Lưu ý 2: Bài viết này để các bạn làm quen với Python và các Module Python, chứ không phải viết Tool DDoS để đi tấn công người khác, khi viết xong, tuyệt đối không sử dụng Tool lên hệ thống không phải do bạn của bạn quản lý.

Lưu ý 3: Thật ra đây là Tool DoS, không phải DDoS, mình ghi DDoS trong tiêu đề để các bạn dễ phân biệt giữa Deny of service và MS-DOS

Hôm nay mình sẽ hướng dẫn cho các bạn cách làm tool TCP Flood đơn giản bằng Python. Đây là 1 công cụ khá là mạnh, có thể khiến máy các bạn hoặc máy các bạn mà muốn tấn công sẽ tràn ngập 1 số gói rác được gửi đến và khiến cho CPU tăng cao lên đến 100%. Nếu máy nào yếu thì chắc sẽ bị sập hoặc mua máy mới quá.

Trước khi vào viết tools thì mình muốn cho các bạn hiểu biết về Dos và nâng cao của DoS là DDoS. Vậy, Dos là gì? Và cách thức hoạt động của DoS ra sao? Bạn cần đọc kỹ bài DDOS là gì trước khi thực hành nội dung bên dưới.

Bắt đầu viết Tool DDoS đơn giản bằng Python

Đầu tiên các bạn phải Download Python. Các bạn có thể lên Youtube xem cách tải, tải Python cũng khá đơn giản lên mình cũng không hướng dẫn trong bài viết này.

Cài đặt Python: ở màn hình cài đầu tiên nhớ check vào dòng Add python x.x to path

Bây giờ các bạn mở CMD trên máy Windows lên và nhập lệnh: pip install termcolor , đây là thư viện màu chữ thôi, còn ai không thích có thể bỏ qua.

Do đây là Tool DoS, sử dụng tài nguyên từ Modem và PC của bạn nên chỉ hoạt động tốt trong môi trường mạng LAN, nếu tấn công ra bên ngoài thì khá yếu và đôi khi bị phản dame nhé.

Ok, giờ thì các bạn sẽ import các module sau:

Sau khi import xong, các bạn tiến hành trang trí giao diện cho tool, cái này trang trí cho đẹp, còn ai không thích trang trí có thể vào viết code luôn.

Các bạn nào muốn trang trí giống như mình thì có thể lên google gõ từ khóa figlet online rồi vào trang web bất kì để lấy mẫu.

Như các bạn thấy đấy, câu code os.system('cls') đây là dòng code thực thi lệnh trên cmd của hệ thống, khi các bạn chạy tool thì câu code này sẽ xóa hết tất cả các chữ hiện có trên cmd chỉ còn lại một mình dòng chữ DOS bự chà bá to ở dưới.

À mà còn 1 một vấn đề nữa là từ colored đây là 1 module của termcolor và các bạn để ý có những từ như ‘red’, ‘green’,….. ở cuối câu code thì đó là màu sắc của chữ mà bạn muốn in ra.

OK, vậy chúng ta sẽ thực hiện bước tiếp theo thôi:

Giờ chúng ta viết 1 đoạn code ngắn để lấy dữ liệu đầu vào của người dùng hay còn gọi là “input”.

Tại đây, các bạn có thể tạo 1 biến bất kì, rồi chúng ta sẽ lấy input của người dùng. 

Các bạn có thể thấy đấy,str là 1 chuỗi kí tự trong Python, nên vì các số IP thường có các chuỗi kí tự khác nhau được cách bởi dấu chấm nên mình đặt nó là ‘str’. Còn ‘int’ viết tắt là Integer là một kiểu dữ liệu, được sử dụng trong Python để biểu diễn các số nguyên.

Như vậy đã xong. Giờ mình sẽ tiến hành trang trí phần tấn công. Mình trang trí để nhìn cho bố đời, còn các bạn nào không thích thì bỏ qua cũng được.

Ok, đây chính là giao diện code khi tool hoạt động tấn công. Câu code đầu, câu code 2 và thư viện màu chữ mình cũng đã giải thích rồi nên thôi.

Giờ vào vấn đề quan trọng nhất cho tool hoạt động đây.

Các bạn tiến hành tạo cho mình một hàm và 2 biến bất kì như trong hình.

Tại đây mình tạo 1 hàm tên là syn() và 2 biến có tên là hevin và bb.

Các bạn thấy thấy biến 1. Mình đã gọi module random có sẵn trong Python và đã import nó ở bước đầu tiên, sau từ random là từ urandom , cả 2 đều là hàm băm ngẫu nghiên được cài đặt một bộ tạo số giả ngẫu nhiên và chứa các hàm cho phép chúng ta giải quyết trực tiếp nhiều vấn đề lập trình khác nhau sử dụng đến tính ngẫu nhiên. Còn về biến bb thì mình để số nguyên là 0.

Nào, các bạn hãy tạo cho mình 1 vòng lặp while True: đây là vòng lặp giúp 1 đoạn mã nào đó hoạt động lặp đi lặp lại cho đến khi mình muốn dừng thì thôi.

Giờ các bạn tạo 1 cặp try, except để bắt lỗi trong Python:

Đầu tiên mình tạo 1 biến có tên là h trong biến đó mình đã gọi module socket được tích hợp sẵn trong Python. Socket là các endpoint của một kênh giao tiếp hai chiều. Nó sử dụng để kết nối với một chương trình khác chạy trên một máy tính khác trên Internet. Một chương trình mạng có thể sử dụng nhiều socket cùng một lúc, nhờ đó nhiều chương trình có thể sử dụng Internet cùng một lúc.

Tiếp theo là h.connect đây là mình kết nối với ip và port của máy tấn công

Tiếp đến là h.send(hevin), mình dùng câu code này để gửi cho máy nạn nhân những thông số ngẫu nghiên từ 0 đến 900, như vậy là đủ rồi, còn các bạn nào muốn chỉnh cao hơn thì tùy ý.

Tiếp theo nữa :>>, chính là Hàm range() trong Python vốn được sử dụng để tạo ra một đối tượng chứa các phần tử là dãy số gồm các số liên tiếp từ 0 đến một giá trị, mà giá trị đó không vượt qua đối số được chỉ định mà các bạn đã tạo input cho người dùng nhập

Câu code tiếp theo thì mình đã giải thích lúc nãy rồi nhé bây giờ chúng ta sẽ giải thích bb+=1 nhé:

Câu code có thể được dịch là “thêm bất cứ thứ gì ở bên phải dấu += vào biến ở bên trái dấu +=.

Ví dụ. Nếu bạn cóa = 10 thì a += 5 sẽ là: a = a + 5

Vì vậy, “a” bây giờ bằng 15.

Còn phần in kia mình cũng đã giải thích như trên rồi

Chúng ta đến phần ‘except’ nào

Tại đây mình dùng KeyboardInterrupt để khắc phục lỗi khi dừng tool. Để tool dừng lại chúng ta nhấn tổ hợp phím Ctrl+C để dừng. Còn nếu bạn nào không thích thì các bạn dùng except:  thôi cũng được.

Đến phần h.close() mình đã gọi hàm close() để mỗi lần dừng lại thì tool sẽ ngừng chạy. Còn phần print(….) mình sẽ giải thích qua là mỗi khi bạn cho tool dừng lại thì sẽ hiện ra Done.

Đến phần cuối cũng thôi !!!!

