AgentCC@tg says to 電訊台
文章比較長,有心理準備...O:-) 1) DoS , (目標係主機) (方法有很多,我只舉部份例子) 阻隔服務攻擊, 通常你單挑, 即一部電腦對一部主機/網站. 總之令你部服務器,服務唔到人,就係呢種. 方法可能係利用TCP/IP既3 way handshark既缺點: 正常建立TCP/IP通訊之前, 先要進行一次3 way handshark, 即係: A機 : 喂喂, B機, 我想同你建立連線呀! B機 : 好呀, 你連過黎啦, 我開定連線等你 A機 : 謝謝你, 我而家連過黎了 然後, 雙方就開始拍拍拍...呀,唔係, 係開始通訊... 而 3 way handshark既攻擊就係: A機 : 喂喂, B機, 我想同你建立連線呀! B機 : 好呀, 你連過黎啦, 我開定連線等你 A機 : .......唔撚回你,你慢慢等啦仆街 A機 : 喂喂, B機, 我想同你建立連線呀! B機 : 好呀, 你連過黎啦, 我開多一條連線等你 A機 : .......再次唔撚回你 一段時間後, B機已經無晒可以用既連線, 到真正想連入黎既人都連唔到. 防止方法, 將個B主機等待時間縮到好短, A機唔理我時, 我就唔再等佢. 另一種係, 當對方有防火牆, 防火牆都有連線數量限制, 通常價錢越貴, 形號越高, 可以接受到既Concurrect session(同時連線數目)都比較高. 以Juniper SRX3600為例, 佢每秒可以接受150萬條連線, 如果你可以一秒內建立超過150萬條連線既話, 就可以塞爆佢. #======================================== 以上既方法, 其實係兩敗俱傷的, 你想塞住佢, 其實你自己都好塞... #======================================== 所以一個好既攻擊, 係會用DDoS, 而唔係用DoS. DDoS即係 Distributed Denial of Service , 前面多左個 D , 即係分散式, 即係用多部電腦, 同時間一齊攻擊一部機. 用簡單D既講法, 即係搵一大班人, 打一個人. 而DDoS除左可以好似上面個隻, 目標係主機之外, 最常見係攻擊對方既網絡. 黑客平時會四圍散病毒, 全球四圍散, 病毒入侵全球既電腦, 然後那些電腦就可以被佢控制, 等候佢發號施令...... 當要DDoS一個網站/主機時, 黑客會發出指令向全球數千,甚至數萬,數十萬既電腦, 同時間向目標電腦攻勢, 而最常見既係向目標電腦發送大量細小的UDP封包(之前講過, TCP需要建立左連線後才可以傳送資料, UDP就唔使的, 佢唔你理收唔收, 就原停係咁掉過黎, 就好似一大班人向你掉垃圾, 你阻止唔到佢, 叫佢唔好掉你的), 咁樣你條線就會塞死, 正常既人就入唔到黎. 但其實, 唔只咁簡單, 不過太過技術咁講, 會比較難明, 以下會深入咁講, 會深小小, 要先了解Internet其實大家點樣將全球既電腦連埋一齊. BGP: 互聯網, 其實即係, 我個路由器(唔係你屋企TP-Link $89個隻), 同你個路由器, 大家用BGP呢個通訊協定黎連埋一齊. 而大家既路由器, 有一份叫做路由表(Routing Table)既野, 係記錄底, 全世界既IP, 應該行邊一條路去, 就好似一份真既地圖一樣. 假設我有自己既IP, 叫做69.69.69.0/24 , 我想比人知, 我係香港, 我就首先要同HKIX, 再同一間國際線路既公司, 例如Pacnet 對連, 然後, 將我個Class既IP, Announce出去, 即係 "叫" 出去, 話比對方個路由器知, 叫佢加入去佢個路由表, 如果有人要去69.69.69.0/24既IP, 就經你個路由器, 入黎我度啦~ 咁樣Pacnet收到我呢個通知後, 佢又通知佢上一層既Router, 上一層既Router, 又通知上一層既Router... 如此類推, 全世界既Router既路由表, 都有我呢個紀錄, 就識得黎搵我了.#yup# #yup# #yup# 咁明白左後, 你試想像下, 你$3萬蚊同Pacnet買左100Mbps國際頻寬, 你比人DDoS, 會影響到佢, 咁Pacnet就會, 唔Announce你個 Class IP出去, 等全世界既路由表無左你呢個麻煩客戶既紀錄, 咁攻擊者就因為路由表無你紀錄, 黎唔到, 咁個攻擊就會停止. 而你, 所有IP都用唔到, 即係死晒. #============ 防止DDoS既方法 #============ 基本上, 無得防[banghead] [banghead] [banghead] 因為, 就好似有人話你屋企有大量AV女優免費任仆, 攪到全香港既男人都走去你屋企, 塞住晒你個門口. 就算你加裝左度好強勁既閘(防火牆), 但因為你門口, 你樓下大閘, 甚至你條村既村口, 都已經比班咸濕佬塞住左, 攪到正常人要黎你屋企都黎唔到, 所以呢種攻擊, 你有幾勁既防火牆都無用的.#bye# #bye# #bye# 但其實....實際上,有得防既,睇你有幾錢啦. 貴價方案: 幫親Akami, 佢用條40G既線路, 接你既攻擊, 然後用防火牆過濾既方法, 將攻擊頂住, 然後將正常既流量比返你, 咁你就咩事都無, 多謝150萬一個月. 平價方案: 搵間有能力做到自動Blackhole既DataCenter, 當你個IP比人DDoS時, 就會單獨將你個IP, 同上面既Router講, 呢個IP ? 無架wor, 去唔到架bor, 你係唔係行錯路呀? 而上面既Rotuer就一層一層咁傳開去, 令到個攻擊搵唔到路入黎, 咁樣攻擊就會停止. 但...你個IP都係去唔到, 即係都係死左[banghead] [banghead] [banghead] 不過, 你可以預先買定多D IP, 當一比人炸, 就改IP, 咁就可以馬上回復正常, 而一般DDoS既人, 炸完你第一次, 唔會不停咁Mon住你粒IP有無轉到, 然後追住你黎打的, 咁多年黎, 好少咁既情況, 除非你真係爭佢好多錢, 佢咁毒要追住你黎打...[sosad] [sosad] [sosad] 以今日TVB既情況黎睇, 大家睇返HKIX既資料 http://www.hkix.net/hkix/participant.htm 佢係有條10Gb既線直駁HKIX的, 呢條係佢出街既線路, 但佢實際部機, 接駁去個Switch是否10G, 呢點我就唔知了. 所以要攻擊佢網絡既人, 我估對方最好準備左10G既流量, 先可以係香港攻擊佢. 亦有可能對方係用針對主機既攻擊, 因為就算佢網絡上, 頂到10G流量, 但佢部主機, 可能1G既攻擊已經頂唔住, 詳細我都咩興趣去留意佢係用咩攻擊. 打完,好累...xx(