DRDoS-Distributed Reflection Denial of Service

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận thâm nhập

DRDoS-Distributed Reflection Denial of Service

[Article] DRDoS-Distributed Reflection Denial of Service - 1	29/06/2006 21:31:31 (+0700) \| #1 \| 2085

NguyenTracHuy
HVA Friend

Joined: 08/08/2003 15:34:40
Messages: 388
Offline

Vào lúc 2h sáng ,11 tháng giêng năm 2002,GRC.com đã bị phá hoại bởi một cuộc tấn công từ chối dịch vụ phân tán
Có lẽ làm ngạc nhiên hầu hết các khía cạnh của cuộc tấn công này là source bị phơi bày một cách rõ ràng bởi hàng trăm “core router “của internet ,web server thuộc về yahoo.com ,và lại còn một máy với địa chỉ IP chuyển tới “gary7.nsa.gov”.Có lẽ chúng tôi đang nằm trong một cuộc tấn công mạnh mẽ và các máy tính có kết nối hoàn chỉnh
Ngay lập tức chúng tôi xác định rõ làm thế nào để chế ngự cuộc tấn công này và đưa trang web hoạt động trở lại .1.072,519,399 gói đã bị chặn đứng trước khi cuộc tấn công kết thúc
Trang này cung cấp cho ta một sự hướng dẫn ngắn gọn ,trên thao tác của giao thức TCP của mạng ,kèm theo là sự giảng giải về thao tác truyền thông của các cuộc tấn công “từ chối dịch vụ “(DoS),từ chối dịch vụ phân tán (DDoS) ,từ chối dịch vụ phản xạ phân tán (DRoS)

Sự tàn phá băng thông
Điều này đúng cho cuộc tấn công vào ngày 11 tháng giêng ,một vài cuộc tấn công phân tán nhỏ thì thường tấn công tiêu huỷ băng thông ,nơi mà sự kết hợp liên kết băng thông Internet của nhiều máy tính là “tâm điểm “,hoặc hướng tới,trên một hoặc một vài máy tính .Mặc dù những gói Internet của cuộc tấn công đơn độc có thể có một kết thúc vô hại .sự tràn ngập của những gói như thế có thể chôn vùi sự kết nối mạng của máy đích ,hoặc xử lý các tài nguyên của máy khác .Kết quả là lưu lượng thông tin hợp lệ không thể cạch tranh với sự tràn ngập tinh vi,có một sự tình cờ nhỏ để giành được dịch vụ có ích
Để nói thêm những cuộc tấn tông tàn phá băng thông bằng DdoS,vui lòng xem trang thảo luận trước của nhiều cuộc tấn công DdoS được chỉ huy bởi một thằng nhóc tinh quái mới chỉ 13 tuổi
Tuy nhiên ,kể từ khi 2 công ty lớn và nhỏ bắt đầu gây nhiều phiền muộn và lại còn có nguy cơ phá sản -điều này là một ví dụ cụ thể tương tự như là kết quả của việc tràn ngập các gói tinh vi .Một sự hiểu biết và chuẩn đoán một cách chính xác phương pháp của cuộc tấn công sắc sảo thường gợi ra một cách hiệu quả để tìm ra biện pháp đối phó
Trước khi chúng ta học và hiểu những cuộc tấn công ánh xạ phân tán .Chúng ta cần phải hiểu sự hoạt động của TCP ,dùng để kết nối điều khiến các máy tính trên mạng

Kết nối TCP 101

Nhớ lại một vài năm về trước,trước khi Internet ra đời ,việc trao đổi lẫn nhau giữa hai máy tính chỉ xảy ra trên mạng .Kỹ sư phần cứng như là một phần mềm khôn ngoan .Tôi nhớ rằng ,”kết nối ư?”.Làm thế nào để có thể kết nối giữa hai máy tính với nhau trên một mạng rộng? (vượt ra ngoài mạng cục bộ).Sau đó tôi đã được học rằng hai máy tính có thể có địa chỉ và gửi những gói dữ liệu cho nhau ,thông qua “sự đàm phán kế nối “.Kết quả là nọ đã thành công trong việc thông mạng và thiết lập một “virtual TCP connection-kết nối TCP ảo “
Những gói TCP riêng lẻ bao gồm những “cờ bits”,mang thông tin chứa đựng nội dung và mục đích đặc biệ của mỗi gói .Ví dụ,một gói “SYN”với cờ bit được thiết lập để bắt đầu khởi xướng một kết nối từ người gửi đến người nhận .Một gói ACK với cờ bit được thiết lập để thừa nhận thông tin người nhận đến người gửi .Một gói FIN với cờ bit được thiết lập để kết thúc kết nối từ người gửi đến người nhận
Sự thiết lập một kết nối TCP tiêu biểu đòi hỏi sự trao đổi ba gói chứa đựng thông tin trao đổi giữa hai máy tính trong một sự trao đổi lẫn nhau thông qua “a bước bắt tay TCP” Đây là hình vẽ minh hoạ

bmuht_fig.95954_326f1699d456370e1d350189beb01136/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptth
1.SYN một TCP client (như là web browser ,tp client ,v…v)bắt đầu một kết nối với một TCP server bằng cách gửi một gói SYN đến server
Tương tự biểu đồ bên trên , gói SYN này thường được gửi từ số port client giữa 1024 và 65535 tới port server,là số từ 1- 1023.NHững chương trình Client chạy trên máy client đăng lý với hệ điều hành đang chạy trên máy client một port để kếtt nối với server.Số port thuộc phạm vi trên sẽ được hiểu như clienthoặc danh sách port danh chóng bị mất đi .Tương tự như thế Chương trình server chạy trên máy server đăng ký với hệ điều hành cho một đặc quyền là lắng nghe lưu lượng thông tin đi vào trên một số cổng đặc biệt . Đây là danh sách port được biết đến như là portt dịch vụ .Ví dụ ,một chương trình web server tiêu biểu lắng nghe những gói thông tin đến từ port 80 cảu máy tính và web browser client thông thường gửi những gói thông tin thông qua port 80 đến server
Chú ý rằng để thêm được từ port máy gửi đến port máy nhận ,thì mỗi gói phải bao gồm địa chỉ IP của máy gửi và địa chỉ của máy mà router sẽ chuyển tới
2.SYN/ACK
khi gói SYN nhận được yêu cầu kết nối tại một cổng dịch vụ TCP mở.Hện thống server trả lời lại với một sự chấp nhận kết nối gói “SYN/ACK.
Mặc dù kết nối TCp là một kết nối kép mỗi một hướng kết nối được thiết lập và quản lý một cách độc lập .Lý do là ,sự trả lời của TCP server đến yêu cầu kết nối gói SYN của client bởi ACKnowledginvà gởi SYN của chính nó để bắt đầu một kết nối trong định hướng trở lại.Hai thông báo đã kết hợp váo trong một một gói trả lời “SYN/ACL “đơn.
Gói SYN/ACK gửi đến SYN của người nhận bởi sử trao đổi địa chỉ IP giữa máy gửi và máy nhận tứ gói SYN và đặt chúng vào trong gói SYN/ACK trả lời . Đây là sự thiết lập gói SYN/ACK của máy nhận đến địa chỉ IP của SYN. Điều đó thậtt chính xác như chúng ta mong muốn .
Chú ý rằng,trong khi màgói của client đã được gửi đến cổng dịch vụ của server port 80 điều đó chúng ta đã bàn ở phần trên .Những gói đáp lại của server thì quay lại từ port dịch vụ tương ứng .Trong phần kế tiếp ,chỉ có địa chỉ IP của máy gửi và máy nhận đã được thay đổi trong những gói quay trở lại .
Sự tiếp nhận của client từ gói SYN/ACK của server đáp ứng sự chấp nhận kết nối của client.Nó luôn luôn đáp ứng cho client,và đường dẫn khứ hồi luôn luôn tồn tại giữa client và server .Nếu server không thể hoặc không bằng lòng kết nối TCP của client,nó sẽ trả lời với một gói RST/ACK ,hoặc một gói ICMP -cổng không thể kế nối được, để báo tin cho client biết rằng sự trả lời kết nối đã bị từ chối

[Article] DRDoS-Distributed Reflection Denial of Service - 2	29/06/2006 21:34:02 (+0700) \| #2 \| 2086

