<![CDATA[Messages posted by "StarGhost"]]> /hvaonline/posts/listByUser/104713.html JForum - http://www.jforum.net Một hệ thống như Cloudflare /hvaonline/posts/preList/45735/281165.html#281165 /hvaonline/posts/preList/45735/281165.html#281165 GMT Hỗ trợ khẩn cấp về mạng internet giúp em, các mem ơi? /hvaonline/posts/preList/45725/281083.html#281083 /hvaonline/posts/preList/45725/281083.html#281083 GMT Xin các tiền bối cho lời khuyên chuyển ngành hay không /hvaonline/posts/preList/45710/281016.html#281016 /hvaonline/posts/preList/45710/281016.html#281016 GMT Xin tư vấn cách chống ddos hiệu quả hơn /hvaonline/posts/preList/45600/280750.html#280750 /hvaonline/posts/preList/45600/280750.html#280750 GMT Làm thế nào để trờ thành một "Siêu Lập trình viên"? /hvaonline/posts/preList/45629/280639.html#280639 /hvaonline/posts/preList/45629/280639.html#280639 GMT Học bảo mật bắt đầu từ đâu, em là trang giấy trắng em muốn đi theo bảo mật ạ , Nhưng hiện giờ em chưa biết gì về nó   Không biết bảo mật là cái gì vậy mà muốn đi theo nó? Bạn này chắc là bị một bạn tên là "bảo mật" dụ kẹo. Đề nghị bạn "bảo mật" đứng ra nhận trách nhiệm. Còn lại, đối với các bạn khác sắp bị "dụ kẹo", hoặc đã bị "dụ kẹo" bởi bất cứ thứ gì, thì trước khi quyết định đi theo nó nên tìm hiểu kĩ xem nó là cái gì, tránh việc tiền mất tật mang. Bạn nào than phiền không biết bắt đầu từ đâu, thì đáng tiếc mình phải nói rằng: phẩm chất của các bạn chưa đủ để "đi theo bảo mật" (đại khái giống như con người ở thời đại này tham sân si quá nặng không thể tu thiền giải thoát, phải tìm lối "tắt mà không tắt"như tu Tịnh độ). ]]> /hvaonline/posts/preList/45626/280617.html#280617 /hvaonline/posts/preList/45626/280617.html#280617 GMT Cơ chế xác thực mật khẩu an toàn nếu không có SSL /hvaonline/posts/preList/45624/280611.html#280611 /hvaonline/posts/preList/45624/280611.html#280611 GMT Cơ chế xác thực mật khẩu an toàn nếu không có SSL /hvaonline/posts/preList/45624/280600.html#280600 /hvaonline/posts/preList/45624/280600.html#280600 GMT Checklist audit về security /hvaonline/posts/preList/45584/280389.html#280389 /hvaonline/posts/preList/45584/280389.html#280389 GMT Tình huống HSRP trong mạng LAN có 2 Switch 3560. /hvaonline/posts/preList/45555/280301.html#280301 /hvaonline/posts/preList/45555/280301.html#280301 GMT HeartBleed là cái gì?

Fly91 wrote:

invalid-password wrote:
Nếu bạn không phải là người nghiên cứu về các lỗ hổng mà chỉ là người quản trị, đảm bảo an toàn mạng thì bạn chỉ cần biết rằng hiện nay đang có một cái lỗ hổng gọi là HeartBleed, nó ảnh hưởng tới những cái gì-hệ thống nào, và cần làm gì (patch, update) để khắc phục nó, hết. Mình thì mình không nghiên cứu về các lỗ hổng, đọc thì nhức đầu, mà cũng không dùng làm gì cả, lại mau trôi qua và chìm vào quên lãng, nên mình không đọc :D Mình cũng làm về sờ-cu rờ-ti (security) nè, việc của mình chỉ đơn giản là cài patch, sau đó lãnh lương. Nghề bảo mật thật là đơn giản ! 
nghe anh nói về nghề sờ-cu rờ-ti hay và đơn giản nhỉ ^^ em thích làm quá đi ạ^^ 
Muốn làm được công việc đơn giản đó trước hết bạn phải được người ta nhận vào làm cái đã. ]]>
/hvaonline/posts/preList/45568/280298.html#280298 /hvaonline/posts/preList/45568/280298.html#280298 GMT
Gặp lỗi khi tấn công SQL Injection /hvaonline/posts/preList/45538/280129.html#280129 /hvaonline/posts/preList/45538/280129.html#280129 GMT Lớp học Hacking - Scriptkiddies class xnohat đang nhàn nhã.]]> /hvaonline/posts/preList/45425/279623.html#279623 /hvaonline/posts/preList/45425/279623.html#279623 GMT Làm thế nào để request SYN/ACK về có dung lượng lớn?