Ở phần cuối là phần for i in range(thread) mình cũng đã giải thích cho các bạn như ở trên rồi nên bỏ qua

Tiếp đến 2 câu code cuối cũng, mình đã tiến hành gọi module threads được có sẵn trong Python đây là 1 module đa luồng. Như vậy ta có thể hiểu Thread là một đơn vị cơ bản trong CPU. Một luồng sẽ chia sẻ với các luồng khác trong cùng process về thông tin data, các dữ liệu của mình. Việc tạo ra thread giúp cho các chương trình có thể chạy được nhiều công việc cùng một lúc.

Không những vậy Python cung cấp thread Module và threading Module để bạn có thể bắt đầu một thread mới cũng như một số tác vụ khác trong khi lập trình đa luồng. Mỗi một Thread đều có vòng đời chung là bắt đầu, chạy và kết thúc. Một Thread có thể bị ngắt (interrupt), hoặc tạm thời bị dừng (sleeping) trong khi các Thread khác đang chạy – được gọi là yielding.

Tổng hợp Code DoS ở trên bạn có tải từ Github của mình. Nhưng mình khuyên bạn nên tập code theo hướng dẫn bên trên để hiểu hơn về Python thay vì tải sẵn về sử dụng, như vậy sẽ không nâng cao được kiến thức lập trình.

Cách sử dụng Tool:

Sau khi làm xong, các bạn mở cmd trên máy và trỏ đến tệp mà các bạn đã đặt (name).py rồi nhập lệnh

python (name).py

Lúc này giao diện tool của các bạn đã làm sẽ hiện trên màn hình cmd yêu cầu các bạn nhập các thông số: IP máy cần tấn công, Port ( cổng ) máy tính, Threads ( luồng tấn công ), Packet ( số lượng gói cần gửi ).

Kết Quả Tấn Công:

Như các bạn thấy đấy, mình nhập thông số vô cùng thấp nhưng kết quả của cuộc tấn công đạt hiệu quả rất cao. Các bạn lưu ý khi test trên chính máy của mình đấy =)). Mình để có hơn 5s máy mình đã lên đến 76% CPU rồi

VẬY LÀ MÌNH ĐÃ HƯỚNG DẪN CÁC BẠN XONG CÁCH VIẾT TOOL DOS BẰNG PYTHON. Hy vọng bạn sẽ bắt đầu tìm hiểu Python cơ bản với bài viết này. Mình mong các bạn không nên sử dụng tool Dos này vào mục đích xấu thay vào đó các bạn có thể nghiên cứu cách phòng chống và ngăn chặn nhé.

Tác giả: Van Son

Câu hỏi thường gặp

Tool này có thực sự là một công cụ DDoS không?

Không, tool này thực chất là một công cụ DoS (Denial of Service), chứ không phải DDoS (Distributed Denial of Service). Bài viết sử dụng thuật ngữ “DDoS” trong tiêu đề để thu hút người đọc, nhưng nội dung bài viết giải thích rõ ràng về điểm khác biệt.

Tôi có thể sử dụng tool này để tấn công các hệ thống khác không?

Không nên. Bài viết nhấn mạnh rằng tool này chỉ dành cho mục đích nghiên cứu và học hỏi. Sử dụng tool này để tấn công các hệ thống mà bạn không được phép truy cập là vi phạm pháp luật và có thể dẫn đến hậu quả nghiêm trọng.

Tool này hoạt động hiệu quả như thế nào?

Tool này hoạt động bằng cách gửi một lượng lớn các gói tin rác đến mục tiêu, làm quá tải hệ thống và gây ra tình trạng gián đoạn dịch vụ. Hiệu quả của tool này phụ thuộc vào cấu hình của máy chủ mục tiêu và mạng lưới của bạn. Nó hoạt động tốt hơn trong mạng LAN.

Tấn công từ chối dịch vụ phân tán là gì?

Trong các cuộc tấn công DDoS, một số lượng lớn các “bot” tấn công vào máy tính mục tiêu. Vậy nên sẽ có nhiều thực thể tấn công một mục tiêu, điều này giải thích phần “phân tán”. Các bot là những máy tính bị nhiễm lây lan trên nhiều nơi khác nhau. Không có một máy chủ duy nhất. Bạn cũng có thể là một bot mà không biết đó.

Khi những kẻ tấn công DDoS điều khiển bot tấn công vào một mục tiêu nhất định, nó sẽ có một số hậu quả khá khó chịu. Quan trọng nhất, một cuộc tấn công DDoS nhằm mục đích kích hoạt phản hồi “từ chối dịch vụ” cho những người sử dụng hệ thống mục tiêu. Điều này làm cho mạng mục tiêu bị sập. Nếu bạn liên tục gặp khó khăn khi truy cập vào một trang web, thì rất có thể bạn đã gặp phải một cuộc tấn công DDOS. Và có thể mất vài giờ hoặc vài ngày để hệ thống phục hồi.

Tấn công DDoS hoạt động như thế nào?

Hãy tưởng tượng, chiếc cầu được xây dựng chỉ cho phép 4 chiếc xe chạy cùng một lúc. Một hôm, bạn huy động cả lớp học với 20 chiếc xe cùng qua cầu, thế là cầu bị sập. DDos cũng tương tự như thế, phần cứng chỉ chịu tải được 4 kết nối cùng lúc, và Hacker huy động 20 máy tính khác cùng truy cập vào thế là Web bị sập.

Tại sao các cuộc tấn công DDoS lại gây ra nhiều thiệt hại như vậy? Máy chủ có cấu hình phần cứng nhất định – chúng không phải là trung tâm xử lý vô hạn. Khi vượt quá giới hạn dung lượng, các hệ thống trong máy chủ sẽ hành động để bảo vệ chính nó. Thường khi bị DDOS, các hệ thống này sẽ bật firewall hoặc tắt mạng để tránh cuộc tấn công.

Nói chung, những kẻ tấn công sử dụng nhiều kỹ thuật từ chối dịch vụ khác nhau để tấn công các mục tiêu – từ các gói dữ liệu đến tin nhắn hoặc yêu cầu kết nối. Tất cả những kỹ thuật này có tác dụng khiến hệ thống mục tiêu trở nên chậm chạp và bị rối loạn các chức năng.

Để làm được điều này, những kẻ tấn công DDoS cần phải kiểm soát một đội quân bot (hoặc mạng botnet). Cách này hơi khó khăn. Tuy nhiên, bằng cách sử dụng các kỹ thuật xã hội (chẳng hạn như phishing) để phát tán phần mềm độc hại hoặc lôi kéo người dùng tải file xấu, tin tặc có thể tạo ra các mạng botnet  mà họ cần.

Sau khi những kẻ tấn công lây nhiễm vào hệ thống của bạn, hệ thống sẽ trở thành một “bot”. Bạn không còn toàn quyền kiểm soát những gì máy tính của bạn thực hiện khi trực tuyến. Thay vào đó, quyền kiểm soát được chuyển cho “master”, người điều khiển các cuộc tấn công DDoS. Để làm như vậy, các “master” phải kết hợp các bot lại với nhau thành botnet và điều phối chúng thông qua phần mềm đặc biệt.

Các mạng botnet này có thể rất lớn. Ví dụ, có những ước tính cho rằng Srizbi bao gồm hơn 450.000 bot. Và những lực lượng khổng lồ này sẽ tiếp tục gây chiến với người dùng web trên toàn thế giới, và mang lại các kết quả không mấy tốt đẹp.