NguyenTracHuy
HVA Friend

Joined: 08/08/2003 15:34:40
Messages: 388
Offline

3.ACK:
Khi client nhận được thông báo về gói SYN/ACKcủa server cho sự chờ đợi kết nối ,nó trả lời với mộtt gói ACK.
Client thông báo nhận được phần SYN từ sự trả lời của Server bằng cách gửi một gửi một ACK trở ngược lại server .Tại thời điểm này ,hai con đường kết nối TCP đã được thiết lập giữa client và server ,và tại thời điểm này dữ liệu có thể tự do di chuyển trong cả hai hướng giữa hai điểm TCP cuối
Sự tiếp nhận của server từ sự chứng thực gói ACK của client đến server ,mà gói SYN/ACK có thể quay trở lại đến client .Tại thời điểm này ,server cân nhắc rằng hai con đường kết nối TCP đã được thiết lập giữa client và servervà dữ liệu có thể tự do di chuyển trong cả hai hướng giữa hai điểm TCP cuối
Sự lạm dụng TCP :Theo truyền thống tràn ngập SYN
Một vài năm trước ,một nhược điểm trong sự điều khiển kết nối TCP của nhiều hệ thống đã được khám phá và khai thác bởi nhiều hacker giỏi
Như đã trình bày trong lưỡc đồ TCP ở trên ,sự xác nhận của server từ một gói SYN của client với mục đích chuẩn bị cho một kết nối .Nó là một đặc thù chỉ định vùng nhớ đệm cho việc gửi và nhận việc kết nối dữ liệu và nó ghi lại chi tiết nhiều thứ khác nhau từ việc kết nối của client bao gồm điều khiển ip của client và kết nối số port .Trong cách này ,server sẽ chuẩn bị chấp nhận mở rộng kết nối gói ACK lần cuối của client .Ngoài ra ,nếu gói ACK của client bị lỗi trên đường đi ,server sẽ có thể gởi lại lần nữa .Cho rằng nó có thể bị lỗi hoặc bị phá huỷ trên giữa đường đi
Ngẫm nghĩ lại , điều này có nghĩa rằng bộ nhớ và những tài nguyên quan trọng được phâ phối như là một kết quả của một công thức.Thông minh nhưng những hacker giỏi đã tính rằng có một giới hạn số của “half open”có thể điều khiển kết nối a TCP server
bmuht_fig.95954_570ea0c9b61d4d62da31d2824da6dd33/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptth
Mặc dù sử dụng “Raw sockets” quay trở lại địa chỉ của gói source IP của gói có thể bị ghi đè và bị làm sai lệch ,khi một gói SYN với một source IP giả mạo đi đến server ,nó xuất hiện như là một vài lời đề nghị kết nối hợp lý .Server sẽ cung cấp cho bộ nhớ đệm cần thiết ,ghi lại những thông tin về kết nối mới và gởi một sự trả lời lại gói SYN/ACK đến client .NHưng từ khi source IP chứa đựng trong gói SYN bị cố ý giả mạo SYN/Ack sẽ gởi một IP ngẫu nhiên trên Internet .Nếu gói tin có một địa chỉ IP hợp lệ ,máy tính tại địa chỉ IP này có thể trả lời với một gói “RST” để cho phép server biết rằng nó không được yêu cầu một kết nối .Nhưng với trên 4 tỉ địa chỉ Internet , ở đó sẽ không có một máy nào tại địa chỉ đó và gói tin sẽ bị từ chối
Vấn đề ở đây là server không có cách nào biết được rằng sự yêu cầu kết nối hoàn hảo của client là một sự lừa đảo (giả mạo ).Vì thế nó cần xem xét một vài sự chờ đợi kết nối hợp lệ khác ,nó cần phải chờ trong một khoảng thời gian cho client hoàn tất “ba bước bắt tay “.Nếu ACK không nhận được ,server cần phải gửi lại SYN/ACK với sự tin tưởng rằng nó có thể bị lỗi trên đường trở lại client
Như bạn có thể hình dung ra ,tất cả sự quản lý kết nối này tiêu thụ một giá trị lớn giới hạn tài nguyên trên server .Trong lúc đó cuộc tấn công vào TCP client tiếp tục bừng lên những sự giả mạo gói SYN tại server ,bắt buộc nó tích luỹ liên tục những kết nối hỏng .Tại một vài thời điểm ,server sẽ không thể tích luỹ nhiều hơn một kết nối “half –open” và những kết nối hợp lệ sẽ bị quên lãng bởi vì khả năng của server có thể chấp nhận bất cứ kết nối mà sẽ phá huỷ một cách tinh vi

Không có sự tiêu huỷ băng thông

Trứơc khi hệ thống được hỗ trợ bởi khả năng làm tăng cao để giảm nhẹ tác dụng của sự tràn ngập SYN .Ngay cả một máy tinh vi đơn sử dụng một kết nối Dial-up chậm cũng có thể lấp đầy và phá huỷ hàng đợi kết nối của server internet có khả năng thi hành lệnh với tốc độ cao .Mặc dù có một vài tiến bộ trong sự chống lại sự giả mạo SYN có tính chất nguy hiểm ,một vài giải pháp có hiệu quả đã được tạo ra
Nó là một điều quan trọng cần phải hiểu là rất dễ dàng đánh lừa sự tấn công của source IP SYN để không bị những sự tấn công phá huỷ băng thông .Vì bản chất dễ bị tổn thươngcủa hầu hết TCP/IP của hệ thống
Hơn nữa hãy chú ý rằng tấn công từ chối dịch vụ thì không “phân tán “nó là một cuộc tấn công “DoS”,không giống như một vài hình thức tấn công DdoS . Đơn độc ,tinh vi ,máy phát sinh SYN , ẩn nó trong địa chỉ Internet và đặc tính đằng sau sự giả mạo các gói source IP SYN ,có thể liên hệ và down một web site lớn

[Article] DRDoS-Distributed Reflection Denial of Service - 3	29/06/2006 21:37:54 (+0700) \| #3 \| 2088

NguyenTracHuy
HVA Friend

Joined: 08/08/2003 15:34:40
Messages: 388
Offline

Giải quyết vấn đề giả mạo

Những nhà cung cấp hệ thống phản ứng lại các cuộc tấn công giả mạo gói SYN bằng cách tăng cường TCP “Protocol stacks”của họ bằng những cách khác nhau .Hầu hết sự nâng cấp lại hệ thống thì làm cho hệ thống ít bị tổn thương hơn ,nhưng họ không loại trừ bất cứ vấn đề nào

Diễn tiến của các cuộc tấn công băng thông

Như một sự giả tạo của các hacker tinh vi đã có kinh nghiệm và như là một bảng tóm tắt giá trị của sự không an toàn và sẳn sàng thoả hiệp với máy chủ kết nối Internet ,nhanh như tên “sự tàn phá băng thông “.Các cuộc tấn công từ chối dịch vụ phân tán (DdoS) đã trở nên rất tầm thường .Như tôi đã khám phá và đã có tư liệu minh chứng vao tháng 5 năm 2001 ,có tác động mạnh , điều khiển những công cụ tấn công Internet thì bây giờ chúng trở nên dễ dàng như trò trẻ con .Chúng được vận dụng để phá vỡ hệ thống phòng thủ của máy tính

Chuyện gì xảy ra trong xuốt quá trình tấn công băng thông

Không giống như cuộc tấn công theo phong cách DoS cách này cho 1 tỷ lệ thấp cho việc chiếm đoạt những gói SYN ,phá huỷ ,gây tổn thương tài nguyên cảu Server ,tấn công băng thông tạo ra một sự tràn ngập có sức tàn phá mạnh mẽ của những lưu lượng thông tin vô nghĩa –tinh vi để làm tràn và phá huỷ server hoặc băng thông . Đây là sự cạnh tranhlàm tràn ngập những gói tinh vi và chôn vùi mọi thứ ,lưu lượng thông tin hợp lệ của mạng ,vì thế những gói còn nguyên vẹn có khả năng rất thấp để có thể tồn tại qua được trận flood .Các máy phục vụ mạng bắt đầu bị đánh văng ra khỏi mạng và chúng bị từ chối dịch vụ

bmuht_fig.95954_b7ab5fe4cc5ede6f02ba4935fba9041f/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptth

Loại bỏ những gói tin

Biểu đồ trên giúp chúng ta lọc ra hậu quả của cuộc tấn công băng . Đây là Router được đặt tại “customer edge” của dịch vụ mạng ,người cung cấp mạng đã sưu tầm và phân tán luồng thông tin từ một vài khách hàng mạng nhỏ .Theo cách đó nhiều sự kết nối băng thông yếu được tập hợp lại vào trong một kết nối băng thông cao hơn
Trong súôt quá trình hoạt động bình thừong ,luồn thông tin đến từ “Big pipe”sẽ được phân loại và đẩy mạnh tới những mạng con có băng thông thấp thuộc về nhiều router khác nhau

DoS chống lại DDoS

DoS :phong cách tấn công truyền thống ,là sử dụng một đánh một tức là dùng máy tính của mình tấn công máy khác ,có thể thấy được qua lược đồ sau

