Em không đồng ý hoặc chưa hiểu ý tác giả theo cái ví dụ đó, mong anh giải thích thêm. Dưới đây là ý kiến của em

Apache là web server (HTTP server), là application phụ trách trực tiếp các gói tin HTTP. Nếu apache nhận diện request đến type php/phtml/... theo configuration, thì nó mới gọi module PHP ra và nhờ PHP interpret

Như vậy thì process apache.exe - window / httpd - linux sẽ tiếp nhận request đầu tiên mới chính xác.

Detail tại http://modules.apache.org/doc/API.html

Handlers, Modules, and Requests
Apache breaks down request handling into a series of steps, more or less the same way the Netscape Server API does (although this API has a few more stages than NetSite does, as hooks for stuff I thought might be useful in the future). These are:

* URI -> Filename translation
* Auth ID checking [is the user who they say they are?]
* Auth access checking [is the user authorized here?]
* Access checking other than auth
* Determining MIME type of the object requested
* "Fixups" --- there aren't any of these yet, but the phase is intended as a hook for possible extensions like SetEnv, which don't really fit well elsewhere.
* Actually sending a response back to the client.
* Logging the request

These phases are handled by looking at each of a succession of modules, looking to see if each of them has a handler for the phase, and attempting invoking it if so. The handler can typically do one of three things:

* Handle the request, and indicate that it has done so by returning the magic constant OK.
* Decline to handle the request, by returning the magic integer constant DECLINED. In this case, the server behaves in all respects as if the handler simply hadn't been there.
* Signal an error, by returning one of the HTTP error codes. This terminates normal handling of the request, although an ErrorDocument may be invoked to try to mop up, and it will be logged in any case.

Most phases are terminated by the first module that handles them; however, for logging, "fixups", and non-access authentication checking, all handlers always run (barring an error). Also, the response phase is unique in that modules may declare multiple handlers for it, via a dispatch table keyed on the MIME type of the requested object. Modules may declare a response-phase handler which can handle any request, by giving it the key */* (i.e., a wildcard MIME type specification). However, wildcard handlers are only invoked if the server has already tried and failed to find a more specific response handler for the MIME type of the requested object (either none existed, or they all declined).
 

 

Vì PHP là "người tiếp đón đầu tiên" dòng packet DDoS-request để rồi chuyển yêu cầu truy vấn đến Apache (hay trình quản lý web khác) 

@ bác PXMMRF:
Chẳng hạn như chỗ này:

Vì PHP là "người tiếp đón đầu tiên" dòng packet DDoS-request để rồi chuyển yêu cầu truy vấn đến Apache (hay trình quản lý web khác) 

Xét theo mô hình gì đi nữa thì cũng không đúng,ví dụ mô hình máy chủ apache,người tiếp quản đầu tiên và handle các connections phải là TCP-Server(tcpserver,inetd,Xinetd) nếu không muốn nói là card mạng,và lại apache thường chạy trên chế độ stand-alone nên coi như cả phần Tcp-Server đã tích hợp luôn vào apache rồi,nên apache mới là "người tiếp đón đầu tiên dòng packet" và xử lý trước khi chuyển dữ liệu đến cho các trình biên dịch khác,mặt khác có những dữ liệu mà apache không cần phải gọi đến PHP compiler.
Còn web động theo mình hiểu là web được viết bằng một số ngôn ngữ lập trình nào đó và động ở đây nhấn mạnh đến quá trình biên dịch và xử lý dữ liệu ở phía máy chủ(trước khí trả về text/htm tới web browser) hơn là nhưng thao tác ở phía client.
Mong bác giải thích giúp! 

@ bác PXMMRF:
Chẳng hạn như chỗ này:

Vì PHP là "người tiếp đón đầu tiên" dòng packet DDoS-request để rồi chuyển yêu cầu truy vấn đến Apache (hay trình quản lý web khác) 

Xét theo mô hình gì đi nữa thì cũng không đúng,ví dụ mô hình máy chủ apache,người tiếp quản đầu tiên và handle các connections phải là TCP-Server(tcpserver,inetd,Xinetd) nếu không muốn nói là card mạng,và lại apache thường chạy trên chế độ stand-alone nên coi như cả phần Tcp-Server đã tích hợp luôn vào apache rồi,nên apache mới là "người tiếp đón đầu tiên dòng packet" và xử lý trước khi chuyển dữ liệu đến cho các trình biên dịch khác,mặt khác có những dữ liệu mà apache không cần phải gọi đến PHP compiler.
Còn web động theo mình hiểu là web được viết bằng một số ngôn ngữ lập trình nào đó và động ở đây nhấn mạnh đến quá trình biên dịch và xử lý dữ liệu ở phía máy chủ(trước khí trả về text/htm tới web browser) hơn là nhưng thao tác ở phía client.
Mong bác giải thích giúp! 

