Antivirus quét hệ thống thì CPU thường sử dung bao nhiêu phần trăm năng lưc? Khi quét vào các file lớn và "phức tạp" như các file đuôi ".cab", thì có phải có lúc CPU bị sử dung 100% hay gần 100% năng lưc hay không?
2. Loại trừ dạng tấn công từ chối dịch vụ bằng cách chọt vào “yếu huyệt” như là tấn công làm Crash ( treo, đổ vỡ, sụp đổ) hệ thống thông qua lỗi thiết kế phần mềm ( dạng như cái xe gắn máy đang chạy mà bạn lấy cây chọt vô bánh xe ) . Thì hầu hết các phương pháp tấn công từ chối dịch vụ được biết đến hiện nay là tìm cách tiêu hao càng nhiều càng tốt các tài nguyên có hạn của máy chủ, khiến nó cạn tới mức mà các thành phần cốt lõi của phần mềm hệ điều hành không thể vận hành được nữa, dẫn tới sụp đổ hoàn toàn hệ thống – Shutdown.
Thế nên quay lại với các câu hỏi thú vị của bác Mai, ta thấy là các scripts - bản chất là những tập những lệnh hướng dẫn cho một phần mềm nào đó ( dĩ nhiên phần mềm này phải đọc được và hiểu được nội dung các chỉ lệnh này – mấy phần mềm này thường được gọi tên là “Trình Thông Dịch” ) thực thi một vài tác vụ nào đó. Mà phàm là cứ thực thi một tác vụ gì đó, dù lớn hay nhỏ thì ta cũng cần “năng lượng” hoặc “điều kiện cần thiết” cho nó hoạt động, tức là chúng cũng tiêu hao chút gì đó trong cái kho “tài nguyên có hạn” của máy tính chủ. Do vậy nếu tay thảo chương viên lãnh nhiệm vụ viết cái scripts mà bất cẩn, hoặc thiếu hiểu biết, viết ra một script kém phẩm chất, thực hiện thừa thãi nhiều tác vụ vô ích, dẫn tới tiêu hao tài nguyên của máy tính chủ một cách vô ích, thì chuyện mấy cái scripts đúng ra có chức năng chống ( hay là giảm bớt ảnh hưởng ) của các đợt “tấn công từ chối dịch vụ” lại đâm ra góp phần làm cái máy tính chủ chết lẹ hơn vì thiếu tài nguyên chạy các thành phần “cốt lõi của HĐH” là chuyện dễ hiểu.
Cũng như vậy, với trường hợp của các phần mềm ( ứng dụng ) nặng nề, tiêu hao nhiều tài nguyên máy chủ như là các phần mềm Antivirus, Soft-firewall … vào lúc máy tính chủ bị “tấn công từ chối dịch vụ” vấn đề cũng xảy ra gần giống với mấy cái scripts bị viết một cách cẩu thả. Máy chủ bị quá tải, tài nguyên đang bị các “yêu cầu phục vụ” dập tới tấp, ngay lúc đó lại bị mất một lượng lớn tài nguyên cho mấy phần mềm Antivirus, Soft-firewall… chạy loạn xạ bên trong.
Giống như giặc tới cửa nhà, đang phải chống chọi với giặc mà vợ còn cằn nhằn sao chưa nấu cơm sau lưng
3.
PXMMRF wrote:
Có phải rẳng sau khi bị DDoS dữ dội, hệ thông bị sup đổ (bị shutdown), khi hết DDoS, ta có thể khởi đông lai hệ thống dễ dàng, vì nó vẫn còn nguyên vẹn hay không?
Sau khi hệ thống bị DDoS sụp đổ ( shutdown ) thì tốt nhất nên ngắt cái máy chủ khỏi mạng, vì khi nó đang khởi động lại, các dịch vụ , ứng dụng lõi đang được khởi động chưa hoàn tất , các tài nguyên đang tập trung hết cho tác vụ khởi động hệ thống, mà đã phải hứng “đấm” từ DDoS tiếp, thiết nghĩ cái máy tính chủ khó mà trụ vững tiếp.
