Bài viết này với mục đích nghiên cứu, không sử dụng vi phạm pháp luật

Tạo Botnet DDOS đơn giản bằng Py-Botnet

Py-Botnet là chương trình được viết bằng Python dùng để tấn công DDOS theo phương thức UDP, tức là tấn công theo địa chỉ IP. Khi kích hoạt file botnet từ phía người dùng, Hacker có thể ra lệnh cho botnet tấn công vào IP đối phương gây nghẽn mạng.

Download

Backup 

Mở file Client.py lên bằng Notepad hoặc Notepad++, sửa chỗ IP thành IP Server của Hacker (là IP của máy bạn đó).

Gửi cho nạn nhân file Client.py và chờ họ kích hoạt. Vì đây là bài Lab, nên mình sẽ làm thủ công. Trên máy nạn nhân, mở cmd gõ lệnh: python Client.py để kích hoạt botnet kết nối về Server

(Trong thực tế bạn cần chuyển file Client.py sang file exe và dụ cho nạn nhân kích hoạt file nhé).

Trên máy Server (là máy của Hacker), mở CMD gõ lệnh python Server.py

Bạn sẽ thấy danh sách các botnet đã được kết nối về Server của bạn

Đây là các lệnh để điều botnet

attack udp <ip> <port> <time in second> <thread>
Options:
         ping                      Kiểm tra Server nạn nhân còn sống không.
         kill                      Dừng ddos
         list                      Kiểm tra bao nhiêu botnet đang kết nối về Server của bạn
         update                    Cập nhật lại danh sách botnet
         exit hoặc quit            Thoát

Để ra lệnh cho các botnet tấn công bạn dùng lệnh:

Ví dụ: muốn tấn công DDOS 1 Server có IP là 1.2.3.4 thì ta sẽ thực hiện lệnh sau:

attack udp 1.2.3.4 80 10 100

Trên thực tế, bạn cần phải có số lượng botnet cực lớn mới có thể DDOS sập 1 Server, thông thường các Hacker sẽ đính kèm botnet vào các phần mềm, file crack, path để kích hoạt cùng, khiến người dùng không nghi ngờ. Khi cùng 1 thời điểm mà hàng ngàn botnet cùng truy cập vào 1 IP sẽ khiến Server quá tải và tạm thời không thể truy cập.

Nếu muốn sử dụng ngoài môi trường Internet bạn cần NAT Port: 9999 về IP của Server nhé.

Vì Py-Botnet này tạo ra để nghiên cứu, nên sẽ không có tính năng tự ẩn, tự kích hoạt khi khởi động lại… Bạn có thể tự nghiên cứu code để phát triển thêm.

Câu hỏi thường gặp

Py-Botnet là gì và nó hoạt động như thế nào?

Py-Botnet là một chương trình Python được sử dụng để tạo ra một botnet đơn giản. Nó sử dụng giao thức UDP để thực hiện tấn công DDoS bằng cách gửi nhiều yêu cầu đến một địa chỉ IP mục tiêu.

Tôi có thể sử dụng Py-Botnet để tấn công bất kỳ website nào không?

Không. Sử dụng Py-Botnet để tấn công các website mà không được phép là bất hợp pháp. Bài viết này chỉ nhằm mục đích nghiên cứu và giáo dục. Việc sử dụng công cụ này cho mục đích bất hợp pháp sẽ gây ra hậu quả pháp lý nghiêm trọng.

Làm thế nào để tôi bảo vệ hệ thống của mình khỏi bị tấn công bởi Py-Botnet?

Để bảo vệ hệ thống khỏi các cuộc tấn công DDoS, bạn cần có các biện pháp bảo mật mạnh mẽ, bao gồm tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS), và các biện pháp phòng thủ DDoS chuyên nghiệp. Cập nhật phần mềm thường xuyên cũng rất quan trọng.

Tìm hiểu về kiểu Tấn công Memcached

Memcached là tên gọi được đặt ra cho loại tấn công quy mô lớn này. Điều đặc biệt của loại tấn công này là khả năng khuyếch đại sức mạnh hơn 51000 lần. Điều này đã gây chao đảo cho các chuyên gia và chấn động lịch sử bảo mật thế giới.

Phương thức này lợi dụng lỗ hổng mamcached – hệ thống lưu trữ bản sao của các đối tượng. Dữ liệu tại đây được trao đổi nhiều lần và liên tục để tăng tốc độ truy xuất. Hệ thống này thường được sử dụng để tối ưu hóa việc truy xuất dữ liệu từ database. Nhằm mang lại trải nghiệm tốt hơn cho người duyệt web.

