English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Một phương pháp chống DDoS bằng xFlash  XML
  [Question]   Một phương pháp chống DDoS bằng xFlash 02/07/2007 14:19:25 (+0700) | #1 | 68404
mrro
Administrator
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
Tôi có viết về một phương pháp chống DDoS bằng xFlash:

* Cách thức browser xử lí các HTML form có enctype = "multipart/form-data" và enctype = "application/www-urlencoded" (default) hoàn toàn khác nhau. Điểm khác nhau đặc trưng là khi submit (nghĩa là tạo ra POST request) form "multipart/form-data", browser sẽ tự động set Content-type là "multipart/form-data", còn khi submit các form khác, browser sẽ sử dụng Content-type là "application/www-urlencoded".

* Flash (với các hàm thường được sử dụng để DDoS như LoadVars, GetURL hay SendtoURL, etc...) không thể gửi POST request theo định dạng "multipart/form-data". Đây chính là "gót chân Asin" của Flash.

* Do đó nếu bằng một cách nào đó, ta có thể set tất cả các form thành enctype = "multipart/form-data", nghĩa là ép tất cả POST request có Content-type là "multipart/form-data", ta sẽ có thể phát hiện ra những POST request xuất phát từ Flash, vốn dĩ luôn có Content-type là "application/www-urlencoded".
 


Xem chi tiết và góp ý ở http://vnhacker.blogspot.com/2007/07/mt-phng-php-chng-ddos-bng-xflash.html.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Một phương pháp chống DDoS bằng xFlash 03/07/2007 00:28:25 (+0700) | #2 | 68447
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

mrro wrote:
Tôi có viết về một phương pháp chống DDoS bằng xFlash:

* Cách thức browser xử lí các HTML form có enctype = "multipart/form-data" và enctype = "application/www-urlencoded" (default) hoàn toàn khác nhau. Điểm khác nhau đặc trưng là khi submit (nghĩa là tạo ra POST request) form "multipart/form-data", browser sẽ tự động set Content-type là "multipart/form-data", còn khi submit các form khác, browser sẽ sử dụng Content-type là "application/www-urlencoded".

* Flash (với các hàm thường được sử dụng để DDoS như LoadVars, GetURL hay SendtoURL, etc...) không thể gửi POST request theo định dạng "multipart/form-data". Đây chính là "gót chân Asin" của Flash.

* Do đó nếu bằng một cách nào đó, ta có thể set tất cả các form thành enctype = "multipart/form-data", nghĩa là ép tất cả POST request có Content-type là "multipart/form-data", ta sẽ có thể phát hiện ra những POST request xuất phát từ Flash, vốn dĩ luôn có Content-type là "application/www-urlencoded".
 


Xem chi tiết và góp ý ở http://vnhacker.blogspot.com/2007/07/mt-phng-php-chng-ddos-bng-xflash.html.

-m 


Một nhận định rất lý thú smilie).

Hơn một năm nay chưa hề thấy x-flash POST tấn công HVA có lẽ không phải do những điều mrro phát hiện mà do tính nặng nề của nó.

Nói về phương diện cản như mrro đưa ra, chắc chắn dùng x-flash POST sẽ không đi quá tầng apache được. Bởi thế, ý định DDoS để tăng server load (vì tạo truy vấn đến CSDL như HVA bị ngày trước) thì chắc chắn sẽ không được. Tuy nhiên, nói trên bình diện bị DDoS thuần túy thì băng thông, máy chủ và chính apache vẫn bị trì trệ nếu như số lượng request đủ nhiều. Giả sử, nếu một số lượng người dùng cùng được huy động để load x-flash vào tạo khoảng 10 ngàn SYN 1 giây thì server sẽ cực kỳ mệt nhọc vì chính kernel điều tác memory để xử lý cũng đã vất vả. Nếu chỉ để một mình apache gánh vác phần "inline edit" luôn thì nguy cơ bị cạn kiệt tài nguyên càng nhanh nữa.

