Đợt rồi tết có mấy ngày nhàn rỗi nên tôi vô tình nghĩ ra và đã viết 1 công cụ tự động khai thác điểm yếu trong các ứng dụng trên Internet. Khi dùng 01 máy tính tấn công vào các web site nhỏ và vừa (ước lượng có cỡ 10 máy chủ trở xuống) thì tất cả đều không chống được. Tôi chợt nhớ ra VN có 1 nhóm hacker là hva nên thử trên server của hva, và server hva cũng k0 tránh khỏi. Vào lúc 17:10 giờ HN, tôi sẽ thử tiếp 1 lần nữa (kéo dài tối đa 5p). Mời các bạn quan sát và bình luận về vấn đề an ninh này.  

Tôi dùng 1 máy khác máy đang dùng để test. Hơn nữa cuộc tấn công này ứng dụng web không nhận biết được, nên script hva dùng để chặn k0 cho truy cập liên tiếp k0 có tác dụng. Cái script này đặt ngưỡng thấp quá, mới click mấy cái đã kêu người dùng click nhanh hơn tốc độ anh sáng rồi. Lúc 18:00 tôi sẽ test thêm 5 phút nữa cho các admin quan sát rồi đi ăn tối. Nếu có thể thì gửi các CPU, RAM, traffic, ... graphs lên để mọi người tham khảo. PS: Hi vọng hình thức test này k0 bị phản đối. 

Khá lý thú. Không biết log của iptables và snort trong tình huống này như thế nào. Nếu được, bác conmale post lên 1 mớ log tcpdump lúc đang thử nghiệm thì quá tuyệt.  

@antidos: Theo như title thì đây là lỗi của TCP/TP, nhưng sao bạn lại viết "điểm yếu trong các ứng dụng trên internet" ? TCP/IP là thuộc về giao thức, Apache là thuộc về ứng dụng. Nếu bạn muốn nói là điểm yếu của TCP/IP thì có liên quan đến three ways handshake? Sự gởi và nhận SYN/ACK? 

Cách tấn công này là DOS nhưng nguy hiểm hơn các cách DOS nhảm nhí vì nó có thể được dùng để shutdown hoàn toàn các dịch vụ dựa trên TCP. Người dùng sẽ không có cơ may nào dù nhỏ nhất để có thể kết nối được vào máy chủ, thế nên nếu tấn công vào ssh thì sẽ trở thành 1 thảm hoạ với các máy chủ đặt ở data center. Không hiểu hva host ở nhà hay ở data center. Những site nhỏ như hva thì có thể shutdown bằng 1 máy từ xa, nếu sở hữu trong tay 1 bot net loại nhỏ thì vấn đề trở nên đáng ngại hơn nhiều.  

@antidos: Như vậy, theo lời bạn nói. Có lẽ firewall của HVA chưa tính đến trường hợp gặp gói tin "quái" như của bạn nên bị lọt qua và từ chối dịch vụ. Bác conmale có thể sẽ thêm rule vào là được. Dù sao cũng cám ơn bạn cho biết chỗ thiếu sót. @nguyenvanhack: Vui lòng không chat chit trong box kỹ thuật. 

Trong tình huống các packet-filtering như iptables (firewall) hay snort (IDS), ossec chặn các packet "có dấu hiệu lạ" từ các máy xuất phát (blocked), thì sẽ như thế nào? Bạn đã test thử chưa? 

LeVuHoang wrote:

Trong tình huống các packet-filtering như iptables (firewall) hay snort (IDS), ossec chặn các packet "có dấu hiệu lạ" từ các máy xuất phát (blocked), thì sẽ như thế nào? Bạn đã test thử chưa? 

Như đã nói, iptables có thể dùng để hạn chế đáng kể tác động, nhưng iptables không thì không giải quyết được. Tôi không làm trong lĩnh vực bảo mật nên mới chỉ nghe nói đến IDS/IPS chứ chưa động vào lần nào, nên ko có điều kiện để test. Nhưng về căn bản, tôi đoán là IPS nếu cấu hình tối ưu thì sẽ chống được. Có 1 điều khó là cuộc tấn công này có thể qua proxy, nhất là các proxy của VDC, nên nếu chặn theo đ/c IP thì sẽ chặn luôn tất cả người dùng sử dụng VDC.  

- Thông báo: Để đối phó tạm thời với "Điểm yếu TCP" website của HIV đã được change sang dùng UDP. 

E hèm.... bồ antidos thử cái gì mà lựa lúc tớ đi ngủ mà thử thì kẹt quá. Tớ chẳng biết chuyện gì xảy ra cả. :P  

Nãy giờ ngồi kiểm tra tình hình (logs, stats...) mà vẫn chưa thấy có gì lạ.  

Nếu bồ dùng nhiều máy và đồng loạt dùng HostTracker để "query" tình trạng của HVA khiến cho mấy chục host đồng loạt "flood" HVA thì chính các host đó sẽ bị timeout mà thôi. Bồ không thể dùng chúng để thử nghiệm một cách chính xác được.  

conmale wrote:

E hèm.... bồ antidos thử cái gì mà lựa lúc tớ đi ngủ mà thử thì kẹt quá. Tớ chẳng biết chuyện gì xảy ra cả. :P  

Trong ngày hôm qua tôi thử tấn công dịch vụ web hva khoảng 6 lần. Do không muốn ảnh hưởng đến việc truy cập của người dùng nên tôi không kéo dài lâu, mỗi lần chỉ cỡ 5 phút. Lần đầu hình như bắt đầu 14:50, lúc đó đang thử vài site khác nhau. Lần cuối còn dùng 1 hệ thống monitor của 3rd party để theo dõi cho rõ ràng.

conmale wrote:

Nãy giờ ngồi kiểm tra tình hình (logs, stats...) mà vẫn chưa thấy có gì lạ.  

Thử công bố stat xem sao, VD biểu đồ lưu lượng mạng. Log thì không hi vọng có, vì tuy tấn công vào cổng 80 nhưng k0 cấu thành 1 HTTP request, web server k0 biết được. Cuộc tấn công này gửi rất ít gói tin, và các traffic bình thường cũng k0 truy cập được nên lưu lượng mạng tại thời điểm tấn công sẽ là cực kỳ thấp.  

conmale wrote:

Nếu bồ dùng nhiều máy và đồng loạt dùng HostTracker để "query" tình trạng của HVA khiến cho mấy chục host đồng loạt "flood" HVA thì chính các host đó sẽ bị timeout mà thôi. Bồ không thể dùng chúng để thử nghiệm một cách chính xác được.  

Mấy chục host cùng truy cập khi bình thường vẫn thành công 100% mà (xem link 1) Nói chung tôi thấy rõ là admin có trách nhiệm thì lại coi thường vấn đề, nên tôi cũng k0 show ra nữa. Lý do tôi không công bố rộng rãi vì nó quá nguy hiểm. Các web site hiện nay không sẵn sàng để chống đỡ. Bằng chứng thì xem tạm trên HostTracker 

Bác conmale thử check log tại chính xác thời điểm này xem sao : 06/02 19:33:22 (giờ vn, tức là +0700 nhé) Boom thấy ghi trên hosttracker như vậy, có vẻ khá hợp với thời gian gửi bài của antidos - 06/02/2009 19:39:31 (+0700)  

boom_jt wrote:

Bác conmale thử check log tại chính xác thời điểm này xem sao : 06/02 19:33:22 (giờ vn, tức là +0700 nhé) Boom thấy ghi trên hosttracker như vậy, có vẻ khá hợp với thời gian gửi bài của antidos - 06/02/2009 19:39:31 (+0700)  

Hì hì, có. Chỉ thấy hàng lô hàng lốc requests đi từ nhiều IP khác nhau nhưng đều có referer là host-tracker. Có lẽ có một nhóm người có nhiều máy chia nhau liên tục dùng host-tracker để "track" HVA hay sao đó. 

conmale wrote:

boom_jt wrote:

Bác conmale thử check log tại chính xác thời điểm này xem sao : 06/02 19:33:22 (giờ vn, tức là +0700 nhé) Boom thấy ghi trên hosttracker như vậy, có vẻ khá hợp với thời gian gửi bài của antidos - 06/02/2009 19:39:31 (+0700)  

Hì hì, có. Chỉ thấy hàng lô hàng lốc requests đi từ nhiều IP khác nhau nhưng đều có referer là host-tracker. Có lẽ có một nhóm người có nhiều máy chia nhau liên tục dùng host-tracker để "track" HVA hay sao đó. 

Điều này rất dễ hiểu, vì sau khi xem kết quả trên host-tracker, chắc chắn sẽ có nhiều người muốn lặp lại thí nghiệm để kiểm chứng. Bản thân tôi cũng thử vài lần trước khi công bố. Và host-tracker mỗi lần test đều gửi 30+ yêu cầu từ các máy ở nhiều nơi khác nhau, diễn ra trong khoảng 3p. Mặc khác tôi đăng ký dịch vụ 30 day trial để monitor hàng phút, nên host-tracker vẫn đều đặn kiểm tra độ sẵn sàng của hva. Tuy nhiên mật độ request của host-tracker là rất thấp, nếu vì thế mà web server chết thì hẳn là server dùng phần cứng của 20 năm trước :D Tôi cũng vừa đọc về sockstress, khá thú vị, vì trong bước đầu thử nghiệm phần mềm tấn công của tôi, tôi cũng đạt được các hiệu ứng giống hệt như các mô tả của sockstress, tuy nhiên sockstress tạo rất nhiều connection nên module recent của iptables có thể chặn được, còn cuộc tấn công của tôi hiệu quả hơn ngay cả khi nạn nhân dùng ipt_recent.ko. Tôi đoán rằng 1 site như hva thì connlimit và recent là 2 thứ đương nhiên phải triển khai, nhưng rất tiếc cuộc tấn công của tôi được thiết kế để qua mặt 2 hình thức bảo vệ này. Mặt khác bản cài đặt của tôi cũng an toàn hơn, cho phép huỷ cuộc tấn công để mọi người có thể truy cập lại được như cũ. Hình như tác giả sockstress còn úp mở ghê hơn, cũng k0 công bố chi tiết cuộc tấn công. Nếu trên mạng chưa có bản cài đặt nào của sockstress thì tôi sẽ làm thử 1 bản cài đặt và công bố cho vui.  

Tôi cũng vừa đọc về sockstress, khá thú vị, vì trong bước đầu thử nghiệm phần mềm tấn công của tôi, tôi cũng đạt được các hiệu ứng giống hệt như các mô tả của sockstress, tuy nhiên sockstress tạo rất nhiều connection nên module recent của iptables có thể chặn được, còn cuộc tấn công của tôi hiệu quả hơn ngay cả khi nạn nhân dùng ipt_recent.ko. Tôi đoán rằng 1 site như hva thì connlimit và recent là 2 thứ đương nhiên phải triển khai, nhưng rất tiếc cuộc tấn công của tôi được thiết kế để qua mặt 2 hình thức bảo vệ này. Mặt khác bản cài đặt của tôi cũng an toàn hơn, cho phép huỷ cuộc tấn công để mọi người có thể truy cập lại được như cũ.  

nguyenvanhack wrote:

- Thông báo: Để đối phó tạm thời với "Điểm yếu TCP" website của HIV đã được change sang dùng UDP. 

Tôi cảnh cáo bạn vì phát biểu trên. 

@nguyenvanhack: IDS, không phải IPS :D. Việc ngăn chặn có thể theo nhiều cách. Hoặc là block IP, hoặc đưa gói tin vào /dev/null. Như vậy những packet không hợp lệ sẽ bị drop và các máy hợp lệ nằm trong cùng 1 proxy vẫn truy cập được như bình thường. 

Mới bị Viettel cúp net nên hơi tiết, ko theo dõi được trận này. :D Tuy nhiên, sao bồ antidos cứ úp úp mở mở mãi, Tui chưa thấy tinh thần THẢO LUẬN của bồ khi mở topic này. :| Tốt hơn, nếu đã chia sẻ thì hãy chia sẻ cho hết, đừng lưng lửng như thế, chả đi đến đâu.  

Mới bị Viettel cúp net nên hơi tiết, ko theo dõi được trận này. :D Tuy nhiên, sao bồ antidos cứ úp úp mở mở mãi, Tui chưa thấy tinh thần THẢO LUẬN của bồ khi mở topic này. :| Tốt hơn, nếu đã chia sẻ thì hãy chia sẻ cho hết, đừng lưng lửng như thế, chả đi đến đâu.  

Chẳng có gì để "tiết" đâu. Tôi đợi mấy giờ mà có thấy bạn antidos làm gì đâu mà "tiết". Điểm yếu TCP (IPv4) thì đến nay cả thế giới đã rõ chớ đâu phải đợi đến lúc bạn antidos khám phá ra đâu :P  

10:36:43 2.34 sec 72.232.199.28/Ok 72811 

10:39:37 0.08 sec 72.232.199.28/Http error:400 2194 

10:45:50 3.41 sec 72.232.199.28/Ok 260 <HTML><HEAD><META HTTP-EQUIV="REFRESH" CONTENT="0;URL=/hvaonline/forums/list.html"></HEAD><BODY> </BODY></HTML>

]]> /hvaonline/posts/list/27563.html#168698 /hvaonline/posts/list/27563.html#168698 GMT /hvaonline/posts/list/27563.html#168699 /hvaonline/posts/list/27563.html#168699 GMT

LeVuHoang wrote:

Có lẽ bạn mới vào nên chưa rõ cách hành xử của mọi người trong HVA. Tại đây được coi như bình đẳng, và hoàn toàn không có thái độ "COI THƯỜNG" và càng không "THÙ ĐỊCH". Nếu có thể, bạn khiến server không thể truy cập được trong vài ngày sẽ thuyết phục hơn.  

Thú thật mà nói là phần mềm của tôi hiện nay viết bị lỗi gì đó chạy được trên 5p ít lâu là treo k0 rõ nguyên nhân :^) Nhưng tôi cũng k0 muốn sửa vì thế là đủ mục đích demo rồi. Hơn nữa nhỡ code lọt vào tay kẻ xấu thì tác hại cũng giảm nhiều. Còn thái độ COI THƯỜNG -> THÙ ĐỊCH -> ... tôi cảm nhận được là sự kiện thực tế đã diễn ra. Nó có thể nặng tính chủ quan của cá nhân tôi, nhưng nó là sự thật. Tôi có quote 1 số dạng phát biểu cụ thể đem lại cảm giác tiêu cực cho tôi ở trên.]]> /hvaonline/posts/list/27563.html#168700 /hvaonline/posts/list/27563.html#168700 GMT

antidos wrote:

LeVuHoang wrote:

Có lẽ bạn mới vào nên chưa rõ cách hành xử của mọi người trong HVA. Tại đây được coi như bình đẳng, và hoàn toàn không có thái độ "COI THƯỜNG" và càng không "THÙ ĐỊCH". Nếu có thể, bạn khiến server không thể truy cập được trong vài ngày sẽ thuyết phục hơn.  

Thú thật mà nói là phần mềm của tôi hiện nay viết bị lỗi gì đó chạy được trên 5p ít lâu là treo k0 rõ nguyên nhân :^) Nhưng tôi cũng k0 muốn sửa vì thế là đủ mục đích demo rồi. Hơn nữa nhỡ code lọt vào tay kẻ xấu thì tác hại cũng giảm nhiều.  

Thất vọng quá, tưởng được coi hva treo vài ngày chứ :-( Nếu phần mềm mà chỉ DOS được tối đa 5 phút thì chắc cũng không mấy nguy hiểm đâu nhỉ. Vả lại thời với thời gian ngắn như vậy ai có thể ngồi đó mà canh sẵn để coi mà bạn demo, như vậy mất đi sự thuyết phục. Bạn thử cố gắng phát triển thêm đi rồi lên lại demo :^) ]]> /hvaonline/posts/list/27563.html#168701 /hvaonline/posts/list/27563.html#168701 GMT /hvaonline/posts/list/27563.html#168711 /hvaonline/posts/list/27563.html#168711 GMT

antidos wrote:

conmale wrote:

Chẳng có gì để "tiết" đâu. Tôi đợi mấy giờ mà có thấy bạn antidos làm gì đâu mà "tiết". Điểm yếu TCP (IPv4) thì đến nay cả thế giới đã rõ chớ đâu phải đợi đến lúc bạn antidos khám phá ra đâu :P  