...........
Bảo mật và đặc biệt là chuyện chống đỡ DDoS đòi hỏi phải hiểu rõ về giao thức và cách dịch vụ xử lý requests như thế nào là chuyện tối quan trọng. DDoS cho đến ngày nay không còn đơn giản là "ping of death" hoặc "x-flash" (mặc dù x-flash vẫn còn chết người) mà DDoS ngày nay đã đi đến chỗ khai thác tận cùng đến những điểm yếu thâm sâu trong ứng dụng tạo dịch vụ. DDoS ngày nay không cần một khối lượng packets khổng lồ để làm tràn ngập máy chủ, để tạo load hoặc để bảo hòa băng thông mà chỉ là những "cú đấm" nhẹ nhàng vào những điểm cực nhỏ nhưng cực yếu. 

Vâng,Card mạng thì là nói đùa thôi.
Không phức tạp,cháu hiểu ngắn gọn và mộc mạc như thế này,chế độ stand-alone là chế độ gì thì có định nghĩa rõ trên google,còn trong trường hợp này ý nghĩa là nó chạy mà ko phụ thuộc vào Superserver(hoạt động tại lớp Tránport chiếu theo mô hình TCP/IP và trực tiếp điều khiển các tcp/udp packets) như inetd,xinetd...
vậy để điểu khiển đc các tcp/udp packet thì ít nhất trong apache phải có tính năng giống như xinetd,inetd...nên cháu xin tạm gọi là apache đã có Superserver.
còn biên dịch và thông dịch thì do cháu dùng từ sai,còn cái quá trình mà gọi là thông dịch đó thì chắc là hiểu thôi ah.
nếu sai chỗ nào thì xin chú chỉ luôn,không nên hỏi lại nhiều. 

Thế đây là cái gì ạ!
http://en.wikipedia.org/wiki/TCP/IP_model 

Thế đây là cái gì ạ!
http://en.wikipedia.org/wiki/TCP/IP_model 

DDoS Shockwave Flash file (tool) này giống hệt như tool đã sử dụng để DDoS vào trang web giáo dân TP HCM mà tôi nói ở trên. Shockwave Flash file này đươc encrypted (mã hóa) với tiện ích SWF encrypt của công ty Amayeta http://www.amayeta.com/). Mục đích của việc encryption một SWF là để cho người khác không thể decompile file này ra và đọc-xem nó, cũng như chống việc Reverse engineering. Tuy nhiên có thể hacker đã áp dụng quá trình encryption không đúng cách và/hoăc sử dung SWF encryption soft. đã lạc hậu (như ta thấy hacker dùng SWFENCRYPT ver. 3.0, trong khi soft. mới nhất của Amayeta là SWFENCRYPT ver. 6.0) nên nếu ta dùng các SWF decomplier mới nhất, tiên tiến nhất thì vẫn "mở" DDoS tool này ra, xem được nôi dung các ActionScript.
 

Quá trình mã hóa file flash đã có lỗi gì?  

DDoS Shockwave Flash file (tool) này giống hệt như tool đã sử dụng để DDoS vào trang web giáo dân TP HCM mà tôi nói ở trên. Shockwave Flash file này đươc encrypted (mã hóa) với tiện ích SWF encrypt của công ty Amayeta http://www.amayeta.com/). Mục đích của việc encryption một SWF là để cho người khác không thể decompile file này ra và đọc-xem nó, cũng như chống việc Reverse engineering. Tuy nhiên có thể hacker đã áp dụng quá trình encryption không đúng cách và/hoăc sử dung SWF encryption soft. đã lạc hậu (như ta thấy hacker dùng SWFENCRYPT ver. 3.0, trong khi soft. mới nhất của Amayeta là SWFENCRYPT ver. 6.0) nên nếu ta dùng các SWF decomplier mới nhất, tiên tiến nhất thì vẫn "mở" DDoS tool này ra, xem được nôi dung các ActionScript.
 

Hi Anh PMX,
Lâu lắm không được gặp Anh. Cảm ơn anh về bài các viết (vẫn những bài viết chi tiết, đầy màu sắc và sinh động).

Em đang muốn hỏi:
Quá trình mã hóa file flash đã có lỗi gì?
Giả sử Anh không decompile được cái file đó thì có hướng giải quyết nào không?
 

- Khi không có người truy câp đến thì những service nào trong webserver, thí dụ webserver chứa website vnexpress.net, vẫn đang chay trong hệ thống, những services visible (có thể thấy trên Task manager hay trình tương tự chẳng hạn) và cả những hiden services?  

