Tấn công không trạng thái

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận thâm nhập

Tấn công không trạng thái

[Question] Tấn công không trạng thái	15/07/2006 06:33:45 (+0700) \| #1 \| 6836

wit_eyes
Member

Joined: 14/07/2006 19:14:07
Messages: 5
Location: Night Sky
Offline

có anh chị nào biết về các hình thức tấn công không trạng thái (stateless) (VD như stick hay snot) làm ơn giải thích cho em biết cơ chế của các hình thức tấn công này. Và việc tái hợp luồng TCP có tác động gì đến kiểu tấn công này không. Em xin chân thành cảm ơn!

[Question] Re: Tấn công không trạng thái	17/07/2006 10:59:36 (+0700) \| #2 \| 7345

wit_eyes
Member

Joined: 14/07/2006 19:14:07
Messages: 5
Location: Night Sky
Offline

không có ai trả lời giúp à.
smilie

Đây là một câu hỏi khó, hay là một kiểu tấn công mới ?
Có ai biết làm ơn chỉ giúp nhé :!:

[Question] Tấn công không trạng thái	18/07/2006 05:07:59 (+0700) \| #3 \| 7541

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

wit_eyes wrote:

có anh chị nào biết về các hình thức tấn công không trạng thái (stateless) (VD như stick hay snot) làm ơn giải thích cho em biết cơ chế của các hình thức tấn công này. Và việc tái hợp luồng TCP có tác động gì đến kiểu tấn công này không. Em xin chân thành cảm ơn!

Đây là một chủ đề rất lý thú smilie

. Tôi đang đợi xem có ai khơi mào hay không rồi mới tham gia. Để đợi thêm vài hôm xem sao? smilie

What bringing us together is stronger than what pulling us apart.

[Question] Tấn công không trạng thái	22/07/2006 02:52:28 (+0700) \| #4 \| 8816

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

wit_eyes wrote:

có anh chị nào biết về các hình thức tấn công không trạng thái (stateless) (VD như stick hay snot) làm ơn giải thích cho em biết cơ chế của các hình thức tấn công này. Và việc tái hợp luồng TCP có tác động gì đến kiểu tấn công này không. Em xin chân thành cảm ơn!

Đợi mà chẳng thấy ai tham gia topic này smilie

snot hay stick attack thật ra không có gì mới về mặt phương thức hoặc tính phức tạp. Nó chỉ đơn giản là một dạng DoS chuyên phá các hệ thống IDS. Tính stateless của nó nằm ở giới hạn là nó gởi một request xong là xong. Nó không duy trì session gì cả nên nó thuộc dạng "stateless".

Mục đích của dạng tấn công này là để tạo từ chối dịch vụ đến IDS. Lý do: nó liên tục gởi những request trùng với các signature mà IDS có sẵn, thường là các signature thông dụng. Nếu hàng loạt các request được gởi (thường xuyên và liên tục) thì IDS sẽ rất... bận rộn để xử lý.

- Nếu IDS thiếu tài nguyên, nó sẽ sụp đổ nhanh chóng và IDS bị vô hiệu hoá.

- Nếu IDS dư tài nguyên, kẻ thâm nhập sẽ tìm cách mở những cuộc thâm nhập song song vì mục đích của dạng tấn công snot và stick là để làm "mờ mắt" những ai đang theo dõi IDS và phân tích logs của IDS. Nếu logs và alerts được tạo ra quá nhiều thì một thâm nhập thật sự có thể dễ dàng lẩn trong mớ logs rối bòng bong kia.

Để cho dạng tấn công này thành công, phải có hàng loạt IP gởi những request mang tính vi phạm một cách ngẫu nhiên. Nếu dùng 1, 2 IP để thực hiện chuyện này thì sẽ bị block nhanh chóng (vì người quản lý IDS sẽ dễ dàng nhận ra).

What bringing us together is stronger than what pulling us apart.

[Question] Tấn công không trạng thái	22/07/2006 05:19:09 (+0700) \| #5 \| 8884

neomatrix
Member

Joined: 18/08/2005 06:30:02
Messages: 47
Location: xxMatrixReloadedxx
Offline

Vậy tấn công theo kiểu này thì phải xây dựmg mạng Bootnet uh??

[Question] Tấn công không trạng thái	22/07/2006 05:19:57 (+0700) \| #6 \| 8885

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

neomatrix wrote:

Vậy tấn công theo kiểu này thì phải xây dựmg mạng Bootnet uh??

ùm... mạng Bootnet là mạng gì vậy?

What bringing us together is stronger than what pulling us apart.

[Question] Tấn công không trạng thái	22/07/2006 05:32:52 (+0700) \| #7 \| 8890

neomatrix
Member

Joined: 18/08/2005 06:30:02
Messages: 47
Location: xxMatrixReloadedxx
Offline

Mạng Bootnet để tấn công DOS đang thịnh hành mè.DantruongX nó rành cái zụ này lắm. mà "conmale" hỏi khăm mình hay sao zậy,mình thấy ái ngại wá.

