<![CDATA[Latest posts for the topic "Điểm yếu TCP"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net Điểm yếu TCP /hvaonline/posts/list/27563.html#168497 /hvaonline/posts/list/27563.html#168497 GMT Điểm yếu TCP

antidos wrote:
Đợt rồi tết có mấy ngày nhàn rỗi nên tôi vô tình nghĩ ra và đã viết 1 công cụ tự động khai thác điểm yếu trong các ứng dụng trên Internet. Khi dùng 01 máy tính tấn công vào các web site nhỏ và vừa (ước lượng có cỡ 10 máy chủ trở xuống) thì tất cả đều không chống được. Tôi chợt nhớ ra VN có 1 nhóm hacker là hva nên thử trên server của hva, và server hva cũng k0 tránh khỏi. Vào lúc 17:10 giờ HN, tôi sẽ thử tiếp 1 lần nữa (kéo dài tối đa 5p). Mời các bạn quan sát và bình luận về vấn đề an ninh này.  
Trong khi tấn công, muốn kiểm tra tình hình HVA thì đừng nên dùng 1 trong chuỗi các IP đang dùng để tấn công HVA mà duyệt HVA (vì sẽ không duyệt đâu). Nên dùng 1 IP hoàn toàn tách rời mà thử kiểm tra xem HVA còn sống hay chết.]]>
/hvaonline/posts/list/27563.html#168504 /hvaonline/posts/list/27563.html#168504 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168505 /hvaonline/posts/list/27563.html#168505 GMT Re: Điểm yếu TCP

antidos wrote:
Tôi dùng 1 máy khác máy đang dùng để test. Hơn nữa cuộc tấn công này ứng dụng web không nhận biết được, nên script hva dùng để chặn k0 cho truy cập liên tiếp k0 có tác dụng. Cái script này đặt ngưỡng thấp quá, mới click mấy cái đã kêu người dùng click nhanh hơn tốc độ anh sáng rồi. Lúc 18:00 tôi sẽ test thêm 5 phút nữa cho các admin quan sát rồi đi ăn tối. Nếu có thể thì gửi các CPU, RAM, traffic, ... graphs lên để mọi người tham khảo. PS: Hi vọng hình thức test này k0 bị phản đối. 
Mảng "đọc nhanh như ánh sáng" chỉ là một mảng trên cùng của cơ chế bảo vệ. Đừng quá quan tâm đến mảng này. Tầng thấp nhất cũng là tầng IP là cùng chớ không thể là tầng physical được :P ]]>
/hvaonline/posts/list/27563.html#168510 /hvaonline/posts/list/27563.html#168510 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168518 /hvaonline/posts/list/27563.html#168518 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168533 /hvaonline/posts/list/27563.html#168533 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168541 /hvaonline/posts/list/27563.html#168541 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168542 /hvaonline/posts/list/27563.html#168542 GMT Re: Điểm yếu TCP

LeVuHoang wrote:
Khá lý thú. Không biết log của iptables và snort trong tình huống này như thế nào. Nếu được, bác conmale post lên 1 mớ log tcpdump lúc đang thử nghiệm thì quá tuyệt.  
He he, đó là những gì em mong ước,:) Không dễ mà có được cơ hội như thế này, hi hi ]]>
/hvaonline/posts/list/27563.html#168547 /hvaonline/posts/list/27563.html#168547 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168548 /hvaonline/posts/list/27563.html#168548 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168550 /hvaonline/posts/list/27563.html#168550 GMT Re: Điểm yếu TCP

LeVuHoang wrote:
@antidos: Theo như title thì đây là lỗi của TCP/TP, nhưng sao bạn lại viết "điểm yếu trong các ứng dụng trên internet" ? TCP/IP là thuộc về giao thức, Apache là thuộc về ứng dụng. Nếu bạn muốn nói là điểm yếu của TCP/IP thì có liên quan đến three ways handshake? Sự gởi và nhận SYN/ACK? 
Chả biết nói thế nào :D Các dịch vụ chạy trên TCP hầu như đều có thể bị tổn thương nghiêm trọng bởi cách tấn công này, nên gọi là điểm yếu của TCP chắc cũng k0 có vấn đề gì. App dùng TCP mà TCP có điểm yếu thì app cũng yếu theo. Nhưng nếu app viết tốt hoặc cấu hình firewall tốt thì có thể giảm đáng kể được thiệt hại do đối phương gây ra. Trong trường hợp này máy chủ hva cấu hình chưa tối ưu nên bị hạ gục, tuy nhiên cũng đã tốt hơn khá nhiều so với cấu hình mặc định ở các site khác mà tôi thử qua, tuy nhiên vẫn còn thua nhanhoa.com ]]>
/hvaonline/posts/list/27563.html#168551 /hvaonline/posts/list/27563.html#168551 GMT
Re: Điểm yếu TCP Điểm yếu TCP  Nghe như sắp có địa chấn trên Internet. Tôi đang hồi hộp chờ đợi, nghe ngóng, nguyên cầu ... sẵn sàng mì tôm vv... để ứng cứu đơn vị bị thiên tai. - Thông báo: Để đối phó tạm thời với "Điểm yếu TCP" website của HIV đã được change sang dùng UDP.]]> /hvaonline/posts/list/27563.html#168552 /hvaonline/posts/list/27563.html#168552 GMT Re: Điểm yếu TCP

antidos wrote:
Cách tấn công này là DOS nhưng nguy hiểm hơn các cách DOS nhảm nhí vì nó có thể được dùng để shutdown hoàn toàn các dịch vụ dựa trên TCP. Người dùng sẽ không có cơ may nào dù nhỏ nhất để có thể kết nối được vào máy chủ, thế nên nếu tấn công vào ssh thì sẽ trở thành 1 thảm hoạ với các máy chủ đặt ở data center. Không hiểu hva host ở nhà hay ở data center. Những site nhỏ như hva thì có thể shutdown bằng 1 máy từ xa, nếu sở hữu trong tay 1 bot net loại nhỏ thì vấn đề trở nên đáng ngại hơn nhiều.  
Vụ này, phân tích gói tin, cộng với xem log, coi phần nào bị chiếm dụng tài nguyên (CPU, RAM) --( trừ khi cũng ko log được :( ) ... chắc là rõ nguyên nhân... Theo dự đoán của mình, thì các mod chắc là đang tìm cách ngăn chặn và sẽ là khó khăn, nếu nó nằm ở nền tảng, ấy thế chắc phải xem lại phần "firewall" quá ! Chỉ là vài suy đoán, mọi người đừng chê trách :(, dù sao cũng là 1 vấn đề thú vị :) ]]>
/hvaonline/posts/list/27563.html#168553 /hvaonline/posts/list/27563.html#168553 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168554 /hvaonline/posts/list/27563.html#168554 GMT Re: Điểm yếu TCP

LeVuHoang wrote:
@antidos: Như vậy, theo lời bạn nói. Có lẽ firewall của HVA chưa tính đến trường hợp gặp gói tin "quái" như của bạn nên bị lọt qua và từ chối dịch vụ. Bác conmale có thể sẽ thêm rule vào là được. Dù sao cũng cám ơn bạn cho biết chỗ thiếu sót. @nguyenvanhack: Vui lòng không chat chit trong box kỹ thuật. 
em đồng ý với anh Hoàng, có lẽ mấu chốt giải quyết vấn đề sẽ nằm ở firewall @hoang: tại anh không thân mật với admin chi :) , he he :D]]>
/hvaonline/posts/list/27563.html#168555 /hvaonline/posts/list/27563.html#168555 GMT
Re: Điểm yếu TCP

