64.152. 4. 80--www.wwfsuperstars.com
128.121.223.161--veriowebsites.com
131.103.248.119--www.cc.rapidsite.net
164.109. 18.251--whalenstoddard.com
171. 64. 14.238--www4.Stanford.EDU
205.205.134. 1--shell1.novalinktech.net
206.222.179.216--forsale.txic.net
208. 47.125. 33--gary7.nsa.gov
216. 34. 13.245--channelserver.namezero.com
216.111.239.132--www.jeah.net
216.115.102. 75--w3.snv.yahoo.com
216.115.102. 76--w4.snv.yahoo.com
216.115.102. 77--w5.snv.yahoo.com
216.115.102. 78--w6.snv.yahoo.com
216.115.102. 79--w7.snv.yahoo.com
216.115.102. 80--w8.snv.yahoo.com
216.115.102. 82--w10.snv.yahoo.com
Danh sách flood SYN/ACK port 80 không hoàn chỉnh bên trên có một vài cài để quan tâm .Các server được hợp lạI một cách thưa thớt Sự xuất hiện của nó cho biết rằng các hacker giỏI năng nổ cân nhắc kỹ khi lựa chọn địa chỉ IP cho thật hoàn hảo và đoán chừng chúng có thể kết nốI nhanh vớI web server để dùng vào việc tấn công ánh xạ .các server web 7 thuộc về yahoo.com thì rất hay sử dụng đến ,như là gary7.nsa.gov
Một lực lượng rộng lớn đã hỗ trợ thêm vào trận flood ACK và sử dụng nhiều server Internet hơn là router internet . Điều đó chứng minh rằng những hacker giỏI thì có nhận thức tốt về nhiều chức năng kết nốI của TCP-Sự chấp nhận server Internet có thể được sử dụng như là một gói server ánh xạ .Trước đó chúng tôi cần làm những việc khác hơn là chỉ đơn giản là block những gói đến từ BGP port 179.Tôi đã trình bày một biện pháp hiệu quả hơn để lý giảI phần nào về cuộc tấn công này .Trong phần thảo luận bên dướI ,sau khi phân tích về cuộc tấn công có thể xảy đến và hậu quả chúng gây ra
Khi chúng tôi “lọc” được cuộc tấn công ánh xạ ,chúng tôi ngay lập tức đưa chúng tôi (trang web)trở lạI Internet >mặc dù tôi không thể quan sát điều xãy ra sau cùng của cuộc tấn công đằng sau bộ lọc của chúng tôi . Điều đó thật là làm cho tôi ớn lạnh để chú thích rằng …..
Vào lúc cuộc tấn công kết thúc router Verio đã loạI bỏ nhiều hơn một tỷ gói SYN/ACK tinh vi (1,072,519,399)
Tôi đã nhận con số chính xác này từ Verio khi chúng tôi liên hệ vớI họ sau khi nhận thức rõ sai lầm lần thứ hai của tôi ,không phảii BGP, đợt sóng của cuộc tấn công .Tôi muốn cấu hình lại hệ thống phòng thủ của tôi để cân nhắc việc đặt chúng tôi vào trường hợp chúng tôi bị tấn công từ chối dịch vụ lần nữa thì tôi có thể thu thập được dữ liệu của cuộc tấn công
Sự ánh xạ trên cuộc tấn công ánh xạ
Xét từ tính hiển nhiên thu thập trong xuốt 1/11 cuộc tấn công ,và dấu hiệu khác của một số kẻ tấn công đến sau ,một vài nhóm hoặc nhiều nhóm tấn công ,có sự gia tăng về số lượng –chúng ta sẽ thấy bên dưới -một danh sách dài của những server Internet có băng thông rộng ,tương ứng với số port TCP.Nằm trong số hàng trăm router khác nhau với giao thức BGP(port 179) và nhiều server khác lắng nghe các kết nối trên các port chung như SSH ,Telnet,DNS,HTTPvà IRC
Xây dựng và duy trì danh sách “server ánh xạ “
Từ khi một vài server Internet công khai có khả năng dễ bị ảnh hưởng như”server ánh xạ”-một danh sách các server được tạo ra một cách dễ dàng ,phát triển và duy trì .Ví dụ ,thông thường lệnh “trace route “internet cung cấp địa chỉ IP của mọi router Internet giữa tracer và một vài địa chỉ từ xa –Ngay cả địa chỉ không tồn tại .Như chúng ta đã thấy , ở đây có nhiều cơ hội tốt để một router Internet dễ bị phơi bài ra BGP server một cách công khai ,và nó sẽ có nhiều kết nối băng thông cao .Một đoạn Script đơn giản có thể được sử dụng để thu thập số chuyên quyền lớn của các IP router Internet.Những nơi cho thuê web đồ sộ như yahoo.com thì có thể mua được một cách công khai .Quét port đơn thông qua vùng IP băng thông cao sẽ thu được hàng ngàn,nếu không là hàng triệu của những TCP server công khai .Một vài công cụ tìm kiếm Internet sẽ đưa ra hàng trăm ,hàng ngàn tên miền web site tiềm tàn