Còn chuyện hệ thống còn nguyện vẹn thì cũng khó nói, tùy trường hợp cụ thể. Chẳng hạn khi máy tính chủ “down” ngay lúc tác vụ ghi dữ liệu xuống thiết bị lưu trữ đang thực hiện, thì phần dữ liệu chưa kịp nghi có nguy cơ thất thoát là rất lớn. Đó là chưa kể nếu cường độ tấn công từ chối dịch vụ đủ mạnh, và các thiết bị phần cứng đủ “già cỗi” hoặc kém phẩm chất, thì chuyện quá nhiệt gây chạm chập và hư hỏng phần cứng máy chủ cũng có thể xảy ra
PXMMRF wrote:
Chúng ta cũng nên thấy thêm rằng chỉ cần thay nôi dung các dòng text, imported vào DDoS SWF File là hacker có thể đánh vào bất cứ url nào của website, cũng như có thể bổ sung các code phá hoai -khai thác vào nội dung DDoS request.
4.Vấn đề kẻ tấn công có thể thay đổi đoạn text chỉ định điểm sẽ bị dội các đợt tấn công cũng là một vấn đề thú vị. Nếu tay tấn công khôn ngoan thì hắn sẽ rà soát hệ thống của ta, và chọn điểm nào xung yếu nhất trên toàn bộ hệ thống ( ví dụ trang nào của website thực hiện nhiều truy vấn cơ sở dữ liệu nhất chẳng hạn ), mà dọng vào thì hắn sẽ hạ gục hệ thống của ta nhanh hơn là dọng vào chỗ tường bê tông cốt thép của hệ thống (dọng vào một trang HTML tĩnh trống trơn thì dĩ nhiên là kém hiệu quả hơn nhiều rồi )
Em vừa nối tiếp mạch thảo luận, mong bác Mai tiếp tục loạt bài viết , em đang háo hức trông chờ lắm
|
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
19/03/2010 12:42:21 (+0700) | #47 | 207351 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
phuchn71 wrote:
DDoS Shockwave Flash file (tool) này giống hệt như tool đã sử dụng để DDoS vào trang web giáo dân TP HCM mà tôi nói ở trên. Shockwave Flash file này đươc encrypted (mã hóa) với tiện ích SWF encrypt của công ty Amayeta http://www.amayeta.com/). Mục đích của việc encryption một SWF là để cho người khác không thể decompile file này ra và đọc-xem nó, cũng như chống việc Reverse engineering. Tuy nhiên có thể hacker đã áp dụng quá trình encryption không đúng cách và/hoăc sử dung SWF encryption soft. đã lạc hậu (như ta thấy hacker dùng SWFENCRYPT ver. 3.0, trong khi soft. mới nhất của Amayeta là SWFENCRYPT ver. 6.0) nên nếu ta dùng các SWF decompiler mới nhất, tiên tiến nhất thì vẫn "mở" DDoS tool này ra, xem được nôi dung các ActionScript.
Hi Anh PMX,
Lâu lắm không được gặp Anh. Cảm ơn anh về bài các viết (vẫn những bài viết chi tiết, đầy màu sắc và sinh động).
Em đang muốn hỏi:
Quá trình mã hóa file flash đã có lỗi gì?
Giả sử Anh không decompile được cái file đó thì có hướng giải quyết nào không?
Theo mình thì còn cách nữa là sniff luồng dữ liệu trao đổi với mạng bên ngoài của cái SWF đang chạy coi coi từ cái SWF đó dữ liệu gì đi ra và đi vào. Qua đó phân tích được nó hoạt động ra sao. |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
19/03/2010 12:58:43 (+0700) | #48 | 207357 |
|
Ikut3
Elite Member
|
0 |
|
|
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
|
|
Theo mình thì còn cách nữa là sniff luồng dữ liệu trao đổi với mạng bên ngoài của cái SWF đang chạy coi coi từ cái SWF đó dữ liệu gì đi ra và đi vào. Qua đó phân tích được nó hoạt động ra sao.
Hay quá anh xnohat !
Ở trên kia em cũng đang định nói đến việc thử sniff gói tin của công cụ X-DDOS trên và 1 số công cụ X-DDOS khác để phân tích các gói dữ liệu mà SWF kia làm chủ.
Không biết có phải đối với dạng X-flash này nếu dùng chung 1 tool thì các gói packet (request) đến server của các Client đều giống nhau không.
Còn chuyện hệ thống còn nguyện vẹn thì cũng khó nói, tùy trường hợp cụ thể. Chẳng hạn khi máy tính chủ “down” ngay lúc tác vụ ghi dữ liệu xuống thiết bị lưu trữ đang thực hiện, thì phần dữ liệu chưa kịp nghi có nguy cơ thất thoát là rất lớn.
Giả sử trình quản lí cơ sở dữ liệu là MYSQL đi thì khi hệ thống đổ vỡ và tự tắt như vậy, đến khi khởi động lại không biết có cách nào phục hồi lại hệ thống nguyên hiện trạng cũ , lúc chưa crash không anh ?