Hệ thống là điểm mạnh nhưng đồng thời cũng là điểm yếu để các Hacker tấn công. Trong thời gian sắp tới, các chuyên gia bảo mật lo lắng rằng các Hacker sẽ lợi dụng điều này để tạo ra các cuộc tấn công DDOS lớn hơn nữa.

Nạn nhân gần đây ?

Nạn nhân gần đây của chúng ta không quá xa lạ đó chính là Github ( Trang trao đổi và quản lý source code cho các lập trình viên). Github đã hứng một cơn mưa đạn và gần như tê liệt, đội ngũ bảo mật của họ phải tập trung toàn bộ sức lực trong nhiều giờ để khắc phục sự cố.

Trong tuần qua, các tin tặc (hacker) đã triển khai nhiều cuộc tấn công có khối lượng hơn 500Gb/s đến từ port UDP 11211.

Cách tấn công

Dạng tấn công khuyếch đại này có cơ chế tấn công là gần như giống nhau. Hacker sẽ giả mạo IP mục tiêu, rồi gửi yêu cầu giả mạo đến một máy chủ UDP phòng thủ yếu. Lúc đó, máy chủ UDP không nhận dạng được IP giả mạo và reply lại một lượng dữ liệu lớn đến mục tiêu.

Việc tấn công này sẽ khuyếch đại và gây ảnh hưởng và tổn hại rất lớn. Vì các gói tin khi hệ thống UDP phản hồi thường sẽ lớn hơn nhiều so với yêu cầu (nên gọi là khuyếch đại).

Bạn biết dịch vụ của Cloudflare CDN chứ ? Một dịch vụ phòng chống DDOS phổ biến. Đội ngũ của họ đã tìm hiểu và xác định cuộc tấn công này xuất phát từ khoảng 6000 máy chủ memcached.

Đau đầu hơn, họ còn cho biết rằng hiện tại trên thế giới có hơn 93.000 máy chủ tương tự như trên. Cho nên, tiềm lực tấn công trong tương lai với sức công phá còn lớn hơn gấp nhiều lần. Chúng ta nên tìm hiểu cách khắc phục sớm nhất có thể.

Chuẩn bị

Cài đặt Python (bản 3.0 trở lên) để làm công cụ tấn công.

apt-get install python3

Cài thêm hai Module là scapy và shodan.

pip install scapy
pip install shodan

Thực hiện

Đầu tiên, chúng ta sẽ sử dụng Shodan API. Nhưng để sử dụng được, bạn cần có một API của Shodan. Truy nhập vào link bên dưới để đăng ký sử dụng Shodan API.

Register Shodan API

Nhớ bỏ qua quảng cáo để ủng hộ Anonyviet nha.

Tuy nhiên, để có được key miễn phí mà không mất tiền bạn phải dùng mail edu. Để họ hiểu là bạn là sinh viên và dùng cho mục đích học tập nên miễn phí. Mã bảo mật của memchached đã được dông bố.

Sử dụng Docker

Bạn có thể dùng Alpine để triển khai tool này lên trên Server và sử dụng. Xem video demo bên dưới nhá.

git clone https://github.com/649/Memcrashed-DDoS-Exploit.git
cd Memcrashed-DDoS-Exploit
echo "SHODAN_KEY" > api.txt
docker build -t memcrashed .
docker run -it memcrashed

Nhớ nhập ‘y’ hoặc ‘n’ khi được yêu cầu nhấn tương tác nhé. Y là yes, N là no.

Download Tool Memcrashed-DDoS-Exploit

Đây là tool được viết bằng python và dùng ở bản 3.0 trở lên nhé.

Xem cách sử dụng kết hợp với Shodan và Docker trong video phía trên nhé.

Download

Giải pháp xử lý hình thức tấn công mới này

Trong khi chờ đợi biện pháp khắc phục triệt để bạn nên tạm thời phòng ngừa. Dưới đây là danh sách những điều bạn cần làm hiện tại để ngăn ngừa.

Đối với người dùng memcached

Nếu bạn đang sử dụng thì hãy tắt hỗ trợ UDP nếu không sử dụng nó. Tại memcached startup có thể chỉ định –listen 127.0.0.1 để listen trên localhost và -U 0 để hoàn toàn vô hiệu hóa phương thức UDP.

