banner
 .::Exploit::. DRDoS-Distributed Reflection Denial of Service - 1 Go to original post Author: GRC.com - Translator: Nguyễn Trác Huy - Entry Date: 14/02/2009 01:44:54
Vào lúc 2h sáng ,11 tháng giêng năm 2002,GRC.com đã bị phá hoại bởi một cuộc tấn công từ chối dịch vụ phân tán
Có lẽ làm ngạc nhiên hầu hết các khía cạnh của cuộc tấn công này là source bị phơi bày một cách rõ ràng bởi hàng trăm “core router “của internet ,web server thuộc về yahoo.com ,và lại còn một máy với địa chỉ IP chuyển tới “gary7.nsa.gov”.Có lẽ chúng tôi đang nằm trong một cuộc tấn công mạnh mẽ và các máy tính có kết nối hoàn chỉnh
Ngay lập tức chúng tôi xác định rõ làm thế nào để chế ngự cuộc tấn công này và đưa trang web hoạt động trở lại .1.072,519,399 gói đã bị chặn đứng trước khi cuộc tấn công kết thúc
Trang này cung cấp cho ta một sự hướng dẫn ngắn gọn ,trên thao tác của giao thức TCP của mạng ,kèm theo là sự giảng giải về thao tác truyền thông của các cuộc tấn công “từ chối dịch vụ “(DoS),từ chối dịch vụ phân tán (DDoS) ,từ chối dịch vụ phản xạ phân tán (DRoS)

Sự tàn phá băng thông
Điều này đúng cho cuộc tấn công vào ngày 11 tháng giêng ,một vài cuộc tấn công phân tán nhỏ thì thường tấn công tiêu huỷ băng thông ,nơi mà sự kết hợp liên kết băng thông Internet của nhiều máy tính là “tâm điểm “,hoặc hướng tới,trên một hoặc một vài máy tính .Mặc dù những gói Internet của cuộc tấn công đơn độc có thể có một kết thúc vô hại .sự tràn ngập của những gói như thế có thể chôn vùi sự kết nối mạng của máy đích ,hoặc xử lý các tài nguyên của máy khác .Kết quả là lưu lượng thông tin hợp lệ không thể cạch tranh với sự tràn ngập tinh vi,có một sự tình cờ nhỏ để giành được dịch vụ có ích
Để nói thêm những cuộc tấn tông tàn phá băng thông bằng DdoS,vui lòng xem trang thảo luận trước của nhiều cuộc tấn công DdoS được chỉ huy bởi một thằng nhóc tinh quái mới chỉ 13 tuổi
Tuy nhiên ,kể từ khi 2 công ty lớn và nhỏ bắt đầu gây nhiều phiền muộn và lại còn có nguy cơ phá sản -điều này là một ví dụ cụ thể tương tự như là kết quả của việc tràn ngập các gói tinh vi .Một sự hiểu biết và chuẩn đoán một cách chính xác phương pháp của cuộc tấn công sắc sảo thường gợi ra một cách hiệu quả để tìm ra biện pháp đối phó
Trước khi chúng ta học và hiểu những cuộc tấn công ánh xạ phân tán .Chúng ta cần phải hiểu sự hoạt động của TCP ,dùng để kết nối điều khiến các máy tính trên mạng

Kết nối TCP 101

Nhớ lại một vài năm về trước,trước khi Internet ra đời ,việc trao đổi lẫn nhau giữa hai máy tính chỉ xảy ra trên mạng .Kỹ sư phần cứng như là một phần mềm khôn ngoan .Tôi nhớ rằng ,”kết nối ư?”.Làm thế nào để có thể kết nối giữa hai máy tính với nhau trên một mạng rộng? (vượt ra ngoài mạng cục bộ).Sau đó tôi đã được học rằng hai máy tính có thể có địa chỉ và gửi những gói dữ liệu cho nhau ,thông qua “sự đàm phán kế nối “.Kết quả là nọ đã thành công trong việc thông mạng và thiết lập một “virtual TCP connection-kết nối TCP ảo “
Những gói TCP riêng lẻ bao gồm những “cờ bits”,mang thông tin chứa đựng nội dung và mục đích đặc biệ của mỗi gói .Ví dụ,một gói “SYN”với cờ bit được thiết lập để bắt đầu khởi xướng một kết nối từ người gửi đến người nhận .Một gói ACK với cờ bit được thiết lập để thừa nhận thông tin người nhận đến người gửi .Một gói FIN với cờ bit được thiết lập để kết thúc kết nối từ người gửi đến người nhận
Sự thiết lập một kết nối TCP tiêu biểu đòi hỏi sự trao đổi ba gói chứa đựng thông tin trao đổi giữa hai máy tính trong một sự trao đổi lẫn nhau thông qua “a bước bắt tay TCP” Đây là hình vẽ minh hoạ