Em sử dụng MSSQL thì có rollback transactions và từng thực hiện Roll back cho mô hình cluster. Thấy ở MYSQL cũng có roll back transactions nhưng không biết cơ chế & hoạt động của nó như thế nào .
Mong anh giải đáp |
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
19/03/2010 13:48:13 (+0700) | #49 | 207361 |
|
WinDak
Researcher
|
Joined: 27/01/2002 11:15:00
Messages: 223
Offline
|
|
Ikut3 wrote:
Theo mình thì còn cách nữa là sniff luồng dữ liệu trao đổi với mạng bên ngoài của cái SWF đang chạy coi coi từ cái SWF đó dữ liệu gì đi ra và đi vào. Qua đó phân tích được nó hoạt động ra sao.
Hay quá anh xnohat !
Ở trên kia em cũng đang định nói đến việc thử sniff gói tin của công cụ X-DDOS trên và 1 số công cụ X-DDOS khác để phân tích các gói dữ liệu mà SWF kia làm chủ.
Không biết có phải đối với dạng X-flash này nếu dùng chung 1 tool thì các gói packet (request) đến server của các Client đều giống nhau không.
Theo mình thì cách sử dụng packet sniffing này chỉ hiệu quả nếu x-flash import file từ external url, còn nếu import từ file trên cùng server thì vô dụng ?!?
( Mình edit lại vì vừa mới test thử bằng 1 cái flash mình tạo thấy cách này hiệu quả )
Một khả năng là có thể sử dụng phiên bản debugger của flash player
http://www.actionscript.org/resources/articles/207/1/Trace-and-debug-ActionScript-from-your-browser/Page1.html
http://kevinschmitt.com/2009/12/01/flash-browser-tracing-on-mac-windows-and-linux/
Nhưng mình không có file swf x-flash kia nên chưa test được thế nào.
Thân
wd.
|
|
-- w~ -- |
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
19/03/2010 18:10:28 (+0700) | #50 | 207372 |
hvb
Member
|
0 |
|
|
Joined: 27/07/2005 16:48:36
Messages: 2
Offline
|
|
cần mấy anh chị HVA giúp e xác định kẻ đang xflash<==== Đây mới là nội dung chính.Đề nghị không nói "tránh+nói giảm" làm loãng topic. |
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
19/03/2010 18:53:05 (+0700) | #51 | 207374 |
|
Ikut3
Elite Member
|
0 |
|
|
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
|
|
WinDak wrote:
Một khả năng là có thể sử dụng phiên bản debugger của flash player
http://www.actionscript.org/resources/articles/207/1/Trace-and-debug-ActionScript-from-your-browser/Page1.html
http://kevinschmitt.com/2009/12/01/flash-browser-tracing-on-mac-windows-and-linux/
Thanks anh.
Em định thử chuyện Roll back transactions với MYSQL và tham khảo ý kiến 1 số anh ở HVA nên sẽ tiến hành như sau
- Tạo 1 table gồm 10 field . Yêu cầu là phải nhập đầy đủ cho các field đó , nếu nhập thiếu thì sẽ trở lại từ đầu và yêu cầu phải nhập lại cho đúng giá trị đề ra của từng field .
Tạo tiếp các câu lệnh Insert Data vào table & ghi đầy đủ các giá trị cho các field. Trong quá trình Insert đang chạy thì em tắt các services của Mysql đi & reset nóng
.Sau đó sẽ khởi động lên lại để xem kết quả của Roll back transactions.
Không biết nếu tiến hành vậy có vấn đề gì không ạ.
Xin mọi người góp ý thêm
hvb wrote:
cần mấy anh chị HVA giúp e xác định kẻ đang xflash<==== Đây mới là nội dung chính.Đề nghị không nói "tránh+nói giảm" làm loãng topic.