Mũ Trắng wrote:

conmale wrote:
Những thứ em trình bày ở trên không phải là drDoS. Cần bao nhiêu "máy chủ" bị spoofed để tạo ra DDoS? 
Vậy như nào mới là drdos hả anh? Anh giải thích giúp em với! Em đã vừa đọc lại rất kỹ các tài liệu drdos cả trong HVA và cả tài liệu gốc nữa, những thứ em đang hiểu chính là những điều em vừa nói.  
Một cuộc tấn công DRDoS cần thoả mãn 2 yêu cầu sau: 1. attacker giả mạo victim và gửi hàng loạt requests đến nhiều nơi, và mỗi request sẽ tạo ra reply gửi trả về victim, và 2. chi phí cho việc tạo ra mỗi request phải ít hơn (nhiều) so với chi phí mà request đó tạo ra cho victim. Các attacks dùng source routing trong quá khứ thoả mãn cả 2 điều kiện, nên chúng là một ví dụ của DRDoS. ]]>
/hvaonline/posts/preList/45328/279194.html#279194 /hvaonline/posts/preList/45328/279194.html#279194 GMT
Hỏi về buffer overflow /hvaonline/posts/preList/45339/279182.html#279182 /hvaonline/posts/preList/45339/279182.html#279182 GMT Giúp em phân tích mô hình Bảo mật mới này /hvaonline/posts/preList/45314/279172.html#279172 /hvaonline/posts/preList/45314/279172.html#279172 GMT Giúp về cách phát hiện xâm nhập trong VoIP /hvaonline/posts/preList/45288/278967.html#278967 /hvaonline/posts/preList/45288/278967.html#278967 GMT Tại VN đã có công ty nào hỗ trợ việc xếp hàng thông minh chưa nhỉ? /hvaonline/posts/preList/45121/278341.html#278341 /hvaonline/posts/preList/45121/278341.html#278341 GMT Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu /hvaonline/posts/preList/45083/278146.html#278146 /hvaonline/posts/preList/45083/278146.html#278146 GMT Review bảo mật trong GBProtocol, giao thức truyền file nhanh hơn FTP

ldd wrote:
Mình rất mong có những chuyên gia cảm thấy thú vị để "ngồi nghịch" giao thức này như bạn nói! Hãy xem điều đó như một cuộc dạo chơi, một chút "bé yêu khoa học", một chút khám phá...  
Mình e rằng các chuyên gia thực thụ sẽ không có thời gian ngồi nghịch giao thức của bạn, vì rằng trên thế giới ở mỗi thời điểm luôn có hàng ngàn người đang làm y như bạn. Thứ nhất, giao thức của bạn hiện ở trình trạng đóng, thứ hai, nó chưa có đặc điểm nào thực sự mới hoặc nổi trội. Ví dụ: truyền file qua HTTP hỗ trợ cả nén và mã hoá.

ldd wrote:
Như mình đã đề cập ở bài gần nhất, thì đây là 1 giao thức lai giữa FTP và SSL. Còn điểm đặc biệt thì có lẽ sẽ còn nhiều vì đây là giao thức tự chế, nghĩa là mình có thể thêm vào bất kỳ một logic mới nào đó (và vẫn phải dựa trên nền TCP). Mình có thể ví dụ nhé: như mỗi lần truyền tải thì dữ liệu sẽ được mã hoá theo một kiểu khác nhau, và thứ tự các kiểu mã hoá này là random. Hoặc có thể dùng nhiều kiểu mã hoá bất đối xứng trong cùng 1 phiên gửi nhận dữ liệu... đây chỉ là ý tưởng, mình chưa hiện thực nó vào GBProtocol vì nghĩ rằng làm thế sẽ ảnh hưởng nhiều đến tốc độ truyền tải dữ liệu.  
Quan điểm chủ quan của mình là bạn chưa thực sự nắm vững về lĩnh vực mật mã nên mới đưa ra những ý tưởng trên. Bạn đã bắt chước SSL, vậy tại sao không dùng thẳng SSL luôn? Hơn nữa SSL đã lỗi thời, có lẽ bạn nên tham khảo TLS.

