Latest posts for the topic "Làm thế nào để request SYN/ACK về có dung lượng lớn?"

Làm thế nào để request SYN/ACK về có dung lượng lớn?

Mũ Trắng — GMT

Hi các bạn! Mình muốn hỏi, khi mình gửi request SYN được gửi tới 19.0.0.0 (gọi là host A) thì host A sẽ gửi SYN/ACK về máy của mình. Vấn đề là làm thế nào để khi SYN/ACK gửi về thì nó sẽ là một request nặng đòi hỏi host A phải xử lý nhiều? Thanks mọi ng

Làm thế nào để request SYN/ACK về có dung lượng lớn?

Ky0 — GMT

Mũ Trắng wrote:

Hi các bạn! Mình muốn hỏi, khi mình gửi request SYN được gửi tới 19.0.0.0 (gọi là host A) thì host A sẽ gửi SYN/ACK về máy của mình. Vấn đề là làm thế nào để khi SYN/ACK gửi về thì nó sẽ là một request nặng đòi hỏi host A phải xử lý nhiều? Thanks mọi ng

=> Không có request SYN/ACK nào "nặng" hết nhé bạn :P Viết đoạn code gửi gói SYN/ACK rồi quăng nó vào vòng for rồi chạy thôi mà bạn :D Đơn giản nhất là bạn có thể viết một vòng for rồi sử dụng nemesis gửi hàng loạt gói tin là được :D Tuy nhiên nó cũng chưa tạo ra gói tin đủ lớn để máy đích xử lý nhiều. Nếu nếu máy A và B có băng thông như nhau thì cả A và B cũng có thể tèo cùng lúc :D Tốt nhât là bạn nên code một chương trình gửi gói tin giả dạng IP nguồn rồi chạy multithread gửi đồng loạt thì may ra -:-) Thông tin về nemesis http://www.packetlevel.ch/html/nemesis.html - Ky0 - PS: Mấy cái SYN Flood này làm để nghiên cứu thêm thôi chứ mấy cái hệ điều hành *nix ngày nay như CentOS, fedora ... bây giờ syn/flood không ăn thua đâu :)

Làm thế nào để request SYN/ACK về có dung lượng lớn?

Mũ Trắng — GMT

Ko phải SYN flood bác ạ, em làm drdos :D theo bác thì drdos cỡ nào khiến victim die nhanh? dĩ nhiên là em đã spoof được source ip rồi :D

Làm thế nào để request SYN/ACK về có dung lượng lớn?

conmale — GMT

Mũ Trắng wrote:

Ko phải SYN flood bác ạ, em làm drdos :D theo bác thì drdos cỡ nào khiến victim die nhanh? dĩ nhiên là em đã spoof được source ip rồi :D

- Bị lỗ hổng kiến thức về giao thức. - Thời buổi này mà còn drdos được sao? Bồ hiểu thế nào là drdos vậy?

Làm thế nào để request SYN/ACK về có dung lượng lớn?

Mũ Trắng — GMT

conmale wrote:

Mũ Trắng wrote:

Ko phải SYN flood bác ạ, em làm drdos :D theo bác thì drdos cỡ nào khiến victim die nhanh? dĩ nhiên là em đã spoof được source ip rồi :D
- Bị lỗ hổng kiến thức về giao thức. - Thời buổi này mà còn drdos được sao? Bồ hiểu thế nào là drdos vậy?

Chào anh conmale! Em xin trình bày mọi thứ em hiểu về drdos trên mức lý thuyết mà em đã đọc rất nhiều + rất kỹ các topic trong hva những ngày qua. trước hết em giả mạo ip của mình thành ip của victim sau đó em sử dụng ip giả mạo ấy và gửi SYN request tới các web server lớn, sau khi các server nhận được SYN request ấy sẽ phản hồi lại SYN/ACK với ip vừa SYN với mình (tức là sẽ trả lời lại cú SYN đó vào ip của victim). Về mặt lý thuyết thì em chỉ hiểu như vậy không biết có đúng không anh? Em đã đọc rất kỹ cả tài liệu gốc lẫn những bản dịch trên hva rồi và cũng biết là cách tấn công này không phải là tấn công vào tài nguyên của server mà bản chất là tấn công vào router của server đó. Tuy nhiên em vẫn chưa hiểu làm sao mà victim lại die được với những cú SYN/ACK như vậy? Em đã rất vất vả hàng tháng trời để xây dựng một gói tin SYN hoàn chỉnh và phần khó nhất - Giả mạo ip nguồn rồi bây giờ chỉ cần thực hiện drdos nhưng thật sự bây giờ là năm 2013 chứ không còn là năm 2002 khi mà grc.com bị đánh với 200 router, thật sự bây giờ phải cần tới 2,000,000 router chắc là mới có thể đánh sập được server nào đó. Cảm ơn anh đã để ý tới topic của em, có gì em chưa đúng mong anh chỉ bảo. P/S: Mọi thứ em làm cũng chỉ nhằm mục đích nâng cao kiến thức về bảo mật, và thoả mãn đam mê lập trình chứ không hề có ý muốn phá hoại.