Nếu không có cậu repply thì chắc topic sẽ bớt loãng hơn đó
Cậu có đọc trang 1 trang 2 không ? |
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
19/03/2010 21:03:59 (+0700) | #52 | 207379 |
phuchn71
HVA Friend
|
Joined: 07/07/2003 07:02:53
Messages: 495
Location: X%
Offline
|
|
Em có một số ý kiến sau:
Khi trang web bị tấn công F-DDoS thì những System, Application services nào sẽ chạy, sẽ được kích hoạt, sự tương tác của chúng như thế nào: cái nào chạy trước, cái nào chạy sau, có trường hơp nào chúng "chà đạp" lên nhau, ngăn trở nhau làm cho hệ thống nhanh chóng bị sụp đổ không? (Như khi có tiếng nổ trên boong một tầu chở khách, các hành khách chen lấn nhau, chạy dạt về một phía boong tầu, làm cho tầu nghiêng về một phía và chìm nhanh xuống biển, thí dụ ví von như vậy cho dễ hiểu)
Vấn đề “chà đạp” và “đụng độ” lẫn nhau của các ứng dụng ( hoặc dịch vụ ) khi bị F-DDoS là khó xảy ra do 1 trình Flash đơn thuần không có khả năng đưa ra nhiều dạng request khác nhau với độ phức tạp khác nhau tới hệ thống. Tuy nhiên với nhiều dạng Flash và mỗi Flash lại có yêu cầu riêng thì việc này có thể xảy ra. Có thể dùng luôn ví dụ của Anh (Trên 1 tầu chở khách, có yêu cầu đưa thư liên tục từ đầu tầu đến cuối tầu. Một thủy thủ được giao nhiệm vụ này. Thủy thủ này chạy mãi mệt quá rồi việc đưa thư lại giao cho người thứ 2 rồi tiếp tục đến người thứ 3 ...4 .. rồi đến thủy thủ cuối cùng ... mà vẫn chưa xong . Do tất cả các thủy thủ phải đua thư nên không có ai lái tầu cả và tầu dừng lại không đi được nữa)
- Điều gì sẽ xẩy ra khi hacker "vô tình" tấn công F -DDoS hay chỉ là DDoS thông thường vào đúng lúc webserver đang backup dữ liệu, hay quan trong hơn khi Antivirus program trong hệ thống đang quét virus toàn bộ hệ thống, theo định kỳ hay theo ý muốn cùa người quản trị (On-demand virus scanning)? Khi Antivirus quét hệ thống thì CPU thường sử dung bao nhiêu phần trăm năng lưc? Khi quét vào các file lớn và "phức tạp" như các file đuôi ".cab", thì có phải có lúc CPU bị sử dung 100% hay gần 100% năng lưc hay không?
Theo kinh nghiệm của em (Với server 4 CPU và khoảng 16Gb RAM) thì việc quét virus toàn hệ thống chỉ cần đến 1 CPU và 2Gb RAM là đủ.
Có phải rẳng sau khi bị DDoS dữ dội, hệ thông bị sup đổ (bị shutdown), khi hết DDoS, ta có thể khởi đông lai hệ thống dễ dàng, vì nó vẫn còn nguyên vẹn hay không?
Em chưa bị DDoS bao giờ nhưng em "Dự" rằng hệ thống khó có thể còn nguyên vẹn. Với em khi 1 con Server có trục trặc hoặc shutdown thì em tiến hành backup luôn cho nó lành.
Chúng ta cũng nên thấy thêm rằng chỉ cần thay nôi dung các dòng text, imported vào DDoS SWF File là hacker có thể đánh vào bất cứ url nào của website, cũng như có thể bổ sung các code phá hoai -khai thác vào nội dung DDoS request.
Dây chính là phần liên quan đến câu hỏi của em bởi vì khi dịch được SWF thì việc tiến hành "chống đỡ" hoặc "phản công" sẽ dễ dàng hơn.
Note: Dạo này em không làm công việc về IT nữa nên chẳng có hệ thống để thử. Chờ bài phân tích của Anh. |
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
20/03/2010 06:43:03 (+0700) | #53 | 207391 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
xnohat wrote:
phuchn71 wrote:
DDoS Shockwave Flash file (tool) này giống hệt như tool đã sử dụng để DDoS vào trang web giáo dân TP HCM mà tôi nói ở trên. Shockwave Flash file này đươc encrypted (mã hóa) với tiện ích SWF encrypt của công ty Amayeta http://www.amayeta.com/). Mục đích của việc encryption một SWF là để cho người khác không thể decompile file này ra và đọc-xem nó, cũng như chống việc Reverse engineering. Tuy nhiên có thể hacker đã áp dụng quá trình encryption không đúng cách và/hoăc sử dung SWF encryption soft. đã lạc hậu (như ta thấy hacker dùng SWFENCRYPT ver. 3.0, trong khi soft. mới nhất của Amayeta là SWFENCRYPT ver. 6.0) nên nếu ta dùng các SWF decompiler mới nhất, tiên tiến nhất thì vẫn "mở" DDoS tool này ra, xem được nôi dung các ActionScript.