Nói chung, chống DDoS ở bất cứ dạng nào cũng nên trải dài từ tầng thấp nhất lên tầng cao nhất. Tài nguyên cho hệ thống cần được trang bị đầy đủ. Có lẽ, cân bằng tải giữa nhiều servers là một giải pháp xem ra là khả thi nhất hiện nay. Tuy nhiên, không phải ai cũng có điều kiện tài chính để làm được điều này.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Một phương pháp chống DDoS bằng xFlash 03/07/2007 01:14:55 (+0700) | #3 | 68450
JAL
Administrator
Joined: 21/12/2001 08:20:25
Messages: 342
Offline
[Profile] [PM]
hi mRRo, vấn đề như conmale đã có nói, nó không thể vướt qua được rào cản của firewall nhất là kernel được trang bị tốt, chưa nói đến qua tới apache, vấn đề là nó làm cho đường dây bị nghẽn, do 1 line thường có băng thông được ISP cho phép là dùng bao nhiêu. Chỉ cần Ddos vô tội vạ, vẫn chết như thường. Về cách sử lý form từ 2 năm trước đã có để ý đến, khi sniff packets đi đến. Hơn nữa, khi ép thì apache vẫn phải nhận,deny, chứng tỏ sockets vẫn phải phải mở, chưa kịp đóng đã bị dồn tiếp--> thất bại. Cách duy nhất đúng là dùng nhiều đường dây load balancing. Cơ sở hạ tầng tốt là điều tiên quyết, kế đến là kỷ thuật. Bằng chứng là cái router hva đã đứng vài lần, trong khi server không có vấn đề gì. lý do là quá nhiều request đến, router chịu không nổi.
[Up] [Print Copy]
  [Question]   Một phương pháp chống DDoS bằng xFlash 03/07/2007 01:18:16 (+0700) | #4 | 68452
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Chẹp lão xem luôn là ở AS 3 (Flash player 9 ) có Class XMLSocket đó. Nó cho phép gửi một chuỗi dữ liệu có độ dài thoải mái ko giới hạn. Nếu mà tớ gửi một chuỗi dữ liệu dài cỡ 2MB bằng cái này rồi gắn lên 1 site nào đó thì cứ chừng 100 người truy cập thì đùng đùng ......cái đường truyền của server die smilie .
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Một phương pháp chống DDoS bằng xFlash 03/07/2007 01:25:27 (+0700) | #5 | 68454
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

hackernohat wrote:
Chẹp lão xem luôn là ở AS 3 (Flash player 9 ) có Class XMLSocket đó. Nó cho phép gửi một chuỗi dữ liệu có độ dài thoải mái ko giới hạn. Nếu mà tớ gửi một chuỗi dữ liệu dài cỡ 2MB bằng cái này rồi gắn lên 1 site nào đó thì cứ chừng 100 người truy cập thì đùng đùng ......cái đường truyền của server die smilie


Nhưng dùng XMLSocket này chỉ có thể access port > 1024 mà thôi. AS 3 còn có giới hạn cross domain nữa. Bởi thế, AS 3 xem ra nguy hiểm nhưng cái security architecture của nó strict hơn AS 2.

Thân.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Một phương pháp chống DDoS bằng xFlash 03/07/2007 05:03:47 (+0700) | #6 | 68489
mrro
Administrator
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
conmale & JAL: hoàn toàn đồng ý với ý kiến của hai anh. Như em đã nói trong bài viết của mình, phương thức này không phải là silver bullet, có thể giải quyết dứt điểm xFlash. Ưu điểm lớn nhất của nó là có thể phát hiện ra được xFlash bất kể thằng xFlash có thay hình đổi dạng đến cỡ nào (ý em là thế hệ xFlash gửi POST request như hiện nay).

hackernohat: tôi biết rõ ActionScript 3 nguy hiểm cỡ nào và trong bài viết của tôi cũng có đề cập đến điểm này. Phương thức này chỉ có thể chống lại đám xFlash hiện tại thôi, còn nếu kẻ tấn công cố ý khai thác những tính năng mới của ActionScript 3 thì phương thức này sẽ hoàn toàn bó tay. BTW, XMLSocket không phải là tính năng nguy hiểm nhất của ActionScript 3 đâu.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Một phương pháp chống DDoS bằng xFlash 03/07/2007 07:45:09 (+0700) | #7 | 68539
[Avatar]
 rickb
Reseacher
Joined: 27/01/2007 17:47:27
Messages: 200
Offline
[Profile] [PM] [Yahoo!]

mrro wrote:
conmale & JAL: hoàn toàn đồng ý với ý kiến của hai anh. Như em đã nói trong bài viết của mình, phương thức này không phải là silver bullet, có thể giải quyết dứt điểm xFlash. Ưu điểm lớn nhất của nó là có thể phát hiện ra được xFlash bất kể thằng xFlash có thay hình đổi dạng đến cỡ nào (ý em là thế hệ xFlash gửi POST request như hiện nay).

hackernohat: tôi biết rõ ActionScript 3 nguy hiểm cỡ nào và trong bài viết của tôi cũng có đề cập đến điểm này. Phương thức này chỉ có thể chống lại đám xFlash hiện tại thôi, còn nếu kẻ tấn công cố ý khai thác những tính năng mới của ActionScript 3 thì phương thức này sẽ hoàn toàn bó tay. BTW, XMLSocket không phải là tính năng nguy hiểm nhất của ActionScript 3 đâu.

-m 


Bác mrro cho mình hỏi cái, bác nói "thế hệ xFlash gửi POST request như hiện nay", thế x-flash hồi trước sử dụng phương phép gì vậy bác ?
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|