[img]http:/bmuht_fig.95954_3db1d05ddc028cda250fe15e768a71c9/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptth/> Như chúng ta đã thấy được tấn công nhờ và lược đồ trên ,nếu máy tấn công có tấn công có tốc độ kết nối Internet cao hơn máy của victim ,thì nó có thể thành công trong việc làm tràn băng thông mạng ,theo cách đó máy tấn công thực hiện một kết nối hoàn hảo và liên tục thì có thể flood không ít những máy có kết nối tốt để làm cho chúng không thể vào mạng
DDoS là một cấp độ cao hơn nhiều của cách thức làm tràn băng thông được phát sinh bởi sự tập trung băng thông của nhiều máy tính hướng tới một máy tính đơn hoặc mạng

[img]http://www.htmlonlbmuht_fig.95954_e63f97ea4766cd6969a8d00ea5ba0578/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptthbên trên hiển thị một kiến trúc thông thường được sử dụng trong các cuộc tấn công từ chối dịch vụ hoạt động của một mạng ,sự thoả hiệp của các máy tính ,bao gồm sự điều khiển từ xa những chương trình tấn công “Zombie”, được điều khiển và phối hợp bởi một “Zombie master”-cơ quan điều khiển trung tâm .Khi mạng của Zombie nhận được sự hướng dẫn từ master,Mỗi một Zombie riêng biệt bắt đầu tạo ra một trận flood lưu lượng thông tin nguy hiểm nhắm vào mục tiêu là máy đơn của victim hoặc mạng
Đây là một tổ chức sử dụng nhiều công cụ tấn công phát tán phổ biến ,bao gồm máy chủ Windows Evilbots được điều khiển bởi thằng nhóc tinh quái 13 tuổi đã tấn công grc.com đầu tiên trong suốt tháng 5 năm 2001.Evilgoat Evilbots thuê một server IRC công cộng để làm nơi chúng thảo luận và điều khiển kỹ thuật tấn công .Zombie master đăng nhập vào một phòng chat IRC để đưa ra phương án và thời gian để thực hiện cuộc tấn công

[Article] DRDoS-Distributed Reflection Denial of Service - 4	29/06/2006 22:22:38 (+0700) \| #4 \| 2102

NguyenTracHuy
HVA Friend

Joined: 08/08/2003 15:34:40
Messages: 388
Offline

Kết hợp lưu lượng thông tin Zombie phân tán

Những luồng riêng biệt của lưu lượng thông tin vượt qua mạng từ nhiều nguồn riêng biệt ,Chúng được kết hợp bởi nhiều Router mạng để tạo ra một dạng flood đồ sộ

bmuht_fig.95954_1b0a8ff252555e17301d6d5a07dc5594/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptth

Khi cuộc chạm trán flood kết thúc ,người phân phối dịch vụ mạng tập hợp router lại , hầu hết lưu lượng thông tin của mạng đã bị từ chối(loại bỏ),bởi vì router không thể phân biệt chính xác từ những lưu lượng thông tin không còn tác dụng đến router-Tất cả những gói tin đều giống nhau –Lưu lương mạng hi75p lệ thì luôn bị từ chối …mạng thực sự đã bị “out”ra khỏi Internet
Như thế , những lời đã đề cập bên trên không đủ để gây khó khăn .Bây giờ nó sẽ trở nên tệ hại hơn nhiều

Ánh xạ phân tán
Hình thức tiếp theo của phương thức tấn công DdoS

Vào lúc 2h sáng ,tháng 1 năm 2002 ,trang grc.com đã bị “đá văng “ra khỏi mạng bởi nhiều cuộc tấn công gây tràn ngập khủng khiếp –đây là một cuộc tấn công tiên tiến . Đây là một hình thức mới của sự tấn công bằng phương phápDDoS có thể tạm gọi là “Tấn công từ chối dịch vụ ánh xạ phân tán –Distributed Reflection Denial of Service”-DRDoS

Gói flood bí ẩn

Tôi thức giâc và làm việc vào lúc 2h sáng -thời điểm mà cuộc tấn công bắt đầu xảy ra ,thế nên tôi có thể nhanh chóng bắt đầu khắc phục một phần của flood ,sự tập trung router Verio có thể hạn chế bớt thông qua 2 thân T1.Lưu lương thông tin Web server của chúng tôi ra ngoài đã giảm xuống bằng 0 ,bởi vì trên thực tế thì những lời yêu cầu từ phía server tới mạng không còn được đáp ứng do không thể cạnh tranh nổ với trận flood .Chúng tôi đã phí công vô ích
Trong qua khứ ,chúng tôi đã đánh vào Evilbots bằng những trận flood UDP và ICMP.Thật dễ dàng phát sinh cuộc tấn công cho người điều khiển ,” Đầu độc”Zombie,những máy Windows.Chúng tôi luôn bực mình vì nhiều thứ flood nguồn IP SYN giả mạo .Vì thế tôi phát giác ra một điều là khi chúng tôi bắt được những gói tấn công ,chúng cho tôi biết được ra một điều là chúng tôi bị flood bởi những gói SYN/ACK.Tất nhiên , điều đó cũng không nói lên được cái gì lớn lao lắm .Như chúng tôi đã mô tả được từ rất sớm trên trang này ,một gói SYN/ACK chỉ là một gói SYN với một cờ bit ACK được bật lên -tốt hay xấu –Đó là sự thèm muốn của những kẻ tấn công .Vì thế một kẻ tấn công có thể bật bất cứ cờ bit TCP nào chúng thích
Một sự ngạc nhiên đã đến khi tôi xem xét kỹ lưỡng nguồn IP của những gói flood

129.250. 28. 1--ge-6-2-0.r03.sttlwa01.us.bb.verio.net
129.250. 28. 3--ge-1-0-0.a07.sttlwa01.us.ra.verio.net
129.250. 28. 20--ge-0-1-0.a12.sttlwa01.us.ra.verio.net
129.250. 28. 33--ge-0-0-0.r00.bcrtfl01.us.bb.verio.net
129.250. 28. 49--ge-1-1-0.r01.bcrtfl01.us.bb.verio.net
129.250. 28. 98--ge-1-2-0.r00.sfldmi01.us.bb.verio.net
129.250. 28. 99--ge-1-0-0.a00.sfldmi01.us.ra.verio.net
129.250. 28.100--ge-1-2-0.r01.sfldmi01.us.bb.verio.net
129.250. 28.113--ge-1-1-0.a01.sfldmi01.us.ra.verio.net
129.250. 28.116--ge-1-1-0.a00.sfldmi01.us.ra.verio.net
129.250. 28.117--ge-1-0-0.a01.sfldmi01.us.ra.verio.net
129.250. 28.131--ge-0-3-0.a00.scrmca01.us.ra.verio.net
129.250. 28.142--ge-0-2-0.r00.scrmca01.us.bb.verio.net
129.250. 28.147--ge-1-2-0.a00.scrmca01.us.ra.verio.net
129.250. 28.158--ge-0-2-0.r01.scrmca01.us.bb.verio.net

129.250. 28.164--ge-1-0-0.a10.dllstx01.us.ra.verio.net
129.250. 28.165--ge-1-0-0.a11.dllstx01.us.ra.verio.net
129.250. 28.190--ge-6-0-0.r01.dllstx01.us.bb.verio.net
129.250. 28.200--ge-0-2-0.a00.snjsca03.us.ra.verio.net
129.250. 28.201--ge-0-2-0.a01.snjsca03.us.ra.verio.net
129.250. 28.221--ge-2-1-0.r04.snjsca03.us.bb.verio.net
129.250. 28.230--ge-1-1-0.a00.snjsca03.us.ra.verio.net
129.250. 28.231--ge-1-1-0.a01.snjsca03.us.ra.verio.net
129.250. 28.254--ge-2-1-0.r01.snjsca03.us.bb.verio.net

205.171. 31. 1--iah-core-01.inet.qwest.net
205.171. 31. 2--iah-core-02.inet.qwest.net
205.171. 31. 5--iah-core-01.inet.qwest.net
205.171. 31. 6--iah-core-03.inet.qwest.net
205.171. 31. 9--iah-core-01.inet.qwest.net
205.171. 31. 13--iah-core-01.inet.qwest.net
205.171. 31. 17--iah-core-01.inet.qwest.net
205.171. 31. 21--iah-core-01.inet.qwest.net
205.171. 31. 25--iah-core-02.inet.qwest.net
205.171. 31. 33--iah-core-01.inet.qwest.net
205.171. 31. 37--iah-core-01.inet.qwest.net
205.171. 31. 41--iah-core-02.inet.qwest.net
205.171. 31. 53--iah-core-02.inet.qwest.net
205.171. 31. 57--iah-core-03.inet.qwest.net
205.171. 31. 61--iah-core-02.inet.qwest.net
205.171. 31. 81--iah-core-03.inet.qwest.net

