Está en la página 1de 6

Tìm hiӇu vӅ DDos Attack là gìÊ

Ê
DDOS - Distributed Denial Of Service.

‡ 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) đưӧc viӃt bӣi Phifli.

‡ Tháng 5 ± 1999 Trang chӫ cӫa FBI đã ngӯng hӑat đӝng vì cuӝc tҩn công bҵng (DDOS)

‡ Tháng 6 ± 1999 Mҥng Trinoo đã đưӧc cài đһt và kiӇm tra trên hơn 2000 hӋ thӕng.

DDOS ± Distributed Denial Of Service ?

‡ Cuӕi tháng 8 đҫu tháng 9 năm 1999, Tribal Flood Network đҫu tiiên ra đӡi, Chương trình
đưӧc Mixter Phát triӇn.

‡ Cuӕi tháng 9 năm 1999, Công cө Stacheldraht đã bҳt đҫu xuҩt hiӋn trên nhӳng hӋ thӕng
cӫa Châu âu và Hoa kǤ.

‡ Ngày 21 tháng 10 năm 1999 David Dittrich thuӝc trưӡng đҥi hӑc Washington đã làm
nhӳng phân tích vӅ công cө tҩn công tӯ chӕi dӏch vө

‡ Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 ( TFN2K ).

‡ 10 : 30 / 7 ± 2 -2000 Yahoo! ( Mӝt trung tâm nәi tiӃng ) đã bӏ tҩn công tӯ chӕi dӏch vө và
ngưng trӋ hoҥt đӝng trong vòng 3 giӡ đӗng hӗ. Web site Mail Yahoo và GeoCities đã bӏ tҩn
công tӯ 50 đӏa chӍ IP khác nhau vӟi nhӱng yêu cҫu chuyӉn vұn lên đӃn 1 gigabit /s.

DDOS - Distributed Denial Of Service ?

‡ 8 -2 nhiӅu Web site lӟn như Buy.com, Amazon.com, eBay, Datek, MSN, và CNN.com bӏ
tҩn công tӯ chӕi dӏch vө.

‡ Lúc 7 giӡ tӕi ngày 9-2/2000 Website Excite.com là cái đích cӫa mӝt vө tҩn công tӯ chӕi
dӏch vө, dӳ liӋu đưӧc luân chuyӉn tӟi tҩp trong vòng 1 giӡ cho đӃn khi kӃt thúc, và gói dӳ
liӋu đó đã hư hӓng nһng.

‡ Qua đó ta có thӇ thҩy rõ nhӳng vө tҩn công tӯ chӕi dӏch vө (Denial Of Services Attack )
và nhӳng cuӝc tҩn công vӅ viӋc gӱi nhӱng gói dӳ liӋu tӟi máy chӫ (Flood Data Of Services
Attack) tӟi tҩp là nhӳng mӕi lo sӧ cho nhiӅu mҥng máy tính lӟn và nhӓ hiӋn nay,

‡ Khi mӝt mҥng máy tính bӏ Hacker tҩn công nó sӁ chiӃm mӝt lưӧng lӟn tài nguyên trên
server như dung lưӧng ә cӭng, bӝ nhӟ, CPU, băng thông «. Lưӧng tài nguyên này tùy
thuӝc vào khҧ năng huy đӝng tҩn công cӫa mӛi Hacker. Khi đó Server sӁ không thӇ đáp
ӭng hӃt nhӳng yêu cҫu tӯ nhӳng client cӫa nhӳng ngưӡi sӱ dөng và tӯ đó server có thӇ sӁ
nhanh chóng bӏ ngӯng hoҥt đӝng, crash hoһc reboot.
‡ Tҩn công tӯ chӕi dӏch vө có rҩt nhiӅu dҥng như Ping of Death, Teardrop, Aland Attack,
Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS.

Ping Of Death.

Mӝt sӕ máy tính sӁ bӏ ngưng hӑat đӝng, Reboot hoһc bӏ crash khi bӏ nhұn nhӳng gói dӳ liӋu
ping có kích thưӟc lӟn.

‡ Ví dө như : ping đӏachӍ -n 1000


trong đó : sӕ 1000 là sӕ lҫn gӱi gói dӳ liӋu.