ldd wrote:
Điểm đặc biệt của GBProtocol là việc truyền tải dữ liệu ở chế độ mã hoá hoặc không mã hoá là vẫn trên cùng 1 port, không giống như các chuẩn khác phải là 2 port riêng rẽ cho chế độ mã hoá và không mã hoá.  
Mình chưa hiểu điểm đặc biệt này nó đặc biệt ở chỗ nào. Việc chia ra 2 port riêng biệt sẽ giúp ích rất nhiều trong việc quản lý, trong tiếng anh người ta gọi là fine granularity. ]]>
/hvaonline/posts/preList/45004/277887.html#277887 /hvaonline/posts/preList/45004/277887.html#277887 GMT
Review bảo mật trong GBProtocol, giao thức truyền file nhanh hơn FTP /hvaonline/posts/preList/45004/277843.html#277843 /hvaonline/posts/preList/45004/277843.html#277843 GMT Về modem và kiến trúc phân tầng OSI /hvaonline/posts/preList/44810/276281.html#276281 /hvaonline/posts/preList/44810/276281.html#276281 GMT Phòng chống Padding Oracle Attack /hvaonline/posts/preList/43837/271624.html#271624 /hvaonline/posts/preList/43837/271624.html#271624 GMT Queuing Delay

duyvu09 wrote:
Chào mọi người. Mình có đọc trong cuốn sách Computer Networking-A Top-Down Approach Featuring the Internet và đến phần Queuing Delay http://210.43.128.116/jsjwl/net/kurose/introduction/delay.htm) có đoạn ví dụ: When is the queuing delay big and when is it insignificant? The answer to this question depends largely on the rate at which traffic arrives to the queue, the transmission rate of the link, and the nature of the arriving traffic, i.e., whether the traffic arrives periodically or whether it arrives in bursts. To gain some insight here, let a denote the average rate at which packets arrive to the queue (a is units of packets/sec). Recall that R is the transmission rate, i.e., it is the rate (in bits/sec) at which bits are pushed out of the queue. Also suppose, for simplicity, that all packets consist of L bits. Then the average rate at which bits arrive to the queue is La bits/sec. Finally, assume that the queue is very big, so that it can hold essentially an infinite number of bits. The ratio La/R, called the traffic intensity, often plays an important role in estimating the extent of the queuing delay. If La/R > 1, then the average rate at which bits arrive to the queue exceeds the rate at which the bits can be transmitted from the queue. In this unfortunate situation, the queue will tend to increase without bound and the queuing delay will approach infinity! Therefore, one of the golden rules in traffic engineering is: design your system so that the traffic intensity is no greater than one. Mình đọc và không hiểu lắm!, ví dụ như "a" có phải là tốc độ trung bình của một gói tin đến queue hay không?, "that all packets consist of L bits" có phải ý là tất cả các gói tin đều có độ dài là L bit?. và tại sao tốc độ trung binh mà bits(bits ở đây là tổng số bit của 1 packet?) đến queue lại là La bits/sec?. Mong các bạn giúp mình. Cảm ơn mọi người. (Anh văn mình rất là kém, mình đang tập đọc tài liệu anh văn!, có thể trên đây là những câu hỏi khá cơ bản với mọi người, nhưng mong các bạn giúp mình). 
Vấn đề của bạn thuộc về phạm trù đọc hiểu tiếng Anh hơn là về kiến thức. a ở đây không phải là tốc độ, mà là số lượng packets đến mỗi giây. L là độ lớn mỗi packet (theo bit). Như vậy La là số lượng bits đến mỗi giây. R là số lượng bits được chuyển tiếp mỗi giây. ]]>
/hvaonline/posts/preList/43120/268135.html#268135 /hvaonline/posts/preList/43120/268135.html#268135 GMT
Hỏi về vụ tấn công mạng vừa rồi của HVA ?