206. 79. 9. 2--globalcrossing-px.exodus.net
206. 79. 9.114--exds-wlhm.gblx.net
206. 79. 9.210--telefonica-px.exodus.net

208.184.232. 13--core1-atl4-oc48-2.atl2.above.net
208.184.232. 17--core2-atl4-oc48-2.atl2.above.net
208.184.232. 21--core1-atl4-oc48-2.atl2.above.net
208.184.232. 25--core2-core1-oc48.atl2.above.net
208.184.232. 45--core1-core2-oc192.sfo1.above.net
208.184.232. 46--core2-core1-oc192.sfo1.above.net
208.184.232. 54--sfo1-sjc2-oc48-2.sfo1.above.net
208.184.232. 57--ord2-sea1-oc48-2.ord2.above.net
208.184.232. 58--sea1-ord2-oc48-2.sea1.above.net
208.184.232. 97--bos2-dca2-oc48.bos2.above.net
208.184.232. 98--dca2-bos2-oc48.dca2.above.net
208.184.232.101--bos2-dca2-oc48-2.bos2.above.net
208.184.232.102--dca2-bos2-oc48-2.dca2.above.net
208.184.232.109--core1-dfw3-oc48.dfw2.above.net
208.184.232.110--core1-dfw2-oc48.dfw3.above.net
208.184.232.113--core2-dfw3-oc48.dfw2.above.net
208.184.232.114--core2-dfw2-oc48.dfw3.above.net
208.184.232.118--core1-dfw1-oc48.dfw2.above.net
208.184.232.126--sfo1-sjc2-oc48.sfo1.above.net
208.184.232.133--dca2-dfw2-oc48-2.dca2.above.net
208.184.232.134--dfw2-dca2-oc48-2.dfw2.above.net
208.184.232.145--ord2-bos2-oc48.ord2.above.net
208.184.232.146--bos2-ord2-oc48.bos2.above.net
208.184.232.149--lga1-ord2-oc48.lga1.above.net
208.184.232.150--ord2-lga1-oc48.ord2.above.net
208.184.232.157--atl2-lga2-oc48.atl2.above.net
208.184.232.158--lga2-atl2-oc48.lga2.above.net
208.184.232.165--atl2-lga2-oc48-2.atl2.above.net
208.184.232.166--lga2-atl2-oc48-2.lga2.above.net
208.184.232.177--sjc3-pao1-oc12.above.net
208.184.232.189--bos2-lga2-oc48.bos2.above.net
208.184.232.190--lga2-bos2-oc48.lga2.above.net
208.184.232.193--bos2-lga2-oc48-2.bos2.above.net
208.184.232.194--lga2-bos2-oc48-2.lga2.above.net
208.184.232.197--core2-lga2-oc192.lga1.above.net
208.184.232.198--core2-lga1-oc192.lga2.above.net
208.184.233. 46--ord2-sjc2-oc48.ord2.above.net
208.184.233. 50--core2-sjc2-oc48.sjc3.above.net
208.184.233. 61--iad1-lga1-oc192-2.iad1.above.net
208.184.233. 62--lga1-iad1-oc192-2.lga1.above.net
208.184.233. 65--iad1-lga1-oc192.iad1.above.net
208.184.233. 66--lga1-iad1-oc192.lga1.above.net
208.184.233. 81--core1-main1colo56-oc48.sea2.above.net
208.184.233. 85--core1-main2colo56-oc48.sea2.above.net
208.184.233. 89--core2-main1colo56-oc48.sea2.above.net
208.184.233. 93--core2-main2colo56-oc48.sea2.above.net
208.184.233.101--core1-core2-oc192.sea2.above.net
208.184.233.102--core2-core1-oc192.sea2.above.net
208.184.233.105--core2-sea2-oc192.sea1.above.net
208.184.233.106--core2-sea1-oc192-2.sea2.above.net
208.184.233.121--core1-core2-oc192.dca2.above.net
208.184.233.126--iad1-dca2-oc192.iad1.above.net
208.184.233.129--dca2-iad1-oc192.dca2.above.net
208.184.233.130--iad1-dca2-oc192.iad1.above.net
208.184.233.134--dca2-sjc2-oc48.dca2.above.net
208.184.233.150--ord2-dfw2-oc48.ord2.above.net
208.184.233.174--globalcenter-above.iad2.above.net
208.184.233.189--sea1-nrt3-stm1.sea1.above.net
208.184.233.190--nrt3-sea1-stm1.nrt3.above.net
208.184.233.193--sea1-nrt3-stm1-3.sea1.above.net
208.184.233.194--nrt3-sea1-stm1-3.nrt3.above.net
208.184.233.197--core1-main1-oc12.nrt3.above.net
208.184.233.201--core1-main2-oc12.nrt3.above.net
208.184.233.205--core2-main1-oc12.nrt3.above.net
208.184.233.209--core2-main2-oc12.nrt3.above.net
208.184.233.217--core2-core3-oc48.lga1.above.net
208.184.233.225--core2-v6core3-oc3.nrt3.above.net
208.184.233.237--core1-oc192-core2.bos2.above.net
208.184.233.238--core2-oc192-core1.bos2.above.net
208.185. 0. 25--core5-dlr-oc3.iad1.above.net
208.185. 0.113--core5-main1-oc48.iad1.above.net
208.185. 0.117--core5-main2-oc48.iad1.above.net
208.185. 0.121--core4-iad4-oc48.iad1.above.net
208.185. 0.133--core5-iad4-oc48.iad1.above.net
208.185. 0.138--core4-core1-oc48.iad1.above.net
208.185. 0.142--core4-core3-oc48.iad1.above.net
208.185. 0.146--core5-core1-oc48.iad1.above.net
208.185. 0.150--core5-core3-oc48.iad1.above.net
208.185. 0.153--core4-main1-oc48.iad1.above.net
208.185. 0.157--core4-main2-oc48.iad1.above.net
208.185. 0.165--core1-core2-oc48.lga3.above.net
208.185. 0.166--core2-core1-oc48.lga3.above.net
208.185. 0.169--core1-lga3-oc12.lga1.above.net
208.185. 0.170--core1-lga1-oc12.lga3.above.net
208.185. 0.173--core1-core3-oc3-2.lga3.above.net
208.185. 0.177--core2-core3-oc3.lga3.above.net
208.185. 0.189--core1-core3-oc48.ord2.above.net
208.185. 0.193--core2-core3-oc48.ord2.above.net
208.185. 0.197--core1-ord1-oc48.ord2.above.net
208.185. 0.202--core2-ord1-oc48.ord2.above.net
208.185. 0.221--core1-core3-oc48.atl2.above.net
208.185. 0.225--core2-core3-oc48.atl2.above.net
208.185. 0.229--dca2-atl2-oc48-2.dca2.above.net
208.185. 0.230--atl2-dca2-oc48-2.atl2.above.net
208.185. 0.233--core1-core2-oc192.lga1.above.net
208.185. 0.234--core2-core1-oc192.lga1.above.net
208.185. 0.237--core1-core3-oc48.lga1.above.net
208.185. 0.245--core1-lga2-oc192.lga1.above.net
208.185. 0.246--core1-lga1-oc192.lga2.above.net
208.185. 0.249--core1-dfw2-oc48.atl2.above.net
208.185. 0.250--core1-atl2-oc48.dfw2.above.net
208.185.156. 2--core2-lhr1-stm16.lhr3.above.net
208.185.156. 65--core3-core5-oc48.sjc2.above.net
208.185.156.121--core2-sea2-oc192-2.sea1.above.net
208.185.156.122--core1-sea1-oc192-2.sea2.above.net
208.185.156.157--ord2-lga1-oc48-2.ord2.above.net
208.185.156.158--lga1-ord2-oc48-2.lga1.above.net
208.185.156.189--core3-main1colo7-oc12.sjc2.above.net
208.185.156.193--core4-main2colo7-oc12.sjc2.above.net
208.185.175. 90--ord2-sea1-oc48.ord2.above.net
208.185.175. 93--core3-core4-oc3.sea1.above.net
208.185.175.114--earthlink-above.lax.above.net
208.185.175.145--core1-core2-oc192.sjc3.above.net
208.185.175.146--core2-core1-oc192.sjc3.above.net
208.185.175.149--core2-sjc4-oc192.sjc3.above.net
208.185.175.158--core1-sjc2-oc48.sjc3.above.net
208.185.175.178--core2-core1-oc48.sea1.above.net
208.185.175.182--core3-core1-oc48.sea1.above.net
208.185.175.189--core1-main1colo56-oc48.sjc3.above.net
208.185.175.193--core1-main2colo56-oc48.sjc3.above.net
208.185.175.197--core2-main1colo56-oc48.sjc3.above.net
208.185.175.201--core2-main2colo56-oc48.sjc3.above.net
216.200.127. 9--core4-iad5-oc48.iad1.above.net
216.200.127. 13--core5-iad5-oc48.iad1.above.net
216.200.127. 26--sjc2-iad1-oc48.sjc2.above.net
216.200.127. 29--core4-epe1-oc3.iad1.above.net
216.200.127. 33--core5-epe1-oc3.iad1.above.net
216.200.127. 45--core1-epe1-oc3.lga1.above.net
216.200.127. 49--core2-epe1-oc3.lga1.above.net
216.200.127. 61--iad1-lga1-oc48-2.iad1.above.net
216.200.127. 62--lga1-iad1-oc48-2.lga1.above.net
216.200.127. 65--lga1-sea1-oc48.lga1.above.net
216.200.127. 66--sea1-lga1-oc48.sea1.above.net
216.200.127. 69--lga1-lhr1-stm4-3.lga1.above.net
216.200.127.118--sea1-sjc2-oc48.sea1.above.net
216.200.127.145--core1-core2-oc192.lga2.above.net
216.200.127.146--core2-core1-oc192.lga2.above.net
216.200.127.149--core1-core3-oc48.lga2.above.net
216.200.127.153--core1-main1colo45-oc48.lga2.above.net
216.200.127.157--core1-main2colo45-oc48.lga2.above.net
216.200.127.161--core1-main1colo678-oc48.lga2.above.net
216.200.127.165--core1-main2colo678-oc48.lga2.above.net
216.200.127.169--core2-core3-oc48.lga2.above.net
216.200.127.173--core2-main1colo45-oc48.lga2.above.net
216.200.127.177--core2-main2colo45-oc48.lga2.above.net
216.200.127.181--core2-main1colo678-oc48.lga2.above.net
216.200.127.185--core2-main2colo678-oc48.lga2.above.net
216.200.127.189--core1-main1-oc48.lga1.above.net
216.200.127.194--core1-main2-oc48.lga1.above.net
216.200.127.197--core2-main1-oc48.lga1.above.net
216.200.127.201--core2-main2-oc48.lga1.above.net
216.200.127.205--dfw2-dca2-oc48.dfw2.above.net
216.200.127.206--dca2-dfw2-oc48.dca2.above.net
216.200.127.209--core1-core2-oc192.dfw2.above.net
216.200.127.210--core2-core1-oc192.dfw2.above.net
216.200.127.213--core1-core3-oc48.dfw2.above.net
216.200.127.217--core2-core3-oc48.dfw2.above.net
216.200.127.225--atl2-dfw2-oc48.atl2.above.net
216.200.127.226--dfw2-atl2-oc48.dfw2.above.net