Khi trang web bị tấn công F-DDoS thì những System, Application services nào sẽ chạy, sẽ được kích hoạt, sự tương tác của chúng như thế nào: cái nào chạy trước, cái nào chạy sau, có trường hơp nào chúng "chà đạp" lên nhau, ngăn trở nhau làm cho hệ thống nhanh chóng bị sụp đổ không? (Như khi có tiếng nổ trên boong một tầu chở khách, các hành khách chen lấn nhau, chạy dạt về một phía boong tầu, làm cho tầu nghiêng về một phía và chìm nhanh xuống biển, thí dụ ví von như vậy cho dễ hiểu)  

Các script (phần mềm nhỏ) dùng để fix DDoS (như người ta thường gọi) nếu không được biên soạn , thử nghiệm kỹ, có góp phần làm hệ thông thêm "rối rắm' (vì chúng dễ conflict-xung đột với các services hệ thông và service của các Application) và sụp đổ nhanh hơn hay không?
- Điều gì sẽ xẩy ra khi hacker "vô tình" tấn công F -DDoS hay chỉ là DDoS thông thường vào đúng lúc webserver đang backup dữ liệu, hay quan trong hơn khi Antivirus program trong hệ thống đang quét virus toàn bộ hệ thống, theo định kỳ hay theo ý muốn cùa người quản trị (On-demand virus scanning)? Khi Antivirus quét hệ thống thì CPU thường sử dung bao nhiêu phần trăm năng lưc? Khi quét vào các file lớn và "phức tạp" như các file đuôi ".cab", thì có phải có lúc CPU bị sử dung 100% hay gần 100% năng lưc hay không?

 

Có phải rẳng sau khi bị DDoS dữ dội, hệ thông bị sup đổ (bị shutdown), khi hết DDoS, ta có thể khởi đông lai hệ thống dễ dàng, vì nó vẫn còn nguyên vẹn hay không?
 

Chúng ta cũng nên thấy thêm rằng chỉ cần thay nôi dung các dòng text, imported vào DDoS SWF File là hacker có thể đánh vào bất cứ url nào của website, cũng như có thể bổ sung các code phá hoai -khai thác vào nội dung DDoS request.
 

DDoS Shockwave Flash file (tool) này giống hệt như tool đã sử dụng để DDoS vào trang web giáo dân TP HCM mà tôi nói ở trên. Shockwave Flash file này đươc encrypted (mã hóa) với tiện ích SWF encrypt của công ty Amayeta http://www.amayeta.com/). Mục đích của việc encryption một SWF là để cho người khác không thể decompile file này ra và đọc-xem nó, cũng như chống việc Reverse engineering. Tuy nhiên có thể hacker đã áp dụng quá trình encryption không đúng cách và/hoăc sử dung SWF encryption soft. đã lạc hậu (như ta thấy hacker dùng SWFENCRYPT ver. 3.0, trong khi soft. mới nhất của Amayeta là SWFENCRYPT ver. 6.0) nên nếu ta dùng các SWF decompiler mới nhất, tiên tiến nhất thì vẫn "mở" DDoS tool này ra, xem được nôi dung các ActionScript.
 

Hi Anh PMX,
Lâu lắm không được gặp Anh. Cảm ơn anh về bài các viết (vẫn những bài viết chi tiết, đầy màu sắc và sinh động).

Em đang muốn hỏi:
Quá trình mã hóa file flash đã có lỗi gì?
Giả sử Anh không decompile được cái file đó thì có hướng giải quyết nào không?
 

Theo mình thì còn cách nữa là sniff luồng dữ liệu trao đổi với mạng bên ngoài của cái SWF đang chạy coi coi từ cái SWF đó dữ liệu gì đi ra và đi vào. Qua đó phân tích được nó hoạt động ra sao. 

Còn chuyện hệ thống còn nguyện vẹn thì cũng khó nói, tùy trường hợp cụ thể. Chẳng hạn khi máy tính chủ “down” ngay lúc tác vụ ghi dữ liệu xuống thiết bị lưu trữ đang thực hiện, thì phần dữ liệu chưa kịp nghi có nguy cơ thất thoát là rất lớn. 

Theo mình thì còn cách nữa là sniff luồng dữ liệu trao đổi với mạng bên ngoài của cái SWF đang chạy coi coi từ cái SWF đó dữ liệu gì đi ra và đi vào. Qua đó phân tích được nó hoạt động ra sao. 

Hay quá anh xnohat !

Ở trên kia em cũng đang định nói đến việc thử sniff gói tin của công cụ X-DDOS trên và 1 số công cụ X-DDOS khác để phân tích các gói dữ liệu mà SWF kia làm chủ.

Không biết có phải đối với dạng X-flash này nếu dùng chung 1 tool thì các gói packet (request) đến server của các Client đều giống nhau không.
 

Một khả năng là có thể sử dụng phiên bản debugger của flash player
http://www.actionscript.org/resources/articles/207/1/Trace-and-debug-ActionScript-from-your-browser/Page1.html
http://kevinschmitt.com/2009/12/01/flash-browser-tracing-on-mac-windows-and-linux/ 

cần mấy anh chị HVA giúp e xác định kẻ đang xflash<==== Đây mới là nội dung chính.Đề nghị không nói "tránh+nói giảm" làm loãng topic.  

Khi trang web bị tấn công F-DDoS thì những System, Application services nào sẽ chạy, sẽ được kích hoạt, sự tương tác của chúng như thế nào: cái nào chạy trước, cái nào chạy sau, có trường hơp nào chúng "chà đạp" lên nhau, ngăn trở nhau làm cho hệ thống nhanh chóng bị sụp đổ không? (Như khi có tiếng nổ trên boong một tầu chở khách, các hành khách chen lấn nhau, chạy dạt về một phía boong tầu, làm cho tầu nghiêng về một phía và chìm nhanh xuống biển, thí dụ ví von như vậy cho dễ hiểu)  

- Điều gì sẽ xẩy ra khi hacker "vô tình" tấn công F -DDoS hay chỉ là DDoS thông thường vào đúng lúc webserver đang backup dữ liệu, hay quan trong hơn khi Antivirus program trong hệ thống đang quét virus toàn bộ hệ thống, theo định kỳ hay theo ý muốn cùa người quản trị (On-demand virus scanning)? Khi Antivirus quét hệ thống thì CPU thường sử dung bao nhiêu phần trăm năng lưc? Khi quét vào các file lớn và "phức tạp" như các file đuôi ".cab", thì có phải có lúc CPU bị sử dung 100% hay gần 100% năng lưc hay không? 

Có phải rẳng sau khi bị DDoS dữ dội, hệ thông bị sup đổ (bị shutdown), khi hết DDoS, ta có thể khởi đông lai hệ thống dễ dàng, vì nó vẫn còn nguyên vẹn hay không? 

Chúng ta cũng nên thấy thêm rằng chỉ cần thay nôi dung các dòng text, imported vào DDoS SWF File là hacker có thể đánh vào bất cứ url nào của website, cũng như có thể bổ sung các code phá hoai -khai thác vào nội dung DDoS request.

Dây chính là phần liên quan đến câu hỏi của em bởi vì khi dịch được SWF thì việc tiến hành "chống đỡ" hoặc "phản công" sẽ dễ dàng hơn.

Note: Dạo này em không làm công việc về IT nữa nên chẳng có hệ thống để thử. Chờ bài phân tích của Anh.

phuchn71 wrote:

DDoS Shockwave Flash file (tool) này giống hệt như tool đã sử dụng để DDoS vào trang web giáo dân TP HCM mà tôi nói ở trên. Shockwave Flash file này đươc encrypted (mã hóa) với tiện ích SWF encrypt của công ty Amayeta http://www.amayeta.com/). Mục đích của việc encryption một SWF là để cho người khác không thể decompile file này ra và đọc-xem nó, cũng như chống việc Reverse engineering. Tuy nhiên có thể hacker đã áp dụng quá trình encryption không đúng cách và/hoăc sử dung SWF encryption soft. đã lạc hậu (như ta thấy hacker dùng SWFENCRYPT ver. 3.0, trong khi soft. mới nhất của Amayeta là SWFENCRYPT ver. 6.0) nên nếu ta dùng các SWF decompiler mới nhất, tiên tiến nhất thì vẫn "mở" DDoS tool này ra, xem được nôi dung các ActionScript.
 

Hi Anh PMX,
Lâu lắm không được gặp Anh. Cảm ơn anh về bài các viết (vẫn những bài viết chi tiết, đầy màu sắc và sinh động).

Em đang muốn hỏi:
Quá trình mã hóa file flash đã có lỗi gì?
Giả sử Anh không decompile được cái file đó thì có hướng giải quyết nào không?
 

Theo mình thì còn cách nữa là sniff luồng dữ liệu trao đổi với mạng bên ngoài của cái SWF đang chạy coi coi từ cái SWF đó dữ liệu gì đi ra và đi vào. Qua đó phân tích được nó hoạt động ra sao. 

SWF File dùng cho DDoS có thể import dữ liệu từ nhiều loại File: text, PHP...kể cả htm (html). Nói chung các file chứa dữ liệu cần hay phải nằm chung với DDoS SWF file trong một folder, directory hay trong cùng một hệ thống. Vì vậy việc sniffing dữ liệu truyền đến-ra (input-output) từ một hệ thông sẽ không thể giúp tìm ra vị trí, nội dung các import data file.