[Question] Tấn công không trạng thái	22/07/2006 05:35:01 (+0700) \| #8 \| 8891

wit_eyes
Member

Joined: 14/07/2006 19:14:07
Messages: 5
Location: Night Sky
Offline

Khả năng tái hợp luồng TCP mạng mẽ giúp IDS bỏ qua các cuộc tấn công không trạng thái. Cơ chế này như thế nào ạ?
Vậy kiểu tấn công Dos bằng cách gửi liên tiếp các SYN có phải một dạng stateless không ạ?

[Question] Tấn công không trạng thái	22/07/2006 05:41:47 (+0700) \| #9 \| 8894

nhocbmt
Member

Joined: 26/06/2006 17:55:21
Messages: 75
Location: Ban Mê City
Offline

anh wit_eyes thữ đọc đoạn này của anh conmale xem :

Mục đích của dạng tấn công này là để tạo từ chối dịch vụ đến IDS. Lý do: nó liên tục gởi những request trùng với các signature mà IDS có sẵn, thường là các signature thông dụng.

to neomatrix : botnet chứ ko phải là bootnet !
Để có "1 loạt IP" request vi phạm tới IDS 1 cách ngẫu nhiên thì hiễn nhiên sẽ phải cần đến "mạng botnet "
smilie

[Question] Tấn công không trạng thái	22/07/2006 05:58:11 (+0700) \| #10 \| 8899

navaro
Member

Joined: 27/06/2006 20:54:35
Messages: 8
Offline

Anh comale nói gì cũng dễ hiểu hết ; smilie

[Question] Tấn công không trạng thái	22/07/2006 06:13:06 (+0700) \| #11 \| 8903

wit_eyes
Member

Joined: 14/07/2006 19:14:07
Messages: 5
Location: Night Sky
Offline

to:nhocbmt
cơ chế tấn công bằng cờ SYN khác với các request mang signature. Còn tái hợp luồng TCP, thật sự mình vẫn chưa hiểu nó chống lại stateless thế nào
Nếu bạn biết, có thể giải thích không?

[Question] Tấn công không trạng thái	22/07/2006 10:49:29 (+0700) \| #12 \| 8959

nhocbmt
Member

Joined: 26/06/2006 17:55:21
Messages: 75
Location: Ban Mê City
Offline

cơ chế tấn công bằng cờ SYN khác với các request mang signature

snot or stick attack thì như anh conmale đã nói smilie

còn SYN thì em ko biết có thuộc dạng "stateless" ko .... ???

Còn " Tái hợp luồng TCP " em ko hiểu có phải là gom các TCP/IP lại và cho nó request đến điểm đích ko .?????.. smilie

Nhưng nếu là đúng như vậy thì ta có thể dùng BOTNET như anh conmale đã nói đi 1 số lượng lớn IP gởi các request tới IDS thì IDS sẽ quá " Bận rộn " để lọc và người quản lí IDS cũng sẽ bận rộn để phân tích log... như dzậy thì coi như nó đã " chống lại sự stateless " rồi còn gì ????

Hihi !

[Question] Tấn công không trạng thái	22/07/2006 20:24:57 (+0700) \| #13 \| 9027

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

wit_eyes wrote:

to:nhocbmt
cơ chế tấn công bằng cờ SYN khác với các request mang signature. Còn tái hợp luồng TCP, thật sự mình vẫn chưa hiểu nó chống lại stateless thế nào
Nếu bạn biết, có thể giải thích không?

Anh không rõ "tái hợp luồng" ở đây là thế nào nhưng nếu "tái hợp luồng" có nghĩa là một xuất truy cập được "keepalive" (socket ở trạng thái ESTABLISHED) và client vẫn tiếp tục dùng xuất truy cập này để tiếp tục gởi request mang signature của IDS để DDoS nó thì thế này:

- thứ nhất: tuỳ loại request và giao thức để tạo tình trạng IDS cảnh báo lung tung. Nếu giao thức ở dạng "stateful" nhưng dịch vụ tiếp nhận chưa hề nhận được request (vì có thể bị IDS ứng động mà cản đi hoặc bị FW cản ngay từ đầu hoặc chính dịch vụ đó không tiếp nhận request, hoặc dịch vụ đó không hề có) thì tình trạng "stateful" này hoàn toàn không thể thiết lập được.

- thứ nhì: mục đích của dạng tấn công như "snot" là tạo những request ngẫu nhiên và trùng với signature của IDS để làm IDS hoảng loạn. Điều này không có nghĩa là request từ các con "bot" có thể đến một dịch vụ thực sự. Cho dù không có dịch vụ thực sự mà IDS lại có signature để theo dõi dịch vụ đó, nó vẫn tạo cảnh báo. Đây chính là điểm yếu của IDS signature-based system. Để giảm thiểu tình trạng này, tay admin phải chọn lựa những signature cụ thể nào đó, thích hợp cho môi trường của mình mà thôi.