Hi Anh PMX,
Lâu lắm không được gặp Anh. Cảm ơn anh về bài các viết (vẫn những bài viết chi tiết, đầy màu sắc và sinh động).
Em đang muốn hỏi:
Quá trình mã hóa file flash đã có lỗi gì?
Giả sử Anh không decompile được cái file đó thì có hướng giải quyết nào không?
Theo mình thì còn cách nữa là sniff luồng dữ liệu trao đổi với mạng bên ngoài của cái SWF đang chạy coi coi từ cái SWF đó dữ liệu gì đi ra và đi vào. Qua đó phân tích được nó hoạt động ra sao.
Có lẽ tôi là một trong một số ít người đầu tiên viết về sniffing trong bảo mật trên diễn đàn HVA. Lúc ấy tôi dùng Sniffer Pro và một sniffing program của công ty Eye.... (không còn nhớ đủ tên).
Trong thời gian HVA bị Flash DDoS (tới nhớ hình như HVA forum phải ngưng hoạt động trên dưới một tháng) tôi có gửi cho anh conmale 2 tập tin sniff dữ liệu liên quan đến quá trình DDoS (mỗi tập nếu in ra phải dài cỡ 40-50 trang A4).
Việc xem kỹ các dữ liệu sniffed + đối chiếu với các thông tin khác, chỉ giúp tôi tìm ra được vị trí đặt Flash DDoS tool, một Webserver tại Nhật.
Hacker tấn công Flash DDoS đề cập trong topic này trình độ còn thấp, có nhiều thiếu sót, nên đã để lộ ra vị trí cài Flash DDoS. Trường hơp tấn công DDoS vào HVA, hacker dấu kín được vị trí đặt DDoS Flash tool.
SWF File dùng cho DDoS có thể import dữ liệu từ nhiều loại File: text, PHP...kể cả htm (html). Nói chung các file chứa dữ liệu cần hay phải nằm chung với DDoS SWF file trong một folder, directory hay trong cùng một hệ thống. Vì vậy việc sniffing dữ liệu truyền đến-ra (input-output) từ một hệ thông sẽ không thể giúp tìm ra vị trí, nội dung các import data file.
Về nguyên tắc hacker có thể đặt các file dữ liệu (tạm thí dụ là file text hay file html) ở các server với WAN IP khác với server cài DDoS Flash tool và ta có thể sniff đươc dữ liệu liên quan đến các file này, nhưng làm như vậy việc lập trình ActionScript trong Flash file sẽ phức tạp hơn nhiều và quan trọng hơn là tốc độ DDoS vào mục tiêu từ các máy thủ phạm-(mà cũng là nạn nhân) sẽ chậm đi rất nhiều, hay không khởi đông được việc DDoS
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
20/03/2010 20:21:52 (+0700) | #54 | 207437 |
hvb
Member
|
0 |
|
|
Joined: 27/07/2005 16:48:36
Messages: 2
Offline
|
|
SWF File dùng cho DDoS có thể import dữ liệu từ nhiều loại File: text, PHP...kể cả htm (html). Nói chung các file chứa dữ liệu cần hay phải nằm chung với DDoS SWF file trong một folder, directory hay trong cùng một hệ thống. Vì vậy việc sniffing dữ liệu truyền đến-ra (input-output) từ một hệ thông sẽ không thể giúp tìm ra vị trí, nội dung các import data file.
Câu này chốt lại,không thể tìm ra kẻ đanh xflash.Trang để xFlash cũng là nạn nhân.Tóm lại...là thế |
|
|
|
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
25/03/2010 07:42:45 (+0700) | #55 | 207702 |
|
Phó Hồng Tuyết
Member
|
0 |
|
|
Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline
|
|
PXMMRF
Bạn khi nào rảnh tiếp tục chủ đề này nhé, nó giúp ích cho mình rất nhiều.
|
|
"Một người thành công không có ý nghĩ đổ thừa thất bại do ...." |
|
[Question] cần mấy anh chị HVA giúp e xác định kẻ đang xflash |
25/03/2010 08:59:55 (+0700) | #56 | 207709 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
Anh phó hồng tuyết thảo luận những vẫn đề( câu hỏi ) bác PXMMRF đưa ra ở bài post trên. Em nghĩ như thế bác PXMMRF sẽ có hứng thú va chủ đề sẻ hay hơn
p/s: em thì chưa đủ trình độ và chưa tiếp xúc với DDos nên không dám bàn, chỉ biết lắng nghe va học hỏi
Thân. |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|