|
Chúng tôi đang đứng dướI cuộc tấn công của hơn hai trăm router
Chuyện gì xảy ra tiếp theo?
Trong có vẻ như chúng tôi bị flood bởI Verio,Qwest và Above.net bởI vì chúng có một đặc trưng riêng nên chúng tôi có thể nhận ra được .Tôi thấy chúng xuất hiện hoàn toàn phù hợp để trả lờI cho những gói ACK của nguốn TCP co port là 179.Theo cách khác ,chỉ những gói dữ liệu của web server sẽ quay trở lạI từ port 80 ,những gói này quay trở lạI từ “BGP” port 179
BGP –“Border Gateway Protocol” được hỗ trợ bởI những router trung gian .Những router sử dụng BGP để giao tiếp vớI những router khác bên cạnh chúng để thay đổI bảng định tuyến của chúng để mà thông báo cho nhau loạI IP mà router có thể forward tớI
Chi tiết của BGP không quan trọng .Cái quan trọng là trên thực tế là hầu như tất cả những router trung gian của kết nốI Internet nhanh (băng thông rộng ) thì sẽ chấp nhận kết nốI TCP
trên port 179 .Một gói SYN đi đến port 179 của một router Internet sẽ đáp lạI gói SYN/ACK
Tôi bất chợt đã hiểu ra chuyện gì đã xảy ra
bmuht_fig.95954_5545ab62f9e142d0679d590d1a06bdd5/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptth
Ở đây không có nhiều sự lựa chọn,hoặc là nhiều phương cách chắc chắn ,của hàng trăm router đã bị tổn thương ,họăc đã bị tiêu nhiễm bởI một vài phần của Zombie.Tôi thấy rõ rằng chúng chỉ là điều bình thường ,vô hạI ,TCP server vẫn đang làm những công việc mà chúng được chỉ định để làm .Chúng gửI những gói SYN/ACK đến grc.com trong một sự tin tưởng rằng chúng tôi muốn mở một kết nốI TCP được cài đặt sẳn trong BGP server của chúng
Trong một cách khác , hacker tinh vi đã xác định đựơc một vài nơi khác trên Internet mà các router internet bị SYN flood vớI những gói TCP yêu cầu kết nốI SYN .Những gói SYN đó mang những nguồn IP giả mạo thuộc grc.com.Vì thế ,các router tin rằng những gói SYN đó có nguồn gốc từ chúng tôi ,và họ đáp lạI bằng cách trả lờI lạI vớI những gói SYN/ACK như là giai đoạn thứ hai của chuẩn “ba bước bắt tay “của TCP
Những gói SYN tinh vi đã bắt đầu “ánh xạ” lạI sự không có hại tại TCP server.Những gói SYN/ACK đáp lạI bằng cách dùng những trận flood và tấn công băng thông của chúng tôi
Một kiểu tấn công mớI
Thật là hấp dẫn ,từ một quan điểm không thực tế grc.com đã bị đánh sập bởI hàng trăm router Internet .Sự giành được những gói hợp pháp đang được thực hiện .Quyền ưu tiên của tôi là đưa tôi trở lạI trên mạng
Tôi không biết tạI sao chúng tôi là tâm điểm của cuộc tấn công này .Có lẽ đây là dịp để thử nghiệm phương thức tấn công mớI chăng ……..
“Này ,hãy tàn phá Gibson và chống mắt xem anh ta làm gì chúng ta “
Chúng ta sẽ xem bên dướI ,dấu hiệu cho biết rằng sau cuộc tấn công lúc đầu vào chúng tôi ,một hay nhiều phương cách tấn công được sử dụng thường xuyên-Đây là một trong những lý do mà những hacker giỏI thích sử dụng phương pháp tấn công theo kiểu “tấn công ánh xạ phân tán “gần giống như kỹ thuật flood phân tán theo kiểu truyền thống
Tôi không muốn lo lắng về Verio ,nhà cung cấp dịch vụ của chúng tôi ,nếu cuộc tấn công kết thúc vào lúc này ,tôi sẽ gọI kỹ thuật đến .Vì thế tôi theo dõi cụôc tấn công và chờ đợI đến 2 giờ .Lúc 4 giờ sáng,cuộc tấn công vẫn chưa có dấu hiệu yếu đi .Ban mai ở nước Mỹ thường xuất hiện sớm ,vì thế tôi gọI cho trung tâm giảI quyết sự cố mạng 24/7của Verio.Tôi tổng kết lạI vấn đề và làm cho trung tâm giảI quyết sự cố tin rằng chúng tôi đang bị tấn công và cần được giúp đỡ ngay lập tức .Tôi vui mừng khi nhân viên bảo mật “đang còn trong tình trạng ngái ngủ “gọI lạI cho tôi khi vấn đề về Verio được tôi gửI đi chưa tớI hai giờ
Khoá cuộc tấn công ánh xạ lại
Tin mớI nhận là ,cuộc tấn công xuất hiện tương đốI dễ dàng để block lạI .Kể từ lúc chúng tôi không có nhà cung cấp dịch vụ cho chính mình ,Chúng tôi không cần phảI trang bị kết nốI từ xa vớI BGP router .Vì thế ,chúng tôi yêu cầu Verio block lạI những lưu lượng thông tin đi vào từ dịch vụ BGP port 179.BởI vì những gói SYN tinh vi của hacker đã nhằm vào giữa router có port 179,một vài những gói ánh xạ sẽ bắt nguồn từ port này
Kỹ thuật của Verio đã thêm bộ lọc vào để tập trung bảo quản những router kết nốI Internet của chúng tôi để block những gói xuất phát từ chúng tôi đến port 179.Những gói flood đến từ port 179 ngay lập tức bị block lạI
Nhưng chúng tôi vẫn chưa thể quay trở lại mạng
Một gói mớI tóm được đã tiết lộ rằng chúng tôi đã bị tấn công một cách tích cực bởI một server hoàn toàn mớI ,Bởi vì sau khi lưu lương tin thứ hai tập hợp chỉ xuất hiện sau khi lưu lượng thông tin router port 179 bị block .Nó xuất hiện như con sóng thứ hai của việc ánh xạ lưu lượng thông tin đã không thể cạnh tranh vớI flood router
VớI những lưu lương thông tin của những router bị block ,chúng tôi bắt đầu bị flood tiếp bởI bởI những gói SYN/ACK như trút nước từ port 22( bảo mật shell)23(telnet)53(DNS)và 80(http/web).Và một vài gói đến từ port 4001(port của proxy server) và 6668(IRC chat)
Tôi đã quá đổI ngạc nhiên khi cuộc flood thứ hai thình lình xảy ra .Tôi đã lơ là không tóm chúng lạI ,giữ lạI một cách trọn vẹn và lấy mẩu một cách chính xác những lưu lượng thông tin flood không phảI là BGP.Tuy nhiên ,log file của tôi đã tóm được một vài SYN/ACK , được phát hiện không phảI là BGP.Thế nên tôi có một vài ghi chép của nó
Một sự lây mẫu nhỏ của web server biểu hiện rằng chúng đã flood chúng tôi bằng SYN/ACK từ http(web) port 80 của họ
|
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")