Xin lỗi thứ 7 tôi bận nhiều việc như nghỉ ngơi, làm vườn, đi chơi, nên giờ mới trả lời đc. Ở site này, khách lạ (tôi) được chứng kiến sự thay đổi thái độ rất nhanh, đầu tiên là COI THƯỜNG rồi chuyển sang THÙ ĐỊCH rồi hiện nay còn chuyển sang gì khác nữa. Đầu tiên tôi cảnh báo rồi tấn công nhiều lần, nhưng admin không coi ra gì, cũng k0 tìm hiểu hay tăng cường bảo mật. Đấy là sự coi thường. Sau đó tôi dùng công cụ độc lập để http://host-tracker.com/event_list/?show_all=true&task_id=2261394&cnt=100, ghi lại được 3 lần hva bị fail. Khi công bố bằng chứng rõ ràng này thì không khí trở thành THÙ ĐỊCH. Mọi người bắt đầu denounce, kiểu: "cái này có quái gì đâu", "úp mở thấy ghét", "cái này ai cũng biết hết rồi", "lúc đó đang ngủ với cua gái, làm sao mà log", thậm chí "host-tracker sai, host-tracker bị chặn chứ có thấy tấn công gì đâu mà bốc phét" Xin lỗi tôi đang gõ dở nhưng buồn ngủ quá, để lần sau quay lại tiếp tục câu chuyện với các bạn. 

Tôi thấy bồ antidos hơi nhạy cảm và hơi vòng vo. Bồ tuyên bố là bồ đã tấn công HVA và làm cho nó bị tê liệt ngay lúc tôi đang ngủ khò và ngày hôm sau, khi tôi đọc tiếp chủ đề này, tôi đã dành thời gian kiểm tra servers của HVA và không thấy gì bất thường, tôi mới đề nghị bồ tấn công lại để tôi tiện theo dõi và phân tích nhưng bồ lại viện cớ rằng bồ bận rộn. Bồ cảm nhận thế nào thì tùy bồ nhưng tránh vòng vo và tránh né những câu hỏi trực tiếp. Với trách nhiệm bảo trì máy chủ HVA, một số anh em và cá nhân tôi không hề xem thường bất cứ hiện tượng nào mang tính nguy hại hoặc tạo gián đoạn đến HVA. Tôi không cần phải chứng minh với bồ tôi quan tâm sâu sát đến vấn đề bảo mật của HVA như thế nào. Bồ chỉ cần biết rằng mọi hiện tượng, mọi hoạt động, mọi diễn tiến trên hệ thống servers của HVA đều được theo dõi, phân tích và ghi nhận đều đặn mỗi tuần 2 lần. Tôi không bao giờ muốn HVA làm vật thử nghiệm cho ai cả nhưng tôi không có lựa chọn nào khác là phải chấp nhận "bị" thử nghiệm. Tôi xác định rõ ràng như thế để bồ biết quan điểm của cá nhân tôi về sự vụ này. Bồ có quyền không tiết lộ bồ làm gì nhưng cũng không nên tiếp tục mập mờ để rồi quay ngược lại mà trách móc về cảm giác bị coi thường hay thù địch gì đó.]]> /hvaonline/posts/list/27563.html#168714 /hvaonline/posts/list/27563.html#168714 GMT /hvaonline/posts/list/27563.html#168718 /hvaonline/posts/list/27563.html#168718 GMT

hizit91 wrote:

wa!!! một cuộc chiến trên cả lĩnh vực công nghệ lẫn con người :) Thú vị quá, tiếp tục theo dõi nào, mình ở trung lập có vẻ thú vị hơn :) 

Cuộc chiến? Có cuộc chiến nào đâu?]]> /hvaonline/posts/list/27563.html#168719 /hvaonline/posts/list/27563.html#168719 GMT

conmale wrote:

Bồ tuyên bố là bồ đã tấn công HVA và làm cho nó bị tê liệt ngay lúc tôi đang ngủ khò và ngày hôm sau, khi tôi đọc tiếp chủ đề này, tôi đã dành thời gian kiểm tra servers của HVA và không thấy gì bất thường, tôi mới đề nghị bồ tấn công lại để tôi tiện theo dõi và phân tích nhưng bồ lại viện cớ rằng bồ bận rộn.  

Tôi mở chủ đề này lúc 06/02/2009 17:10:13 (+0700). Trước đó tôi đã thực hiện xong việc tấn công vài lần để kiểm tra chắc chắn độ hiệu quả. Trong suốt vài tiếng sau đó, tôi và anh conmale đã có trao đổi vài bài viết, bài viết cuối anh conmale đi ngủ lúc 06/02/2009 18:48:22 (+0700) tức là sau đó gần 2 tiếng. Trong 2 tiếng đó tôi nhớ đã thực hiện tấn công 2 lần nữa theo đúng giờ đã cảnh báo trong bài viết (17:10 và 18:00) Vậy mà từ đầu đến giờ anh conmale cứ khăng khăng là tôi làm site tê liệt lúc anh đang ngủ khò. Điều này không quá lạ với tôi vì tôi biết cuộc tấn công này có đặc điểm: + Tác động chính là dịch vụ dựa trên TCP bị khoá sau thời gian ngắn (tính bằng giây) + Rất trong suốt, khó phát hiện, hoàn toàn đúng đắn với firewall + Sử dụng ít băng thông, chắc trung bình chỉ đếm bằng KB/s + Không bao giờ làm tăng CPU usage + Có thể làm tăng RAM usage + Có thể không tác động đến load

conmale wrote:

Bồ có quyền không tiết lộ bồ làm gì nhưng cũng không nên tiếp tục mập mờ để rồi quay ngược lại mà trách móc về cảm giác bị coi thường hay thù địch gì đó. 