LeVuHoang wrote:
Trong tình huống các packet-filtering như iptables (firewall) hay snort (IDS), ossec chặn các packet "có dấu hiệu lạ" từ các máy xuất phát (blocked), thì sẽ như thế nào? Bạn đã test thử chưa? 
Như đã nói, iptables có thể dùng để hạn chế đáng kể tác động, nhưng iptables không thì không giải quyết được. Tôi không làm trong lĩnh vực bảo mật nên mới chỉ nghe nói đến IDS/IPS chứ chưa động vào lần nào, nên ko có điều kiện để test. Nhưng về căn bản, tôi đoán là IPS nếu cấu hình tối ưu thì sẽ chống được. Có 1 điều khó là cuộc tấn công này có thể qua proxy (chưa kiểm chứng), nhất là các transparent proxy của VDC, nên nếu chặn theo đ/c IP thì sẽ chặn luôn tất cả người dùng sử dụng VDC. ]]>
/hvaonline/posts/list/27563.html#168556 /hvaonline/posts/list/27563.html#168556 GMT
Re: Điểm yếu TCP Như đã nói, iptables có thể dùng để hạn chế đáng kể tác động, nhưng iptables không thì không giải quyết được.   Vậy phải chờ anh conmale thôi, tui không dám rớ tới server HVA. hehehe :D]]> /hvaonline/posts/list/27563.html#168557 /hvaonline/posts/list/27563.html#168557 GMT Re: Điểm yếu TCP

antidos wrote:

LeVuHoang wrote:
Trong tình huống các packet-filtering như iptables (firewall) hay snort (IDS), ossec chặn các packet "có dấu hiệu lạ" từ các máy xuất phát (blocked), thì sẽ như thế nào? Bạn đã test thử chưa? 
Như đã nói, iptables có thể dùng để hạn chế đáng kể tác động, nhưng iptables không thì không giải quyết được. Tôi không làm trong lĩnh vực bảo mật nên mới chỉ nghe nói đến IDS/IPS chứ chưa động vào lần nào, nên ko có điều kiện để test. Nhưng về căn bản, tôi đoán là IPS nếu cấu hình tối ưu thì sẽ chống được. Có 1 điều khó là cuộc tấn công này có thể qua proxy, nhất là các proxy của VDC, nên nếu chặn theo đ/c IP thì sẽ chặn luôn tất cả người dùng sử dụng VDC.  
Lạ thật, firewall đã là lớp ngoài cùng bảo vệ( trừ phần cứng :) ) thì nó luôn là mấu chốt giải quyết vấn đề chứ! ( trừ khi việc chặn lại ở firewall là quá sớm :( )]]>
/hvaonline/posts/list/27563.html#168558 /hvaonline/posts/list/27563.html#168558 GMT
Re: Điểm yếu TCP Có 1 điều khó là cuộc tấn công này có thể qua proxy (chưa kiểm chứng), nhất là các transparent proxy của VDC, nên nếu chặn theo đ/c IP thì sẽ chặn luôn tất cả người dùng sử dụng VDC  Đoạn này chứng tỏ Antidos không dùng cách trên.]]> /hvaonline/posts/list/27563.html#168563 /hvaonline/posts/list/27563.html#168563 GMT Re: Điểm yếu TCP

nguyenvanhack wrote:
- Thông báo: Để đối phó tạm thời với "Điểm yếu TCP" website của HIV đã được change sang dùng UDP. 
Tôi cảnh cáo bạn vì phát biểu trên.]]>
/hvaonline/posts/list/27563.html#168566 /hvaonline/posts/list/27563.html#168566 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168571 /hvaonline/posts/list/27563.html#168571 GMT Re: Điểm yếu TCP App dùng TCP mà TCP có điểm yếu thì app cũng yếu theo. Nhưng nếu app viết tốt hoặc cấu hình firewall tốt thì có thể giảm đáng kể được thiệt hại do đối phương gây ra.   Có điểm này mình không đồng ý với quan điểm của bạn. Nếu nói nôm na mình sẽ tưởng tượng là lớp TCP và lớp App như đôi chân và phần thân của một con người. Nếu đôi chân yếu (TCP) thì cả cơ thể của con người ko thể được coi là khỏe mạnh được cho dù phần thân (lớp App) có khỏe mạnh, cơ bắp có săn chắc đến đâu. Vì thế nếu app đc viết tốt đến đâu thì việc giảm thiểu gần như là không thể chứ, vì điểm yếu là giao thức ở dưới cơ mà. ]]> /hvaonline/posts/list/27563.html#168574 /hvaonline/posts/list/27563.html#168574 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168576 /hvaonline/posts/list/27563.html#168576 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168582 /hvaonline/posts/list/27563.html#168582 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168586 /hvaonline/posts/list/27563.html#168586 GMT Re: Điểm yếu TCP

conmale wrote:
E hèm.... bồ antidos thử cái gì mà lựa lúc tớ đi ngủ mà thử thì kẹt quá. Tớ chẳng biết chuyện gì xảy ra cả. :P  
Trong ngày hôm qua tôi thử tấn công dịch vụ web hva khoảng 6 lần. Do không muốn ảnh hưởng đến việc truy cập của người dùng nên tôi không kéo dài lâu, mỗi lần chỉ cỡ 5 phút. Lần đầu hình như bắt đầu 14:50, lúc đó đang thử vài site khác nhau. Lần cuối còn dùng 1 hệ thống monitor của 3rd party để theo dõi cho rõ ràng.

conmale wrote:
Nãy giờ ngồi kiểm tra tình hình (logs, stats...) mà vẫn chưa thấy có gì lạ.  
Thử công bố stat xem sao, VD biểu đồ lưu lượng mạng. Log thì không hi vọng có, vì tuy tấn công vào cổng 80 nhưng k0 cấu thành 1 HTTP request, web server k0 biết được. Cuộc tấn công này gửi rất ít gói tin, và các traffic bình thường cũng k0 truy cập được nên lưu lượng mạng tại thời điểm tấn công sẽ là cực kỳ thấp.

conmale wrote:
Nếu bồ dùng nhiều máy và đồng loạt dùng HostTracker để "query" tình trạng của HVA khiến cho mấy chục host đồng loạt "flood" HVA thì chính các host đó sẽ bị timeout mà thôi. Bồ không thể dùng chúng để thử nghiệm một cách chính xác được.  
Mấy chục host cùng truy cập khi bình thường vẫn thành công 100% mà (xem link 1) Nói chung tôi thấy rõ là admin có trách nhiệm thì lại coi thường vấn đề, nên tôi cũng k0 show ra nữa. Lý do tôi không công bố rộng rãi vì nó quá nguy hiểm. Các web site hiện nay không sẵn sàng để chống đỡ. Bằng chứng thì xem tạm trên HostTracker]]>
/hvaonline/posts/list/27563.html#168592 /hvaonline/posts/list/27563.html#168592 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168606 /hvaonline/posts/list/27563.html#168606 GMT Re: Điểm yếu TCP

antidos wrote:

conmale wrote:
E hèm.... bồ antidos thử cái gì mà lựa lúc tớ đi ngủ mà thử thì kẹt quá. Tớ chẳng biết chuyện gì xảy ra cả. :P  
Trong ngày hôm qua tôi thử tấn công dịch vụ web hva khoảng 6 lần. Do không muốn ảnh hưởng đến việc truy cập của người dùng nên tôi không kéo dài lâu, mỗi lần chỉ cỡ 5 phút. Lần đầu hình như bắt đầu 14:50, lúc đó đang thử vài site khác nhau. Lần cuối còn dùng 1 hệ thống monitor của 3rd party để theo dõi cho rõ ràng.

conmale wrote:
Nãy giờ ngồi kiểm tra tình hình (logs, stats...) mà vẫn chưa thấy có gì lạ.  
Thử công bố stat xem sao, VD biểu đồ lưu lượng mạng. Log thì không hi vọng có, vì tuy tấn công vào cổng 80 nhưng k0 cấu thành 1 HTTP request, web server k0 biết được. Cuộc tấn công này gửi rất ít gói tin, và các traffic bình thường cũng k0 truy cập được nên lưu lượng mạng tại thời điểm tấn công sẽ là cực kỳ thấp.  
Stats đo dung lượng không thấy có gì đặt biệt cả, cũng chỉ là hình răng cưa lên xuống với biên độ sai biệt rất bé nhỏ giữa các giờ trong ngày. Còn logs thì mỗi giờ có hàng ngàn requests bất hợp lệ bị logged và dropped nên để xác định những packets nào của bồ thì hơi khó. Việc HVA "bị" làm vật thử nghiệm là việc khá bình thường. Hầu như không ngày nào, tuần nào mà HVA không bị "thử" cả. Ngay cả những bugs hoàn toàn không có liên quan gì đến hệ điều hành và công nghệ HVA đang dùng nhưng vẫn dùng để thử trên HVA.