[Article] DRDoS-Distributed Reflection Denial of Service - 5	29/06/2006 22:55:55 (+0700) \| #5 \| 2119

NguyenTracHuy
HVA Friend

Joined: 08/08/2003 15:34:40
Messages: 388
Offline

Chúng tôi đang đứng dướI cuộc tấn công của hơn hai trăm router

Chuyện gì xảy ra tiếp theo?

Trong có vẻ như chúng tôi bị flood bởI Verio,Qwest và Above.net bởI vì chúng có một đặc trưng riêng nên chúng tôi có thể nhận ra được .Tôi thấy chúng xuất hiện hoàn toàn phù hợp để trả lờI cho những gói ACK của nguốn TCP co port là 179.Theo cách khác ,chỉ những gói dữ liệu của web server sẽ quay trở lạI từ port 80 ,những gói này quay trở lạI từ “BGP” port 179
BGP –“Border Gateway Protocol” được hỗ trợ bởI những router trung gian .Những router sử dụng BGP để giao tiếp vớI những router khác bên cạnh chúng để thay đổI bảng định tuyến của chúng để mà thông báo cho nhau loạI IP mà router có thể forward tớI
Chi tiết của BGP không quan trọng .Cái quan trọng là trên thực tế là hầu như tất cả những router trung gian của kết nốI Internet nhanh (băng thông rộng ) thì sẽ chấp nhận kết nốI TCP
trên port 179 .Một gói SYN đi đến port 179 của một router Internet sẽ đáp lạI gói SYN/ACK

Tôi bất chợt đã hiểu ra chuyện gì đã xảy ra

bmuht_fig.95954_5545ab62f9e142d0679d590d1a06bdd5/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptth

Ở đây không có nhiều sự lựa chọn,hoặc là nhiều phương cách chắc chắn ,của hàng trăm router đã bị tổn thương ,họăc đã bị tiêu nhiễm bởI một vài phần của Zombie.Tôi thấy rõ rằng chúng chỉ là điều bình thường ,vô hạI ,TCP server vẫn đang làm những công việc mà chúng được chỉ định để làm .Chúng gửI những gói SYN/ACK đến grc.com trong một sự tin tưởng rằng chúng tôi muốn mở một kết nốI TCP được cài đặt sẳn trong BGP server của chúng
Trong một cách khác , hacker tinh vi đã xác định đựơc một vài nơi khác trên Internet mà các router internet bị SYN flood vớI những gói TCP yêu cầu kết nốI SYN .Những gói SYN đó mang những nguồn IP giả mạo thuộc grc.com.Vì thế ,các router tin rằng những gói SYN đó có nguồn gốc từ chúng tôi ,và họ đáp lạI bằng cách trả lờI lạI vớI những gói SYN/ACK như là giai đoạn thứ hai của chuẩn “ba bước bắt tay “của TCP
Những gói SYN tinh vi đã bắt đầu “ánh xạ” lạI sự không có hại tại TCP server.Những gói SYN/ACK đáp lạI bằng cách dùng những trận flood và tấn công băng thông của chúng tôi
Một kiểu tấn công mớI

Thật là hấp dẫn ,từ một quan điểm không thực tế grc.com đã bị đánh sập bởI hàng trăm router Internet .Sự giành được những gói hợp pháp đang được thực hiện .Quyền ưu tiên của tôi là đưa tôi trở lạI trên mạng
Tôi không biết tạI sao chúng tôi là tâm điểm của cuộc tấn công này .Có lẽ đây là dịp để thử nghiệm phương thức tấn công mớI chăng ……..

“Này ,hãy tàn phá Gibson và chống mắt xem anh ta làm gì chúng ta “

Chúng ta sẽ xem bên dướI ,dấu hiệu cho biết rằng sau cuộc tấn công lúc đầu vào chúng tôi ,một hay nhiều phương cách tấn công được sử dụng thường xuyên-Đây là một trong những lý do mà những hacker giỏI thích sử dụng phương pháp tấn công theo kiểu “tấn công ánh xạ phân tán “gần giống như kỹ thuật flood phân tán theo kiểu truyền thống
Tôi không muốn lo lắng về Verio ,nhà cung cấp dịch vụ của chúng tôi ,nếu cuộc tấn công kết thúc vào lúc này ,tôi sẽ gọI kỹ thuật đến .Vì thế tôi theo dõi cụôc tấn công và chờ đợI đến 2 giờ .Lúc 4 giờ sáng,cuộc tấn công vẫn chưa có dấu hiệu yếu đi .Ban mai ở nước Mỹ thường xuất hiện sớm ,vì thế tôi gọI cho trung tâm giảI quyết sự cố mạng 24/7của Verio.Tôi tổng kết lạI vấn đề và làm cho trung tâm giảI quyết sự cố tin rằng chúng tôi đang bị tấn công và cần được giúp đỡ ngay lập tức .Tôi vui mừng khi nhân viên bảo mật “đang còn trong tình trạng ngái ngủ “gọI lạI cho tôi khi vấn đề về Verio được tôi gửI đi chưa tớI hai giờ
Khoá cuộc tấn công ánh xạ lại

Tin mớI nhận là ,cuộc tấn công xuất hiện tương đốI dễ dàng để block lạI .Kể từ lúc chúng tôi không có nhà cung cấp dịch vụ cho chính mình ,Chúng tôi không cần phảI trang bị kết nốI từ xa vớI BGP router .Vì thế ,chúng tôi yêu cầu Verio block lạI những lưu lượng thông tin đi vào từ dịch vụ BGP port 179.BởI vì những gói SYN tinh vi của hacker đã nhằm vào giữa router có port 179,một vài những gói ánh xạ sẽ bắt nguồn từ port này
Kỹ thuật của Verio đã thêm bộ lọc vào để tập trung bảo quản những router kết nốI Internet của chúng tôi để block những gói xuất phát từ chúng tôi đến port 179.Những gói flood đến từ port 179 ngay lập tức bị block lạI