Đúng là tôi chưa có dự định gì về việc công bố vấn đề này. Ngay cả các nhân viên hay cộng sự cũng chưa được tự tay chạy PM, mà chỉ đc xem tôi chạy demo. Tôi đã thử tác động của phương pháp này trên rất nhiều site nên tôi không nghi ngờ về tác động của nó. Vấn đề tôi muốn tìm kiếm ở hva là liệu 1 site được vũ trang tốt có khả năng tự động log và chỉ ra phương pháp tấn công và phòng chống không. Và tôi đã sớm có câu trả lời là "không". Đây không phải rocket science nên nếu các anh pcap được toàn bộ nội dung gói tin thì chắc các anh sẽ biết được điều gì xảy ra. Tôi không sợ lộ "bí mật" này, nhưng tôi cũng chưa sẵn sàng để công bố nó, vì thế sau khi cung cấp bằng chứng thông qua host-tracker thì tôi chưa hề nói mình định demo thêm 1 lần nữa trên site này. Các anh tự áp đặt quan điểm và nói tôi vòng vo là không đúng. Giờ nếu có thể thì tôi muốn admin công bố cái nhìn bên trong của 1 site được vũ trang tốt về cuộc tất công này: + Server load + RAM usage + Network usage + Các chỉ số khác nếu có Vì cuộc tấn công chỉ diễn ra mỗi lần 5-7 phút nên nếu các anh dùng các công cụ log RRD và không lưu log chi tiết trong 1 thời gian dài thì coi như là ta không có tẹo log nào, thật đáng tiếc.]]> /hvaonline/posts/list/27563.html#168722 /hvaonline/posts/list/27563.html#168722 GMT

antidos wrote:

conmale wrote:

Bồ tuyên bố là bồ đã tấn công HVA và làm cho nó bị tê liệt ngay lúc tôi đang ngủ khò và ngày hôm sau, khi tôi đọc tiếp chủ đề này, tôi đã dành thời gian kiểm tra servers của HVA và không thấy gì bất thường, tôi mới đề nghị bồ tấn công lại để tôi tiện theo dõi và phân tích nhưng bồ lại viện cớ rằng bồ bận rộn.  

Tôi mở chủ đề này lúc 06/02/2009 17:10:13 (+0700). Trước đó tôi đã thực hiện xong việc tấn công vài lần để kiểm tra chắc chắn độ hiệu quả. Trong suốt vài tiếng sau đó, tôi và anh conmale đã có trao đổi vài bài viết, bài viết cuối anh conmale đi ngủ lúc 06/02/2009 18:48:22 (+0700) tức là sau đó gần 2 tiếng. Trong 2 tiếng đó tôi nhớ đã thực hiện tấn công 2 lần nữa theo đúng giờ đã cảnh báo trong bài viết (17:10 và 18:00) Vậy mà từ đầu đến giờ anh conmale cứ khăng khăng là tôi làm site tê liệt lúc anh đang ngủ khò. Điều này không quá lạ với tôi vì tôi biết cuộc tấn công này có đặc điểm: + Tác động chính là dịch vụ dựa trên TCP bị khoá sau thời gian ngắn (tính bằng giây) + Rất trong suốt, khó phát hiện, hoàn toàn đúng đắn với firewall + Sử dụng ít băng thông, chắc trung bình chỉ đếm bằng KB/s + Không bao giờ làm tăng CPU usage + Có thể làm tăng RAM usage + Có thể không tác động đến load  

Bồ antidos thiếu chính xác rồi. Tôi chưa hề bảo rằng bồ làm "tê liệt" HVA bao giờ cả. Tôi chỉ bảo bồ đã tấn công HVA lúc tôi đi ngủ. Chưa hề có một dấu hiệu nào cho thấy HVA bị tê liệt từ lần cuối server được restart cách đây đúng 42 ngày (khi tôi update kernel mới). Bồ mở chủ đề ngày 6/2/2009 lúc 5 giờ 10 phút chiều giờ VN. Lúc ấy đã là 9 giờ 10 phút tối ở Sydney. Sau đó, lúc 5 giờ 36 phút giờ VN tôi mới vào chủ đề này và thấy bài của bồ nên mới trả lời. Ngay thời điểm ấy, tôi chưa hề kiểm tra HVA hoặc chưa hề thấy có dấu hiệu gì thất thường cả. Lúc 5 giờ 45 chiều giờ VN, bồ lại hồi báo nhưng bồ không hề bảo bồ có đang test cái gì hay không. Trong bài viết số #3 này, bồ đề cập đến chuyện "Cái script này đặt ngưỡng thấp quá, mới click mấy cái đã kêu người dùng click nhanh hơn tốc độ anh sáng rồi. " khiến tôi phì cười nên cũng không buồn theo dõi HVA làm gì. Lý do tại sao tôi phì cười thì bồ tự suy luận để mà hiểu. Tuy vậy, khoảng 1 giờ đồng hồ sau, lúc 10 giờ 48 giờ Sydney, có nghĩa là 8 giờ 48 phút giờ VN, tôi cũng hồi báo một bài nữa (bài số #4) nhằm mục đích nhắc khéo với bồ rằng cái thông điệp "nhanh hơn tốc độ ánh sáng" chỉ là "một mảng trên cùng của cơ chế bảo vệ" và tôi vẫn chưa hề theo dõi tình trạng máy chủ trên HVA. Sau đó tôi tắt máy đi ngủ vì đã gần 11 giờ đêm ở Sydney. Mãi đến ngày hôm sau tôi mới tiếp tục tham gia và trong khoảng thời gian ấy bồ antidos thảo luận đủ thứ chuyện với các member khác. Ở post số #25 tôi mới bảo rằng trong suốt thời gian tôi đi ngủ, bồ làm cái gì thì tôi chẳng biết nhưng sau khi kiểm tra logs và stats thì tôi chẳng thấy có gì khác lạ cả. Tôi còn đề nghị bồ test lại để tôi theo dõi nhưng từ đó về sau, bồ chỉ đưa đẩy, viện lý do này, lý do khác. Ngày hôm qua, sau khi post bài số #29, tôi một lần nữa đề nghị bồ test và tôi ngồi chờ cả buổi mà chẳng thấy có gì ngoài hàng tràn request có referer đi từ "hosttracker". Sau đó tôi để máy đó và đi ăn giỗ. Mãi đến khuya (giờ Sydney) tôi mới về. Các console tôi dùng để theo dõi HVA từ buổi chiều đến khi ấy vẫn còn đó và chẳng có thông tin gì đặc biệt ngoài cả đống request có referer đi từ "hosttracker". Hôm nay, bồ tiếp tục đòi "stats" và tôi cho biết chẳng có gì khác lạ cả. Stats vẫn không có spike hay cái gì khác thường chẳng có gì để cung cấp cho bồ. Vả lại, tôi đề nghị bồ test để tôi theo dõi thì bồ lại im lặng không trả lời. Sau đó lại vào đòi stats là sao? Câu chuyện chuyển hướng sang chỗ đả kích và cảm tưởng bị thế này, thế kia. Cho đến ngay lúc này, bồ vẫn chưa đồng ý test để tôi theo dõi và vẫn tiếp tục vòng vo. Cho đến lúc này, ngoài cái mới requests có referers từ "hosttracker" ra, chẳng có thông tin gì gọi là đặc biệt. Ngay cả trên tcpdump (ở tầng thấp nhất) cũng chẳng có dấu hiệu gì khác thường. Nếu bồ bảo rằng bồ có thể craft packets đặc biệt đến nỗi tcpdump không sniff được thì tôi đành bó tay vậy.

antidos wrote:

conmale wrote:

Bồ có quyền không tiết lộ bồ làm gì nhưng cũng không nên tiếp tục mập mờ để rồi quay ngược lại mà trách móc về cảm giác bị coi thường hay thù địch gì đó. 

Đúng là tôi chưa có dự định gì về việc công bố vấn đề này. Ngay cả các nhân viên hay cộng sự cũng chưa được tự tay chạy PM, mà chỉ đc xem tôi chạy demo. Tôi đã thử tác động của phương pháp này trên rất nhiều site nên tôi không nghi ngờ về tác động của nó. Vấn đề tôi muốn tìm kiếm ở hva là liệu 1 site được vũ trang tốt có khả năng tự động log và chỉ ra phương pháp tấn công và phòng chống không. Và tôi đã sớm có câu trả lời là "không". Đây không phải rocket science nên nếu các anh pcap được toàn bộ nội dung gói tin thì chắc các anh sẽ biết được điều gì xảy ra. Tôi không sợ lộ "bí mật" này, nhưng tôi cũng chưa sẵn sàng để công bố nó, vì thế sau khi cung cấp bằng chứng thông qua host-tracker thì tôi chưa hề nói mình định demo thêm 1 lần nữa trên site này. Các anh tự áp đặt quan điểm và nói tôi vòng vo là không đúng.  

Hì hì. Bồ đề cao HVA quá. HVA chỉ là một forum và nó khác hơn các forum thông thường ở chỗ nó có được hai nhánh servers khác nhau và được quan tâm về bảo mật nhiều hơn bình thường một tí. Bồ đòi hỏi "liệu 1 site được vũ trang tốt có khả năng tự động log và chỉ ra phương pháp tấn công và phòng chống không" là hơi quá đà với một site như HVA rồi đấy. HVA không phải là một nhóm thương mại, lắm tiền nhiều của mà chỉ là một vài anh em móc tiền túi ra để duy trì nó thôi. Đừng so HVA với những cty thương mại có nhiều tiền của và phương tiện. Riêng cái chuyện bí mật gì đó thì tôi chẳng muốn biết và cũng chẳng cần biết. Tôi chỉ quan tâm đến một chuyện là bồ tấn công HVA thế nào và tôi có thể làm gì để ngăn chặn (y hệt như tôi đã và đang làm từ những nguồn tấn công khác). Cho đến lúc này, vẫn chẳng có một dấu hiệu gì từ phía server cho thấy bồ đã tấn công và làm tê liệt HVA cả. Bồ có muốn kết luận thế nào là tùy bồ. HVA có tê liệt hay không thì không chỉ có tôi dựa trên bằng chứng có được trên server logs và stats mà còn cả khối member ra vào HVA thường xuyên có thể xác thực điều ấy.

antidos wrote:

Giờ nếu có thể thì tôi muốn admin công bố cái nhìn bên trong của 1 site được vũ trang tốt về cuộc tất công này: + Server load + RAM usage + Network usage + Các chỉ số khác nếu có Vì cuộc tấn công chỉ diễn ra mỗi lần 5-7 phút nên nếu các anh dùng các công cụ log RRD và không lưu log chi tiết trong 1 thời gian dài thì coi như là ta không có tẹo log nào, thật đáng tiếc. 

Rất tiếc, tôi chẳng bao giờ công bố tài nguyên của HVA cả và bồ cũng không phải là một ngoại lệ để tôi công bố những thứ này. Một lần cuối, nếu bồ thật sự muốn tôi theo dõi và phân tích bồ tấn công thế nào, dù chỉ là 5, 7 phút, vui lòng hẹn giờ và thực hiện điều này. Nếu không, tôi xin miễn tiếp tục trao đổi. Cám ơn.]]> /hvaonline/posts/list/27563.html#168729 /hvaonline/posts/list/27563.html#168729 GMT bạn không truy cập được HVA trong vài ba phút nên bạn [i]kết luận rằng HVA "tê liệt" do bạn tấn công[/B]? Cái test của bạn quá thiếu cơ sở! Thứ nhất: vài phút không truy cập được HVA thì chưa nói lên được điều gì cụ thể (vì có rất nhiều nguyên nhân). Hơn nữa, nếu mà HVA "tê liệt" theo đúng nghĩa đen của nó (dù chỉ mấy phút thôi) thì bạn nghĩ coi mấy ngàn member của HVA lại "im re" thế à? Thứ hai: server của HVA được monitor thường xuyên bởi các công cụ khác nhau. Và mấy bữa này, các công cụ monitor đó chưa hề alert là HVA bị "lê liệt". Thứ ba: trong topic này có đủ cả mem, mod, admin mà từ đầu đến giờ chỉ có mình bạn nói HVA bị "tê liệt", chứ ngoài ra còn có ai khác thấy gì đâu? --> bạn nên xem lại những dữ kiện của mình chứ sao lại quay đi nói là "hva khinh thường" bạn nhỉ?]]> /hvaonline/posts/list/27563.html#168731 /hvaonline/posts/list/27563.html#168731 GMT /hvaonline/posts/list/27563.html#168733 /hvaonline/posts/list/27563.html#168733 GMT /hvaonline/posts/list/27563.html#168734 /hvaonline/posts/list/27563.html#168734 GMT

