Đợt rồi tết có mấy ngày nhàn rỗi nên tôi vô tình nghĩ ra và đã viết 1 công cụ tự động khai thác điểm yếu trong các ứng dụng trên Internet. Khi dùng 01 máy tính tấn công vào các web site nhỏ và vừa (ước lượng có cỡ 10 máy chủ trở xuống) thì tất cả đều không chống được. Tôi chợt nhớ ra VN có 1 nhóm hacker là hva nên thử trên server của hva, và server hva cũng k0 tránh khỏi. Vào lúc 17:10 giờ HN, tôi sẽ thử tiếp 1 lần nữa (kéo dài tối đa 5p). Mời các bạn quan sát và bình luận về vấn đề an ninh này.
 

Tôi dùng 1 máy khác máy đang dùng để test.
Hơn nữa cuộc tấn công này ứng dụng web không nhận biết được, nên script hva dùng để chặn k0 cho truy cập liên tiếp k0 có tác dụng. Cái script này đặt ngưỡng thấp quá, mới click mấy cái đã kêu người dùng click nhanh hơn tốc độ anh sáng rồi.

Lúc 18:00 tôi sẽ test thêm 5 phút nữa cho các admin quan sát rồi đi ăn tối. Nếu có thể thì gửi các CPU, RAM, traffic, ... graphs lên để mọi người tham khảo.

PS: Hi vọng hình thức test này k0 bị phản đối. 

Khá lý thú. Không biết log của iptables và snort trong tình huống này như thế nào. Nếu được, bác conmale post lên 1 mớ log tcpdump lúc đang thử nghiệm thì quá tuyệt.

 

@antidos: Theo như title thì đây là lỗi của TCP/TP, nhưng sao bạn lại viết "điểm yếu trong các ứng dụng trên internet" ? TCP/IP là thuộc về giao thức, Apache là thuộc về ứng dụng. Nếu bạn muốn nói là điểm yếu của TCP/IP thì có liên quan đến three ways handshake? Sự gởi và nhận SYN/ACK? 

Điểm yếu TCP 

Cách tấn công này là DOS nhưng nguy hiểm hơn các cách DOS nhảm nhí vì nó có thể được dùng để shutdown hoàn toàn các dịch vụ dựa trên TCP. Người dùng sẽ không có cơ may nào dù nhỏ nhất để có thể kết nối được vào máy chủ, thế nên nếu tấn công vào ssh thì sẽ trở thành 1 thảm hoạ với các máy chủ đặt ở data center.

Không hiểu hva host ở nhà hay ở data center.

Những site nhỏ như hva thì có thể shutdown bằng 1 máy từ xa, nếu sở hữu trong tay 1 bot net loại nhỏ thì vấn đề trở nên đáng ngại hơn nhiều.
 

@antidos: Như vậy, theo lời bạn nói. Có lẽ firewall của HVA chưa tính đến trường hợp gặp gói tin "quái" như của bạn nên bị lọt qua và từ chối dịch vụ. Bác conmale có thể sẽ thêm rule vào là được. Dù sao cũng cám ơn bạn cho biết chỗ thiếu sót.
@nguyenvanhack: Vui lòng không chat chit trong box kỹ thuật. 

Trong tình huống các packet-filtering như iptables (firewall) hay snort (IDS), ossec chặn các packet "có dấu hiệu lạ" từ các máy xuất phát (blocked), thì sẽ như thế nào? Bạn đã test thử chưa? 

Như đã nói, iptables có thể dùng để hạn chế đáng kể tác động, nhưng iptables không thì không giải quyết được.
 

LeVuHoang wrote:

Trong tình huống các packet-filtering như iptables (firewall) hay snort (IDS), ossec chặn các packet "có dấu hiệu lạ" từ các máy xuất phát (blocked), thì sẽ như thế nào? Bạn đã test thử chưa? 

Như đã nói, iptables có thể dùng để hạn chế đáng kể tác động, nhưng iptables không thì không giải quyết được.