antidos wrote:

conmale wrote:
Nếu bồ dùng nhiều máy và đồng loạt dùng HostTracker để "query" tình trạng của HVA khiến cho mấy chục host đồng loạt "flood" HVA thì chính các host đó sẽ bị timeout mà thôi. Bồ không thể dùng chúng để thử nghiệm một cách chính xác được.  
Mấy chục host cùng truy cập khi bình thường vẫn thành công 100% mà (xem link 1) Nói chung tôi thấy rõ là admin có trách nhiệm thì lại coi thường vấn đề, nên tôi cũng k0 show ra nữa. Lý do tôi không công bố rộng rãi vì nó quá nguy hiểm. Các web site hiện nay không sẵn sàng để chống đỡ. Bằng chứng thì xem tạm trên HostTracker 
Tôi không hề xem thường vấn đề. Bồ test lúc 8 giờ tối giờ VN thì lúc đó là nửa đêm ở Sydney cho nên tôi không cách gì có thể thức để theo dõi cả (hì hì, tôi cũng không còn trẻ trung để thức khuya mà ôm cái máy như những năm trước nữa). Bồ không nên công bố rộng rãi là đúng vì flooding chỉ là những trò phá hoại mang tính tuyệt vọng mà thôi. Thông tin trên HostTracker quả thật không giúp gì và cũng chưa có gì rõ ràng cả. Nếu bồ thật sự quan tâm đến việc này, tôi hiện đang rảnh và đang online (từ 10 giờ sáng đến khoảng 1 giờ trưa giờ VN), bồ cho biết khoảng thời gian tấn công để tôi tiện theo dõi và sẽ công bố chính thức thông tin thu thập được.]]>
/hvaonline/posts/list/27563.html#168611 /hvaonline/posts/list/27563.html#168611 GMT
Re: Điểm yếu TCP

boom_jt wrote:
Bác conmale thử check log tại chính xác thời điểm này xem sao : 06/02 19:33:22 (giờ vn, tức là +0700 nhé) Boom thấy ghi trên hosttracker như vậy, có vẻ khá hợp với thời gian gửi bài của antidos - 06/02/2009 19:39:31 (+0700)  
Hì hì, có. Chỉ thấy hàng lô hàng lốc requests đi từ nhiều IP khác nhau nhưng đều có referer là host-tracker. Có lẽ có một nhóm người có nhiều máy chia nhau liên tục dùng host-tracker để "track" HVA hay sao đó.]]>
/hvaonline/posts/list/27563.html#168622 /hvaonline/posts/list/27563.html#168622 GMT
Re: Điểm yếu TCP

conmale wrote:

boom_jt wrote:
Bác conmale thử check log tại chính xác thời điểm này xem sao : 06/02 19:33:22 (giờ vn, tức là +0700 nhé) Boom thấy ghi trên hosttracker như vậy, có vẻ khá hợp với thời gian gửi bài của antidos - 06/02/2009 19:39:31 (+0700)  
Hì hì, có. Chỉ thấy hàng lô hàng lốc requests đi từ nhiều IP khác nhau nhưng đều có referer là host-tracker. Có lẽ có một nhóm người có nhiều máy chia nhau liên tục dùng host-tracker để "track" HVA hay sao đó. 
Điều này rất dễ hiểu, vì sau khi xem kết quả trên host-tracker, chắc chắn sẽ có nhiều người muốn lặp lại thí nghiệm để kiểm chứng. Bản thân tôi cũng thử vài lần trước khi công bố. Và host-tracker mỗi lần test đều gửi 30+ yêu cầu từ các máy ở nhiều nơi khác nhau, diễn ra trong khoảng 3p. Mặc khác tôi đăng ký dịch vụ 30 day trial để monitor hàng phút, nên host-tracker vẫn đều đặn kiểm tra độ sẵn sàng của hva. Tuy nhiên mật độ request của host-tracker là rất thấp, nếu vì thế mà web server chết thì hẳn là server dùng phần cứng của 20 năm trước :D Tôi cũng vừa đọc về sockstress, khá thú vị, vì trong bước đầu thử nghiệm phần mềm tấn công của tôi, tôi cũng đạt được các hiệu ứng giống hệt như các mô tả của sockstress, tuy nhiên sockstress tạo rất nhiều connection nên module recent của iptables có thể chặn được, còn cuộc tấn công của tôi hiệu quả hơn ngay cả khi nạn nhân dùng ipt_recent.ko. Tôi đoán rằng 1 site như hva thì connlimit và recent là 2 thứ đương nhiên phải triển khai, nhưng rất tiếc cuộc tấn công của tôi được thiết kế để qua mặt 2 hình thức bảo vệ này. Mặt khác bản cài đặt của tôi cũng an toàn hơn, cho phép huỷ cuộc tấn công để mọi người có thể truy cập lại được như cũ. Hình như tác giả sockstress còn úp mở ghê hơn, cũng k0 công bố chi tiết cuộc tấn công. Nếu trên mạng chưa có bản cài đặt nào của sockstress thì tôi sẽ làm thử 1 bản cài đặt và công bố cho vui. ]]>
/hvaonline/posts/list/27563.html#168626 /hvaonline/posts/list/27563.html#168626 GMT
Re: Điểm yếu TCP

antidos wrote:

conmale wrote:

boom_jt wrote:
Bác conmale thử check log tại chính xác thời điểm này xem sao : 06/02 19:33:22 (giờ vn, tức là +0700 nhé) Boom thấy ghi trên hosttracker như vậy, có vẻ khá hợp với thời gian gửi bài của antidos - 06/02/2009 19:39:31 (+0700)  
Hì hì, có. Chỉ thấy hàng lô hàng lốc requests đi từ nhiều IP khác nhau nhưng đều có referer là host-tracker. Có lẽ có một nhóm người có nhiều máy chia nhau liên tục dùng host-tracker để "track" HVA hay sao đó. 
Điều này rất dễ hiểu, vì sau khi xem kết quả trên host-tracker, chắc chắn sẽ có nhiều người muốn lặp lại thí nghiệm để kiểm chứng. Bản thân tôi cũng thử vài lần trước khi công bố. Và host-tracker mỗi lần test đều gửi 30+ yêu cầu từ các máy ở nhiều nơi khác nhau, diễn ra trong khoảng 3p. Mặc khác tôi đăng ký dịch vụ 30 day trial để monitor hàng phút, nên host-tracker vẫn đều đặn kiểm tra độ sẵn sàng của hva. Tuy nhiên mật độ request của host-tracker là rất thấp, nếu vì thế mà web server chết thì hẳn là server dùng phần cứng của 20 năm trước :D Tôi cũng vừa đọc về sockstress, khá thú vị, vì trong bước đầu thử nghiệm phần mềm tấn công của tôi, tôi cũng đạt được các hiệu ứng giống hệt như các mô tả của sockstress, tuy nhiên sockstress tạo rất nhiều connection nên module recent của iptables có thể chặn được, còn cuộc tấn công của tôi hiệu quả hơn ngay cả khi nạn nhân dùng ipt_recent.ko. Tôi đoán rằng 1 site như hva thì connlimit và recent là 2 thứ đương nhiên phải triển khai, nhưng rất tiếc cuộc tấn công của tôi được thiết kế để qua mặt 2 hình thức bảo vệ này. Mặt khác bản cài đặt của tôi cũng an toàn hơn, cho phép huỷ cuộc tấn công để mọi người có thể truy cập lại được như cũ. Hình như tác giả sockstress còn úp mở ghê hơn, cũng k0 công bố chi tiết cuộc tấn công. Nếu trên mạng chưa có bản cài đặt nào của sockstress thì tôi sẽ làm thử 1 bản cài đặt và công bố cho vui.  
Vậy bồ tấn công đi. Tôi theo dõi đây.]]>
/hvaonline/posts/list/27563.html#168627 /hvaonline/posts/list/27563.html#168627 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168633 /hvaonline/posts/list/27563.html#168633 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168636 /hvaonline/posts/list/27563.html#168636 GMT Re: Điểm yếu TCP

