“Vâng ,chúng ta có thể thấy một vài thứ ở đây .Nó xuất hiện một cách có ảnh hưởng rất lớn khi cuộc tấn công là một điểm tạI subnet cùng vớI sự chia sẽ web server -vớI nhiểù IP giơí hạn một vaì giao diện .Thì luôn cố gắng sử dụng như là một hệ thống ánh xạ để flood các điạ chỉ IP đặc biệt “
“Chúng tôi đã từng thấy một vài tình huống tương tự ở một vài ngày trước .Nó diễn tả một cuộc tấn công chống lạI một công ty IRC server.Nguồn điạ chỉ bị giả mạo và sử dụng điạ chỉ web công khai cuả chúng tôi như là một ánh xạ “
“Vâng chúng tôi cũng thấy chúng ở đây .Tất cả thật là lạ lùng
Chúng tôi bắt đầu thông baó chúng sớm nhất trong tháng 2,kiểm tra phần đầu còn nguyên cuả file log để hiển thị những hoạt động sớm nhất vào ngày 15 tháng 1 .Chúng ta đã nhận được thông baó rằng chúng có vẻ như đến từ một phạm vi giớI hạn cuả các IP .Nhiều điạ chỉ trong số chúng dường như đến từ các trường đaị học .Sau khi thông báo một vài điạ chỉ trong số chúng và nhận được sự phản hồI từ phiá nhà cung cấp dịch vụ và họ sẽ block các điạ chỉ IP này lạI và họ sẽ tiếp tục điều tra các điạ chỉ khác
Chúng tôi luôn thấy một chuỗI các con số miêu tả sự kiện bắt đầu giống hệt nhau cho các gói tin lớn .Chúng tôi phát hiện một số lưu lượng thông tin co điạ chỉ IP đến từ Hàn Quốc và chúng gởI hơn 1,000,000 gói tin trong thờI gian là một giờ ,có nghiã là sấp xỉ 10,000 đến 30,000 gói trong vòng một giờ
Chúng tôi luôn nhận được thông báo các gói đó có điạ chỉ nguồn và đích đều mang Port là 23
Chúng tôi đã gọI nó là cuộc tấn công “Stuttering SYN”.Sự lo lắng cuả bạn là điều đầu tiên mà tôi có thể thấy đầu tiên VÀ tôi sẽ fix nó trong vòng một tuần “
Nên nhớ rằng từ khi nhà quản trị mạng thấy được các cuộc tấn công ánh xạ SYN,chuyển đến” lưu lượng thông tin từ một phạm vi giớI hạn cuả các IP”có thể là một Dozen.Nhiêù trong số chúng có vẻ như đến từ trường đạI học ,thực tế có nghiã là chúng là mục tiêu cuả cuộc tấn công ánh xạ ,Nơi mà server cuả anh ta vô tình đóng góp vào cuộc tấn công ánh xạ
“Tôi có hai web server trên hai mạng khác nhau và đã nhận được những lưu lượng thông tin như thế trong 2-3 tuần .Một vaì nguồn ip đánh cả hai host trong một thờI gian trùng nhau . Đây là một lưu lượng thông tin có tỷ lệ thấp và gói ACK phát sinh ra quay trở lạI đích .Tôi đã mở file log cuả tôi ra và đọc những hoạt động trong đó và tóm được một vài thông tin (gói ).Tôi nghi ngờ rằng có nhiều hơn một máy tính được đặt cơ sở làm host ánh xạ trong một khoảng thờI gian không cố định cuả một ngaỳ
Trên thực tế hai server khác nhau tại những vị trí khác nhau trên mạng đều nhận được các gói SYN cùng lúc từ một vài nguồn IP giả mạo cho biết rằng các máy tính trong hai vùng IP khác nhau thì cả hai đều nằm trên “bảng kiểm kê server ánh xạ “và bị tham gia một cách vô tình vào một vài cuộc tấn công
Chúng tôi có một vài bằng chứng rằng các công cụ để gây ra các cuộc tấn công có thể bắt đầu xuất hiện vào đầu tháng 11 năm 2001.Chúng tôi không có khả năng phán đoán độ rộng lớn của các cuộc tấn công ánh xạ để cho đến khi các nhà quản trị mạng bắt đầu tìm kiếm dấu hiệu nhận biết ra những trận flood SYN với cường độ thấp trong server của họ.
Dịch từ nguồn http://www.grc.com/dos/drdos.htm
|