conmale wrote:
Cho đến bây giờ vẫn chưa thu thập được những thông tin cốt yếu để xác định HVA vừa bị tấn công cụ thể như thế nào bởi vì ngay khi luồng DDoS ập vào thì nhà cung cấp dịch vụ đã "null-route" trọn bộ traffic đến IP của HVA. Bởi thế, từ bên trong máy chủ, mình không có cách nào capture được thông tin cụ thể. Xét trên biểu hiện tổng quát thì dường như đây là một dạng spoof IP để DDoS bởi vì trên logs của máy chủ có một số thông tin về cảnh báo spoof IP ngay trước lúc nhà cung cấp dịch vụ tiến hành "null-routing". Đây chỉ là phỏng đoán và không chắc là đúng vì không có bằng chứng cụ thể ở cấp độ "packet". Giải pháp hiện thời là tạo ra một loạt (càng nhiều càng tốt) các reverse proxies đứng trước HVA để chẻ traffic ra thành nhiều phần nhỏ nhằm tránh tính trạng 1 máy chủ bị "null-route". 
Anh conmale cho em hỏi là ISP tiến hành "null-routing" là do họ tự nguyện hay là do anh thuê cái dịch vụ "null-routing" này của họ? Nếu họ tự nguyện thì anh có biết lí do tại sao họ lại bỏ công sức ra làm vậy hay không? Cám ơn anh.]]>
/hvaonline/posts/preList/42677/266472.html#266472 /hvaonline/posts/preList/42677/266472.html#266472 GMT
Chủ đề: DDoS đi về đâu?

conmale wrote:
Mình đang nói đến điểm mạnh và yếu của giao thức mà. Mình chưa bàn đến băng thông.  
Nói về khả năng chống DDoS của IPv6, hay nói đúng hơn là của IPSec, nhận định của em là như sau: - Giống như TCP SYN flood, IKEv2 hoàn toàn có thể bị DDoS bằng cách tương tự với các kết nối half-open từ fake(forged) IP. - Cả TCP và IKEv2 đều hỗ trợ cookie, chỉ riêng điểm này đã nói lên vấn đề với IKEv2 - IKEv2 tệ hơn TCP ở chỗ, khi không hỗ trợ cookie, IKEv2 cần nhiều computing power hơn để xử lý half-open connections, vì nó phải giải mã packet. - Cả TCP và IPSec đều chống được IP spoofing/forging cho các layer cao hơn nó. - IPSec có lợi thế hơn TCP ở chỗ nó hoạt động ở IP layer, còn TCP ở tầng cao hơn, và vì thế quá trình bóc tách headers cho mỗi packet cũng ít hơn 1 lần. - Tuy nhiên, với các kiểu DDoS giả dạng flash crowds, TCP chắc là "sống khoẻ" hơn IPSec nhiều vì nó không đòi hỏi encryption và integrity check. Từ đó, em nghi ngờ về nhận định rằng với việc IPv6 được sử dụng đại trà, tình trạng và hậu quả của DDoS sẽ được cải thiện.

conmale wrote:
Chuyện DDoS thì không bao giờ có thể triệt tiêu hoàn toàn được. Chỉ có thể giảm thiểu. 
Đây là vì anh chỉ đứng dưới góc độ của end systems nên mới có nhận định như thế. Cái em muốn thảo luận là về các đặc điểm của một mô hình lí tưởng mà ở đó có thể (chỉ là ví dụ) botnets vẫn tồn tại, nhưng mà dùng nó đi tấn công bất cứ hệ thống nào, dù nhỏ dù lớn, dùng bất cứ phương pháp gì (kể cả bandwidth DDoS) cũng không còn nhiều tác dụng (ví dụ: bị dập tắt chỉ sau 5-10 phút). Bối cảnh đó khác hoàn toàn với tình trạng "sống chung với lũ" và "mạnh ai nấy lo" hiện nay.]]>
/hvaonline/posts/preList/42793/266381.html#266381 /hvaonline/posts/preList/42793/266381.html#266381 GMT
Chủ đề: DDoS đi về đâu?