‡ TCP/SYN Flooding:

Bưӟc 1: Khách hàng gӱi mӝt TCP SYN packet đӃn cәng dӏch vө cӫa máy chӫ

Khách hàng -> SYN Packet -> Máy chӫ

Bưӟc 2 : Máy chӫ sӁ phҧn hӗi lҥi khách hàng bҵng 1 SYN/ACK Packet và chӡ nhұn mӝt 1
ACK packet tӯ khách hàng

Máy chӫ -> SYN/ACK Packet -> Khách hàng

Bưӟc 3: Khách hàng phҧn hӗi lҥi Máy chӫ bҵng mӝt ACK Packet và viӋc kӃt nӕi hòan tҩt
Khách hàng và máy chӫ thӵc hiӋn công viӋc trao đәi dӳ liӋu vӟi nhau.

Khách hàng -> ACK Packet -> Máy chӫ

‡ Trong trưӡng hӧp Hacker thӵc hiӋn viӋc SYN Flooding bҵng cách gӱi tӟi tҩp, hàng loҥt
TCP SYN packet đӃn cәng dӏch vө cӫa máy chӫ sӁ làm máy chӫ bӏ quá tҧi và không còn
khҧ năng đáp ӭng đưӧc nӳa.

‡ UDP/ICMP Flooding:
Hacker thӵc hiӋn bҵng cách gӱi 1 sӕ lưӧng lӟn các gói tin UDP/ICMP có kích thưӟc lӟn
đӃn hӋ thӕng mҥng, khi hӋ thӕng mҥng chӏu phҧi sӵ tҩn công này sӁ bӏ qua tҧi và chiӃm hӃt
băng thông đưӡng truyӅn đi ra bên ngòai cӫa mҥng này, vì thӃ nó gây ra nhӱng ҧnh hưӣng
rҩt lӟn đӃn đưӡng truyӅn cũng như tӕc đӝ cӫa mҥng, gây nên nhӳng khó khăn cho khách
hàng khi truy cұp tӯ bên ngoài vào mҥng này.

‡ Nhӳng điӅu kiӋn đӫ đӇ có nhӳng cuӝc tҩn công DoS Có hiӋu quҧ:
ĐӇ có đưӧc nhӳng cuӝc tҩn công DOS có hiӋu quҧ thông thưӡng mӝt Hacker phҧi lӵa chӑn
cho mình nhӳng đưӡng truyӅn có dung lưӧng lӟn cũng như tӕc đӝ máy đưӧc dùng làm
công cө tҩn công. NӃu không hӝi tө đưӧc nhӳng điӅu kiӋn trên thì cuӝc tҩn công sӁ không
mang lҥi mҩy khҧ quan.

‡ Nhưng vӟi nhӳng tiӋn ích như Trinoo, TFN2K, Stacheldraht« ngưӡi tҩn công không
phҧi chӍ dùng 1 nơi đӇ tҩn công mà sӱ dөng nhiӅu mҥng lưӟi khác nhau đӇ thӵc hiӋn viӋc
tҩn công đӗng lӑat. Các máy đưӧc dùng đӇ tҩn công thưӡng là các máy có kӃt nӕi Internet
bӏ ngưӡi tҩn công xâm nhұp.

‡ Qua đó chúng tôi đã tham khҧo và biӃt mӝt sӕ cách nhưng hҫu hӃt không chӕng đưӧc mӝt
cách triӋt đӇ.

1. Khi bҥn phát hiӋn máy chӫ mình bӏ tҩn công hãy nhanh chóng truy tìm đӏa chӍ IP đó và
cҩm không cho gӱi dӳ liӋu đӃn máy chӫ.

2. Dùng tính năng lӑc dӳ liӋu cӫa router/firewall đӇ loҥi bӓ các packet không mong muӕn,
giҧm lưӧng lưu thông trên mҥng và tҧi cӫa máy chӫ.

3. Sӱ dөng các tính năng cho phép đһt rate limit trên router/firewall đӇ hҥn chӃ sӕ lưӧng
packet vào hӋ thӕng.

4. NӃu bӏ tҩn công do lӛi cӫa phҫn mӅm hay thiӃt bӏ thì nhanh chóng cұp nhұt các bҧn sӱa
lӛi cho hӋ thӕng đó hoһc thay thӃ.

