0142 | DDoS : TCP FIN Flood

Friday, December 28th, 2012 Posted in IP Network | No Comments »

อ่า มาต่ออันที่ 3 กันครับ ใครเห็นชื่อแปลกๆ นี่ไม่ได้พิมพ์ผิดนะครับ มันคือ FIN Flood จริงๆ

โดยก่อนอื่นต้องว่ากันด้วยการเชื่อมต่อ connection ของ TCP ก่อนครับ เนื่องจากเจ้า TCP เนี่ย เป็น protocol ที่เป็น stateful connection คือต้องมีการรับ และตอบกลับก่อนเพื่อที่จะสร้างการเชื่อมต่อกันได้สมบูรณ์ ซึ่งจะกำกับด้วย TCP Flag ที่มีทั้งหมด 9 ตัว แต่มีตัวที่ใช้หลักๆ ประมาณนี้ครับ

  • ACK Acknowledge เป็น Flag ที่ถูกแปะบ่อยที่สุด เพราะมันแปะที่ SYN ไม่ได้ที่เดียว นอกนั้นแปะไว้ได้หมดเลย
  • PSH Push data บอกว่ามีการส่งข้อมูลแนบไปกับ flag อื่น(ที่ไม่ใช่ SYN) ด้วย
  • RST Reset เป็นการสั่งตัด connection แบบไม่สนสถานะ คือถ้าเจอไอ้นี่ปุ๊ปจะขึ้น connection has been reset เลยครับ เกิดจากพวกระบบ block หรือโปรแกรมที่ทำงานบน connection นั้นดับไปแบบ error ครับ
  • SYN สถานะเริ่มเชื่อมต่อ ไอ้นี่จะโผล่มาแค่สองครั้ง (2 packet แรก) เท่านั้น
  • FIN ร้องขอจบการเชื่อมต่อ

โดยมีขั้นตอนการทำงาน (state) เป็นแผนภาพแบบง่ายๆ (สาบานว่าง่ายแล้ว) ดังนี้ครับ


ภาพประกอบจาก Wikipedia : TCP

Read the rest of this entry »

Tags: , ,

0140 | DDoS : UDP (Spoofed) Flood

Saturday, December 22nd, 2012 Posted in IP Network | No Comments »

บทความนี้เป็นส่วนหนึ่งของเนื้อหาเกี่ยวกับ DDoS (Distributed Denial of Service) หรือการพยายามโจมตีเพื่อให้เครื่องแม่ข่ายล่มครับ
ซึ่งจะทยอยเขียนตามอารมณ์และโอกาส และถ้าโดนยิงบ่อยๆ ก็จะเขียนบ่อยขึ้น (เอ๊ะยังไง?)

และแน่นอนว่าที่มานี่ก็เพราะเพิ่งโดนไปสดๆ ร้อนๆ อีกทีเลย (ฮา) จริงๆ วิธีนี้เป็นวิธีการโจมตีที่เถื่อนและถึกที่สุดเท่าที่มีแล้วครับ ด้วยวิธีง่ายๆ คือ ถล่มมันให้ bandwidth เต็มครับ โดยส่ง packet ขนาดใหญ่มากๆ มาเยอะๆ แค่นั้นเองครับ ส่วนจะ spoof หรือปลอมแปลง IP ต้นทางด้วยหรือไม่ก็ขึ้นอยู่กับวิธีการยิงครับ

จริงๆ แล้วก็ไม่ได้เจาะจงว่าเป็น UDP เท่าไหร่หรอกนะครับ จะ protocol อะไรก็ได้ที่ไม่ใช่ TCP แต่ส่วนมากอาจโดน filter ทิ้งกันง่ายๆ และ UDP สามารถหาเครื่องต้นทางไว้ยิงได้ง่ายกว่ากันมาก (เจาะเว็บชาวบ้านเอา script php เล็กๆ ไปวางซักตัวก็สั่งยิงได้แล้ว อะไรประมาณนั้น) และที่สำคัญกว่านั้นคือ วิธีป้องกันมีแค่วิธีเดียวครับ คือเราต้องใหญ่กว่า !!!

….

หมายถึงปริมาณ bandwidth ที่มีน่ะนะครับที่ใหญ่กว่า เช่นสมมติว่า bandwidth ที่ยิงมามีขนาด 100mbps เราก็ต้องหา server หรือ firewall ที่รองรับ traffic ได้มากกว่า 100mbps แล้วก็ drop ที่ firewall ให้หมด มันทำได้แค่นี้แหละครับ… หรือถ้าหาไม่ได้จริงๆ (อย่างเช่นว่าโดนยิงมา 1gbps เลย) ก็อาจต้องขอความร่วมมือจาก isp ให้ช่วย block ให้ด้วยอีกทางครับ

อ้อ แล้วก็ ถ้าจับได้ว่ายิงมาจากเครื่องไหนก็เอา ip ไปหาเจ้าของเครื่อง+ ISP ต้นทาง แล้วส่งเมลไปด่า เพื่อกำจัดต้นตออีกทีจะช่วยลดปัญหาไปได้อีกพอควรเหมือนกันครับ

Tags: ,