bmuht_fig.95954_326f1699d456370e1d350189beb01136/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptth
1.SYN một TCP client (như là web browser ,tp client ,v…v)bắt đầu một kết nối với một TCP server bằng cách gửi một gói SYN đến server
Tương tự biểu đồ bên trên , gói SYN này thường được gửi từ số port client giữa 1024 và 65535 tới port server,là số từ 1- 1023.NHững chương trình Client chạy trên máy client đăng lý với hệ điều hành đang chạy trên máy client một port để kếtt nối với server.Số port thuộc phạm vi trên sẽ được hiểu như clienthoặc danh sách port danh chóng bị mất đi .Tương tự như thế Chương trình server chạy trên máy server đăng ký với hệ điều hành cho một đặc quyền là lắng nghe lưu lượng thông tin đi vào trên một số cổng đặc biệt . Đây là danh sách port được biết đến như là portt dịch vụ .Ví dụ ,một chương trình web server tiêu biểu lắng nghe những gói thông tin đến từ port 80 cảu máy tính và web browser client thông thường gửi những gói thông tin thông qua port 80 đến server
Chú ý rằng để thêm được từ port máy gửi đến port máy nhận ,thì mỗi gói phải bao gồm địa chỉ IP của máy gửi và địa chỉ của máy mà router sẽ chuyển tới
2.SYN/ACK
khi gói SYN nhận được yêu cầu kết nối tại một cổng dịch vụ TCP mở.Hện thống server trả lời lại với một sự chấp nhận kết nối gói “SYN/ACK.
Mặc dù kết nối TCp là một kết nối kép mỗi một hướng kết nối được thiết lập và quản lý một cách độc lập .Lý do là ,sự trả lời của TCP server đến yêu cầu kết nối gói SYN của client bởi ACKnowledginvà gởi SYN của chính nó để bắt đầu một kết nối trong định hướng trở lại.Hai thông báo đã kết hợp váo trong một một gói trả lời “SYN/ACL “đơn.
Gói SYN/ACK gửi đến SYN của người nhận bởi sử trao đổi địa chỉ IP giữa máy gửi và máy nhận tứ gói SYN và đặt chúng vào trong gói SYN/ACK trả lời . Đây là sự thiết lập gói SYN/ACK của máy nhận đến địa chỉ IP của SYN. Điều đó thậtt chính xác như chúng ta mong muốn .
Chú ý rằng,trong khi màgói của client đã được gửi đến cổng dịch vụ của server port 80 điều đó chúng ta đã bàn ở phần trên .Những gói đáp lại của server thì quay lại từ port dịch vụ tương ứng .Trong phần kế tiếp ,chỉ có địa chỉ IP của máy gửi và máy nhận đã được thay đổi trong những gói quay trở lại .
Sự tiếp nhận của client từ gói SYN/ACK của server đáp ứng sự chấp nhận kết nối của client.Nó luôn luôn đáp ứng cho client,và đường dẫn khứ hồi luôn luôn tồn tại giữa client và server .Nếu server không thể hoặc không bằng lòng kết nối TCP của client,nó sẽ trả lời với một gói RST/ACK ,hoặc một gói ICMP -cổng không thể kế nối được, để báo tin cho client biết rằng sự trả lời kết nối đã bị từ chối
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Other posts in the same group:

DRDoS-Distributed Reflection Denial of Service - 1
Go to top Go to original post  

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|