conmale wrote:
- Nếu chủ nhân không muốn tham gia DDoS và là nạn nhân thì trước tiên chỉ có mỗi "nạn nhân" ấy bị block thay vì hàng loạt người bị block như tình trạng hiện nay. Cái này giúp giảm thiểu "từ chối dịch vụ" do chính biện pháp ban. Nếu 100000 static IPv6 IP bị ban thì chỉ 100000 IP đó bị ban thay vì 100000 x 10 hoặc x 100 bị ban như IPv4 hiện nay thì vẫn tốt hơn.  
À như vậy thì hậu quả DoS so với IPv4 được giảm đi 10 hoặc 100 lần. Nhưng mà như vậy liệu đã phải là cái đích cuối cùng của cuộc chiến chống DDoS?

conmale wrote:
- IP Spoofing không tồn tại với IPv6 được.  
Ở đây theo em hiểu ý của anh là receiver hoàn toàn có thể xác định IP address của sender trước khi tiến hành communicate ở các layer cao hơn. Điều này thì em đồng ý. Tuy nhiên IPv6 với IPSec căn bản không có chống được ai đó spoof (hoặc nói đúng hơn là fake) IP address và gửi packet khi bắt đầu IKE. Dù IKE có khả năng chịu đựng DDoS tốt hơn các protocol ở layer cao như TCP, nhưng hoàn toàn khác với việc chỉ cần nhìn IP address sau đó drop và drop.

conmale wrote:
- Người bị DDoS (chủ máy, chủ hệ thống) ban chớ chẳng có ISP nào ban cả. Người bị DDoS có trọn quyền cho phép hoặc ban bất cứ nguồn IP nào vi phạm. Nếu "nạn nhân" bị ban vì chính máy mình là zombie thì người bị ban phải có trách nhiệm tự xoá zombie, tự phục hồi để không bị ban.  
Vậy còn vấn đề bandwidth DDoS thì sao anh? Nếu bandwidth của anh bị bão hoà thì dù anh có cấu hình firewall kiểu gì cũng vô ích. ]]>
/hvaonline/posts/preList/42793/266320.html#266320 /hvaonline/posts/preList/42793/266320.html#266320 GMT
Chủ đề: DDoS đi về đâu?

conmale wrote:
Chuyển sang IPv6 thì 90% những kẻ hở của giao thức trong IPv4 sẽ bị loại bỏ và bởi thế, DDoS cũng bị loại bỏ 1 phần lớn. Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS ;). 
Anh có thể cho một số ví dụ về kẽ hở của IPv4 mà sau khi được khắc phục bởi IPv6 thì DDoS sẽ bị hạn chế? Còn câu sau của anh thì em không đồng ý, có 3 lí do: - một IP được sử dụng để DDoS không phải là do chủ nhân IP đó muốn, mà là do thiết bị sử dụng IP đó đã trở thành zombie. Nếu IP đó bị ban, thì lại nảy sinh một vấn đề DoS mới, mà anh tưởng tượng giả sử một botnet khoảng 100000 máy bị dùng làm DDoS, mà nếu ban IP của 100000 máy đó thì không phải là DoS trên diện rộng sao. - nếu IP spoofing vẫn còn tồn tại, làm sao tìm ra chính xác 100000 máy trong botnet để ban IP - kể cả tìm ra được, ai sẽ thực hiện việc ban IP? ISP chăng? Tier 3, tier 2, hay tier 1 chăng? Họ được lợi gì trong việc đó?]]>
/hvaonline/posts/preList/42793/266254.html#266254 /hvaonline/posts/preList/42793/266254.html#266254 GMT
Chủ đề: DDoS đi về đâu? /hvaonline/posts/preList/42793/266150.html#266150 /hvaonline/posts/preList/42793/266150.html#266150 GMT Tìm hiểu về các giao thức bị sniff trên các tầng của mô hình OSI /hvaonline/posts/preList/42757/266149.html#266149 /hvaonline/posts/preList/42757/266149.html#266149 GMT