antidos wrote:
Tôi cũng vừa đọc về sockstress, khá thú vị, vì trong bước đầu thử nghiệm phần mềm tấn công của tôi, tôi cũng đạt được các hiệu ứng giống hệt như các mô tả của sockstress, tuy nhiên sockstress tạo rất nhiều connection nên module recent của iptables có thể chặn được, còn cuộc tấn công của tôi hiệu quả hơn ngay cả khi nạn nhân dùng ipt_recent.ko. Tôi đoán rằng 1 site như hva thì connlimit và recent là 2 thứ đương nhiên phải triển khai, nhưng rất tiếc cuộc tấn công của tôi được thiết kế để qua mặt 2 hình thức bảo vệ này. Mặt khác bản cài đặt của tôi cũng an toàn hơn, cho phép huỷ cuộc tấn công để mọi người có thể truy cập lại được như cũ.  
mình đoán là cái cách mà bạn làm với sockstress chỉ là khác nhau về hình thức triển khai thôi, chứ thật ra cũng đều giống nhau về ý tưởng: làm hết resource của host bằng cách mở càng nhiều càng tốt tcp connection. để qua mặt connlimit và recent thì không quá khó, chỉ cần có một dãy public IP, càng nhiều càng tốt. tiếp theo thì cần có 2 host (1 cũng được), host A thì thay phiên dùng raw packet gửi SYN đến HVA, sử dụng một trong các public IP. host B còn lại (được cấu hình trên router) nhận các packet ACK/SYN trả về từ HVA (bằng cách sniff trực tiếp), và tạo ACK/SYN giả để hoàn thành 3-way handshake. với cách làm này, phía attacker chẳng cần phải keep track gì hết các tcp connection, nên sẽ rất nhẹ nhàng. ngược lại, phía HVA, phải tốn resource (memory, file descriptor...) cho mỗi tcp connection, nên sẽ rất nhanh bị quá tải. muốn hủy tấn công thì từ chỉ cần ra lệnh cho host B gửi FIN hay RST đến HVA, để đóng kết nối, giải tỏa resource là xong. điều cuối cùng mình muốn nói là việc úp úp mở mở này chẳng hay ho gì. nó chẳng làm cho bạn trở nên smart hơn trong mắt người khác đâu. ]]>
/hvaonline/posts/list/27563.html#168638 /hvaonline/posts/list/27563.html#168638 GMT
Re: Điểm yếu TCP

quanta wrote:

nguyenvanhack wrote:
- Thông báo: Để đối phó tạm thời với "Điểm yếu TCP" website của HIV đã được change sang dùng UDP. 
Tôi cảnh cáo bạn vì phát biểu trên. 
- Xin nhận khuyết điểm. Xuất phát từ ý đồ "kích động" để Antidos demo phát hiện mới thôi, không phải vô ý thức ạ.

LeVuHoang wrote:
@nguyenvanhack: IDS, không phải IPS :D. Việc ngăn chặn có thể theo nhiều cách. Hoặc là block IP, hoặc đưa gói tin vào /dev/null. Như vậy những packet không hợp lệ sẽ bị drop và các máy hợp lệ nằm trong cùng 1 proxy vẫn truy cập được như bình thường. 
@anh Hoang: Em hiểu ý của anh. Tại em dùng như là 1 IPS nên em hỏi vậy. Cám ơn anh đã trả lời.]]>
/hvaonline/posts/list/27563.html#168646 /hvaonline/posts/list/27563.html#168646 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168656 /hvaonline/posts/list/27563.html#168656 GMT Re: Điểm yếu TCP

PhanPhungTien wrote:
Mới bị Viettel cúp net nên hơi tiết, ko theo dõi được trận này. :D Tuy nhiên, sao bồ antidos cứ úp úp mở mở mãi, Tui chưa thấy tinh thần THẢO LUẬN của bồ khi mở topic này. :| Tốt hơn, nếu đã chia sẻ thì hãy chia sẻ cho hết, đừng lưng lửng như thế, chả đi đến đâu.  
Chẳng có gì để "tiết" đâu. Tôi đợi mấy giờ mà có thấy bạn antidos làm gì đâu mà "tiết". Điểm yếu TCP (IPv4) thì đến nay cả thế giới đã rõ chớ đâu phải đợi đến lúc bạn antidos khám phá ra đâu :P ]]>
/hvaonline/posts/list/27563.html#168661 /hvaonline/posts/list/27563.html#168661 GMT
Re: Điểm yếu TCP

PhanPhungTien wrote:
Mới bị Viettel cúp net nên hơi tiết, ko theo dõi được trận này. :D Tuy nhiên, sao bồ antidos cứ úp úp mở mở mãi, Tui chưa thấy tinh thần THẢO LUẬN của bồ khi mở topic này. :| Tốt hơn, nếu đã chia sẻ thì hãy chia sẻ cho hết, đừng lưng lửng như thế, chả đi đến đâu.  
Theo tôi thì việc này không phải do antidos, "không có thông tin gì là từ phía HVA", hay nói cách khác, là các mod không muốn đưa vấn đề này ra bàn luận, hoặc là tới bây giờ, vẫn chưa đủ thông tin cần thiết về vụ việc nên anh conmale chưa post lên. Về phía antidos, thì anh chính là người tấn công, việc thông báo tấn cống và chỉ cung cấp vài thông tin :(, là phù hợp, quả thật đây cũng không phải là hành động ác ý, nó tạo ra một "cơ hội" nghiên cứu và bàn luận, giải quyết vấn đề cho phía HVA. Mà thật ra việc Dos, khi nói rõ ra thì không có gì là quá khó hiểu, thú vị ở đây( thuộc về bên HVA) là tìm hiểu nguyên nhân, cơ chế hoạt động thông qua nhiều đặc điểm khác nhau, từ đó tìm ra cách phòng tránh, ngăn chặn nó. ======= hizit91. ]]>
/hvaonline/posts/list/27563.html#168663 /hvaonline/posts/list/27563.html#168663 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168665 /hvaonline/posts/list/27563.html#168665 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168674 /hvaonline/posts/list/27563.html#168674 GMT Re: Điểm yếu TCP

conmale wrote:
Chẳng có gì để "tiết" đâu. Tôi đợi mấy giờ mà có thấy bạn antidos làm gì đâu mà "tiết". Điểm yếu TCP (IPv4) thì đến nay cả thế giới đã rõ chớ đâu phải đợi đến lúc bạn antidos khám phá ra đâu :P  
Xin lỗi thứ 7 tôi bận nhiều việc như nghỉ ngơi, làm vườn, đi chơi, nên giờ mới trả lời đc. Ở site này, khách lạ (tôi) được chứng kiến sự thay đổi thái độ rất nhanh, đầu tiên là COI THƯỜNG rồi chuyển sang THÙ ĐỊCH rồi hiện nay còn chuyển sang gì khác nữa. Đầu tiên tôi cảnh báo rồi tấn công nhiều lần, nhưng admin không coi ra gì, cũng k0 tìm hiểu hay tăng cường bảo mật. Đấy là sự coi thường. Sau đó tôi dùng công cụ độc lập để http://host-tracker.com/event_list/?show_all=true&task_id=2261394&cnt=100, ghi lại được 3 lần hva bị fail. Khi công bố bằng chứng rõ ràng này thì không khí trở thành THÙ ĐỊCH. Mọi người bắt đầu denounce, kiểu: "cái này có quái gì đâu", "úp mở thấy ghét", "cái này ai cũng biết hết rồi", "lúc đó đang ngủ với cua gái, làm sao mà log", thậm chí "host-tracker sai, host-tracker bị chặn chứ có thấy tấn công gì đâu mà bốc phét" Xin lỗi tôi đang gõ dở nhưng buồn ngủ quá, để lần sau quay lại tiếp tục câu chuyện với các bạn.]]>
/hvaonline/posts/list/27563.html#168697 /hvaonline/posts/list/27563.html#168697 GMT
Re: Điểm yếu TCP cập nhật: Mắt kèm nhèm nên nhìn nhầm, admin phản ứng sau 2 lần tấn công ban đầu được host-tracker ghi nhận tận 1 ngày :D Tôi click lại vào link của host-tracker để kiểm tra thì phát hiện 1 điểm thú vị nên cố cưỡng buồn ngủ post tiếp 1 tẹo. Hoá ra tại thời điểm loạt tấn công của tôi diễn ra, có admin phản ứng: Vốn tôi đặt cho host-tracker monitor /hvaonline/forums/list.html Trước thời điểm 10:36:43 thì các request được trả lời với kích thước 70KB+:
10:36:43 2.34 sec 72.232.199.28/Ok 72811 
Nhưng sau đó chắc admin nghi ngờ việc request này chính là DOS nên đã phản ứng, khiến URL này bị 404 trong vài phút.
10:39:37 0.08 sec 72.232.199.28/Http error:400 2194 
Sau đó sửa lại, trả lại nội dung đặc biệt để đỡ phải phục vụ host-tracker:
10:45:50 3.41 sec 72.232.199.28/Ok 260 <HTML><HEAD><META HTTP-EQUIV="REFRESH" CONTENT="0;URL=/hvaonline/forums/list.html"></HEAD><BODY> </BODY></HTML>
]]> /hvaonline/posts/list/27563.html#168698 /hvaonline/posts/list/27563.html#168698 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168699 /hvaonline/posts/list/27563.html#168699 GMT Re: Điểm yếu TCP