- thứ ba: "tái hợp luồng" trong dạng tấn công này chẳng mang lại ích lợi gì rõ ràng cả. Hơn nữa, nó làm hỏng đi tính "ngẫu nhiên". Càng ngẫu nhiên càng làm cho IDS rối loạn và chính chủ nhân của nó cũng rối loạn :twisted: . Như đã nói ở trên, snot attack là màn "mà mắt thiên hạ" cho mục đích tấn công khác. Nếu chỉ "xả" rai rai vào một hệ thống IDS mà không có mục đích gì cụ thể thì... vô ích smilie

.

Thân.

What bringing us together is stronger than what pulling us apart.

[Question] Tấn công không trạng thái	22/07/2006 21:44:56 (+0700) \| #14 \| 9047

neomatrix
Member

Joined: 18/08/2005 06:30:02
Messages: 47
Location: xxMatrixReloadedxx
Offline

Kỹ thuật này mình thấy cũng khá ấn tượng,nhưng các cậu chỉ mới đề cập chung chung thôi chứ chưa được cụ thể lắm.
To "conmale" bạn đã từng tấn công kiểu này chưa,nếu có thì hãy kể quy trình của nó cho anh ,em "ngâm cứu" với!!
To "nhocbmt" nghe cậu "sửa" mình chắc cậu rành về "botnet" ,mình chỉ mới "ngâm cứu" về kỹ thuật này thôi chứ chưa thực hành bao giờ,mình có một số thắc mắt muốn hỏi bạn,cho mình IDyahoo để mình liên lạc với bạn nhé!!

[Question] Tấn công không trạng thái	22/07/2006 23:37:36 (+0700) \| #15 \| 9077

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

neomatrix wrote:

Kỹ thuật này mình thấy cũng khá ấn tượng,nhưng các cậu chỉ mới đề cập chung chung thôi chứ chưa được cụ thể lắm.

Khì khì, "chung chung" có nghĩa là chưa có "câu lệnh" + tool để thử chớ gì?

neomatrix wrote:

To "conmale" bạn đã từng tấn công kiểu này chưa,nếu có thì hãy kể quy trình của nó cho anh ,em "ngâm cứu" với!!

Không may là tôi chưa "từng" tấn công ai cả. Tôi có bị tấn công ở dạng này vài lần ở công ty. HVA cũng bị một lần cách đây hơn một năm. Nhóm tấn công có nguồn là Brazil.

Bản thân tôi thì tôi có thử nghiệm trong môi trường nội bộ để kiện toàn các IDS chớ chưa bao giờ dùng để "tấn công" ai. Quy trình thì đơn giản lắm: mở các signature của hệ thống IDS mà xem các patterns. Từ đó tạo các request mang những patterns này. Tool thì dùng curl, telnet, net modules của perl. Ngon hơn nữa thì dùng C hay Java mà viết. Còn "cụ thể" hơn ở dạng "lệnh gì, làm từng bước thế nào" thì rất tiếc tôi không thể cụ thể như vậy được (bồ xem các bài viết của tôi trên diễn đàn thì sẽ thấy lý do tại sao tôi không "cụ thể" như thế smilie

))

What bringing us together is stronger than what pulling us apart.

[Question] Tấn công không trạng thái	22/07/2006 23:58:48 (+0700) \| #16 \| 9090

neomatrix
Member

Joined: 18/08/2005 06:30:02
Messages: 47
Location: xxMatrixReloadedxx
Offline

conmale wrote:

neomatrix wrote:

Kỹ thuật này mình thấy cũng khá ấn tượng,nhưng các cậu chỉ mới đề cập chung chung thôi chứ chưa được cụ thể lắm.

Khì khì, "chung chung" có nghĩa là chưa có "câu lệnh" + tool để thử chớ gì?

neomatrix wrote:

To "conmale" bạn đã từng tấn công kiểu này chưa,nếu có thì hãy kể quy trình của nó cho anh ,em "ngâm cứu" với!!

Không may là tôi chưa "từng" tấn công ai cả. Tôi có bị tấn công ở dạng này vài lần ở công ty. HVA cũng bị một lần cách đây hơn một năm. Nhóm tấn công có nguồn là Brazil.

Bản thân tôi thì tôi có thử nghiệm trong môi trường nội bộ để kiện toàn các IDS chớ chưa bao giờ dùng để "tấn công" ai. Quy trình thì đơn giản lắm: mở các signature của hệ thống IDS mà xem các patterns. Từ đó tạo các request mang những patterns này. Tool thì dùng curl, telnet, net modules của perl. Ngon hơn nữa thì dùng C hay Java mà viết. Còn "cụ thể" hơn ở dạng "lệnh gì, làm từng bước thế nào" thì rất tiếc tôi không thể cụ thể như vậy được (bồ xem các bài viết của tôi trên diễn đàn thì sẽ thấy lý do tại sao tôi không "cụ thể" như thế ))

Mình phải "ngâm cứu" và học hỏi nhiều ở cậu đó "conmale" ah,cho mình cái idyahoo của cậu đi mình sẽ làm phiền cậu dài dài.thank you very nhiều

Go to:

Users currently in here
1 Anonymous