Làm thế nào để request SYN/ACK về có dung lượng lớn?

conmale — GMT

- Bản thân SYN-ACK không chứa payload. Năm 2009 có thêm một "draft" RFC nhưng vẫn chưa được thông qua. Bởi vậy, ý muốn tạo SYN-ACK có "dung lượng lớn" là chuyện không thể được. - Nếu đã spoof IP nào đó để gởi SYN nhằm tạo SYN-ACK từ IP ấy thì SYN-ACK được tạo ra từ máy bị spoofed chớ không phải máy của mình. Bởi vậy, cho dù có thể tạo SYN-ACK có dung lượng lớn đi chăng nữa, cũng không thể được vì mình không điều khiến máy bị spoofed IP. - DrDOS chỉ có thời đầu thâp niên 2000, khi các routers còn cho phép source routing. Ngày nay, chuyện này hầu như không thể được vì hầu như các router theo mặc định đều disable chức năng này.

Làm thế nào để request SYN/ACK về có dung lượng lớn?

Mũ Trắng — GMT

conmale wrote:

- Nếu đã spoof IP nào đó để gởi SYN nhằm tạo SYN-ACK từ IP ấy thì SYN-ACK được tạo ra từ máy bị spoofed chớ không phải máy của mình. Bởi vậy, cho dù có thể tạo SYN-ACK có dung lượng lớn đi chăng nữa, cũng không thể được vì mình không điều khiến máy bị spoofed IP.

Phần này anh nói em không hiểu lắm, thực sự cú SYN em gửi đã được trả lời SYN-ACK từ máy chủ về victim rồi và em nghĩ rằng như vậy là đủ để thực hiện tấn công ánh xạ phân tán "drdos" rồi chứ anh? Chỉ cần gửi nhiều SYN tới nhiều máy chủ với ip giả mạo victim và các máy chủ ấy SYN-ACK về victim -> victim die.

conmale wrote:

- DrDOS chỉ có thời đầu thâp niên 2000, khi các routers còn cho phép source routing. Ngày nay, chuyện này hầu như không thể được vì hầu như các router theo mặc định đều disable chức năng này.

Ý anh là không thể giả mạo được source IP để gửi SYN phải không anh? Ban đầu em fail quá nhiều nên cũng nghĩ như vậy, nhưng thật sự em đã rất cố gắng và đã làm được, nếu anh không tin em có thể chứng minh. Cảm ơn anh đã reply.

Làm thế nào để request SYN/ACK về có dung lượng lớn?

conmale — GMT

Mũ Trắng wrote:

conmale wrote:

- Nếu đã spoof IP nào đó để gởi SYN nhằm tạo SYN-ACK từ IP ấy thì SYN-ACK được tạo ra từ máy bị spoofed chớ không phải máy của mình. Bởi vậy, cho dù có thể tạo SYN-ACK có dung lượng lớn đi chăng nữa, cũng không thể được vì mình không điều khiến máy bị spoofed IP.
Phần này anh nói em không hiểu lắm, thực sự cú SYN em gửi đã được trả lời SYN-ACK từ máy chủ về victim rồi và em nghĩ rằng như vậy là đủ để thực hiện tấn công ánh xạ phân tán "drdos" rồi chứ anh? Chỉ cần gửi nhiều SYN tới nhiều máy chủ với ip giả mạo victim và các máy chủ ấy SYN-ACK về victim -> victim die.
conmale wrote:

- DrDOS chỉ có thời đầu thâp niên 2000, khi các routers còn cho phép source routing. Ngày nay, chuyện này hầu như không thể được vì hầu như các router theo mặc định đều disable chức năng này.
Ý anh là không thể giả mạo được source IP để gửi SYN phải không anh? Ban đầu em fail quá nhiều nên cũng nghĩ như vậy, nhưng thật sự em đã rất cố gắng và đã làm được, nếu anh không tin em có thể chứng minh. Cảm ơn anh đã reply.

Những thứ em trình bày ở trên không phải là drDoS. Cần bao nhiêu "máy chủ" bị spoofed để tạo ra DDoS?

Làm thế nào để request SYN/ACK về có dung lượng lớn?

Mũ Trắng — GMT

conmale wrote:

Những thứ em trình bày ở trên không phải là drDoS. Cần bao nhiêu "máy chủ" bị spoofed để tạo ra DDoS?

Vậy như nào mới là drdos hả anh? Anh giải thích giúp em với! Em đã vừa đọc lại rất kỹ các tài liệu drdos cả trong HVA và cả tài liệu gốc nữa, những thứ em đang hiểu chính là những điều em vừa nói.

Làm thế nào để request SYN/ACK về có dung lượng lớn?