Vì mặc định thì memcached listen trên INADDR_ANY và chạy nếu bạn mở giao thức UDP. Mình sẽ để một tài liệu tiếng anh từ các chuyên gia Github trong link dưới đây. Nếu bạn hứng thú có thể vào để nghiêng cứu sâu.

Xem tài liệu

Nhớ bỏ qua quảng cáo để ủng hộ mình nha.

Để kiểm tra máy chủ của bạn có bị lỗi hay không hãy dùng câu lệnh đơn giản sau:

$ echo -en “\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n” | nc -q1 -u 127.0.0.1 11211

Nếu như có kết quả trả về như trong ảnh dưới đây thì chứng tỏ máy chủ của bạn gặp lỗi. Còn nếu không có kết quả phản hồi thì máy chủ của bạn tạm an toàn.

Giải pháp cho quản trị hệ thống

Bạn nên làm là cài đặt tường lửa (firewall) ngăn chặn mọi kết nối đến port 11211. Nếu muốn kiểm tra chúng có bị truy cập qua giao thức UDP được không thì có thể dùng lệnh “echo” để kiểm tra như cách trên.

Hoặc dùng lệnh nmap để kiểm tra trạng thái của port 11211 trên Server.

$ nmap TARGET -p 11211 -sU -sS –script memcached-info
Starting Nmap 7.30 ( https://nmap.org ) at 2018-02-27 12:44 UTC
Nmap scan report for xxxx
Host is up (0.011s latency).
PORT      STATE         SERVICE
11211/tcp open          memcache
| memcached-info:
|   Process ID           21357
|   Uptime               41557524 seconds
|   Server time          2018-02-27T12:44:12
|   Architecture         64 bit
|   Used CPU (user)      36235.480390
|   Used CPU (system)    285883.194512
|   Current connections  11
|   Total connections    107986559
|   Maximum connections  1024
|   TCP Port             11211
|   UDP Port             11211
|_  Authentication       no
11211/udp open|filtered memcache

Giải pháp cho nhà phát triển web

Điều tốt nhất là chúng ta nên ngừng sử dụng giao thức UDP. Nhưng nếu bạn bắt buộc phải dùng thì vui lòng không kích hoạt nó theo mặc định. Nếu bạn buộc phải sử dụng UDP hãy đảm bảo gói tin bằng hoặc nhỏ hơn yêu cầu gửi tới. Tránh hiệu ứng khuếch đại khi gói tin DDOS gửi đến.

Like Fanpge hoặc theo dõi website để cập nhật nhanh các bài viết hay.

Chúc bạn thành công
Lmint.

Câu hỏi thường gặp

Memcached là gì và tại sao nó lại dễ bị tấn công DDoS?

Memcached là một hệ thống lưu trữ dữ liệu trong bộ nhớ, được sử dụng để tăng tốc độ truy xuất dữ liệu. Tuy nhiên, tính năng này cũng tạo ra điểm yếu, cho phép kẻ tấn công lợi dụng để khuyếch đại sức mạnh tấn công DDoS lên nhiều lần.

Github có phải là nạn nhân của tấn công DDoS Memcached?

Đúng vậy, Github là một trong những nạn nhân nổi tiếng của cuộc tấn công DDoS Memcached, trải nghiệm sự gián đoạn dịch vụ nghiêm trọng.

Làm thế nào để phòng chống tấn công DDoS Memcached?

Việc phòng chống đòi hỏi nhiều biện pháp, bao gồm cập nhật phần mềm, cấu hình bảo mật chặt chẽ cho máy chủ Memcached và sử dụng các dịch vụ CDN có khả năng chống DDoS.

Đây là Email thông báo của bên VPS:

Lưu lượng gửi đi vượt quá 6876,54 Mb/s

Do đó có thể nói Code này dồn tổng lực Traffic của VPS để request hết vào Victim

Đây là Code DDOS UDP, nên các bác cứ nhầm vào IP mà táng nhé, ai có Host thì chơi Host, ai có VPS thì chơi VPS  🙄 .