antidos wrote:

Tôi bị choáng khi một số người cố tình phủ nhận kết quả của host-tracker. Các bạn nghĩ 2 máy tính của các bạn bất khả xâm phạm đến như vậy sao :) Để khách quan, các bạn tìm giúp các công cụ monitor web độc lập để xác nhận availability của dịch vụ web vậy. Tiêu chí nên có: + Miễn phí + Có thể share kết quả cho mọi người cùng xem + Truy cập đến dịch vụ từ nhiều điểm khác nhau 

Tôi chỉ nói 1 câu ngắn gọn thế này: HVA muốn "trả lời" host-tracker thế nào thì host-tracker chỉ có thể ghi nhận thế ấy. - HVA muốn cho host-tracker thấy là HVA is not contactible thì host-tracker sẽ ghi nhận như thế. - HVA muốn cho host-tracker thấy là "access to HVA is forbidden" thì host-tracker sẽ ghi nhận như thế. - HVA muốn cho host-tracker nhận 1K thì host-tracker sẽ nhận 1K. - HVA muốn cho host-tracker không nhận byte nào thì host-tracker sẽ không nhận byte nào. Bởi thế, đừng trông mong vào host-tracker để đánh giá. Nói thêm, chỉ một dòng "Cái script này đặt ngưỡng thấp quá, mới click mấy cái đã kêu người dùng click nhanh hơn tốc độ anh sáng rồi. " là đủ chứng tỏ kiến thức và kinh nghiệm của bồ antidos rồi. Không phải mất thời gian nữa đâu.]]> /hvaonline/posts/list/27563.html#168737 /hvaonline/posts/list/27563.html#168737 GMT /hvaonline/posts/list/27563.html#168743 /hvaonline/posts/list/27563.html#168743 GMT /hvaonline/posts/list/27563.html#168748 /hvaonline/posts/list/27563.html#168748 GMT /hvaonline/posts/list/27563.html#168751 /hvaonline/posts/list/27563.html#168751 GMT

antidos wrote:

Tôi bị choáng khi một số người cố tình phủ nhận kết quả của host-tracker. Các bạn nghĩ 2 máy tính của các bạn bất khả xâm phạm đến như vậy sao :) Để khách quan, các bạn tìm giúp các công cụ monitor web độc lập để xác nhận availability của dịch vụ web vậy. Tiêu chí nên có: + Miễn phí + Có thể share kết quả cho mọi người cùng xem + Truy cập đến dịch vụ từ nhiều điểm khác nhau 

Còn tôi thì bị choáng với sự "cứng đầu" của bạn. 1. Cả trăm người online, cả ngàn member mà chỉ có mình bạn "phán" là HVA "tê liệt". Trước khi cứ cố lôi host-tracker ra thì bạn cũng nên dành vài giây suy nghĩ là tại sao 99 (hoặc 999?) người còn lại không có hiện tượng như bạn? 2. Qui trình hoạt động: Nhiều request từ 1 IP --> cho vào diện nghi ngờ ==> block Nhiều request từ 1 dải IP --> cho vào diện nghi ngờ ==> block Nhiều request từ 1 refererer --> cho vào diện nghi ngờ ==> block Cả 3 cách hoạt động như trên đều có thể hoàn toàn tự động, không cần phải có admin ngồi canh chừng server. Ít nhất, host-tracker rơi vào rule thứ 3: thấy lượng request có referer là host-tracker tự nhiên tăgn lên đột biến, server HVA có thể chặn hết các request dạng này ==> host-tracker sẽ cho ra kết quả vô nghĩa. Chẳng hạn như khi tôi đang viết bài này thì host-tracker trả về kết quả toàn là 0Kb cho HVA (vậy chả lẽ tôi lại la làng lên là HVA đagn "tê liệt"?) 3. HVA chủ động chặn hết các dịch vụ thăm dò tự động và định kỳ (thậm chỉ ping cũng chặn luôn). Vậy giả sử bạn dùng 1 dịch vụ nào đó ra kết quả "HVA đang 'tê liệt' vì ping lần nào cũng không được" thì lại đi kết luận là HVA đang "tê liệt"? Tool/dịch vụ của bạn không thăm dò được server HVA thì không có nghĩa là server HVA die hay tê liệt. 4. Ban quản trị HVA có thể có tool minotor riêng để alert khi cần thiết. Không có lý do gì BQT HVA phải "share kết quả cho mọi người cùng xem" hoặc tiết lộ thêm thông tin gì về cái tool này cả (mà thực ra trên diễn đàn cũng có 1 topic mổ xẻ về cái tool này rồi, bác conmale cũng có tiết lộ 90% thông tin rồi)! 5. Tặng thêm bạn antidos cái này:

Nhưng sau đó chắc admin nghi ngờ việc request này chính là DOS nên đã phản ứng, khiến URL này bị 404 trong vài phút.