Nhưng chúng tôi vẫn chưa thể quay trở lại mạng

Một gói mớI tóm được đã tiết lộ rằng chúng tôi đã bị tấn công một cách tích cực bởI một server hoàn toàn mớI ,Bởi vì sau khi lưu lương tin thứ hai tập hợp chỉ xuất hiện sau khi lưu lượng thông tin router port 179 bị block .Nó xuất hiện như con sóng thứ hai của việc ánh xạ lưu lượng thông tin đã không thể cạnh tranh vớI flood router
VớI những lưu lương thông tin của những router bị block ,chúng tôi bắt đầu bị flood tiếp bởI bởI những gói SYN/ACK như trút nước từ port 22( bảo mật shell)23(telnet)53(DNS)và 80(http/web).Và một vài gói đến từ port 4001(port của proxy server) và 6668(IRC chat)
Tôi đã quá đổI ngạc nhiên khi cuộc flood thứ hai thình lình xảy ra .Tôi đã lơ là không tóm chúng lạI ,giữ lạI một cách trọn vẹn và lấy mẩu một cách chính xác những lưu lượng thông tin flood không phảI là BGP.Tuy nhiên ,log file của tôi đã tóm được một vài SYN/ACK , được phát hiện không phảI là BGP.Thế nên tôi có một vài ghi chép của nó

Một sự lây mẫu nhỏ của web server biểu hiện rằng chúng đã flood chúng tôi bằng SYN/ACK từ http(web) port 80 của họ

[Article] DRDoS-Distributed Reflection Denial of Service - 6	29/06/2006 22:56:18 (+0700) \| #6 \| 2121

NguyenTracHuy
HVA Friend

Joined: 08/08/2003 15:34:40
Messages: 388
Offline

64.152. 4. 80--www.wwfsuperstars.com
128.121.223.161--veriowebsites.com
131.103.248.119--www.cc.rapidsite.net
164.109. 18.251--whalenstoddard.com
171. 64. 14.238--www4.Stanford.EDU
205.205.134. 1--shell1.novalinktech.net
206.222.179.216--forsale.txic.net
208. 47.125. 33--gary7.nsa.gov
216. 34. 13.245--channelserver.namezero.com
216.111.239.132--www.jeah.net
216.115.102. 75--w3.snv.yahoo.com
216.115.102. 76--w4.snv.yahoo.com
216.115.102. 77--w5.snv.yahoo.com
216.115.102. 78--w6.snv.yahoo.com
216.115.102. 79--w7.snv.yahoo.com
216.115.102. 80--w8.snv.yahoo.com
216.115.102. 82--w10.snv.yahoo.com

Danh sách flood SYN/ACK port 80 không hoàn chỉnh bên trên có một vài cài để quan tâm .Các server được hợp lạI một cách thưa thớt Sự xuất hiện của nó cho biết rằng các hacker giỏI năng nổ cân nhắc kỹ khi lựa chọn địa chỉ IP cho thật hoàn hảo và đoán chừng chúng có thể kết nốI nhanh vớI web server để dùng vào việc tấn công ánh xạ .các server web 7 thuộc về yahoo.com thì rất hay sử dụng đến ,như là gary7.nsa.gov
Một lực lượng rộng lớn đã hỗ trợ thêm vào trận flood ACK và sử dụng nhiều server Internet hơn là router internet . Điều đó chứng minh rằng những hacker giỏI thì có nhận thức tốt về nhiều chức năng kết nốI của TCP-Sự chấp nhận server Internet có thể được sử dụng như là một gói server ánh xạ .Trước đó chúng tôi cần làm những việc khác hơn là chỉ đơn giản là block những gói đến từ BGP port 179.Tôi đã trình bày một biện pháp hiệu quả hơn để lý giảI phần nào về cuộc tấn công này .Trong phần thảo luận bên dướI ,sau khi phân tích về cuộc tấn công có thể xảy đến và hậu quả chúng gây ra
Khi chúng tôi “lọc” được cuộc tấn công ánh xạ ,chúng tôi ngay lập tức đưa chúng tôi (trang web)trở lạI Internet >mặc dù tôi không thể quan sát điều xãy ra sau cùng của cuộc tấn công đằng sau bộ lọc của chúng tôi . Điều đó thật là làm cho tôi ớn lạnh để chú thích rằng …..
Vào lúc cuộc tấn công kết thúc router Verio đã loạI bỏ nhiều hơn một tỷ gói SYN/ACK tinh vi (1,072,519,399)
Tôi đã nhận con số chính xác này từ Verio khi chúng tôi liên hệ vớI họ sau khi nhận thức rõ sai lầm lần thứ hai của tôi ,không phảii BGP, đợt sóng của cuộc tấn công .Tôi muốn cấu hình lại hệ thống phòng thủ của tôi để cân nhắc việc đặt chúng tôi vào trường hợp chúng tôi bị tấn công từ chối dịch vụ lần nữa thì tôi có thể thu thập được dữ liệu của cuộc tấn công

Sự ánh xạ trên cuộc tấn công ánh xạ

Xét từ tính hiển nhiên thu thập trong xuốt 1/11 cuộc tấn công ,và dấu hiệu khác của một số kẻ tấn công đến sau ,một vài nhóm hoặc nhiều nhóm tấn công ,có sự gia tăng về số lượng –chúng ta sẽ thấy bên dưới -một danh sách dài của những server Internet có băng thông rộng ,tương ứng với số port TCP.Nằm trong số hàng trăm router khác nhau với giao thức BGP(port 179) và nhiều server khác lắng nghe các kết nối trên các port chung như SSH ,Telnet,DNS,HTTPvà IRC

Xây dựng và duy trì danh sách “server ánh xạ “

Từ khi một vài server Internet công khai có khả năng dễ bị ảnh hưởng như”server ánh xạ”-một danh sách các server được tạo ra một cách dễ dàng ,phát triển và duy trì .Ví dụ ,thông thường lệnh “trace route “internet cung cấp địa chỉ IP của mọi router Internet giữa tracer và một vài địa chỉ từ xa –Ngay cả địa chỉ không tồn tại .Như chúng ta đã thấy , ở đây có nhiều cơ hội tốt để một router Internet dễ bị phơi bài ra BGP server một cách công khai ,và nó sẽ có nhiều kết nối băng thông cao .Một đoạn Script đơn giản có thể được sử dụng để thu thập số chuyên quyền lớn của các IP router Internet.Những nơi cho thuê web đồ sộ như yahoo.com thì có thể mua được một cách công khai .Quét port đơn thông qua vùng IP băng thông cao sẽ thu được hàng ngàn,nếu không là hàng triệu của những TCP server công khai .Một vài công cụ tìm kiếm Internet sẽ đưa ra hàng trăm ,hàng ngàn tên miền web site tiềm tàn
Một danh sách kết quả dài đồ sộ của “các server ánh xạ “ có thể rất rỏ ràng và được duy trì tiếp tục bởi một giá trị to lớn ,không có máy giả mạo SYN.Việ ctrả lờ SYN/ACK sẽ xác thực sự có mặt của máy tính và nó sẳn sàng để không có tình tham gia vào các cuộc tấn công ánh xạ trong tương lai

Sử dụng danh sách server ánh xạ

Nhiều host có khả năng “raw socket”(Unix,linuxvà windows 2000 và bây giờ là Windows XP) có thể thường được sử dụng như là bệ phóng cho sự phát sinh cụôc tấn công flood syn ánh xạ .Số host phát sinh SYN đòi hỏi để phát động một cuộc tấn công sẽ được xác định bởi tổng băng thông flood yêu cầu để có đủ khả năng để có thể chôn vùi máy chủ hoặc mạng
Điều khiển một danh sách dài của các server ánh xạ TCP không bị lỗi ,mỗi host giả mạo SYN “sprays”-các gói SYN đều vượt mọi server ánh xạ trên danh sách .Một gói SYN giả mạo sẽ vượt qua các server có port TCP mở ,với gói áhn xạ nhằm vào mạng của nạn nhân khi đã có ý tấn công
Kể từ lúc máy flood SYN là “Sprays “,những gói vượt qua con số khổng lồ của các server ánh xạ trung gian .Mỗi server ánh xạ sẽ trải qua một cấp độ thấp “SYN flux-luồng SYN”hơn là cấp độ cao flood SYN

Tại sao chúng tôi lo lắng?

Tại sao một cuộc tấn công ánh xạ cao thường có các host flood trực tiếp mạnh mẽ và tấn công nạn nhân cuả họ ?