Còn nếu muốn chơi một mất một còn, DDOS vào Router nhà thằng hàng xóm, thì dụ lấy được cái IP WAN nhà nó rồi. Rồi cài Xampp trên máy tính của bạn để thực thi file PHP. Nếu bạn nào chưa biết sử dụng Xampp thì comment ở dưới, mình sẽ làm 1 bài chi tiết về nó

Các bạn Save Code dưới dây thành file ddos.php rồi up lên Host tùy ý, do Code này mang tính chất nguy hiểm nên có một số Hosting sẽ tự động xóa không cho Up lên

Download

Password: anonyviet.com

]]> https://anonyviet.com/share-code-ddos-php-manh-trung-binh/feed/ 15 https://anonyviet.com/tool-ddos-xoic-1-3-cu-nhung-chat/ https://anonyviet.com/tool-ddos-xoic-1-3-cu-nhung-chat/#comments Sun, 04 Sep 2016 10:37:42 +0000 http://anonyviet.com/?p=2171 1. Tính năng

XOIC là một công cụ để thử nghiệm việc tấn công DoS. Công cụ này tấn công theo hình thức DoS đến bất kỳ một địa chỉ IP, với cổng và giao thức tùy chọn. Công cụ này còn cho phép thử nghiệm với 3 chế độ: Test Mode, SEMDA MESSAGE, MAKE A DoS.
XOIC là một tool thử nghiệm mạnh mẽ hơn tools DoS LOIC (Low orbit cannon). Nguyên nhân là do XOIC đã bỏ qua những thứ liên quan đến hiệu suất tạo gói tin tấn công mục tiêu (ví dụ như yêu cầu truy cập, các message TCP, UDP, ICMP, …). Đồng thời tools này còn hơn LOIC ở chỗ nó cho phép tùy chọn 3 chế độ thử nghiệm phù hợp với mục đích người dùng.
Một số tính năng chính:
– Thử nghiệm khả năng chịu tải của dịch vụ bằng hình thức DoS.
– Cho phép khả năng tùy chọn các loại gói tin để tấn công: TCP, UDP, ICMP.
– Thử nghiệm theo 3 chế độ phù hợp với nhu cầu người dùng.
Ø TEST MODE: chế độ kiểm tra cho bạn biết thời gian máy chủ đáp ứng được số request được tạo ra từ bạn.
Ø SEMDA MESSAGE: tấn công DoS cho phép tùy chọn message các gói tin TCP/UDP/ICMP.
Ø MAKE A DoS: chế độ tấn công DoS – Normal (Không yêu cầu truy cập và mặc định message cho các gói tin HTTP TCP UDP ICMP).

2. Hướng dẫn sử dụng

Bước 1: Chạy phần mềm.
Bước 2: Nhập địa chỉ IP của mục tiêu vào ô IP và cổng để tấn công.

Bước 3: Chọn kiểu gói tin TCP, UDP, HTTP.
Bước 4: Chọn chế độ tấn công:
– TEST MODE.
– SEMDA MESSAGE.
– MAKE A DoS.

Lưu ý nếu muốn ddos vào Router thì chọn port 53, phương thức UDP nhé

3. Kết quả thực nghiệm

Ở đây tôi đã thử nghiệm tool này với mục đích xem khả năng nó hoạt động, số lượng mỗi gói tin sinh ra, kích thước gói tin ở mỗi loại TCP, UDP, ICMP với 3 chế độ tấn công TEST MODE, SEMDA MESSAGE, MAKE A DoS.
Ở đây mình thử nghiệm DoS tên miền google.com.vn và sử dụng wireshark để bắt các gói tin được tạo ra và tập chung xem đây là loại gói tin gì ? kích thước như thế nào ? số lượng bao nhiêu ?
Đối với chệ độ TEST MODE đây là chế độ kiểm tra cho bạn biết thời gian máy chủ đáp ứng được số request được tạo ra từ bạn.
Kết quả:

Ta thấy đối với 2 loại gói tin là TCP và ICMP thì thời gian đáp ứng với 2 loại này là tương đương với nhau. Còn với gói tin UDP thì thời gian đáp ứng là tương đối nhanh nhỏ hơn hoặc bằng 1s đối với 10000 connect.

Từ kết quả thực nghiệm ta nhận thấy khi thử nghiệm chế độ Send Message nếu ta để mặc định thì cả về kích thước hay tốc độ sinh gói tin cũng gần tương đương với Make A DoS. Và còn một điều lưu ý khi thử nghiệm đối với gói tin UDP ở cả hai chế độ Send Message và Make A DoS, nó sẽ gây ảnh hưởng tới mạng lan mà bạn đang ở trong đấy để để thử nghiệm, khiến việc truy cập mạng của các máy tính khác bị chậm, do vậy mọi người lưu ý khi sử dụng tool này.