10:39:37 0.08 sec 72.232.199.28/Http error:400 2194  

 

(Bài #43 trong topic này) Đoạn bạn copy & paste từ host-tracking ghi rõ ràng là 400 mà sao qua tay bạn nó lại thành 404 thế? Mà 400 hay 404 thì cũng đều do Application của server chủ động trả về. Điều đó suy ra server vẫn còn đang hoạt động tốt, firewall của diễn đàn cũng hoạt động tốt luôn (xem lại (2) ở trên, nhiều request có referer từ host-tracker quá nên server HVA chặn rồi trả về 40x không được sao?)]]> /hvaonline/posts/list/27563.html#168758 /hvaonline/posts/list/27563.html#168758 GMT /hvaonline/posts/list/27563.html#168851 /hvaonline/posts/list/27563.html#168851 GMT /hvaonline/posts/list/27563.html#168856 /hvaonline/posts/list/27563.html#168856 GMT /hvaonline/posts/list/27563.html#168858 /hvaonline/posts/list/27563.html#168858 GMT

eyesdog wrote:

Tôi nghĩ lần sau ai đó tấn công Dos thì nên có 2 người, 1 người vận hành Dos, 1 ông ra quán khác, hoặc dùng line khác test các thao tác cơ bản, nếu nó die thì chắc là die, không die thì chắc là không die. Dùng 1 line + 3 tools không đánh giá được độ tin cậy khó nói lắm. Nhắn vớí antidos: Nếu đúng tools của bạn có hiệu quả tốt (được kiểm chứng chặt chẽ), chắc chắn nó rất có khả năng mang lại cho bạn danh tiếng và tiền bạc, do vậy cần tôn trọng công sức của chính mình bằng cách kiểm tra nó thật kỹ. Tôi biết nhiều người sẵn sàng trả giá cao cho những sáng tạo trong lĩnh vực IT, nhất là IT Việt Nam. 

Tôi có sở thích lập trình khó bỏ vì đã ngấm vào máu 15 năm rồi, nhưng hiện nay tôi là 1 doanh nhân, nên tôi cũng nghĩ như anh. Hiện tôi đã tìm đc đối tác phù hợp để biến cái này thành lợi nhuận. Cảm ơn đã gợi ý.]]> /hvaonline/posts/list/27563.html#168859 /hvaonline/posts/list/27563.html#168859 GMT /hvaonline/posts/list/27563.html#168860 /hvaonline/posts/list/27563.html#168860 GMT

antidos wrote:

Nếu các anh muốn sáng tạo ra các lý do để "chứng minh" là host-tracker trả lại kết quả false-negative thì các anh cứ tự do thôi. Nếu các anh hứng thú được xem test 5 phút nữa thì tìm 1 cơ chế monitor công cộng nào đó tương tự host-tracker, tôi sẽ giúp.  

- Nói đi nói lại mà vẫn không hiểu. - Đã được xem một phút nào đâu mà "được xem test 5 phút nữa". - Tại sao lại cần "1 cơ chế monitor công cộng" thì mới "giúp" à? Đọc lại "Ký sự DDos" xem anh conmale thoải mái thế nào trong việc thoả thuận, hẹn giờ với người tấn công để thử nghiệm. Và họ cũng rất vui lòng làm thế, ngay cả khi anh conmale đề nghị tạm dừng một lát rồi tiếp tục. Trên hết đó là một cái tinh thần "chơi đẹp", hiểu chửa? Tóm lại một câu là: nếu bạn vẫn còn muốn thử nghiệm thì có thể PM với anh conmale rồi 2 người hẹn nhau một thời điểm nào đó, rồi cùng thử nghiệm. Có thế thôi mà sao cứ phải vòng vo, úp úp, mở mở, đến là khó chịu. Chấm hết. ]]> /hvaonline/posts/list/27563.html#168861 /hvaonline/posts/list/27563.html#168861 GMT /hvaonline/posts/list/27563.html#168863 /hvaonline/posts/list/27563.html#168863 GMT /hvaonline/posts/list/27563.html#168865 /hvaonline/posts/list/27563.html#168865 GMT

conmale wrote:

Thôi đi bà con. Chủ đề này không đi tới đâu hết đâu mà bàn. :P  

Đồng ý :D 1. Đã nói là HVA chặn hầu hết các tool monitor công cộng (để tránh bị người khác lợi dụng "thăm dò" server) mà cứ đòi "đưa tool monitor công cộng" ra để làm gì? 2. Tool dù sao cũng là tool. Còn có cả trăm member HVA trên diễn đàn, chả lẽ trăm member này không tốt hơn 1 cái tool nào đó hay sao? Tool báo là HVA die nhưng cả trăm member vẫn vào được bình thường thì theo tool hay theo ai?]]> /hvaonline/posts/list/27563.html#168869 /hvaonline/posts/list/27563.html#168869 GMT Thế thì bạn dùng thực tế để chứng minh đi. ]]> /hvaonline/posts/list/27563.html#168878 /hvaonline/posts/list/27563.html#168878 GMT

antidos wrote:

Tôi có sở thích lập trình khó bỏ vì đã ngấm vào máu 15 năm rồi, nhưng hiện nay tôi là 1 doanh nhân, nên tôi cũng nghĩ như anh. Hiện tôi đã tìm đc đối tác phù hợp để biến cái này thành lợi nhuận. Cảm ơn đã gợi ý. 

Đang bàn về kĩ thuật, "Điểm yếu của TCP" như tiêu đề của Thread thì doanh nhân với không doanh nhân ảnh hưởng gì nhỉ ? Vác "doanh nhân" vào thấy nó hài quá :-/ Regards]]> /hvaonline/posts/list/27563.html#168879 /hvaonline/posts/list/27563.html#168879 GMT