Sự khuyếch tán đường dẫn gói

Một thắng lợi lớn cho những kẻ tấn công là mức độ cực độ của “sự khuyếch tán đường dẫn gói –Packet path diffusion”Khi lưu lượng tấn công có thể vượt ra quá một sồ giới hạn của các server TCP trung gian .Lược đồ sau sẽ miêu tả đường dẫn của lưu lượng thông tin giữa kẻ tấn công và nạn nhân :

bmuht_fig.95954_5b0b6b156343c7a1391121f48002a636/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptth

Từ khi các router Intetnet không thể giữ lại đường đi của các gói trước đây ,những gói đã “rút lui”từ máy của nạn nhân quay trở lại với máy của những kẻ tấn công ,dựa vào tính tiện lợi của các gói flood “upstream-ngược dòng “thông thường từ một router trở ngược lại một router trước

Khuyếch tán đường dẫn:

Trong một hình thể vững chắc và sự lưu thông gói tin mạnh mẽ, đường dẫn gói rút lui một cách khó khăn và phương pháp thực hiện rất tốn thời gian .Vì thế ,hãy tưởng tượng rằng chuyện gì sẽ xảy ra khi một số lương lớn các gói thuộc các server ánh xạ có mặt khắp mọi nơi kể cả hệ thống

[img]http:/bmuht_fig.95954_05601b336fe44883ee4c74e165cad9d1/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptth/> Đây là lược đồ giải thích đường đi của lưu lượng thông tin ,sự thêm vào các server ánh xạ vô hại về thực chất đã thay đổi hoàn toàn bản chất của cuộc tấn công .Chống lại một máy tấn công ,những gói SYN tinh vi ngay lập tức bị đánh bật ra ngoài .Không đủ thời gian để ngắm vào nạn nhân ,những gói tấn công đáng ra đựoc gởi cho các TCP server ở xa .Như chúng ta đã biết ,các server có khả năng xác định vị trí ở khắp nơi trên mạng .Chỉ một vài “router hops”thì vượt ra ngoài tầm của những kẻ tấn công ,những luồng thông tin mạnh mẽ sẽ không đủ mạnh để tới các server đó bởi vì các server này có một mối quan hệ chặc chẽ với các server khác bên cạnh hơn là theo sau một đường dẫn đơn
Vị trí tại điểm kết thúc thì luôn có sự biến đổi quan trọng hơn là bắt đầu công kích bởi những luồng thông tin riêng lẻ .Từ mỗi một máy tấn cộng ,nạn nhân bây giờ đang phải hứng chịu hàng trăm ,hàng ngàn ,thậm chí hàng triệu cuộc tấn công làm tràn SYN/ACK .Mặc dù những luồng thông tin được phát ra một cách riêng biệt và không gậy hại cho nạn nhân (chỉ có mỗi một sự vô hại từ server ánh xạ riêng biệt ),sự hội tụ các gói đến từ khắp nơi thông xuốt khắp nơi trong mạng Internet sẽ tạo ra một cuộc tấn công sẽ nhận chìm nạn nhân trong trận flood

[Article] DRDoS-Distributed Reflection Denial of Service - 7	29/06/2006 22:56:39 (+0700) \| #7 \| 2122

NguyenTracHuy
HVA Friend

Joined: 08/08/2003 15:34:40
Messages: 388
Offline

Victim có thể làm gì ?

Victim có thể làm gì ?mặc dù không muốn phải nằm trong khả năng hứng chịu hàng trăm ,hàng ngàn,thậm chí hàng triệu cuộc tấn công , đôi khi mỗi một gói SYN/ACK hợp lệ được gửi đi riêng biệt cũng có cơ may mạng của bạn sẽ có nhiều điều đáng phải lo lắng thật sự và…….

Với một bit thông minh hơn từ những kẻ tấn công .nó tạo ra một sự nguy hiểm thật sự
Thực hiện cách sử dụng ánh xạ

Nếu trạng thái tình thế bên trên không quá xấu ,thêm vào đó la sự thông minh hơn của những người tấn công có thể tạo ra nhiều thứ tệ hại hơn .Chúng tra dễ dàng bắt gặp một bảng tóm tắt dài về các server ánh xạ kết nối mạng nhanh có thể đang hoạt động và đang được quản lý .Vũ trang với một với một bảng tóm tắt server ánh xạ có khả năng cao ,hãy tiếp tục và bình tĩnh trước dòng chảy của các trận làm tràn lưu lượng thông tin có thể được tập trung vào để chống lại mạng của Victim trong khi băng qua tập hợp con của toàn bộ bảng tóm tắt server ánh xạ . Đôi lúc chỉ một phần nhỏ của toàn bộ bảng tóm tắt server ánh xạ sẽ được sử dụng
Thực hiện cách sử dụng ánh xạ sẽ đem đến một tác dụng của sự biến đổi liên tiếp tất cả những đường dẫn tấn công ,thực hiện và sử dụng chúng một cách tối ưu đôi khi chẳng bao giờ làm giảm bớt những cuộc chống lại mạng
Do bởi tính chất của sổ tay là ghi lại sự rút lui của cuộc tấn công ,theo sau những lùông dữ liệu nhỏ riêng lẻ là những dòng flood to lớn theo sau..Nhưng không có gì khó chịu hơn là những dòng dữ liệu nhỏ đang “chảy”liên tục bổng ngưng rồi tiếp tục “chảy”tiếp.Trong thực tế ,với công nghệ router hiện tại thì nó hầu như không thể xãy ra

Sự khuếch tán ánh xạ

Hệ quả quan trọng khác của việc sử dụng một bảng kiểm kê server ánh xạ lớn là “Khuếch tán ánh xạ “với những kẻ tấn công các gói flood Syn bắt đầu đi ra ngoài “sprayed”và trải rộng khắp phần lớn những server ánh xạ , không có server ánh xạ đơn nào nhận được những sự “quấy rối” từ những gói SYN .Từ khi những kết nối “half-open “ sẽ bị huỷ bỏ trong vòng một đến hai phút,con số “nhùng nhằng” chẳng bao giờ kết thúc ,những kết nối TCp “half-open” sẽ chẳng bao giớ phát tán lớn hơn được nữa .Bởi vì server sẽ dễ dàng thấy được client huỷ bỏ kết nối -điều đó có thể và xảy ra thường trình giữa server và client - một cấo độ thấp của sự phát sinh ra các gói ánh xạ tinh vi hầu như chắc chắn chẳng bao giờ tạo ra sự báo động ở hầu hết các server.Mặc dù một nhà điều hành mạng chú tâm có thể ngạc nhiên về sự thu thập một cách liên tục của sự luôn luôn thay đổi các kết nối “half open”.chắc chắn Sẽ có sự nghi ngờ bởi vì server đã bị lỗi do một cách nào đó

Nhân băng thông

Một sự thông minh và một đặc điểm quan trọng của một vài cách tấn công ánh xạ TCP là sự phát ra cùng lúc nhiều cuộc tấn công SYN/ACK từ các server ánh xạ hơn là gây ra một lưu lượng SYN.Bởi vì TCP tự động gửi lại các gói hỏng ,các server ánh xạ sẽ phát sinh ra cùng lúc nhiều trận flood SYN/ACK ra ngoài hơn là họ nhận từ các host phát sinh SYN
Cho mỗi một gói SYN nhận được bởi server ánh xạ TCP,cần đến 4 gói SYN/ACK thì server sẽ gởi đi . Điều này sẽ xuất hiện bởi vì sự tập trung router của victim phần lớn sẽ bị huỷ bỏ vì lưu lượg flood đi vào .Một server ánh xạ sẽ nhận được sự không đáp lại từ gói SYN/ACK sẽ tin tưởng rằng gói này đã bị hỏng dọc đường và sẽ gởi lại gói SYN/ACK hỏng trước khi gửi lại thông tin để huỷ bỏ kếtt nối
Đây là một hiện tượng có kết quả thú vị của sự tấn công có mục đích phân bố rộng khắp mạng với thời gian chỉ một vài phút

Có thể điều khiển sự cải tiến

Theo cuộc tấn công DdoS truyền thống sử dụng một mạng lớn của các máy tấn công cho hai kết quả :Thứ nhất là tạo ra một khối flood lớn và thứ hai là để khuyếch tán nguồn tấn công của họ .Cho một mục tiêu ,là sự kết hợp tính nhân của băng thông và cấp độ lớn của đường dẫn khuyếch tán được cung cấp bởi các cuộc tấn công ánh xạ phân tán ,theo một cách truyền đạt có ý nghĩa đặc biệt làm biển đổi số host đòi hỏi cung cấp một yêu cầu làm tràn băng thông và có khả năng huỷ bỏ đường dẫn quay trở lại .Kết quả là sẽ dể dàng hơn trong việc láp ráp và bảo dưỡng mạng –các host bị cuộc tấn công làm tổn thương ,và sẽ có nhiều cơ hội hơn trong việc khám phá bản chất và nơi xuất phát của cuộc tấn công