5. Dùng mӝt sӕ cơ chӃ, công cө, phҫn mӅm đӇ chӕng lҥi TCP SYN Flooding.

6. Tҳt các dӏch vө khác nӃu có trên máy chӫ đӇ giҧm tҧi và có thӇ đáp ӭng tӕt hơn. NӃu
đưӧc có thӇ nâng cҩp các thiӃt bӏ phҫn cӭng đӇ nâng cao khҧ năng đáp ӭng cӫa hӋ thӕng
hay sӱ dөng thêm các máy chӫ cùng tính năng khác đӇ phân chia tҧi.

7. Tҥm thӡi chuyӇn máy chӫ sang mӝt đӏa chӍ khác.

Flooding Data Attack ?

‡ Hoàn toàn khác vӟi DDos vӅ khҧ năng tҩn công cũng như sӵ huy đӝng tҩn công rҩt dӉ
dàng đӇ làm tràn ngұp dӳ liӋu (Flood data attack !) đưӧc phát triӇn ӣ rҩt nhiӅu dҥng nó
dӵa vào nhӳng lӛi cӫa hҫu hӃt các mã nguӗn mӣ cӫa ASP, PHP, JSP, CGI «..

‡ Vӟi DDOS như chúng ta đã biӃt khi mӝt sӕ Hacker muӕn mӣ nhӳng cuӝc tҩn công đӅu
phҧi hӝi tө nhӳng điӅu kiӋn, là phҧi dùng nhӳng máy chӫ có đưӡng truyӅn cao và thưӡng
thì phҧi @hҳc vào server đó mӟi có thӇ huy đӝng làm công cө tҩn công đưӧc, ngưӧc lҥi vӟi
Flood data attack viӋc huy đӝng quá dӉ, nó chia ra làm 2 dҥng tҩn công như sau:

‡ Dҥng 1: Đưӧc chҥy trên trên môi trưӡng Windonw, Unix, Linux «

‡ Dҥng 2: Đưӧc đính kèm trên các Website và nhұn lӋnh tҩn công tӯ mӝt đӏa chӍ nào đó
trên Mҥng toàn cҫu.

‡ Dҥng 1: Vӟi kích thưӟc tӯ 500 byte đӃn 1Kb các Hacker dӉ dàng đính kèm vào mӝt
Website nào đó có nhiӅu ngưӡi hiӋn đang có mһt truy cұp trên Website đó. Vӟi đӑan mã
trên ta có thӇ thҩy Hacker đã đһt kích thưӟc tұp tin Flooddata.swf ӣ chӃ đӝ ChiӅu rӝng
(width) là bҵng 0 và chiӅu cao (height) cũng bҵng 0 như thӃ tұp tin này sӁ không thӇ hiӇn
thӏ đưӧc trên trên trang Web đó

Khi ngưӡi sӱ dөng vào Website này lұp tӭc sӁ kích hӑat chương trình Flood Data Attack !
cӫa Hacker tҥi đӏa chӍ là http://noitancong.com/filedata.swf và Hacker cũng dӉ dàng điӅu
khiӇn chương trình bҵng 1 file nguӗn ӣ 1 Website nào đó cӫa Hacker trên mҥng mà
Hacker đó đһt ra trong chương trình Flooding data Attack.

Hacker có thӇ kiӇm soát đưӧc sӕ ngưӡi hiӋn đang kích hoҥt chương trình Flood data cӫa
mình trên Website đó và khi nào Hacker cҧm thҩy sӕ lưӧng ngưӡi đang kích hoҥt chương
trình đã đӫ đӇ viӋc tҩn công mӝt Website nào đó trên mҥng thành công thì công viӋc đó có
thӇ đưӧc bҳt đҫu.

Ví dө như hacker vào mӝt đӏa chӍ như http://www.vbuleetin.com đӇ thӵc hiӋn công viӋc tҩn
công trang này hacker cҫn phҧi tìm nhӳng nơi có sӵ trao đәi dӳ liӋu cho nhau như
Register, Search, Login, Sendmail «.. Sau khi đã thu thұp đưӧc nhӳng thành phҫn trên
Hacker bҳt đҫu thӵc hiӋn lҩy nhӳng đҫu vào(input) và gán nhӱng giá trӏ đҫu vào trên lên
nơi điӅu khiӇn cӫa chương trình Flood data attack!.