LeVuHoang wrote:
Có lẽ bạn mới vào nên chưa rõ cách hành xử của mọi người trong HVA. Tại đây được coi như bình đẳng, và hoàn toàn không có thái độ "COI THƯỜNG" và càng không "THÙ ĐỊCH". Nếu có thể, bạn khiến server không thể truy cập được trong vài ngày sẽ thuyết phục hơn.  
Thú thật mà nói là phần mềm của tôi hiện nay viết bị lỗi gì đó chạy được trên 5p ít lâu là treo k0 rõ nguyên nhân :^) Nhưng tôi cũng k0 muốn sửa vì thế là đủ mục đích demo rồi. Hơn nữa nhỡ code lọt vào tay kẻ xấu thì tác hại cũng giảm nhiều. Còn thái độ COI THƯỜNG -> THÙ ĐỊCH -> ... tôi cảm nhận được là sự kiện thực tế đã diễn ra. Nó có thể nặng tính chủ quan của cá nhân tôi, nhưng nó là sự thật. Tôi có quote 1 số dạng phát biểu cụ thể đem lại cảm giác tiêu cực cho tôi ở trên.]]>
/hvaonline/posts/list/27563.html#168700 /hvaonline/posts/list/27563.html#168700 GMT
Re: Điểm yếu TCP

antidos wrote:

LeVuHoang wrote:
Có lẽ bạn mới vào nên chưa rõ cách hành xử của mọi người trong HVA. Tại đây được coi như bình đẳng, và hoàn toàn không có thái độ "COI THƯỜNG" và càng không "THÙ ĐỊCH". Nếu có thể, bạn khiến server không thể truy cập được trong vài ngày sẽ thuyết phục hơn.  
Thú thật mà nói là phần mềm của tôi hiện nay viết bị lỗi gì đó chạy được trên 5p ít lâu là treo k0 rõ nguyên nhân :^) Nhưng tôi cũng k0 muốn sửa vì thế là đủ mục đích demo rồi. Hơn nữa nhỡ code lọt vào tay kẻ xấu thì tác hại cũng giảm nhiều.  
Thất vọng quá, tưởng được coi hva treo vài ngày chứ :-( Nếu phần mềm mà chỉ DOS được tối đa 5 phút thì chắc cũng không mấy nguy hiểm đâu nhỉ. Vả lại thời với thời gian ngắn như vậy ai có thể ngồi đó mà canh sẵn để coi mà bạn demo, như vậy mất đi sự thuyết phục. Bạn thử cố gắng phát triển thêm đi rồi lên lại demo :^) ]]>
/hvaonline/posts/list/27563.html#168701 /hvaonline/posts/list/27563.html#168701 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168711 /hvaonline/posts/list/27563.html#168711 GMT Re: Điểm yếu TCP

antidos wrote:

conmale wrote:
Chẳng có gì để "tiết" đâu. Tôi đợi mấy giờ mà có thấy bạn antidos làm gì đâu mà "tiết". Điểm yếu TCP (IPv4) thì đến nay cả thế giới đã rõ chớ đâu phải đợi đến lúc bạn antidos khám phá ra đâu :P  
Xin lỗi thứ 7 tôi bận nhiều việc như nghỉ ngơi, làm vườn, đi chơi, nên giờ mới trả lời đc. Ở site này, khách lạ (tôi) được chứng kiến sự thay đổi thái độ rất nhanh, đầu tiên là COI THƯỜNG rồi chuyển sang THÙ ĐỊCH rồi hiện nay còn chuyển sang gì khác nữa. Đầu tiên tôi cảnh báo rồi tấn công nhiều lần, nhưng admin không coi ra gì, cũng k0 tìm hiểu hay tăng cường bảo mật. Đấy là sự coi thường. Sau đó tôi dùng công cụ độc lập để http://host-tracker.com/event_list/?show_all=true&task_id=2261394&cnt=100, ghi lại được 3 lần hva bị fail. Khi công bố bằng chứng rõ ràng này thì không khí trở thành THÙ ĐỊCH. Mọi người bắt đầu denounce, kiểu: "cái này có quái gì đâu", "úp mở thấy ghét", "cái này ai cũng biết hết rồi", "lúc đó đang ngủ với cua gái, làm sao mà log", thậm chí "host-tracker sai, host-tracker bị chặn chứ có thấy tấn công gì đâu mà bốc phét" Xin lỗi tôi đang gõ dở nhưng buồn ngủ quá, để lần sau quay lại tiếp tục câu chuyện với các bạn. 
Tôi thấy bồ antidos hơi nhạy cảm và hơi vòng vo. Bồ tuyên bố là bồ đã tấn công HVA và làm cho nó bị tê liệt ngay lúc tôi đang ngủ khò và ngày hôm sau, khi tôi đọc tiếp chủ đề này, tôi đã dành thời gian kiểm tra servers của HVA và không thấy gì bất thường, tôi mới đề nghị bồ tấn công lại để tôi tiện theo dõi và phân tích nhưng bồ lại viện cớ rằng bồ bận rộn. Bồ cảm nhận thế nào thì tùy bồ nhưng tránh vòng vo và tránh né những câu hỏi trực tiếp. Với trách nhiệm bảo trì máy chủ HVA, một số anh em và cá nhân tôi không hề xem thường bất cứ hiện tượng nào mang tính nguy hại hoặc tạo gián đoạn đến HVA. Tôi không cần phải chứng minh với bồ tôi quan tâm sâu sát đến vấn đề bảo mật của HVA như thế nào. Bồ chỉ cần biết rằng mọi hiện tượng, mọi hoạt động, mọi diễn tiến trên hệ thống servers của HVA đều được theo dõi, phân tích và ghi nhận đều đặn mỗi tuần 2 lần. Tôi không bao giờ muốn HVA làm vật thử nghiệm cho ai cả nhưng tôi không có lựa chọn nào khác là phải chấp nhận "bị" thử nghiệm. Tôi xác định rõ ràng như thế để bồ biết quan điểm của cá nhân tôi về sự vụ này. Bồ có quyền không tiết lộ bồ làm gì nhưng cũng không nên tiếp tục mập mờ để rồi quay ngược lại mà trách móc về cảm giác bị coi thường hay thù địch gì đó.]]>
/hvaonline/posts/list/27563.html#168714 /hvaonline/posts/list/27563.html#168714 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168718 /hvaonline/posts/list/27563.html#168718 GMT Re: Điểm yếu TCP

hizit91 wrote:
wa!!! một cuộc chiến trên cả lĩnh vực công nghệ lẫn con người :) Thú vị quá, tiếp tục theo dõi nào, mình ở trung lập có vẻ thú vị hơn :) 
Cuộc chiến? Có cuộc chiến nào đâu?]]>
/hvaonline/posts/list/27563.html#168719 /hvaonline/posts/list/27563.html#168719 GMT
Re: Điểm yếu TCP