Sự lén lút

Vẻ bề ngoài lén lút của cuộc tấn công này là thjiếu tạo ra một vài lưu lượng “backscatter” .Các cuộc tấn công ánh xạ sẽ không xuất hiện trên “màn hình theo dõi “.Sự giả mạo nguồn flood Syn IP và hình dạng khác của các cuộc tấn công giả mạo IP.KHông giống như các cuộc tấn công giả mảo IP truyền thống ,nó tạo ra một đặc trưng tiêu biểu các nguồn IP một cách ngẫu nhiên ,nhiều IP xuất hiện với cái vẻ bề khác của cuộc tấn công ánh xạ chuyển đến một máy thực tế -mỗi một server ánh xạ hoặc điểm tấn công .
Với tất cả những lý do ,những cuộc tấn công từ chối dịch vụ ánh xạ phân tán có thể dễ dàng tạo ra và sửa chữa chúng và chúng có một sức thuyết phục mạnh mẽ

Thêm chứng cớ

Trong khi tôi đang viết trang này .Một bài viết có tên là “bugtraq”xuất hiện trong danh sách mail cuả chúng tôi
“Trong một vaì ngày tơí ,tôi sẽ nhận được một cái gì đó tương tự như là cuộc tấn công flood SYN trên port 80 vượt qua tất cả những điạ chỉ IP trên mạng cuả tôi .Tuy nhiên,nếu nó là flood ,nó sẽ không quá mạnh .Những cấu hình bình thường cũng có thể giữ những luồng mà không gặp bất cứ vấn đề gì ,nhưng những gói Syn sẽ chảy một cách đều đặn . Điạ chỉ nguồn IP sẽ lưu lạI và không thay đổI từ một đến hai phút và sau đó thì dừng lạI ,sau đó một vaì điạ chỉ IP khác bắt đầu gửI những dòng SYN cuả chính nó ,mặc dù thỉnh thoảng đôi khi có nhiều hơn một host sẽ gửI lưu lượng thông tin trong thờI gian này .Các điạ chỉ nguồn là một sự đa dạng cuả mạng ,nhưng có vẻ phù hợp vớ mạng dùng dial up hoặc những sự kết nốI đơn giản
Nó có vẻ giống như sự cố gắng nhằm vào cuộc tấn công từ chốI dịch vụ ,nhưng tạI sao nó lạI phô trương ra ngoài quá nhiều Điạ chỉ IP đích (Nhiều điạ chỉ không có thật trên mạng )Nhưng tạI sao lạI flood một cách yếu ớt và không có bất cứ cái gì gây ảnh hưởng thực tế “
Nếu bạn co theo dõi phần thảo luận này ,bạn sẽ nhận sét rằng đó là một vấn đề hoàn toàn đúng –cái mà một nhà quản trị mạng giỏI cuả các server ánh xạ sẽ thấy rằng khi server cuả học đã tham gia vào trong cuộc tấn công ánh xạ .Anh ta hiểu sai về dấu tích một bit cuả anh ta ,bởI vì anh ta không có một sự hiểu biết thấu đáo rằng server cuả anh ta đang bị sử dụng như là một server ánh xạ .Anh ta thấy được một sự lưu thông liên tục (mà không phảI là flood )cuả những gói SYN đến từ một số IP lạ ,nó có thể thính lình thay đổI và xuất hiện trong nguồn cuả IP khác .Chúng tôi biết đây là một điều đúng đắn để thay đổI mục tiêu tấn công
Từ một viễn cảnh cuả server ánh xạ ,những nguồn rõ rằng cuả các gói SYN là một mục tiêu tấn công thực tế , để mà server cuả anh ta được gửI những lưu lượng các gói SYN/ACK một cách nhẹ nhàng –không mạnh mẽ như flood .Băng thông ra ngoài cuả anh ta hầu như chắc chắn nhiều hơn gắp 4 lần lưu lượng SYN đi vào ,như là một sự giảI thích cho sự thật về những kết nốI và nói rõ về tình trạng “SYN_RECVD”.. Điều naỳ có nghiã là chúng chờ đợI sự trả lờI cuả client (nơi mà chúng không thể đến )và gửI lạI các gói SYN/Ack , để thực hiện một cuộc tấn công nhân băng thông
Như bạn đã thấy ở baì viết bên trên .Tôi ngay lập tức trả lờI trong danh sách vớI lờI giảI thích cặn kẻ cuả tôi về cái mà anh ta đã thấy .Trước khi sự đáp lạI cuả tôi bị loan truyền trong danh sách mail cuả một vài nhà quản trị mạng tinh mắt khác

[Article] DRDoS-Distributed Reflection Denial of Service - 8	29/06/2006 22:58:15 (+0700) \| #8 \| 2123

NguyenTracHuy
HVA Friend

Joined: 08/08/2003 15:34:40
Messages: 388
Offline

“Vâng ,chúng ta có thể thấy một vài thứ ở đây .Nó xuất hiện một cách có ảnh hưởng rất lớn khi cuộc tấn công là một điểm tạI subnet cùng vớI sự chia sẽ web server -vớI nhiểù IP giơí hạn một vaì giao diện .Thì luôn cố gắng sử dụng như là một hệ thống ánh xạ để flood các điạ chỉ IP đặc biệt “
“Chúng tôi đã từng thấy một vài tình huống tương tự ở một vài ngày trước .Nó diễn tả một cuộc tấn công chống lạI một công ty IRC server.Nguồn điạ chỉ bị giả mạo và sử dụng điạ chỉ web công khai cuả chúng tôi như là một ánh xạ “
“Vâng chúng tôi cũng thấy chúng ở đây .Tất cả thật là lạ lùng
Chúng tôi bắt đầu thông baó chúng sớm nhất trong tháng 2,kiểm tra phần đầu còn nguyên cuả file log để hiển thị những hoạt động sớm nhất vào ngày 15 tháng 1 .Chúng ta đã nhận được thông baó rằng chúng có vẻ như đến từ một phạm vi giớI hạn cuả các IP .Nhiều điạ chỉ trong số chúng dường như đến từ các trường đaị học .Sau khi thông báo một vài điạ chỉ trong số chúng và nhận được sự phản hồI từ phiá nhà cung cấp dịch vụ và họ sẽ block các điạ chỉ IP này lạI và họ sẽ tiếp tục điều tra các điạ chỉ khác
Chúng tôi luôn thấy một chuỗI các con số miêu tả sự kiện bắt đầu giống hệt nhau cho các gói tin lớn .Chúng tôi phát hiện một số lưu lượng thông tin co điạ chỉ IP đến từ Hàn Quốc và chúng gởI hơn 1,000,000 gói tin trong thờI gian là một giờ ,có nghiã là sấp xỉ 10,000 đến 30,000 gói trong vòng một giờ
Chúng tôi luôn nhận được thông báo các gói đó có điạ chỉ nguồn và đích đều mang Port là 23
Chúng tôi đã gọI nó là cuộc tấn công “Stuttering SYN”.Sự lo lắng cuả bạn là điều đầu tiên mà tôi có thể thấy đầu tiên VÀ tôi sẽ fix nó trong vòng một tuần “
Nên nhớ rằng từ khi nhà quản trị mạng thấy được các cuộc tấn công ánh xạ SYN,chuyển đến” lưu lượng thông tin từ một phạm vi giớI hạn cuả các IP”có thể là một Dozen.Nhiêù trong số chúng có vẻ như đến từ trường đạI học ,thực tế có nghiã là chúng là mục tiêu cuả cuộc tấn công ánh xạ ,Nơi mà server cuả anh ta vô tình đóng góp vào cuộc tấn công ánh xạ
“Tôi có hai web server trên hai mạng khác nhau và đã nhận được những lưu lượng thông tin như thế trong 2-3 tuần .Một vaì nguồn ip đánh cả hai host trong một thờI gian trùng nhau . Đây là một lưu lượng thông tin có tỷ lệ thấp và gói ACK phát sinh ra quay trở lạI đích .Tôi đã mở file log cuả tôi ra và đọc những hoạt động trong đó và tóm được một vài thông tin (gói ).Tôi nghi ngờ rằng có nhiều hơn một máy tính được đặt cơ sở làm host ánh xạ trong một khoảng thờI gian không cố định cuả một ngaỳ
Trên thực tế hai server khác nhau tại những vị trí khác nhau trên mạng đều nhận được các gói SYN cùng lúc từ một vài nguồn IP giả mạo cho biết rằng các máy tính trong hai vùng IP khác nhau thì cả hai đều nằm trên “bảng kiểm kê server ánh xạ “và bị tham gia một cách vô tình vào một vài cuộc tấn công
Chúng tôi có một vài bằng chứng rằng các công cụ để gây ra các cuộc tấn công có thể bắt đầu xuất hiện vào đầu tháng 11 năm 2001.Chúng tôi không có khả năng phán đoán độ rộng lớn của các cuộc tấn công ánh xạ để cho đến khi các nhà quản trị mạng bắt đầu tìm kiếm dấu hiệu nhận biết ra những trận flood SYN với cường độ thấp trong server của họ.

Dịch từ nguồn http://www.grc.com/dos/drdos.htm

Go to:

Users currently in here
1 Anonymous