Ví dө phҫn trên sӁ đưӧc gán vӟi biӃn như sau :

Url=http://www.vbuleetin.com/register.php&username=user +
random(999999999)&password =
flood&passwordconfim=password&email=random(1000000 00)+@vbulleetin.com

Trong đó Url là giá trӏ cӫa Website bӏ tҩn công, Username vӟi giá trӏ là mӝt user nào đó do
hacker đһt ra và cӝng vӟi biӃn ngүu nhiên ӣ sau mӛi user mà hacker đһt ra là khác nhau.
Mӝt khi Website này bӏ tҩn công, toàn bӝ hӑat đӝng cӫa Server chӭa Website đó sӁ bӏ hұu
quҧ rҩt ngiêm trӑng tùy theo sӕ lưӧng ngưӡi kích hӑat vào chương trình Flood data attack!
Cӫa hacker đó, Lúc này nhӳng phҫn bӏ ҧnh hưӣng sӁ là MailServer, MySQL, PHP,
Apache, FTP«.

‡ Đӕi vӟi MySQL : Khi bӏ Flood data attack! Nhӳng yêu cҫu sӁ đưӧc gӱi liên tөc đӃn
Server và đưӧc chuyӇn qua MySQL xӱ lý vӟi sӕ lưӧng lӟn và nӕi tiӃp nhau cho đӃn khi quá
tҧi chương trình MySQL sӁ hòan toàn bӏ vô tác dөng song song vӟi viӋc ҧnh hưӣng đӃn
MySQL là viӋc ҧnh hưӣng đӃn MailServer.

Vӟi giá trӏ là random(100000000)+@vbuleetin.com thì khi thӵc thi nó sӁ gӱi tӯ


µ1@vbuleetin.com¶ cho đӃn µ100000000@vbuleetin.com¶ tҩt nhiên nhӱng email này sӁ
không có thӵc đӕi vӟi trang chӫ cӫa Website µhttp://www. vbuleetin.com.

‡ Đӕi vӟi sӁ nhӱng đӏa chӍ email này MailServer đưa vào danh sách "Msgs Failed" nhưng
vӟi giá trӏ là @vbulletin.com thì hҫu hӃt mӝt nhà cung cҩp "domain" và "hosting" sӁ
chuyӇn vӅ mӝt sӕ email mһc đӏnh như là postmaster, admin, administrator, supervisor,
hostmaster, webmaster.

Nhӳng Hacker có thӇ lӧi dөng nhӳng Form mail trong viӋc trao đәi thông tin giӳa khách
hàng vӟi chӫ cung cҩp dӏch vө đӇ thӵc hiӋn nhӳng cuӝc tҩn công, nhӳng cuӕc tҩn công này
thưӡng rҩt nguy hiӉm vì có thӇ trong 1 giây Hacker thӵc hiӋn tӯ 100 lҫn đӃn hàng nghìn
lҫn vӟi nhӳng yêu cҫu SendEmail tӯ 1 user trên server đó đӃn MailServer.

‡ Dҥng 2: Đưӧc chҥy dưӟi dҥng file.exe vӟi dҥng thӭc này thì khҧ năng tҩn công vүn giӕng
như cách tҩn công nҵm trên website nhưng khҧ năng tҩn công đưӧc nâng thêm nhiӅu dҥng
như Ping, Flood Ftp, Flood Smtp« tùy vào khҧ năng phát triӇn cӫa Hacker.

Cũng giӕng như chương trình Flood data attack! Đưӧc gҳn trên website dҥng .exe này
cũng đưӧc điӅu khiӇn tӯ 1 Website. Thưӡng thì nơi điӅu khiӇn đưӧc đһt chung 1 nơi đӇ tiӋn
cho viӋc điӅu khiӇn.

Vӟi nhӳng phương thӭc tҩn công như vұy ta cũng có thӇ thҩy đưӧc tҫm nguy hiӇm cӫa nó
nӃu như đưӧc đһt trên mӝt server vӟi sӕ lưӧng ngưӡi truy cұp đông như Google hoһc 1
Website nәi tiӃng nào đó thì sӭc phá hoҥi cӫa nó là rҩt khӫng khiӃp.