Các kiểu tấn công DDoS chính

Khi chúng ta nói đến một cuộc tấn công DDoS, nó thường có nghĩa là một cuộc tấn công quy mô lớn nhằm đánh sập một mục tiêu cụ thể. Tuy nhiên, có một số biến thể về cách thức hoạt động của các cuộc tấn công DDoS. Thông thường, điều này phụ thuộc vào mạng bị tấn công.

Kết nối mạng bao gồm nhiều thành phần, vì vậy một cuộc tấn công DDoS có thể nhắm mục tiêu vào bất kỳ thành phần nào trong số chúng để đánh sập hệ thống. Trong mô hình kiến ​​trúc mạng OSI, các thành phần này thường được gọi là các lớp – và chúng giúp chúng ta mô tả quá trình kết nối:

Application layer (Layer 7) – lớp trên cùng chỉ định các giao thức cho các tương tác với mạng

Presentation layer (Layer 6) – đảm bảo rằng dữ liệu ở định dạng chuẩn hóa mà hai hệ thống riêng biệt hiểu được

Session layer (Layer 5) – là một cơ chế quản lý các phiên làm việc mở dành cho các trao đổi cụ thể

Transport layer (Layer 4) – đảm bảo sự xuất hiện của gói tin và xác nhận việc tiếp nhận của chúng

Network layer (Layer 3) – chịu trách nhiệm định tuyến các gói dữ liệu thông qua các trung gian như bộ định tuyến và máy chủ

Datalink layer (Layer 2) – tổ chức dữ liệu thành các gói sẵn sàng được gửi đi

Physical layer (Layer 1) – xác định việc truyền các bit thô qua các liên kết dữ liệu vật lý

Theo nghĩa này, các cuộc tấn công DDoS được chia thành ba loại: tấn công lớp ứng dụng, tấn công giao thức và tấn công tập trung vào mạng, tùy thuộc vào lớp mà chúng nhắm mục tiêu.

Các cuộc tấn công Lớp ứng dụng (Layer 7)

Tấn công DDOS Layer 7 một loại tấn công DDoS nhắm vào lớp ngoài cùng, lớp này chỉ định các giao thức và phương thức giao diện để trao đổi dữ liệu. Mục đích là để lợi dụng những điểm yếu này để làm cho mạng bị sập hoặc khiến mạng trở nên chậm hơn. Bạn sẽ thường thấy DDOS Layer 7 vào mục tiêu là “domain” – tên miền.

BGP Hijacking – nhắm mục tiêu đến Giao thức Border Gateway được sử dụng để chuẩn hóa dữ liệu định tuyến và trao đổi thông tin. Cuộc tấn công lớp ứng dụng này nhằm mục đích định tuyến lưu lượng truy cập Internet đến một đích không mong muốn bằng cách mạo danh quyền sở hữu các nhóm địa chỉ IP thông qua các tiền tố IP. Thông tin này có thể nhanh chóng lan truyền sang các mạng khác, định tuyến người dùng đến các trang web không chính xác.

Tấn công Slowloris – nhắm mục tiêu đến các yêu cầu kết nối HTTP để giữ cho càng nhiều kết nối mở đồng thời càng tốt. Nhằm tấn công vào khả năng xử lý của các máy chủ. Nó chỉ ảnh hưởng đến máy chủ web, làm chậm đáng kể và từ chối các yêu cầu từ người dùng thực.

Tấn công Slow POST – một cuộc tấn công Slow POST hoạt động bằng cách gửi các header HTTP POST được chỉ định chính xác đến máy chủ web được nhắm mục tiêu. Tuy nhiên, phần body của tiêu đề được cố tình gửi đi với tốc độ rất thấp. Vì header là hợp pháp nên máy chủ sẽ phản hồi yêu cầu. Nếu máy chủ nhận được hàng nghìn yêu cầu này, nó có thể nhanh chóng từ chối tất cả các yêu cầu khác, làm nhồi nhét tài nguyên của máy chủ.

Tuộc tấn công Slow read – bạn có thể coi cuộc tấn công Slow read như một cuộc tấn công Slow POST bị đảo ngược. Sự khác biệt là trong trường hợp tấn công POST, phương thức này sẽ gửi nội dung thư từ từ. Trong trường hợp tấn công Slow read, các yêu cầu HTTP được chấp nhận một cách có chủ ý và đọc với tốc độ rất chậm. Máy chủ mục tiêu phải giữ cho các yêu cầu này mở vì quá trình đọc đang diễn ra, làm cạn kiệt tài nguyên của máy chủ, đặc biệt là trong các trường hợp có mạng botnet lớn.

Tấn công Low and slow – kiểu tấn công này có thể nhắm mục tiêu Transmission Control Protocol (TCP) thông qua các phiên HTTP hoặc TCP với tốc độ siêu chậm. Đó là một phương pháp để tấn công một cách từ từ và đều đặn đến máy chủ làm ngập đường ống và từ chối yêu cầu kết nối của người dùng thực. Cuộc tấn công này yêu cầu ít tài nguyên hơn để thực thi và thậm chí có thể thực hiện được mà không cần mạng botnet. Thêm vào đó, nó bỏ qua các phương pháp phòng thủ giảm thiểu DDoS thông thường vì các gói được gửi là từ người dùng thực.

Tấn công POST có payload lớn – kiểu tấn công này khai thác mã hóa ngôn ngữ  (XML) được sử dụng bởi máy chủ web để trao đổi qua HTTP. Trong trường hợp này, máy chủ web nhận dữ liệu được mã hóa bằng XML. Tuy nhiên, dữ liệu bị kẻ tấn công thay đổi để một khi nó nằm trong bộ nhớ, kích thước của nó sẽ lớn hơn gấp nhiều lần. Nếu máy chủ nhận được một số lượng lớn các yêu cầu này, bộ nhớ của nó sẽ nhanh chóng bị cạn kiệt.

Bắt chước quá trình duyệt web của người dùng – Cuộc tấn công DDoS này bắt chước các kiểu duyệt web của người dùng thực. Tuy nhiên, đây thực sự là một mạng botnet quy mô lớn. Mỗi bot bắt chước người thật truy cập vào các trang web, tạo ra lượng khách truy cập tăng đột biến.

Các cuộc tấn công giao thức

Các cuộc tấn công giao thức nhằm vào quá trình truyền dữ liệu, khai thác các lớp truyền tải và mạng. Chúng nhắm mục tiêu đến các giao thức xác thực của các phương thức kết nối. Kiểu tấn công này tích lũy áp lực bằng cách bắt nạt các bức tường lửa và gửi các gói tin bị lỗi làm hỏng hệ thống.

SYN floods – cuộc tấn công này khai thác các lỗ hổng trong hệ thống bắt tay TCP, hệ thống này yêu cầu một request SYN, gói SYN-ACK và ACK để xác thực trao đổi. Kẻ tấn công gửi request SYN đến máy chủ, máy chủ phản hồi bằng một thông báo SYN-ACK, chờ xác nhận ACK từ máy khách. Tuy nhiên, hacker đã thiết lập thiết bị của mình theo cách mà gói ACK không bao giờ đến, khiến máy chủ bị treo. Bởi vì có một số lượng tương tác TCP có thể xảy ra đồng thời trên một máy chủ nhất định, số lượng yêu cầu này cao hơn có thể nhanh chóng gây ra sự cố.

Tấn công gói tin bị phân mảnh (Fragmented packet attacks) – kiểu tấn công này nhắm vào dung lượng tối đa của Internet Control Message Protocol. Có một kích thước được xác định trước mà thông tin liên lạc internet thông thường không thể vượt quá. Sau đó kẻ tấn công sẽ phân mảnh gói tin và gửi nó thành nhiều phần. Sau khi máy chủ nhận và tập hợp các mảnh lại thành gói tin, nó sẽ trả về một lỗi, làm hỏng hệ thống.

Tấn công phân mảnh IP/ICMP (IP/ICMP fragmentation attack) – cuộc tấn công này được thiết lập bằng cách gửi các gói dữ liệu độc hại vượt quá đơn vị truyền tải tối đa. Trong trường hợp này, nếu một gói tin quá lớn, nó sẽ được chuyển sang lưu trữ tạm thời. Khi đó, nó sẽ chèn bộ nhớ, khiến các yêu cầu khác bị từ chối.

Smurf DDoS – cuộc tấn công này khai thác Giao thức Internet Control Message với IP giả mạo của nạn nhân để tạo các vòng truy vấn vô hạn. Kẻ tấn công sử dụng nạn nhân làm mồi nhử, khuếch đại các truy vấn được tạo ra từ mạng máy chủ. Nó hoạt động như thể các truy vấn được yêu cầu từ mục tiêu, làm tràn các phản hồi.

Tấn công vào hạ tầng mạng

Các tấn công vào hạ tầng mạng liên quan đến việc tấn công các mục tiêu bằng các gói dữ liệu. Kiểu tấn công này tích lũy một lượng truy cập khổng lồ. Nó hướng đến các máy chủ không thể duy trì tải đầy đủ trong một thời gian dài và sẽ gặp sự cố.

Tấn công tràn HTTP (HTTP flooding attack) – kiểu tấn công này áp đảo máy chủ mục tiêu với một số lượng lớn các yêu cầu HTTP. Quá nhiều yêu cầu được xử lý khiến người dùng thực sự có ít tài nguyên hơn. Vậy nên máy chủ sẽ từ chối người dùng thực vì đang bận trả lời các truy vấn của bot.

Tấn công tràn ICMP (ICMP flood attack) – Đây là loại tấn công phổ biến nhất. Nó hoạt động bằng cách gửi một số lượng lớn các yêu cầu Giao thức Internet Control Message, còn được gọi là ping. Mỗi khi máy chủ nhận được một yêu cầu như vậy, nó phải chẩn đoán tình trạng mạng của nó. Điều này làm cạn kiệt tài nguyên và mất nhiều thời gian hơn để tạo truy vấn.

IPSec flood – cuộc tấn công này nhắm mục tiêu vào máy chủ VPN của nạn nhân. Kẻ tấn công gửi một khối lượng lớn các yêu cầu IKE IPSec, khiến máy chủ phản hồi với lưu lượng được chuyển hướng. Sau khi giao thức tunnel IKEv2 ra đời, lỗ hổng này phần lớn đã được giải quyết.

Tấn công UDP flood – kiểu tấn công này sử dụng một số lượng lớn các yêu cầu Giao thức dữ liệu người dùng (UDP), được gửi nhanh hơn mức mà máy chủ có thể đáp ứng. Do tác động tích lũy thêm của việc bị tấn công với các yêu cầu không trả về đích, ngay cả tường lửa của máy chủ cũng có thể sập. Điều này cũng ngăn hệ thống phản hồi các yêu cầu thực.

Các cuộc tấn công khuếch đại phản xạ (Reflection amplification attacks) – cuộc tấn công này hoạt động bằng cách gửi một khối lượng lớn các gói UDP có địa chỉ IP giả mạo đến một máy chủ DNS. Về cơ bản, nó gửi chúng đến IP của nạn nhân. Mục tiêu bị tấn công bởi một loạt các phản hồi như thể nạn nhân đã truy cập tất cả các máy chủ này. Điều này cho phép hacker ẩn danh, quấy rối người dùng bằng những đợt truy cập tăng đột biến làm tắc nghẽn băng thông.

Sự nguy hiểm của các cuộc tấn công DDoS

Có rất nhiều lý do bạn nên ngăn chặn các mối đe dọa do các cuộc tấn công DDoS và mạng botnet gây ra. Dưới đây là một vài ví dụ về những gì có thể xảy ra nếu khả năng phòng thủ của hệ thống bị giảm.

Các hệ thống thương mại có thể bị lỗi – vào năm 2018, nhà điều hành đường sắt DSB của Đan Mạch đã trở thành nạn nhân của một cuộc tấn công DDoS và nó đã phá hủy lịch trình định tuyến của họ. Hệ thống bán vé đã ngừng hoạt động và các chuyến tàu chạy chậm lại để bảo vệ an toàn cho người lái.

Sự cố máy chủ game bị gián đoạn – vào năm 2016, thế giới game trực tuyến đã rung chuyển khi phát hiện ra cuộc tấn công mạng botnet Mirai. Trong trường hợp này, những kẻ tấn công đã tìm cách đánh sập các máy chủ Minecraft. Cuộc tấn công này không chỉ làm gián đoạn những người chơi Minecraft trên toàn thế giới. Điều tồi tệ hơn nữa là thực tế mạng botnet này đã “lừa đảo”, gây ra thiệt hại trên khắp các máy chủ ở miền đông Hoa Kỳ.

Phá sản – vào năm 2014, công ty internet Code Spaces đã chứng minh mình là một ví dụ tuyệt vời cho trường hợp xấu nhất do các cuộc tấn công DDoS. Sau nhiều lần tấn công, trung tâm mã hóa đã đóng cửa. Đây là điều có thể xảy ra với bất kỳ tổ chức nào nếu bạn không có kế hoạch ngăn chặn các kẻ tấn công DDoS.

Một trong những khía cạnh tồi tệ nhất của các cuộc tấn công DDoS là rất khó phát hiện hệ thống của bạn có bị xâm phạm hay không. Mặc dù có một số ảnh hưởng đến tốc độ kết nối, nhưng hầu hết người dùng hầu như không nhận thấy bất kỳ sự khác biệt nào. Thay vào đó, họ tiếp tục các hoạt động trực tuyến bình thường của mình mà không hề hay biết về những thiệt hại mà họ đang tạo ra trên toàn thế giới.

Tuy nhiên, có những hậu quả đối với người dùng hàng ngày. Ví dụ, game thủ có thể thấy tốc độ kết nối giảm và độ trễ tăng đáng kể khi các cuộc tấn công DDoS diễn ra. Một số game như Runescape đã từng là nạn nhân của những cuộc tấn công như vậy, dẫn đến việc nhiều người chơi bị ping khủng khiếp.

Bản đồ tấn công DDoS

Bản đồ tấn công DDoS chỉ là một trong những cách để lọc ra dữ liệu mô tả các hướng tấn công DDoS quy mô lớn, hiển thị chúng trên bản đồ bằng cách sử dụng các bản ghi. Dưới đây là một vài ví dụ được biết đến nhiều nhất.

Bản đồ tấn công DDoS của Arbor Networks

Sản phẩm của sự hợp tác giữa Google Ideas và Arbor Networks là hình ảnh trực quan hóa dữ liệu trực tiếp cũng đóng vai trò là nguồn cung cấp dữ liệu lịch sử và xu hướng của các cuộc tấn công DDoS. Dự án sử dụng dữ liệu được thu thập bởi hệ thống thông minh về mối đe dọa ATLAS độc quyền của họ cộng tác với ISP, và những người đã tự nguyện đồng ý chia sẻ dữ liệu ẩn danh được thu thập.

Bản đồ mối đe dọa Fortinet

Bản đồ mối đe dọa Fortinet hoạt động như một phiên bản demo miễn phí của những gì sẽ xảy ra nếu bạn quyết định chọn tham gia và trở thành người dùng Fortiguard chính thức. Dữ liệu được thu thập từ những người dùng sản phẩm Fortinet ẩn danh, các vụ DDOS nóng hơn được biểu thị bằng các mã màu khác nhau. Người dùng Fortiguard có thể dễ dàng theo dõi mối đe dọa nào có thể xuất hiện trên bản đồ được cá nhân hóa.

Bản đồ mối đe dọa mạng trực tiếp của Bitdefender

Mặc dù Bitdefender nổi tiếng hơn với dịch vụ chống vi-rút, nhưng họ cũng có bản đồ mối đe dọa an ninh mạng nhằm hiển thị các cuộc tấn công DDoS trong thời gian thực. Bạn có thể lọc các báo cáo với các kiểu tấn công và quốc gia mục tiêu khác nhau.

Các cuộc tấn công DDoS lớn nhất

Các cuộc tấn công DDoS quy mô lớn có thể gây ra hậu quả nghiêm trọng ngay cả đối với những người có khả năng để giảm thiểu thiệt hại. Dưới đây là những ví dụ xấu nhất về các cuộc tấn công DDoS trong quá khứ. Hãy nhớ rằng danh sách này chưa đầy đủ.

1. Cuộc tấn công DDoS của CloudFlare vào năm 2014

Vào năm 2014, CloudFlare chuyên về an ninh mạng đã bị tấn công DDoS quy mô lớn. Nó bắt đầu như một cuộc tấn công reflection vào một trong những khách hàng của CloudFlare. Tuy nhiên, do các phương pháp giảm thiểu đe dọa trực tuyến của CloudFlare, máy chủ khác của họ ở Châu Âu đã bị thiệt hại, thiệt hại này là rất lớn ngay cả khi trải rộng trên một số máy chủ khác. Cuộc tấn công này đã khai thác lỗ hổng Network Time Protocol (NTP), sử dụng các máy chủ này để gửi các yêu cầu giả mạo đến nạn nhân, và tấn công các máy chủ khác của CloudFlare.

2. Cuộc tấn công DDoS trên GitHub vào năm 2018

Ví dụ của GitHub cho thấy cảnh báo kịp thời có thể giúp giảm thiểu các cuộc tấn công quy mô lớn như thế nào. Không có mạng botnet lớn. Tuy nhiên, cuộc tấn công này gửi các gói dữ liệu với tốc độ 126,9 triệu gói mỗi giây. Đó là gần 1,4 Terabyte mỗi giây. Nó được thực thi bằng cách làm ngập các máy chủ memcached với các request giả mạo, khuếch đại đáng kể quy mô và chuyển hướng các phản hồi đến mạng GitHub. Prolexic Technologies, nhà cung cấp dịch vụ giảm thiểu DDoS mà GitHub đã sử dụng, đã ngăn chặn các cuộc tấn công này.

3. Cuộc tấn công Dyn năm 2016

Nhà cung cấp Hệ thống tên miền (DNS) Dyn, Inc. đã bị tấn công DDoS nhắm vào hệ thống của họ. Do thực tế là máy chủ DNS chia sẻ nhiều dữ liệu, nên sự cố đã lây sang Paypal, Amazon, Reddit và nhiều trang khác, khiến chúng không thể truy cập được. Cuộc tấn công đã làm gián đoạn các yêu cầu tra cứu DNS và làm tràn các máy chủ DNS của họ bằng cách sử dụng cùng một mạng botnet Mirai.

4. Sự cố của Estonia năm 2007

Năm 2007, Estonia đã di dời một đài tưởng niệm Liên Xô dành riêng cho những người lính đã hy sinh trong Thế chiến II. Không lâu sau, quốc hội Estonia, các cơ quan chính phủ, thậm chí cả các phương tiện thông tấn và đài truyền hình đã phát hiện ra mình đang ở giữa một cuộc tấn công DDoS quy mô lớn. Nhiều người tin rằng Nga đã chỉ đạo các cuộc tấn công. Tuy nhiên, vì họ không tuân theo yêu cầu của người Estonia để điều tra, nên cuộc tấn công này vẫn còn là một bí ẩn.

Cách ngăn chặn các cuộc tấn công DDoS

Điều khó khăn nhất trong việc ngăn chặn các cuộc tấn công DDoS là không có giải pháp nhanh gọn nào có thể bảo vệ bạn. Tuy nhiên, vẫn có một số cách có thể được thực hiện để giảm thiểu rủi ro có thể xảy ra.

• Giám sát: Nếu bạn đang điều hành một doanh nghiệp, bạn nên tích cực giám sát mạng của mình để tìm tất cả các loại mối đe dọa có thể xảy ra, các cuộc tấn công DDoS chỉ là một trong những mối đe dọa có thể xảy ra. Bạn càng nhanh chóng phân biệt được một cuộc tấn công bằng botnet với lưu lượng truy cập người dùng tăng đột biến, thì bạn càng có thể giảm thiểu thiệt hại trước khi máy chủ của bạn bị quá tải.
• Chuẩn bị sẵn giải pháp: Bạn sẽ ngạc nhiên khi có rất nhiều chủ doanh nghiệp thiết lập máy chủ giá rẻ. Nó có thể nhanh chóng phản tác dụng nếu cấu hình máy chủ bị lỗi. Việc thêm một rào cản như tường lửa với giới hạn lưu lượng thích hợp có thể giúp bạn tránh khỏi sự tấn công của những kẻ có mạng botnet nhỏ.
• Phòng cháy hơn chữa cháy: Bạn nên có kế hoạch về những việc cần làm khi cuộc tấn công diễn ra. Bao gồm liên hệ với ISP của bạn để yêu cầu họ định tuyến lại lưu lượng truy cập. Hoặc liên hệ với nhà cung cấp dịch vụ giảm thiểu DDoS. Nó sẽ phụ thuộc nhiều vào tình huống mà bạn đang gặp phải. Tuy nhiên, bạn càng phản ứng nhanh thì bạn càng có cơ hội ngăn chặn nó trước khi nó gây ra quá nhiều thiệt hại.

Đối với hầu hết người dùng cá nhân, hầu hết các mẹo trên có thể sẽ không hữu ích. Không tiết kiệm lắm khi trả tiền cho dịch vụ giảm thiểu DDoS nếu bạn chỉ lướt mạng xã hội và xem Netflix. Tuy nhiên, bạn cũng có thể làm một số việc để giảm thiểu thiệt hại.

• Bảo vệ mạng của bạn: Điều chính mà mỗi người dùng nên làm là đảm bảo rằng hệ thống của mình không bị tin tặc chiếm đoạt. Điều này có thể xảy ra khi bạn nhấp vào các liên kết đáng ngờ và cài đặt phần mềm độc hại, sau đó phần mềm này được liên kết với một mạng botnet quy mô lớn.

FAQ

Sự khác biệt giữa các cuộc tấn công DoS và DDoS là gì?

Sự khác biệt chính giữa các cuộc tấn công DoS và DDoS là về quy mô. Tấn công DoS sử dụng một máy tính để làm tràn máy chủ với các gói tin. DDoS thực hiện điều tương tự, nhưng nó mở rộng quy mô bằng cách sử dụng nhiều thiết bị khác nhau để đạt được cùng một mục đích.

Các cuộc tấn công DDoS có hợp pháp không?

Tội phạm mạng là lĩnh vực chưa được xác định trên nhiều quốc gia, vì vậy tính hợp pháp và hình phạt đối với những hành vi phạm tội đó sẽ khác nhau rất nhiều. Ví dụ, ở Việt Nam, tấn công DDoS được coi là bất hợp pháp theo Luật An ninh mạng. Nhưng đặc biệt là Vương quốc Anh thì DDoS trong có đạo luật quy định về xử phạt DDoS.

Các cuộc tấn công DDoS về bản chất sử dụng trung gian, vì vậy kẻ tấn công có thể thực hiện công việc của mình từ một khoảng cách an toàn mà không để lộ danh tính.

Các cuộc tấn công DDoS kéo dài bao lâu?

Nếu không có các phương pháp ngăn chặn, thì các cuộc tấn công DDoS có thể kéo dài bao lâu tùy vào kẻ tấn công muốn. Một số kiểu tấn công có thể diễn ra nhanh chóng vì chúng có mục đích rõ ràng. Ví dụ, Ping of Death gửi một gói tin không đúng định dạng khiến hệ thống nhanh chóng bị sập. Trong khi SYN flood sẽ mất nhiều thời gian hơn để nó có hiệu quả.

Một cuộc tấn công DDoS có thể được theo dõi không?

Vấn đề chính của việc theo dõi các cuộc tấn công DDoS là những kẻ tấn công sử dụng các máy chủ trung gian hoặc mạng botnet để thực hiện. Vì lưu lượng truy cập đến từ hàng nghìn địa điểm và địa chỉ IP đồng thời, nên sẽ rất khó khăn để phân loại lưu lượng truy cập. Đặc biệt là khi lưu lượng truy cập này đang làm quá tải mạng của bạn. Thông thường, các hacker sẽ sử dụng proxy để che giấu thông tin của họ.

VPN có chặn DDoS không?

VPN là một phương pháp rất hiệu quả để người dùng thông thường bảo vệ họ khỏi các cuộc tấn công DDoS. Bằng cách che địa chỉ IP thực của bạn và hiển thị địa chỉ IP được chỉ định của nhà cung cấp VPN. Về bản chất, khi ai đó cố gắng DDoS bạn, cuộc tấn công sẽ hướng vào máy chủ VPN, thay vì chính bạn. Thêm vào đó, các nhà cung cấp VPN có nhiều biện pháp giảm thiểu được thiết lập để ngăn chặn cuộc tấn công.

Nhưng trong trường hợp kẻ tấn công đã biết địa chỉ IP thực của bạn thì VPN cũng vô dụng.

Câu hỏi thường gặp

DDoS là gì và tại sao nó lại nguy hiểm?

DDoS (Distributed Denial of Service) là một cuộc tấn công mạng nhằm làm tê liệt một hệ thống bằng cách làm ngập nó với lưu lượng truy cập giả mạo từ nhiều nguồn khác nhau. Điều này khiến hệ thống không thể đáp ứng được yêu cầu hợp lệ từ người dùng thực, gây gián đoạn dịch vụ và gây thiệt hại về tài chính và danh tiếng.

Tôi có thể bị ảnh hưởng bởi một cuộc tấn công DDoS không?

Bất kỳ hệ thống nào kết nối với internet đều có nguy cơ bị tấn công DDoS, từ các trang web lớn đến các máy chủ nhỏ hơn. Nguy cơ cao hơn nếu hệ thống của bạn là mục tiêu hấp dẫn cho các cuộc tấn công (ví dụ: trang web thương mại điện tử lớn).

Làm thế nào để bảo vệ hệ thống của tôi khỏi tấn công DDoS?

Có nhiều cách để giảm thiểu rủi ro tấn công DDoS, bao gồm sử dụng các giải pháp bảo mật mạng tiên tiến như tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) và dịch vụ giảm thiểu DDoS từ các nhà cung cấp dịch vụ.

Trong bài đăng trên blog được xuất bản vào ngày 9 tháng 9, Yandex cho biết công ty đã phát hiện ra một mạng lưới botnet mới đã thực hiện các cuộc tấn công DDoS không chỉ chống lại Runet (phiên bản World Wide Web của Nga) mà còn tấn công nhiều quốc gia khác.

“Đây chỉ là một trong nhiều vụ tấn công không chỉ nhằm vào Yandex mà còn nhiều công ty khác trên thế giới. Các cuộc tấn công đã diễn ra trong vài tuần, quy mô lớn chưa từng có và nguồn DDOS là một mạng botnet mới mà cho đến nay ít được biết đến”. Yandex cho biết trong bài đăng trên blog chính thức của mình.

Quy mô lớn của cuộc tấn công

Theo Yandex, đây là cuộc tấn công có chủ lực với quy mô lớn vì các chuyên gia CNTT của họ phải xử lý gần 22 triệu yêu cầu mỗi giây (RPS), khiến nó trở thành “cuộc tấn công được biết đến lớn nhất trong lịch sử internet”. Cuộc tấn công bắt đầu vào cuối tháng 8 và đạt đỉnh điểm vào ngày 5 tháng 9.

Theo trang tin tức Vedomosti của Nga, quy mô của cuộc tấn công đã không được Cloudflare xác nhận. Tuy nhiên, theo kỷ lục trước đó, đây thực sự là cuộc tấn công lớn nhất từng được ghi nhận như vậy.

Trong báo cáo tháng 8 của Cloudflare, cuộc tấn công DDoS lớn nhất mà hãng quan sát được cho đến nay đạt 17,2 triệu RPS, được ghi nhận trước đó vào năm 2021. Do đó, chúng ta có thể thấy Yandex đã thực sự nhận được cuộc tấn công DDoS lớn nhất trong lịch sử internet khi nhận được hơn 20 triệu RPS.

Xuất hiện Botnet Mới

Mặc dù chưa có xác nhận chính thức về mạng botnet mới nhưng Giám đốc điều hành của dịch vụ Ngăn chặn DDoS, Alexander Lyamin của Qrator Labs, đã tuyên bố rằng mạng botnet mới có tên Mēris tấn công Yandex được phát triển trên thiết bị mạng của một “nhà cung cấp có trụ sở ở Baltic States”

Hơn nữa, Lyamin tiết lộ rằng mạng botnet lây lan qua lỗ hổng firmware và đã thu thập hàng trăm nghìn thiết bị bị nhiễm.

Qrator Labs đã hợp tác với Yandex để giải quyết vụ tấn công. Các thiết bị trong mạng botnet không phải là các máy IoT điển hình được kết nối với mạng WiFi mà là các thiết bị hiệu suất cao được kết nối qua kết nối Ethernet.

“Qrator Labs đã theo dõi 30.000 máy chủ trong các cuộc tấn công riêng lẻ, chúng tôi tại Yandex đã thu thập dữ liệu về 56.000 thiết bị tấn công. Nhưng chúng tôi giả định rằng con số thực sự lớn hơn đáng kể – có thể là hơn 200.000 thiết bị. ”Qrator viết trong bài đăng trên blog của mình.

Tại sao phải thử sức chịu đựng website của bạn?

Mỗi một Website thì sẽ có các host khác nhau. Việc Website của bạn có khả năng chống chịu được đến bao nhiêu phụ thuộc hoàn toàn vào tài nguyên của host của Website. Khả năng Website có thể chịu được ảnh hưởng trực tiếp tới lượng người truy cập vào Website tại 1 thời điểm hay chính xác là liên quan trực tiếp tới số HTTP Request của trang Web

Nếu 1 trang web vượt quá số lượng HTTP request nó thì có thể gây ra gián đoạn trong việc truy cập website của người dùng hay cụ thể là bạn không thể kết nối tới trang Web. Khi đó máy chủ sẽ phản hồi với lỗi những lỗi 5XX. Các lỗi 5XX có thể gặp bao gồm: 500 tới 505.