conmale wrote:
Bồ tuyên bố là bồ đã tấn công HVA và làm cho nó bị tê liệt ngay lúc tôi đang ngủ khò và ngày hôm sau, khi tôi đọc tiếp chủ đề này, tôi đã dành thời gian kiểm tra servers của HVA và không thấy gì bất thường, tôi mới đề nghị bồ tấn công lại để tôi tiện theo dõi và phân tích nhưng bồ lại viện cớ rằng bồ bận rộn.  
Tôi mở chủ đề này lúc 06/02/2009 17:10:13 (+0700). Trước đó tôi đã thực hiện xong việc tấn công vài lần để kiểm tra chắc chắn độ hiệu quả. Trong suốt vài tiếng sau đó, tôi và anh conmale đã có trao đổi vài bài viết, bài viết cuối anh conmale đi ngủ lúc 06/02/2009 18:48:22 (+0700) tức là sau đó gần 2 tiếng. Trong 2 tiếng đó tôi nhớ đã thực hiện tấn công 2 lần nữa theo đúng giờ đã cảnh báo trong bài viết (17:10 và 18:00) Vậy mà từ đầu đến giờ anh conmale cứ khăng khăng là tôi làm site tê liệt lúc anh đang ngủ khò. Điều này không quá lạ với tôi vì tôi biết cuộc tấn công này có đặc điểm: + Tác động chính là dịch vụ dựa trên TCP bị khoá sau thời gian ngắn (tính bằng giây) + Rất trong suốt, khó phát hiện, hoàn toàn đúng đắn với firewall + Sử dụng ít băng thông, chắc trung bình chỉ đếm bằng KB/s + Không bao giờ làm tăng CPU usage + Có thể làm tăng RAM usage + Có thể không tác động đến load

conmale wrote:
Bồ có quyền không tiết lộ bồ làm gì nhưng cũng không nên tiếp tục mập mờ để rồi quay ngược lại mà trách móc về cảm giác bị coi thường hay thù địch gì đó. 
Đúng là tôi chưa có dự định gì về việc công bố vấn đề này. Ngay cả các nhân viên hay cộng sự cũng chưa được tự tay chạy PM, mà chỉ đc xem tôi chạy demo. Tôi đã thử tác động của phương pháp này trên rất nhiều site nên tôi không nghi ngờ về tác động của nó. Vấn đề tôi muốn tìm kiếm ở hva là liệu 1 site được vũ trang tốt có khả năng tự động log và chỉ ra phương pháp tấn công và phòng chống không. Và tôi đã sớm có câu trả lời là "không". Đây không phải rocket science nên nếu các anh pcap được toàn bộ nội dung gói tin thì chắc các anh sẽ biết được điều gì xảy ra. Tôi không sợ lộ "bí mật" này, nhưng tôi cũng chưa sẵn sàng để công bố nó, vì thế sau khi cung cấp bằng chứng thông qua host-tracker thì tôi chưa hề nói mình định demo thêm 1 lần nữa trên site này. Các anh tự áp đặt quan điểm và nói tôi vòng vo là không đúng. Giờ nếu có thể thì tôi muốn admin công bố cái nhìn bên trong của 1 site được vũ trang tốt về cuộc tất công này: + Server load + RAM usage + Network usage + Các chỉ số khác nếu có Vì cuộc tấn công chỉ diễn ra mỗi lần 5-7 phút nên nếu các anh dùng các công cụ log RRD và không lưu log chi tiết trong 1 thời gian dài thì coi như là ta không có tẹo log nào, thật đáng tiếc.]]>
/hvaonline/posts/list/27563.html#168722 /hvaonline/posts/list/27563.html#168722 GMT
Re: Điểm yếu TCP

antidos wrote:

conmale wrote:
Bồ tuyên bố là bồ đã tấn công HVA và làm cho nó bị tê liệt ngay lúc tôi đang ngủ khò và ngày hôm sau, khi tôi đọc tiếp chủ đề này, tôi đã dành thời gian kiểm tra servers của HVA và không thấy gì bất thường, tôi mới đề nghị bồ tấn công lại để tôi tiện theo dõi và phân tích nhưng bồ lại viện cớ rằng bồ bận rộn.  
Tôi mở chủ đề này lúc 06/02/2009 17:10:13 (+0700). Trước đó tôi đã thực hiện xong việc tấn công vài lần để kiểm tra chắc chắn độ hiệu quả. Trong suốt vài tiếng sau đó, tôi và anh conmale đã có trao đổi vài bài viết, bài viết cuối anh conmale đi ngủ lúc 06/02/2009 18:48:22 (+0700) tức là sau đó gần 2 tiếng. Trong 2 tiếng đó tôi nhớ đã thực hiện tấn công 2 lần nữa theo đúng giờ đã cảnh báo trong bài viết (17:10 và 18:00) Vậy mà từ đầu đến giờ anh conmale cứ khăng khăng là tôi làm site tê liệt lúc anh đang ngủ khò. Điều này không quá lạ với tôi vì tôi biết cuộc tấn công này có đặc điểm: + Tác động chính là dịch vụ dựa trên TCP bị khoá sau thời gian ngắn (tính bằng giây) + Rất trong suốt, khó phát hiện, hoàn toàn đúng đắn với firewall + Sử dụng ít băng thông, chắc trung bình chỉ đếm bằng KB/s + Không bao giờ làm tăng CPU usage + Có thể làm tăng RAM usage + Có thể không tác động đến load  
Bồ antidos thiếu chính xác rồi. Tôi chưa hề bảo rằng bồ làm "tê liệt" HVA bao giờ cả. Tôi chỉ bảo bồ đã tấn công HVA lúc tôi đi ngủ. Chưa hề có một dấu hiệu nào cho thấy HVA bị tê liệt từ lần cuối server được restart cách đây đúng 42 ngày (khi tôi update kernel mới). Bồ mở chủ đề ngày 6/2/2009 lúc 5 giờ 10 phút chiều giờ VN. Lúc ấy đã là 9 giờ 10 phút tối ở Sydney. Sau đó, lúc 5 giờ 36 phút giờ VN tôi mới vào chủ đề này và thấy bài của bồ nên mới trả lời. Ngay thời điểm ấy, tôi chưa hề kiểm tra HVA hoặc chưa hề thấy có dấu hiệu gì thất thường cả. Lúc 5 giờ 45 chiều giờ VN, bồ lại hồi báo nhưng bồ không hề bảo bồ có đang test cái gì hay không. Trong bài viết số #3 này, bồ đề cập đến chuyện "Cái script này đặt ngưỡng thấp quá, mới click mấy cái đã kêu người dùng click nhanh hơn tốc độ anh sáng rồi. " khiến tôi phì cười nên cũng không buồn theo dõi HVA làm gì. Lý do tại sao tôi phì cười thì bồ tự suy luận để mà hiểu. Tuy vậy, khoảng 1 giờ đồng hồ sau, lúc 10 giờ 48 giờ Sydney, có nghĩa là 8 giờ 48 phút giờ VN, tôi cũng hồi báo một bài nữa (bài số #4) nhằm mục đích nhắc khéo với bồ rằng cái thông điệp "nhanh hơn tốc độ ánh sáng" chỉ là "một mảng trên cùng của cơ chế bảo vệ" và tôi vẫn chưa hề theo dõi tình trạng máy chủ trên HVA. Sau đó tôi tắt máy đi ngủ vì đã gần 11 giờ đêm ở Sydney. Mãi đến ngày hôm sau tôi mới tiếp tục tham gia và trong khoảng thời gian ấy bồ antidos thảo luận đủ thứ chuyện với các member khác. Ở post số #25 tôi mới bảo rằng trong suốt thời gian tôi đi ngủ, bồ làm cái gì thì tôi chẳng biết nhưng sau khi kiểm tra logs và stats thì tôi chẳng thấy có gì khác lạ cả. Tôi còn đề nghị bồ test lại để tôi theo dõi nhưng từ đó về sau, bồ chỉ đưa đẩy, viện lý do này, lý do khác. Ngày hôm qua, sau khi post bài số #29, tôi một lần nữa đề nghị bồ test và tôi ngồi chờ cả buổi mà chẳng thấy có gì ngoài hàng tràn request có referer đi từ "hosttracker". Sau đó tôi để máy đó và đi ăn giỗ. Mãi đến khuya (giờ Sydney) tôi mới về. Các console tôi dùng để theo dõi HVA từ buổi chiều đến khi ấy vẫn còn đó và chẳng có thông tin gì đặc biệt ngoài cả đống request có referer đi từ "hosttracker". Hôm nay, bồ tiếp tục đòi "stats" và tôi cho biết chẳng có gì khác lạ cả. Stats vẫn không có spike hay cái gì khác thường chẳng có gì để cung cấp cho bồ. Vả lại, tôi đề nghị bồ test để tôi theo dõi thì bồ lại im lặng không trả lời. Sau đó lại vào đòi stats là sao? Câu chuyện chuyển hướng sang chỗ đả kích và cảm tưởng bị thế này, thế kia. Cho đến ngay lúc này, bồ vẫn chưa đồng ý test để tôi theo dõi và vẫn tiếp tục vòng vo. Cho đến lúc này, ngoài cái mới requests có referers từ "hosttracker" ra, chẳng có thông tin gì gọi là đặc biệt. Ngay cả trên tcpdump (ở tầng thấp nhất) cũng chẳng có dấu hiệu gì khác thường. Nếu bồ bảo rằng bồ có thể craft packets đặc biệt đến nỗi tcpdump không sniff được thì tôi đành bó tay vậy.