‡ Vӟi 1 client/1s có thӇ gӱi tӯ 3 ± 8 yêu cҫu có thӵc đӃn máy chӫ thӵc thi và xӱ lý thông qua
đó nó có thӇ ҧnh hưӣng đӃn Php, Apache, Phpmail, MySQL, FTP «., Tùy theo nhӳng mã
nguӗn cӫa ASP, PHP, JSP, CGI, PL hoһc chung quy là nhӳng mã nguӗn có liên quan đӃn
công viӋc xuҩt và nhұp dӳ liӋu.

NӃu hacker huy đӝng hoһc @hҳc đưӧc nhӳng server hoһc Website nào đó có sӕ lưӧng
ngưӡi Online khoҧng 2000 thì trong 1 giây Server đó sӁ phҧi thӵc thi khoҧng 6000 yêu cҫu
tӯ các client gӱi đӃn Server đó.

Ví dө : Có User nҵm trên server X nào đó user đó có cài đһt mã nguӗn mӣ như Forum IPB
(Invision Power Boards) khi hacker sӱ dөng mөc đăng ký làm nơi tҩn công Flood data thì
trong vòng mӝt giây như phҫn trên đã nêu sӁ có khoãng 6000 nickname đưӧc khӣi tҥo đi
kèm theo đó là 6000 yêu cҫu đã đưӧc mã nguӗn mӱ thiӃt lұp khi đăng ký và sӁ kèm theo
viӋc gӱi email đӃn các đӏa chӍ đã đăng ký.

‡ Như vұy đi kèm vӟi 6000 nickname trên, MailServer sӁ phҧi gӱi đi 6000 yêu cҫu trong
vòng 1/s viӋc này nӃu như bӏ kéo dài tӯ 5 ± 10 phút thì Server đó hҫu như sӁ không còn
hӑat đӝng đưӧc.

Bandwith lúc này có thӇ tăng 5 ± 10 MB/s cӝng thêm data khi đưӧc chuyӇn đӃn MySQL lúc
này có thӇ đҥt tӟi 5 -7 MB/s nӳa khi đó toàn bӝ các phҫn mӅm như Apache, MailServer,
PHP, MySQL, FTP đӅu bӏ ngưng hӑat đӝng. Lúc đó server có thӇ sӁ bӏ reboot.

Vì Hacker sӱ dөng phương tiӋn tҩn công Online trên Website và dӵa vào lưӧng khách truy
cұp thông tin ӣ nhiӅu Website nên phương pháp này hҫu như rҩt khó chӕng, mӛi ngày
Hacker có thӇ dùng hàng ngàn đӏa chӍ IP trên khҳp thӃ giӟi đӇ thӵc hiӋn viӋc tҩn công như
thӃ ta có thӇ thҩy nó đơn giҧn so vӟi DDos rҩt nhiӅu nhưng sӵ nguy hiӇm có lӁ hơn hҷn
DDos. Vì Flooding Data Attack tҩn công theo dҥng đӏa chӍ
µhttp://victim.com/data.php&bien1&bien2&bien3¶ theo cәng GET hoһc POST vì vұy, cho
dù bҩt cӭ lý do gì khi tҩn công cũng phҧi đi qua hưӟng này.
Do lӛi đưӧc xuҩt hiӋn ӣ các mã nguӕn ASP hay PHP nên cách tӕt nhҩt là sӱa và xem lҥi
nhӳng mã nguӗn mà ngưӡi sӱ dөng muӕn đưa lên mҥng. ĐӇ tránh bӏ Flood data Attack!
Thì cách phòng chӕng tҥm thӡi vүn là thêm mӝt chuӛi ngүu nhiên trên mӛi Form có sӵ
xuҩt và nhұp dӳ liӋu tuy nhiên nhӳng cách trên chưa phҧi là nhӳng cách hòan thiӋn đӇ
chӕng lҥi nhӱng cuӝc tҩn công tràn ngұp dӳ liӋu (Flooding Data Attack).

Còn đây là mӝt sӕ tool ddos cho mӑi ngưӡi tham khҧo
http://yo88.net/forum/showthread.php?t=1943Ê
Ê