Đối với những doanh nghiệp hay người dùng đều không muốn gặp vấn đề này và vì vậy việc kiểm tra sức chịu đựng của website của bạn là rất quan trọng. Trong bài viết này, mình sẽ sử dụng 1 tool Dos đơn giản với phương thức Request HTTP. Đối với anh em nào chưa biết Dos / DDos là gì thì có thể xem thêm bài: GoldenEye – Tool test sức chịu đựng website của mình tại đây nhé!

Một số lưu ý trước khi thực hiện

• Tuyệt đối không Dos / DDos Anonyviet và những Website bạn không thuộc quyền sở hữu hay quản lý. Anonyviet sẽ không chịu trách nhiệm với các hành vi phá hoại của các bạn.
• Overload là 1 tool nhẹ và chỉ sử dụng phương thức HTTP nên sẽ không gây ngốn tài nguyên máy như GoldenEye nhưng mình khuyến khích sử dụng mạng có đường truyền cao hay kết nối máy tính với Router thông qua dây mạng để đạt được hiệu quả cao nhất.

Nền tảng Tool có thể hoạt động

• Window
• Linux
• Termux

Hướng dẫn sử dụng Overload để thử sức chịu đựng của Website

Cài đặt Overload Trên Window

Bước 1: Các bạn cài đặt Python bản mới nhất tại đây.

Bước 2: Sau khi chạy xong, các bạn Click chuột phải vào MyPC và chọn Properties ->  Advanced system settings ->  Environment Variables  -> Tìm ở mục System variables phần Path -> click Edit -> Bấm new -> nhập dường dẫn của Python vào.

Hoặc các bạn có thể tich vào phần Add Python to PATH khi đang SetUp

Bước 3: Tải Tool DDoS Overload của 7zx tại đây.

Bước 4: Vào CMD hoặc Powershell, di chuyển vào thư mục vừa download

Bước 5: Ghi lệnh sau để tải PIP cần thiết:

pip install -r requirements.txt

Sử dụng DDOS Layer 7 Overload trên Linux

Lưu ý: các bạn nên cấp quyền Super User cho terminal nhé!

Bước 1: Các bạn cập nhật Linux bằng lệnh sau:

sudo apt update

Bước 2: Tải Python về Linux

sudo apt install python3 python3-pip git -y

Bước 3: Tải Overload từ github về sử dụng lệnh git

git clone https://github.com/7zx/overload

Đối với các bạn chưa có git thì có thể tải sử dụng câu lệnh sau

sudo apt install git-all

Bước 4: Các bạn vào thư mục của Overload bằng cách nhập

cd overload

Bước 5: Ghi lệnh sau để tải PIP cần thiết:

pip3 install -r requirements.txt

Nếu anh em chưa có PIP3 thì sử dụng câu lệnh sau đây để tải về

sudo apt-get update -y && sudo apt-get install python3-pip -y

Cài đặt DDos OverLoad trên Termux

Trước tiên, bạn cần có kiến thức về cài đặt và sử dụng Termux trên Android. Sau đó thực hiện các bước sau:

Bước 1: Các bạn cập nhật Termux bằng lệnh sau:

pkg update

Bước 2: Tải Python về Linux

pkg install python3 python3-pip git -y

Bước 3: Tải Overload từ github về sử dụng lệnh git

git clone https://github.com/7zx/overload

Bước 4: Các bạn vào thư mục của Overload bằng cách nhập

cd overload

Bước 5: Ghi lệnh sau để tải PIP cần thiết:

pip3 install -r requirements.txt

Sử dụng Overload

Cú pháp câu lệnh:
python3 overload.py [-h] [--target <URL>] [--method <HTTP>] [--time <time>]
[--threads <threads>]

Trong đó

-h hay –help : hiển thị mục help của overload

–target <URL>: mục tiêu mà bạn muốn nhắm tới

–method <HTTP>: kiểu tấn công

–time <giây>: Thời gian chạy tool

— thread <luồng>: số luồng trên giây <tối đa 200>

Ví dụ 

python3 overload.py --target vietnamconghoa.us --method HTTP --time 500 --thread 200

Trong câu lệnh vừa rồi mình sử dụng Max thread xem web mình còn sống không và sau đây là kết quả

Nhờ vậy mà mình biết là website của mình khá là dễ chết. Sau đây là cách để phòng chống các cuộc tấn công từ chối dịch vụ

Các cách để phòng chống DDOS / DOS

Biện pháp kĩ thuật

• Tăng cường khả năng xử lí hệ thống
• Tối ưu hóa thuật toán
• Nâng cấp máy chủ
• Nâng cấp băng thông
• Cài đặt đầy đủ các bản vá lỗi từ server
• Sử dụng tường lửa

Công cụ phòng chống DDOS

• Dùng hệ thống thiết bị, phần mềm hoặc dịch vụ giám sát an toàn mạng
• Dùng thiết bị bảo vệ mạng có dịch vụ chống tấn công DDoS
• Tường lửa cứng hoặc tường lửa mềm

Vậy là Anonyviet vừa hướng dẫn các bạn cách test khả năng chịu đựng của website bằng tool DDOS Layer 7 overload đồng thời cách phòng chống Dos / Ddos. Các bạn có ý tưởng gì thì hãy đừng ngần ngại mà hãy gửi ngay cho anonyviet.com@gmail.com nhé.

Câu hỏi thường gặp

Overload là gì và nó hoạt động như thế nào?

Overload là một công cụ đơn giản để thử nghiệm sức chịu tải của website bằng cách gửi nhiều yêu cầu HTTP. Nó mô phỏng một cuộc tấn công DDoS Layer 7 ở mức độ nhẹ để đánh giá khả năng chịu đựng của website trước lượng truy cập lớn.

Tôi có thể sử dụng Overload để tấn công website của người khác không?

Không. Việc sử dụng Overload để tấn công website mà bạn không sở hữu hoặc quản lý là bất hợp pháp và có thể dẫn đến hậu quả nghiêm trọng. Chỉ sử dụng công cụ này để kiểm tra website của riêng bạn.

Làm thế nào để bảo vệ website của tôi khỏi các cuộc tấn công DDoS?

Bạn cần nâng cấp máy chủ và băng thông, tối ưu hóa mã nguồn, sử dụng tường lửa, và cân nhắc sử dụng các dịch vụ bảo vệ DDoS chuyên nghiệp. Việc thường xuyên cập nhật bản vá lỗi bảo mật cũng rất quan trọng.

Bạn có thể điều chỉnh số lượng kết nối DoS vào Server dựa trên tham số worker và socket. Từ đó có thể kiểm tra xem Web mình chịu tải được bao nhiêu.

Dos / DDos là gì?

Dos (viết tắt của Denial-of-service) là một dạng tấn công máy hoặc mạng, khiến cho chúng không còn khả năng sử dụng dựa theo nguyên lí của tắc nghẽn traffic hay vượt quá sức chịu đựng của 1 máy chủ hoặc mạng. Những đối tượng thường bị tấn công là những website , máy chủ server , mạng ,….

• GoldenEye tạo ra một lượng lớn truy cập cùng lúc vào Website khiến Server không chịu tải nổi dẫn đến Website sẽ ngưng hoạt động.
• Dấu hiệu để biết Website bị sập hay chưa là người dùng không thể truy cập được Web hoặc hiển thị không thể kết nối đến database.