Mũ Trắng — GMT

Bây giờ em mới đọc kỹ lại bài viết của anh sau khi đã thử nghiệm drdos thất bại, em đã không chú ý tới phần source routing, nghĩa là khi attacker tấn công victim, hắn sẽ không gửi hàng trăm ngàn packet tới hàng trăm ngàn server mà thực ra nó chỉ gửi vài trăm packet tới vài trăm cái router thôi nhưng bằng cách nào đó cái router ấy đã kêu gọi toàn bộ dãy ip trong nó gửi SYN-ACK trả về vào ip đã bị attacker giả mạo. Cứ cho mỗi router có 254 ip bên trong nó (tương đương với 254 máy chủ nhỏ) 100 cái router = 25,400 cái cùng SYN-ACK một lúc thì cũng mệt lắm. Như vậy thìmới là khuếc đại được lưu lượng băng thông và mới có thể gửi 1,000,000 packet trong vòng một giờ và victim mới có thể die được. Chứ nếu attacker tốn công đi gửi SYN tới hàng trăm ngàn server thì thà SYN Flood cho nhanh. Em vừa gửi SYN tới 200,000 server để nó dội ngược trở lại SYN-ACK vào host của em nhưng kỳ lạ host của em vẫn chả sao cả vì tổng số các request SYN-ACK ấy chưa thấm vào đâu. Em cũng đã cố ép server attack gửi 10,000 packet trên giây nhưng bị quá tải nên sập luôn -:-) còn victim vẫn sống nhăn. Kết luận: Source routing đã không còn tồn tại nên các router sẽ không bao giờ tự đông kêu gọi các con của nó để tham gia vào trận tấn công nữa và drdos bây giờ thực sự chỉ là huyền thoại và không còn thực hiện được nữa B-) Đó có phải DRDOS không anh conmale?

Làm thế nào để request SYN/ACK về có dung lượng lớn?

__ikaZuchi — GMT

Em vừa gửi SYN tới 200,000 server để nó dội ngược trở lại SYN-ACK vào host của em nhưng kỳ lạ host của em vẫn chả sao cả vì tổng số các request SYN-ACK ấy chưa thấm vào đâu.

Bồ ác nhỉ? Gửi tới 200 000 server cơ đấy? Hỏi khí không phải tí, lấy đâu ra danh sách 200 000 server vậy :p Theo "ngu" kiến của mình thì bạn chỉ cần thử với 1 server, xong capture gói tin trả về trên host victim. Nếu có syn-ack từ server kia trả về thì lúc đó tính tiếp. :D

Làm thế nào để request SYN/ACK về có dung lượng lớn?

Mũ Trắng — GMT

__ikaZuchi wrote:

Em vừa gửi SYN tới 200,000 server để nó dội ngược trở lại SYN-ACK vào host của em nhưng kỳ lạ host của em vẫn chả sao cả vì tổng số các request SYN-ACK ấy chưa thấm vào đâu.
Bồ ác nhỉ? Gửi tới 200 000 server cơ đấy? Hỏi khí không phải tí, lấy đâu ra danh sách 200 000 server vậy :p Theo "ngu" kiến của mình thì bạn chỉ cần thử với 1 server, xong capture gói tin trả về trên host victim. Nếu có syn-ack từ server kia trả về thì lúc đó tính tiếp. :D

Sài nmap scan random rồi lọc trùng đi bác, 1 tuần có mà 500k host live. Tất nhiên là mình đã test rất kỹ và chắc chắn 100% là có syn-ack trả về rồi mình mới bắt đầu thực hiện tấn công với số lượng lớn, khi tấn công mình capture trên host victim rồi, syn-ack về ào ạt nhưng host vẫn bình thường không có gì gọi là quá tải, mình gửi mỗi giây 1000 request tới 1000 host mà host victim vẫn chả sao cả.

Làm thế nào để request SYN/ACK về có dung lượng lớn?

StarGhost — GMT

Mũ Trắng wrote:

conmale wrote:

Những thứ em trình bày ở trên không phải là drDoS. Cần bao nhiêu "máy chủ" bị spoofed để tạo ra DDoS?
Vậy như nào mới là drdos hả anh? Anh giải thích giúp em với! Em đã vừa đọc lại rất kỹ các tài liệu drdos cả trong HVA và cả tài liệu gốc nữa, những thứ em đang hiểu chính là những điều em vừa nói.

Một cuộc tấn công DRDoS cần thoả mãn 2 yêu cầu sau: 1. attacker giả mạo victim và gửi hàng loạt requests đến nhiều nơi, và mỗi request sẽ tạo ra reply gửi trả về victim, và 2. chi phí cho việc tạo ra mỗi request phải ít hơn (nhiều) so với chi phí mà request đó tạo ra cho victim. Các attacks dùng source routing trong quá khứ thoả mãn cả 2 điều kiện, nên chúng là một ví dụ của DRDoS.