antidos wrote:

conmale wrote:
Bồ có quyền không tiết lộ bồ làm gì nhưng cũng không nên tiếp tục mập mờ để rồi quay ngược lại mà trách móc về cảm giác bị coi thường hay thù địch gì đó. 
Đúng là tôi chưa có dự định gì về việc công bố vấn đề này. Ngay cả các nhân viên hay cộng sự cũng chưa được tự tay chạy PM, mà chỉ đc xem tôi chạy demo. Tôi đã thử tác động của phương pháp này trên rất nhiều site nên tôi không nghi ngờ về tác động của nó. Vấn đề tôi muốn tìm kiếm ở hva là liệu 1 site được vũ trang tốt có khả năng tự động log và chỉ ra phương pháp tấn công và phòng chống không. Và tôi đã sớm có câu trả lời là "không". Đây không phải rocket science nên nếu các anh pcap được toàn bộ nội dung gói tin thì chắc các anh sẽ biết được điều gì xảy ra. Tôi không sợ lộ "bí mật" này, nhưng tôi cũng chưa sẵn sàng để công bố nó, vì thế sau khi cung cấp bằng chứng thông qua host-tracker thì tôi chưa hề nói mình định demo thêm 1 lần nữa trên site này. Các anh tự áp đặt quan điểm và nói tôi vòng vo là không đúng.  
Hì hì. Bồ đề cao HVA quá. HVA chỉ là một forum và nó khác hơn các forum thông thường ở chỗ nó có được hai nhánh servers khác nhau và được quan tâm về bảo mật nhiều hơn bình thường một tí. Bồ đòi hỏi "liệu 1 site được vũ trang tốt có khả năng tự động log và chỉ ra phương pháp tấn công và phòng chống không" là hơi quá đà với một site như HVA rồi đấy. HVA không phải là một nhóm thương mại, lắm tiền nhiều của mà chỉ là một vài anh em móc tiền túi ra để duy trì nó thôi. Đừng so HVA với những cty thương mại có nhiều tiền của và phương tiện. Riêng cái chuyện bí mật gì đó thì tôi chẳng muốn biết và cũng chẳng cần biết. Tôi chỉ quan tâm đến một chuyện là bồ tấn công HVA thế nào và tôi có thể làm gì để ngăn chặn (y hệt như tôi đã và đang làm từ những nguồn tấn công khác). Cho đến lúc này, vẫn chẳng có một dấu hiệu gì từ phía server cho thấy bồ đã tấn công và làm tê liệt HVA cả. Bồ có muốn kết luận thế nào là tùy bồ. HVA có tê liệt hay không thì không chỉ có tôi dựa trên bằng chứng có được trên server logs và stats mà còn cả khối member ra vào HVA thường xuyên có thể xác thực điều ấy.

antidos wrote:
Giờ nếu có thể thì tôi muốn admin công bố cái nhìn bên trong của 1 site được vũ trang tốt về cuộc tất công này: + Server load + RAM usage + Network usage + Các chỉ số khác nếu có Vì cuộc tấn công chỉ diễn ra mỗi lần 5-7 phút nên nếu các anh dùng các công cụ log RRD và không lưu log chi tiết trong 1 thời gian dài thì coi như là ta không có tẹo log nào, thật đáng tiếc. 
Rất tiếc, tôi chẳng bao giờ công bố tài nguyên của HVA cả và bồ cũng không phải là một ngoại lệ để tôi công bố những thứ này. Một lần cuối, nếu bồ thật sự muốn tôi theo dõi và phân tích bồ tấn công thế nào, dù chỉ là 5, 7 phút, vui lòng hẹn giờ và thực hiện điều này. Nếu không, tôi xin miễn tiếp tục trao đổi. Cám ơn.]]>
/hvaonline/posts/list/27563.html#168729 /hvaonline/posts/list/27563.html#168729 GMT
Re: Điểm yếu TCP bạn không truy cập được HVA trong vài ba phút nên bạn [i]kết luận rằng HVA "tê liệt" do bạn tấn công[/B]? Cái test của bạn quá thiếu cơ sở! Thứ nhất: vài phút không truy cập được HVA thì chưa nói lên được điều gì cụ thể (vì có rất nhiều nguyên nhân). Hơn nữa, nếu mà HVA "tê liệt" theo đúng nghĩa đen của nó (dù chỉ mấy phút thôi) thì bạn nghĩ coi mấy ngàn member của HVA lại "im re" thế à? Thứ hai: server của HVA được monitor thường xuyên bởi các công cụ khác nhau. Và mấy bữa này, các công cụ monitor đó chưa hề alert là HVA bị "lê liệt". Thứ ba: trong topic này có đủ cả mem, mod, admin mà từ đầu đến giờ chỉ có mình bạn nói HVA bị "tê liệt", chứ ngoài ra còn có ai khác thấy gì đâu? --> bạn nên xem lại những dữ kiện của mình chứ sao lại quay đi nói là "hva khinh thường" bạn nhỉ?]]> /hvaonline/posts/list/27563.html#168731 /hvaonline/posts/list/27563.html#168731 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168733 /hvaonline/posts/list/27563.html#168733 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168734 /hvaonline/posts/list/27563.html#168734 GMT Re: Điểm yếu TCP

antidos wrote:
Tôi bị choáng khi một số người cố tình phủ nhận kết quả của host-tracker. Các bạn nghĩ 2 máy tính của các bạn bất khả xâm phạm đến như vậy sao :) Để khách quan, các bạn tìm giúp các công cụ monitor web độc lập để xác nhận availability của dịch vụ web vậy. Tiêu chí nên có: + Miễn phí + Có thể share kết quả cho mọi người cùng xem + Truy cập đến dịch vụ từ nhiều điểm khác nhau 
Tôi chỉ nói 1 câu ngắn gọn thế này: HVA muốn "trả lời" host-tracker thế nào thì host-tracker chỉ có thể ghi nhận thế ấy. - HVA muốn cho host-tracker thấy là HVA is not contactible thì host-tracker sẽ ghi nhận như thế. - HVA muốn cho host-tracker thấy là "access to HVA is forbidden" thì host-tracker sẽ ghi nhận như thế. - HVA muốn cho host-tracker nhận 1K thì host-tracker sẽ nhận 1K. - HVA muốn cho host-tracker không nhận byte nào thì host-tracker sẽ không nhận byte nào. Bởi thế, đừng trông mong vào host-tracker để đánh giá. Nói thêm, chỉ một dòng "Cái script này đặt ngưỡng thấp quá, mới click mấy cái đã kêu người dùng click nhanh hơn tốc độ anh sáng rồi. " là đủ chứng tỏ kiến thức và kinh nghiệm của bồ antidos rồi. Không phải mất thời gian nữa đâu.]]>
/hvaonline/posts/list/27563.html#168737 /hvaonline/posts/list/27563.html#168737 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168743 /hvaonline/posts/list/27563.html#168743 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168748 /hvaonline/posts/list/27563.html#168748 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168751 /hvaonline/posts/list/27563.html#168751 GMT Re: Điểm yếu TCP

