Announcement

**sitstand** · 11 Dec 2009, 14:03:20

ไม่เคยได้ยินอะครับ โปรแกรมที่คุณว่า
คุณต้องการเอาไปใช้เพื่อจุดประสงค์อะไรหรอครับ
บางทีผมอาจจะช่วยคุณได้

**powermove** · 11 Dec 2009, 14:14:57

ชนิดของการ DoS
n Ping Flood Attack
n SYN Flood Attack
n Land Attack
n Teardrop Attack
n Smurf Attack
n Ping Of Death Attack
n Tribe Flood Network
n Diagnostic Port Attack
n UDP Bomb
n ICMP Source Quench Attack
n Winfreeze
n Fragmented IGMP Attack
n ICMP Timestamp Attack
n Jolt

เคยได้ยินพวกนี้ไหมครับ

เอาไปทำรายงานครับไม่ได้เอาไปแกล้งใครครับ ที่ Lab ทำเป้นกลุ่ม ตั้งเซิฟเองครับไม่เกี่ยวกับใคร ถ้ามีบอกด้วยนะครับ

**sitstand** · 11 Dec 2009, 15:23:49

ตอบโดยรวมก่อนละกัน

แต่ละอย่างที่บอกมาล้วนแล้วเกี่ยวข้องกับคำว่า Anomalous Packet ทั้งสิ้น
Anomalous packet คืออะไร มันคือ packet ข้อมูลที่จะไม่มีวันเกิดขึ้นในสภาวะการใช้งานปกติของการสื่อสารกัน ยกตัวอย่างเช่น packet ที่มีปลายทางเป็น 127.0.0.1 มาวิ่งพล่านใน network (เป็นไปไม่ได้อย่างสิ้นเชิงครับ) การโจมตีด้วยวิธี Dos ล้วนแล้วแต่อาศัยข้อบกพร่องของ Tcp/ip ทั้งสิ้น (อาจจะมีข้อบกพร่องของ OS นิดหน่อย เช่น SMB ของ Windows )

**sitstand** · 11 Dec 2009, 15:30:36

Ping Flood Attack คืออะไร
การ โจมตีแบบนี้เป็นการโจมตีแบบสิ้นคิด เด็กๆ เพราะเขาใช้กันเมื่อปีมะโว้โน่น
อาศัยหลักการคือ การส่ง ICMP Echo Request ออกไปมากๆๆ ทำให้ฝั่งที่รับ ตอบกลับไม่ทัน มองผิวเผินแล้วเนี่ย มันจะเหมือนกับการโจมตีแค่เครื่องเดียว ถ้าเรามองเฉพาะ layer ของ ip แต่จริงๆ แล้วมันไปรบกวนวง local ด้วยเพราะ ว่า ก่อนจะถึง layer ip นั้น มันต้องผ่าน ethernet มาก่อน ซึ่งทำให้ วงเน็ตเวิร์คเต็มไปด้วยข้อมูลขยะ (ต้องอาศัยแบนวิดธ์ร่วมด้วย แล้วมักจะโจมตีในวง Local กันเอง) ไม่นิยมส่งมาจากฝั่ง wan เพราะแบนวิดธ์มักจะน้อยกว่า
การโจมตีประเภทนี้ ต้องอาศัยการปลอม IP Address ด้วย เพราะไม่งั้นแล้ว ฝั่งที่โจมตีจะต้องรับกับ ICMP Echo Reply ในปริมาณที่เท่าๆ กันกับการส่ง ICMP Echo Request ไปครับ

**sitstand** · 11 Dec 2009, 15:53:02

SYN Flood Attack คืออะไร
การโจมตีแบบ Syn flood ถ้าจะมองให้ดีก็เหมือนกับการโจมตีแบบ Ping flood นะครับ แต่เพียงแค่มันเป็นการโจมตีคนละ layer กัน
syn flood อาศัยช่องโหว่ของการทำ 3 way handshake คือ ก่อนที่การติดต่อสื่อสารจะเริ่มขึ้น Client จะต้องส่ง Syn ไปหา Server หลังจากนั้น Server จะส่ง Syn Ack กลับมาที่ Client หลังจากนั้น Client จะต้องตอบ Ack กลับไปที่ Server เป็นอันจบกระบวนการ แล้วทั้งคู่จึงสู่สารกันได้ แต่ช่องโหว่ ของ TCP เกิดขึ้นตรงนี้ครับ
ตรงระหว่างที่ Server ได้รับ Syn แล้ว ตอบ Syn Ack กลับไป (ตรงนี้แหละ Server จะต้องรอการ Ack กลับจากฝั่ง Client เพื่อจบกระบวนการ 3 Way Handshake)
ตามปกติแล้ว การที่ Server ไม่ได้รับ Ack เพื่อจบกระบวนการ 3 way นั้น ย่อมเกิดขึ้นได้ แต่การที่มี syn ส่งมาเยอะๆๆ มากๆ มันผิดปกครับ server จะต้องใช้ ทรัพยากรจำนวนมากเพื่อจัดสรรให้กับ การ syn ที่ไม่มี ack ของ Client (Attacker)
การโจมตีแบบนี้ถือว่าเป็นการโจมตีที่ป้องกันยากครับ เพราะว่า Packet เหมือนกับการสื่อสารทั่วๆไป ยากที่จะแยกแยะออก (แม้แต่ Firewall ยังโดนโจมตีแบบนี้ได้และ เดี้ยงก็มีครับ)