Một danh sách kết quả dài đồ sộ của “các server ánh xạ “ có thể rất rỏ ràng và được duy trì tiếp tục bởi một giá trị to lớn ,không có máy giả mạo SYN.Việ ctrả lờ SYN/ACK sẽ xác thực sự có mặt của máy tính và nó sẳn sàng để không có tình tham gia vào các cuộc tấn công ánh xạ trong tương lai
Sử dụng danh sách server ánh xạ
Nhiều host có khả năng “raw socket”(Unix,linuxvà windows 2000 và bây giờ là Windows XP) có thể thường được sử dụng như là bệ phóng cho sự phát sinh cụôc tấn công flood syn ánh xạ .Số host phát sinh SYN đòi hỏi để phát động một cuộc tấn công sẽ được xác định bởi tổng băng thông flood yêu cầu để có đủ khả năng để có thể chôn vùi máy chủ hoặc mạng
Điều khiển một danh sách dài của các server ánh xạ TCP không bị lỗi ,mỗi host giả mạo SYN “sprays”-các gói SYN đều vượt mọi server ánh xạ trên danh sách .Một gói SYN giả mạo sẽ vượt qua các server có port TCP mở ,với gói áhn xạ nhằm vào mạng của nạn nhân khi đã có ý tấn công
Kể từ lúc máy flood SYN là “Sprays “,những gói vượt qua con số khổng lồ của các server ánh xạ trung gian .Mỗi server ánh xạ sẽ trải qua một cấp độ thấp “SYN flux-luồng SYN”hơn là cấp độ cao flood SYN
Tại sao chúng tôi lo lắng?
Tại sao một cuộc tấn công ánh xạ cao thường có các host flood trực tiếp mạnh mẽ và tấn công nạn nhân cuả họ ?
Sự khuyếch tán đường dẫn gói
Một thắng lợi lớn cho những kẻ tấn công là mức độ cực độ của “sự khuyếch tán đường dẫn gói –Packet path diffusion”Khi lưu lượng tấn công có thể vượt ra quá một sồ giới hạn của các server TCP trung gian .Lược đồ sau sẽ miêu tả đường dẫn của lưu lượng thông tin giữa kẻ tấn công và nạn nhân :
bmuht_fig.95954_5b0b6b156343c7a1391121f48002a636/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptth
Từ khi các router Intetnet không thể giữ lại đường đi của các gói trước đây ,những gói đã “rút lui”từ máy của nạn nhân quay trở lại với máy của những kẻ tấn công ,dựa vào tính tiện lợi của các gói flood “upstream-ngược dòng “thông thường từ một router trở ngược lại một router trước
Khuyếch tán đường dẫn:
Trong một hình thể vững chắc và sự lưu thông gói tin mạnh mẽ, đường dẫn gói rút lui một cách khó khăn và phương pháp thực hiện rất tốn thời gian .Vì thế ,hãy tưởng tượng rằng chuyện gì sẽ xảy ra khi một số lương lớn các gói thuộc các server ánh xạ có mặt khắp mọi nơi kể cả hệ thống
[img]http:/bmuht_fig.95954_05601b336fe44883ee4c74e165cad9d1/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptth/> Đây là lược đồ giải thích đường đi của lưu lượng thông tin ,sự thêm vào các server ánh xạ vô hại về thực chất đã thay đổi hoàn toàn bản chất của cuộc tấn công .Chống lại một máy tấn công ,những gói SYN tinh vi ngay lập tức bị đánh bật ra ngoài .Không đủ thời gian để ngắm vào nạn nhân ,những gói tấn công đáng ra đựoc gởi cho các TCP server ở xa .Như chúng ta đã biết ,các server có khả năng xác định vị trí ở khắp nơi trên mạng .Chỉ một vài “router hops”thì vượt ra ngoài tầm của những kẻ tấn công ,những luồng thông tin mạnh mẽ sẽ không đủ mạnh để tới các server đó bởi vì các server này có một mối quan hệ chặc chẽ với các server khác bên cạnh hơn là theo sau một đường dẫn đơn
Vị trí tại điểm kết thúc thì luôn có sự biến đổi quan trọng hơn là bắt đầu công kích bởi những luồng thông tin riêng lẻ .Từ mỗi một máy tấn cộng ,nạn nhân bây giờ đang phải hứng chịu hàng trăm ,hàng ngàn ,thậm chí hàng triệu cuộc tấn công làm tràn SYN/ACK .Mặc dù những luồng thông tin được phát ra một cách riêng biệt và không gậy hại cho nạn nhân (chỉ có mỗi một sự vô hại từ server ánh xạ riêng biệt ),sự hội tụ các gói đến từ khắp nơi thông xuốt khắp nơi trong mạng Internet sẽ tạo ra một cuộc tấn công sẽ nhận chìm nạn nhân trong trận flood
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")