banner
 .::Exploit::. DRDoS-Distributed Reflection Denial of Service - 7 Go to original post Author: GRC.com - Translator: Nguyễn Trác Huy - Entry Date: 14/02/2009 01:50:52
Victim có thể làm gì ?

Victim có thể làm gì ?mặc dù không muốn phải nằm trong khả năng hứng chịu hàng trăm ,hàng ngàn,thậm chí hàng triệu cuộc tấn công , đôi khi mỗi một gói SYN/ACK hợp lệ được gửi đi riêng biệt cũng có cơ may mạng của bạn sẽ có nhiều điều đáng phải lo lắng thật sự và…….

Với một bit thông minh hơn từ những kẻ tấn công .nó tạo ra một sự nguy hiểm thật sự
Thực hiện cách sử dụng ánh xạ

Nếu trạng thái tình thế bên trên không quá xấu ,thêm vào đó la sự thông minh hơn của những người tấn công có thể tạo ra nhiều thứ tệ hại hơn .Chúng tra dễ dàng bắt gặp một bảng tóm tắt dài về các server ánh xạ kết nối mạng nhanh có thể đang hoạt động và đang được quản lý .Vũ trang với một với một bảng tóm tắt server ánh xạ có khả năng cao ,hãy tiếp tục và bình tĩnh trước dòng chảy của các trận làm tràn lưu lượng thông tin có thể được tập trung vào để chống lại mạng của Victim trong khi băng qua tập hợp con của toàn bộ bảng tóm tắt server ánh xạ . Đôi lúc chỉ một phần nhỏ của toàn bộ bảng tóm tắt server ánh xạ sẽ được sử dụng
Thực hiện cách sử dụng ánh xạ sẽ đem đến một tác dụng của sự biến đổi liên tiếp tất cả những đường dẫn tấn công ,thực hiện và sử dụng chúng một cách tối ưu đôi khi chẳng bao giờ làm giảm bớt những cuộc chống lại mạng
Do bởi tính chất của sổ tay là ghi lại sự rút lui của cuộc tấn công ,theo sau những lùông dữ liệu nhỏ riêng lẻ là những dòng flood to lớn theo sau..Nhưng không có gì khó chịu hơn là những dòng dữ liệu nhỏ đang “chảy”liên tục bổng ngưng rồi tiếp tục “chảy”tiếp.Trong thực tế ,với công nghệ router hiện tại thì nó hầu như không thể xãy ra

Sự khuếch tán ánh xạ

Hệ quả quan trọng khác của việc sử dụng một bảng kiểm kê server ánh xạ lớn là “Khuếch tán ánh xạ “với những kẻ tấn công các gói flood Syn bắt đầu đi ra ngoài “sprayed”và trải rộng khắp phần lớn những server ánh xạ , không có server ánh xạ đơn nào nhận được những sự “quấy rối” từ những gói SYN .Từ khi những kết nối “half-open “ sẽ bị huỷ bỏ trong vòng một đến hai phút,con số “nhùng nhằng” chẳng bao giờ kết thúc ,những kết nối TCp “half-open” sẽ chẳng bao giớ phát tán lớn hơn được nữa .Bởi vì server sẽ dễ dàng thấy được client huỷ bỏ kết nối -điều đó có thể và xảy ra thường trình giữa server và client - một cấo độ thấp của sự phát sinh ra các gói ánh xạ tinh vi hầu như chắc chắn chẳng bao giờ tạo ra sự báo động ở hầu hết các server.Mặc dù một nhà điều hành mạng chú tâm có thể ngạc nhiên về sự thu thập một cách liên tục của sự luôn luôn thay đổi các kết nối “half open”.chắc chắn Sẽ có sự nghi ngờ bởi vì server đã bị lỗi do một cách nào đó

Nhân băng thông

Một sự thông minh và một đặc điểm quan trọng của một vài cách tấn công ánh xạ TCP là sự phát ra cùng lúc nhiều cuộc tấn công SYN/ACK từ các server ánh xạ hơn là gây ra một lưu lượng SYN.Bởi vì TCP tự động gửi lại các gói hỏng ,các server ánh xạ sẽ phát sinh ra cùng lúc nhiều trận flood SYN/ACK ra ngoài hơn là họ nhận từ các host phát sinh SYN
Cho mỗi một gói SYN nhận được bởi server ánh xạ TCP,cần đến 4 gói SYN/ACK thì server sẽ gởi đi . Điều này sẽ xuất hiện bởi vì sự tập trung router của victim phần lớn sẽ bị huỷ bỏ vì lưu lượg flood đi vào .Một server ánh xạ sẽ nhận được sự không đáp lại từ gói SYN/ACK sẽ tin tưởng rằng gói này đã bị hỏng dọc đường và sẽ gởi lại gói SYN/ACK hỏng trước khi gửi lại thông tin để huỷ bỏ kếtt nối
Đây là một hiện tượng có kết quả thú vị của sự tấn công có mục đích phân bố rộng khắp mạng với thời gian chỉ một vài phút