**sitstand** · 11 Dec 2009, 15:58:37

Land Attack คืออะไร
การโจมตีแบบนี้ พูดง่ายๆ คือหลอกให้ Server คุยกับตัวเอง ******
คือผู้โจมตีจะส่ง Packet ที่มี ip ต้นทาง,ip ปลายทาง,port ต้นทาง,port ปลายทาง เป็นค่าเดียวกันทั้งหมด
ผลที่ได้คือ Server ตอบกลับตัวเอง (วน loop) เหมือนคนบ้าคุยกับตัวเอง คุยไปเรื่อยๆๆๆๆ จนพังกันไปข้าง (ก็มีมันคนเดียวอะแหละ)
แต่การโจมตีแบบนี้ใช้กันเมื่อปีมะโว้แล้ว
เพราะปัจจุบัน tcp stack พัฒนามามาก (ใช้ไป ซ่อมไป) จนสามารถป้องกันการโจมตีแบบนี้เกือบ 100%

**sitstand** · 11 Dec 2009, 16:04:20

Teardrop Attack คืออะไร
อันนี้เทพเขาทำกันครับ คือการโจมตีที่ใช้ ช่องโหว่ของ Fragment ในระดับ ip layer
กล่าวคือ
ผู้โจมตี สร้าง Packet ที่ Fragment แล้วไปทับซ้อนกับ Fragment ก่อนหน้านี้ ซึ่งทำให้การ Re Assembly หยุดชะงักกลางครัน ผลก็คือระบบปฏิบัติการจะเอ๋อไปเลยครับ

**sitstand** · 11 Dec 2009, 16:05:58

Smurf Attack คืออะไร
Smurf Attack ใช้หลักการเดียวกันกับ Ping flood ครับ แต่เพียงแค่ Ping ไปที่ Bloardcast IP
255.0.0.0
255.255.0.0
255.255.255.0

ผลก็คือ ip ที่มีเลข Boardcast นี้โดยหมดครับ
(เหมือนกับใช้เครื่องขยายอะไรซักอย่างประมาณนั้น)

**sitstand** · 11 Dec 2009, 16:09:27

เดี๋ยวมาต่อให้ อิอิ ไปธุระก่อน

ส่วนโปรแกรมที่ คุณบอกมานั้น มันคงไม่มีหรอกครับ ที่หนึ่งเดียวทำได้ทุกอย่างแบบ All In One

ถ้าจะให้ดีต้องเขียน Script เอาเองครับ พวก perl อะไรแบบนั้นอะครับ

http://forums.remote-exploit.org/newbie-area/20959-synflood-pl.html

เช่นแบบที่ผมให้ไปเป็นต้น

**powermove** · 17 Dec 2009, 13:11:06

โอ้ ขอบคุณมากครับ เดียวลองหาเพิ่มเติมดู

**sitstand** · 17 Dec 2009, 15:33:01

ป๊าดดดดดดเห็นกระทู้นายขึ้นมาจำได้ว่าค้างไว้ มาๆ มาต่อเลย

Ping Of Death คืออะไร

การโจมตีนี้ใช้ข้อบกพร่องขอกการ Fragment นะครับ
กล่าวคือ ปกติแล้ว IP Datagrams จะมีขนาดสุงสุดแค่ 65536 (หรือเปล่า 65535) มั๊ง ประมาณนี้แหละๆ

ซึ่งถ้ามันมาแบบนี้แล้วก็ปกติดีใช่มะ

แต่ถ้ามีการ Fragments หละ สมมุติ Ip Datagrams นี้ ถูกสร้างขึ้นโดย Hacker แล้วกำหนดให้ แต่ละ Fragment ของ Ip Datagram มีขนาด ถึง 65536 แล้วให้ความสัมพันธ์ของการ แฟกเมนต์นี้ มีถึง 5 Fragment
กล่าวคือ Ip Datagrame อันนี้ มี 5 Fragment แล้วเมื่อส่งออกไป พอไปถึงปลายทาง ได้รับ Fragment ปุ๊บ
ลองคิดดูละกัน ในขนาดที่ ปลายทางเตรียม Buffer ไว้แค่ 64 K ต่อ Datagrames
แล้ว Ip Datagram อันนี้มันใหญ่ถึง
65536*5 = 327680

ซึ่งมันเกินข้อจำกัดของ IP Datagram ไปโดยปริยาย

ผลก็คือ เกิดสิ่งที่เรียกว่า Crash ครับ (เธอจะอยู่กับ ฉันตลอดไป ไม่ว่าจะนอนแสนนาน ) เย้ยยย ไม่ช่าย

Crash หรือ Buffer Overflow ที่ Hit ติดปากกันไงครับ

**sitstand** · 17 Dec 2009, 15:48:08

Tribe Flood Network คืออะไร
ไอแบบนี้ไม่มีอะไรมาก มันจะเป็นอะไรก็ได้ จะเป็น synflood, icmp flood เป็นอะไรก็ได้
แต่มันอาศัยหลักการ Distribute หรือเรียกว่า Ddos (Distributed Denial of Service)
รุมๆ กันยิง

**sitstand** · 17 Dec 2009, 16:08:56

เดี๋ยวมาต่อให้นะฮ่าๆ

**download13th** · 18 Dec 2009, 09:35:22

ท่าน sitstand เก่งจังครับ ขอ add fr เลยล่ะกัน จะได้ปรึกษา

Announcement

ขอโปรแกรม attack Network หน่อยครับ

ขอโปรแกรม attack Network หน่อยครับ

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment