Phân tích hình thức SYN - UDP FLood và cách phòng chống

Discussion in 'DDOS' started by Mickey, Dec 9, 2017.

  1. Mickey

    Mickey Hacking For Hacker Staff Member

    • Administrator
    Theo như mình quan sát một thời gian gần trước ( nửa năm ) thì ở các diễn đàn hacking lớn nước ngoài như HF hay một số diễn đàn khác, họ luôn tìm hiểu về phương pháp tấn công này và vì vậy , mình cũng đã dành nhiều công sức để nghiên cứu về cách tấn công này

    I/ Giới Thiệu
    SYNFLOOD là một biến thể khác của UDP/TCP flood, nhưng là gửi các gói tin synACK và không nhận trả lời khiến cho server bị dồn cục lại và "vỡ" băng thông, về mặt thực tế thì đây là module tấn công mà không xuất hiện nhiều trên các công cụ và cũng không có công cụ nào nổi tiếng nhưng đây là các tấn công hiệu quả nhất để tấn công vào các gameserver và cũng là hình thức được sử dụng mạnh nhất trong Razer Module (RDU)

    II/ Phân Tích : Cách Thức

    Synflood là một dạng tấn công gửi các gói tin một cách dồn dập và không cần server trả lời vd như mình hỏi 1 thằng liên tục và đếu quan tâm những gì nó trả lời, cứ hỏi tiếp cho đến khi nó phát cáu và vỡ òa trong cảm xúc :))
    [​IMG]
    Hình ảnh phía trên là hình ảnh ví dụ về SYNFLOOD - cách thức tấn công đã trở nên rất phổ biến trên thế giới và được nhiều attacker ưa dùng nhưng có thể thấy hình thức này khá là dễ phòng chống nếu config server cẩn thận, các gói tin sẽ được đẩy đi một cách "bình tĩnh"

    III/ Hiệu Quả
    Không cần phải nói nhiều về sức mạnh của hình thức tấn công này, các bạn có thể nhìn thấy sự thành công của Razer DDoS Ulimate vào nửa năm trước, đến thời điểm hiện tại thì RDU vẫn còn giữ được phong độ ổn định khi tấn công nhưng không còn được mạnh như xưa ...
    Synflood tấn công không chiếm quá nhiều tài nguyên server vì không tấn công vào apache , yêu cầu máy chủ hoạt động, mà là tấn công vào đường truyền của máy chủ khiến băng thông mạng của máy chủ bị cạn kiệt, khiến server tê liệt tạm thời, không có các biến chứng gì phía sau

    IV/ Các Biến Thể
    Theo mình biết cho đến thời điểm hiện tại thì chỉ có Razer làm 1 phiên bản biến thể của SyN đó là Razer V1 nhưng không được sử dụng đại trà, các tấn công được phối hợp giữa các cổng UDP và SYN

    V/ Các công cụ tiêu biểu
    - DDoS / Stressing Tools
    • Razer DDoS Ultimate

    - BOTNET/RAT
    • G - Bot
    • Darkcomet RAT
    • Dirty Jumper

    Cách phòng chống : Synflood là một hình thức tấn công rất hiệu quả nếu server không được config kĩ, các gói tin đơn giản sẽ có thể làm băng thông máy chủ của bạn sập ngay trong vòng tích tắc, Cách chống lại hình thức tấn công này còn phụ thuộc vào OS mà máy chủ của bạn sử dụng

    - Linux
    + Sử dụng CSF để hỗ trợ tối đa config IPtables : ở trên mạng đã có khá nhiều hướng dẫn nhưng nếu bạn làm theo đảm bảo đến 1 ngày bạn cũng sẽ bị iptables lọc IP và miễn login vào server nữa, ở trong CSF có 3 giá trị để quyết định đến khả năng tấn công của SYNFLOOD
    SYN_Flood = 1
    Syn_Flood_Burst = 30
    Syn_Flood_Rate = 28/s
    - Windows
    + Sử dụng APP , có khá nhiều loại kiểm tra và chặn các gói tin này, thậm chỉ các bạn có thể sử dụng phần mềm giệt virus có tường lửa tốt như Kaspersky (KIS) , Norton , BitDefender, các phần mềm này hoàn toàn tự tinh chỉnh cho bạn và lọc các gói dữ liệu một cách cẩn thận
     

Share This Page