Tôi không làm trong lĩnh vực bảo mật nên mới chỉ nghe nói đến IDS/IPS chứ chưa động vào lần nào, nên ko có điều kiện để test. Nhưng về căn bản, tôi đoán là IPS nếu cấu hình tối ưu thì sẽ chống được.

Có 1 điều khó là cuộc tấn công này có thể qua proxy, nhất là các proxy của VDC, nên nếu chặn theo đ/c IP thì sẽ chặn luôn tất cả người dùng sử dụng VDC.
 

Có 1 điều khó là cuộc tấn công này có thể qua proxy (chưa kiểm chứng), nhất là các transparent proxy của VDC, nên nếu chặn theo đ/c IP thì sẽ chặn luôn tất cả người dùng sử dụng VDC 

- Thông báo: Để đối phó tạm thời với "Điểm yếu TCP" website của HIV đã được change sang dùng UDP. 

App dùng TCP mà TCP có điểm yếu thì app cũng yếu theo. Nhưng nếu app viết tốt hoặc cấu hình firewall tốt thì có thể giảm đáng kể được thiệt hại do đối phương gây ra.  

E hèm.... bồ antidos thử cái gì mà lựa lúc tớ đi ngủ mà thử thì kẹt quá. Tớ chẳng biết chuyện gì xảy ra cả.
 

Nãy giờ ngồi kiểm tra tình hình (logs, stats...) mà vẫn chưa thấy có gì lạ.
 

Nếu bồ dùng nhiều máy và đồng loạt dùng HostTracker để "query" tình trạng của HVA khiến cho mấy chục host đồng loạt "flood" HVA thì chính các host đó sẽ bị timeout mà thôi. Bồ không thể dùng chúng để thử nghiệm một cách chính xác được.
 

conmale wrote:

E hèm.... bồ antidos thử cái gì mà lựa lúc tớ đi ngủ mà thử thì kẹt quá. Tớ chẳng biết chuyện gì xảy ra cả.
 

Trong ngày hôm qua tôi thử tấn công dịch vụ web hva khoảng 6 lần. Do không muốn ảnh hưởng đến việc truy cập của người dùng nên tôi không kéo dài lâu, mỗi lần chỉ cỡ 5 phút. Lần đầu hình như bắt đầu 14:50, lúc đó đang thử vài site khác nhau. Lần cuối còn dùng 1 hệ thống monitor của 3rd party để theo dõi cho rõ ràng.

conmale wrote:

Nãy giờ ngồi kiểm tra tình hình (logs, stats...) mà vẫn chưa thấy có gì lạ.
 

Thử công bố stat xem sao, VD biểu đồ lưu lượng mạng. Log thì không hi vọng có, vì tuy tấn công vào cổng 80 nhưng k0 cấu thành 1 HTTP request, web server k0 biết được. Cuộc tấn công này gửi rất ít gói tin, và các traffic bình thường cũng k0 truy cập được nên lưu lượng mạng tại thời điểm tấn công sẽ là cực kỳ thấp.
 

conmale wrote:

Nếu bồ dùng nhiều máy và đồng loạt dùng HostTracker để "query" tình trạng của HVA khiến cho mấy chục host đồng loạt "flood" HVA thì chính các host đó sẽ bị timeout mà thôi. Bồ không thể dùng chúng để thử nghiệm một cách chính xác được.
 

Mấy chục host cùng truy cập khi bình thường vẫn thành công 100% mà (xem link 1)

Nói chung tôi thấy rõ là admin có trách nhiệm thì lại coi thường vấn đề, nên tôi cũng k0 show ra nữa. Lý do tôi không công bố rộng rãi vì nó quá nguy hiểm. Các web site hiện nay không sẵn sàng để chống đỡ. Bằng chứng thì xem tạm trên HostTracker 

Bác conmale thử check log tại chính xác thời điểm này xem sao : 06/02 19:33:22 (giờ vn, tức là +0700 nhé)
Boom thấy ghi trên hosttracker như vậy, có vẻ khá hợp với thời gian gửi bài của antidos - 06/02/2009 19:39:31 (+0700)