Có thể điều khiển sự cải tiến

Theo cuộc tấn công DdoS truyền thống sử dụng một mạng lớn của các máy tấn công cho hai kết quả :Thứ nhất là tạo ra một khối flood lớn và thứ hai là để khuyếch tán nguồn tấn công của họ .Cho một mục tiêu ,là sự kết hợp tính nhân của băng thông và cấp độ lớn của đường dẫn khuyếch tán được cung cấp bởi các cuộc tấn công ánh xạ phân tán ,theo một cách truyền đạt có ý nghĩa đặc biệt làm biển đổi số host đòi hỏi cung cấp một yêu cầu làm tràn băng thông và có khả năng huỷ bỏ đường dẫn quay trở lại .Kết quả là sẽ dể dàng hơn trong việc láp ráp và bảo dưỡng mạng –các host bị cuộc tấn công làm tổn thương ,và sẽ có nhiều cơ hội hơn trong việc khám phá bản chất và nơi xuất phát của cuộc tấn công

Sự lén lút

Vẻ bề ngoài lén lút của cuộc tấn công này là thjiếu tạo ra một vài lưu lượng “backscatter” .Các cuộc tấn công ánh xạ sẽ không xuất hiện trên “màn hình theo dõi “.Sự giả mạo nguồn flood Syn IP và hình dạng khác của các cuộc tấn công giả mạo IP.KHông giống như các cuộc tấn công giả mảo IP truyền thống ,nó tạo ra một đặc trưng tiêu biểu các nguồn IP một cách ngẫu nhiên ,nhiều IP xuất hiện với cái vẻ bề khác của cuộc tấn công ánh xạ chuyển đến một máy thực tế -mỗi một server ánh xạ hoặc điểm tấn công .
Với tất cả những lý do ,những cuộc tấn công từ chối dịch vụ ánh xạ phân tán có thể dễ dàng tạo ra và sửa chữa chúng và chúng có một sức thuyết phục mạnh mẽ

Thêm chứng cớ

Trong khi tôi đang viết trang này .Một bài viết có tên là “bugtraq”xuất hiện trong danh sách mail cuả chúng tôi
“Trong một vaì ngày tơí ,tôi sẽ nhận được một cái gì đó tương tự như là cuộc tấn công flood SYN trên port 80 vượt qua tất cả những điạ chỉ IP trên mạng cuả tôi .Tuy nhiên,nếu nó là flood ,nó sẽ không quá mạnh .Những cấu hình bình thường cũng có thể giữ những luồng mà không gặp bất cứ vấn đề gì ,nhưng những gói Syn sẽ chảy một cách đều đặn . Điạ chỉ nguồn IP sẽ lưu lạI và không thay đổI từ một đến hai phút và sau đó thì dừng lạI ,sau đó một vaì điạ chỉ IP khác bắt đầu gửI những dòng SYN cuả chính nó ,mặc dù thỉnh thoảng đôi khi có nhiều hơn một host sẽ gửI lưu lượng thông tin trong thờI gian này .Các điạ chỉ nguồn là một sự đa dạng cuả mạng ,nhưng có vẻ phù hợp vớ mạng dùng dial up hoặc những sự kết nốI đơn giản
Nó có vẻ giống như sự cố gắng nhằm vào cuộc tấn công từ chốI dịch vụ ,nhưng tạI sao nó lạI phô trương ra ngoài quá nhiều Điạ chỉ IP đích (Nhiều điạ chỉ không có thật trên mạng )Nhưng tạI sao lạI flood một cách yếu ớt và không có bất cứ cái gì gây ảnh hưởng thực tế “
Nếu bạn co theo dõi phần thảo luận này ,bạn sẽ nhận sét rằng đó là một vấn đề hoàn toàn đúng –cái mà một nhà quản trị mạng giỏI cuả các server ánh xạ sẽ thấy rằng khi server cuả học đã tham gia vào trong cuộc tấn công ánh xạ .Anh ta hiểu sai về dấu tích một bit cuả anh ta ,bởI vì anh ta không có một sự hiểu biết thấu đáo rằng server cuả anh ta đang bị sử dụng như là một server ánh xạ .Anh ta thấy được một sự lưu thông liên tục (mà không phảI là flood )cuả những gói SYN đến từ một số IP lạ ,nó có thể thính lình thay đổI và xuất hiện trong nguồn cuả IP khác .Chúng tôi biết đây là một điều đúng đắn để thay đổI mục tiêu tấn công
Từ một viễn cảnh cuả server ánh xạ ,những nguồn rõ rằng cuả các gói SYN là một mục tiêu tấn công thực tế , để mà server cuả anh ta được gửI những lưu lượng các gói SYN/ACK một cách nhẹ nhàng –không mạnh mẽ như flood .Băng thông ra ngoài cuả anh ta hầu như chắc chắn nhiều hơn gắp 4 lần lưu lượng SYN đi vào ,như là một sự giảI thích cho sự thật về những kết nốI và nói rõ về tình trạng “SYN_RECVD”.. Điều naỳ có nghiã là chúng chờ đợI sự trả lờI cuả client (nơi mà chúng không thể đến )và gửI lạI các gói SYN/Ack , để thực hiện một cuộc tấn công nhân băng thông
Như bạn đã thấy ở baì viết bên trên .Tôi ngay lập tức trả lờI trong danh sách vớI lờI giảI thích cặn kẻ cuả tôi về cái mà anh ta đã thấy .Trước khi sự đáp lạI cuả tôi bị loan truyền trong danh sách mail cuả một vài nhà quản trị mạng tinh mắt khác
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Other posts in the same group:

DRDoS-Distributed Reflection Denial of Service - 7
Go to top Go to original post  

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|