antidos wrote:
Tôi bị choáng khi một số người cố tình phủ nhận kết quả của host-tracker. Các bạn nghĩ 2 máy tính của các bạn bất khả xâm phạm đến như vậy sao :) Để khách quan, các bạn tìm giúp các công cụ monitor web độc lập để xác nhận availability của dịch vụ web vậy. Tiêu chí nên có: + Miễn phí + Có thể share kết quả cho mọi người cùng xem + Truy cập đến dịch vụ từ nhiều điểm khác nhau 
Còn tôi thì bị choáng với sự "cứng đầu" của bạn. 1. Cả trăm người online, cả ngàn member mà chỉ có mình bạn "phán" là HVA "tê liệt". Trước khi cứ cố lôi host-tracker ra thì bạn cũng nên dành vài giây suy nghĩ là tại sao 99 (hoặc 999?) người còn lại không có hiện tượng như bạn? 2. Qui trình hoạt động: Nhiều request từ 1 IP --> cho vào diện nghi ngờ ==> block Nhiều request từ 1 dải IP --> cho vào diện nghi ngờ ==> block Nhiều request từ 1 refererer --> cho vào diện nghi ngờ ==> block Cả 3 cách hoạt động như trên đều có thể hoàn toàn tự động, không cần phải có admin ngồi canh chừng server. Ít nhất, host-tracker rơi vào rule thứ 3: thấy lượng request có referer là host-tracker tự nhiên tăgn lên đột biến, server HVA có thể chặn hết các request dạng này ==> host-tracker sẽ cho ra kết quả vô nghĩa. Chẳng hạn như khi tôi đang viết bài này thì host-tracker trả về kết quả toàn là 0Kb cho HVA (vậy chả lẽ tôi lại la làng lên là HVA đagn "tê liệt"?) 3. HVA chủ động chặn hết các dịch vụ thăm dò tự động và định kỳ (thậm chỉ ping cũng chặn luôn). Vậy giả sử bạn dùng 1 dịch vụ nào đó ra kết quả "HVA đang 'tê liệt' vì ping lần nào cũng không được" thì lại đi kết luận là HVA đang "tê liệt"? Tool/dịch vụ của bạn không thăm dò được server HVA thì không có nghĩa là server HVA die hay tê liệt. 4. Ban quản trị HVA có thể có tool minotor riêng để alert khi cần thiết. Không có lý do gì BQT HVA phải "share kết quả cho mọi người cùng xem" hoặc tiết lộ thêm thông tin gì về cái tool này cả (mà thực ra trên diễn đàn cũng có 1 topic mổ xẻ về cái tool này rồi, bác conmale cũng có tiết lộ 90% thông tin rồi)! 5. Tặng thêm bạn antidos cái này:
Nhưng sau đó chắc admin nghi ngờ việc request này chính là DOS nên đã phản ứng, khiến URL này bị 404 trong vài phút.
10:39:37 0.08 sec 72.232.199.28/Http error:400 2194  
 
(Bài #43 trong topic này) Đoạn bạn copy & paste từ host-tracking ghi rõ ràng là 400 mà sao qua tay bạn nó lại thành 404 thế? Mà 400 hay 404 thì cũng đều do Application của server chủ động trả về. Điều đó suy ra server vẫn còn đang hoạt động tốt, firewall của diễn đàn cũng hoạt động tốt luôn (xem lại (2) ở trên, nhiều request có referer từ host-tracker quá nên server HVA chặn rồi trả về 40x không được sao?)]]>
/hvaonline/posts/list/27563.html#168758 /hvaonline/posts/list/27563.html#168758 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168851 /hvaonline/posts/list/27563.html#168851 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168856 /hvaonline/posts/list/27563.html#168856 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168858 /hvaonline/posts/list/27563.html#168858 GMT Re: Điểm yếu TCP

eyesdog wrote:
Tôi nghĩ lần sau ai đó tấn công Dos thì nên có 2 người, 1 người vận hành Dos, 1 ông ra quán khác, hoặc dùng line khác test các thao tác cơ bản, nếu nó die thì chắc là die, không die thì chắc là không die. Dùng 1 line + 3 tools không đánh giá được độ tin cậy khó nói lắm. Nhắn vớí antidos: Nếu đúng tools của bạn có hiệu quả tốt (được kiểm chứng chặt chẽ), chắc chắn nó rất có khả năng mang lại cho bạn danh tiếng và tiền bạc, do vậy cần tôn trọng công sức của chính mình bằng cách kiểm tra nó thật kỹ. Tôi biết nhiều người sẵn sàng trả giá cao cho những sáng tạo trong lĩnh vực IT, nhất là IT Việt Nam. 
Tôi có sở thích lập trình khó bỏ vì đã ngấm vào máu 15 năm rồi, nhưng hiện nay tôi là 1 doanh nhân, nên tôi cũng nghĩ như anh. Hiện tôi đã tìm đc đối tác phù hợp để biến cái này thành lợi nhuận. Cảm ơn đã gợi ý.]]>
/hvaonline/posts/list/27563.html#168859 /hvaonline/posts/list/27563.html#168859 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168860 /hvaonline/posts/list/27563.html#168860 GMT Re: Điểm yếu TCP

antidos wrote:
Nếu các anh muốn sáng tạo ra các lý do để "chứng minh" là host-tracker trả lại kết quả false-negative thì các anh cứ tự do thôi. Nếu các anh hứng thú được xem test 5 phút nữa thì tìm 1 cơ chế monitor công cộng nào đó tương tự host-tracker, tôi sẽ giúp.  
- Nói đi nói lại mà vẫn không hiểu. - Đã được xem một phút nào đâu mà "được xem test 5 phút nữa". - Tại sao lại cần "1 cơ chế monitor công cộng" thì mới "giúp" à? Đọc lại "Ký sự DDos" xem anh conmale thoải mái thế nào trong việc thoả thuận, hẹn giờ với người tấn công để thử nghiệm. Và họ cũng rất vui lòng làm thế, ngay cả khi anh conmale đề nghị tạm dừng một lát rồi tiếp tục. Trên hết đó là một cái tinh thần "chơi đẹp", hiểu chửa? Tóm lại một câu là: nếu bạn vẫn còn muốn thử nghiệm thì có thể PM với anh conmale rồi 2 người hẹn nhau một thời điểm nào đó, rồi cùng thử nghiệm. Có thế thôi mà sao cứ phải vòng vo, úp úp, mở mở, đến là khó chịu. Chấm hết. ]]>
/hvaonline/posts/list/27563.html#168861 /hvaonline/posts/list/27563.html#168861 GMT
Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168863 /hvaonline/posts/list/27563.html#168863 GMT Re: Điểm yếu TCP /hvaonline/posts/list/27563.html#168865 /hvaonline/posts/list/27563.html#168865 GMT Re: Điểm yếu TCP

conmale wrote:
Thôi đi bà con. Chủ đề này không đi tới đâu hết đâu mà bàn. :P  
Đồng ý :D 1. Đã nói là HVA chặn hầu hết các tool monitor công cộng (để tránh bị người khác lợi dụng "thăm dò" server) mà cứ đòi "đưa tool monitor công cộng" ra để làm gì? 2. Tool dù sao cũng là tool. Còn có cả trăm member HVA trên diễn đàn, chả lẽ trăm member này không tốt hơn 1 cái tool nào đó hay sao? Tool báo là HVA die nhưng cả trăm member vẫn vào được bình thường thì theo tool hay theo ai?]]>
/hvaonline/posts/list/27563.html#168869 /hvaonline/posts/list/27563.html#168869 GMT
Re: Điểm yếu TCP Thế thì bạn dùng thực tế để chứng minh đi. ]]> /hvaonline/posts/list/27563.html#168878 /hvaonline/posts/list/27563.html#168878 GMT Re: Điểm yếu TCP

antidos wrote:
Tôi có sở thích lập trình khó bỏ vì đã ngấm vào máu 15 năm rồi, nhưng hiện nay tôi là 1 doanh nhân, nên tôi cũng nghĩ như anh. Hiện tôi đã tìm đc đối tác phù hợp để biến cái này thành lợi nhuận. Cảm ơn đã gợi ý. 
Đang bàn về kĩ thuật, "Điểm yếu của TCP" như tiêu đề của Thread thì doanh nhân với không doanh nhân ảnh hưởng gì nhỉ ? Vác "doanh nhân" vào thấy nó hài quá :-/ Regards]]>
/hvaonline/posts/list/27563.html#168879 /hvaonline/posts/list/27563.html#168879 GMT