Đối với Webmaster có thể dùng cronjob để kiểm tra thường xuyên Website có bị sập không, nếu có thì tự khởi động lại các dịch vụ.

1 số lưu ý trước khi thực hiện

• Không DoS AnonyViet và các Website không phải của bạn quản lý
• Những kiểu Dos này rất tốn tài nguyên máy tính, vì vậy hãy sử dụng cho vừa đủ và đừng để overload máy tính. Bài viết chỉ mang tính chất nghiên cứu vậy nên hãy sử dụng tool này như 1 tool test website bạn hay website bạn có thể tấn công chứ đừng phá hoại website người khác.

Chuẩn bị

• Một máy tính chạy Linux (nếu chạy window có thể tải link ở đây)
• Python3 (xem hướng dẫn tải cho window và linux)

Hướng dẫn Dos website bằng GoldenEye

Mở Terminal lên vào thực hiện các lệnh sau:

Tải GoldenEye về máy tính

git clone https://github.com/jseidl/GoldenEye

Vào thư mục GoldenEye

cd GoldenEye/

Cú pháp câu lệnh

python3 goldeneye.py <url> [tùy chọn]

Tùy chọn :

•  – u : useragent (mặc định: tự tạo
•  – w : worker (mặc định: 50)
•  – s : socket (mặc định: 30)
•  – m : method (post , get , random)
•  – d : debug (mặc định : false)
•  – n : nosslcheck (mặc định : true)
•  – h : help

Ví dụ của bài :

python3 goldeneye.py https://duocphamviethung.com.vn/ -w 1000 -s 1000 -m post

(Đây là trang của người quen nhờ Check giùm)

Khi GoldenEye thông báo như này là nó đã chạy rồi nhé

Và kết quả đây:

Một số Server cấu hình mạnh sẽ chặn IP của bạn, tốt nhất để biết Web sập hay chưa bạn nên dùng 1 IP khác để truy cập thử hoặc kiểm tra tại check-host.net.

Và đó là cách sử dụng GoldenEye để Dos website. Hãy để lại bình luận ở dưới để mình biết ý kiến của mọi người nhé. Hãy xem thêm bài viết MHDDoS – Tool DDOS Attack với 36 kiểu tấn công hot tại đây.

Câu hỏi thường gặp

GoldenEye có an toàn khi sử dụng không?

GoldenEye là công cụ để kiểm tra khả năng chịu tải của website. Chỉ sử dụng GoldenEye trên website hoặc server mà bạn sở hữu. Sử dụng GoldenEye trái phép có thể vi phạm pháp luật.

Tôi cần những gì để sử dụng GoldenEye?

Bạn cần một máy tính (Linux hoặc Windows), Python 3 được cài đặt và kết nối internet.

Làm thế nào để tôi biết website đã bị tấn công thành công?

Website sẽ không phản hồi hoặc hiển thị lỗi kết nối. Bạn nên sử dụng một IP khác để kiểm tra hoặc sử dụng dịch vụ kiểm tra trạng thái website như check-host.net để xác nhận.

Download MHDDoS – Tool DDoS Attack với 36 kiểu tấn công

MHDDoS có chức năng tấn công Layer 3, Layer 4 và Layer 7. Trong đó Layer 3, 4 là kiểu tấn công theo Protocol, IP. Còn Layer 7 tấn theo địa chỉ Website.

Câu hỏi thường gặp

MHDDoS hỗ trợ những loại tấn công DDoS nào?

MHDDoS hỗ trợ tấn công Layer 3, Layer 4 và Layer 7, với tổng cộng 36 phương thức tấn công khác nhau, bao gồm cả các phương pháp bypass Cloudflare và Google Project Shield.

Tôi cần chuẩn bị gì để sử dụng MHDDoS hiệu quả?

Để có hiệu quả cao, bạn cần một danh sách proxy (sock4, sock5) lớn và chất lượng tốt. MHDDoS có chức năng tự lấy proxy, nhưng bạn nên bổ sung thêm bằng cách tự lấy hoặc sử dụng các công cụ hỗ trợ khác.

Tôi có thể sử dụng MHDDoS để tấn công các website khác không?

Không. Chỉ sử dụng MHDDoS để kiểm tra sức chịu đựng của hệ thống mà bạn quản lý. Việc sử dụng MHDDoS tấn công các website khác là bất hợp pháp và bạn sẽ phải chịu trách nhiệm trước pháp luật.

Công ty dịch vụ bảo mật Internet Akamai đã đối phó với cuộc tấn công DDoS (RDDoS) đòi tiền chuộc lớn nhất được biết đến, cũng phức tạp hơn so với các sự cố cùng loại đã thấy trước đây.

Tấn công RDDoS là gì?

Chúng ta từng nghe nói đến Ransomware – mã độc đòi tiền chuộc, thì nay lại có Ransom DDoS (RDDoS), tấn công DDOS đòi tiền chuộc

Các cuộc tấn công từ chối dịch vụ phân tán tiền chuộc (RDDoS) là các cuộc tấn công DDoS dựa trên mã độc tống tiền được thực hiện vì lợi ích tài chính:

• Tội phạm mạng thường gửi thông báo đòi tiền chuộc đe dọa thực hiện các cuộc tấn công DDoS, trừ khi tiền chuộc được trả trước thời hạn nhất định.
• Đôi khi, khuyết trương thanh thế, các cuộc tấn công DDoS được thực hiện vào nạn nhân trước hoặc sau khi gửi thông báo đòi tiền chuộc.

Cuộc tấn công DDOS, kẻ tấn công thường quyền kiểm soát trái phép nhiều máy tính bị dính mã độc, có thể được khai thác như một mạng máy tính ma (botnet) để khởi động một cuộc tấn công DoS.

Lịch sử về RDDoS

Các cuộc tấn công RDDoS đã tồn tại từ cuối những năm 1990. Trong giai đoạn này, các công ty chủ yếu lo lắng về cách thức các cuộc tấn công RDDoS vào trang web của họ dẫn đến mất khách hàng vì không truy cập được vào Website, thay vào đó, khách hàng sẽ được hướng đến trang web của đối thủ cạnh tranh. Mặc dù các cuộc tấn công như vậy là phổ biến, nhưng tác động của chúng đối với các doanh nghiệp là tương đối nhỏ – do thời điểm đó, mua sắm trực tuyến chưa phổ biến. Tuy nhiên, có những nhà cái, công ty cờ bạc ở Anh được báo cáo là đã bị thiệt hại lớn về doanh thu sau khi họ bị đánh sập bởi các cuộc tấn công RDDoS.

Sự phức tạp của các cuộc tấn công RDDoS đã thay đổi đáng kể vào giữa năm 2014, khi một nhóm tội phạm mạng DD4BC (hay “DDoS cho Bitcoin”), thể hiện trình độ kỹ thuật cao và sử dụng tiền điện tử, bắt đầu thực hiện các cuộc tấn công RDDoS trên quy mô lớn. Ban đầu nhắm mục tiêu vào các tổ chức trong ngành công nghiệp cờ bạc trực tuyến và trao đổi Bitcoin, các hoạt động tấn công trên không gian mạng của DD4BC hướng tới công ty trong lĩnh vực tài chính, giải trí và năng lượng, bao gồm một số tập đoàn nổi tiếng.

Phương thức hoạt động của DD4BC thường liên quan đến việc phát động các cuộc tấn công DDoS quy mô nhỏ chống lại các trang web của nạn nhân trong tối đa một giờ và sau đó gửi các thông báo yêu cầu tiền chuộc đe dọa các cuộc tấn công lâu hơn và mạnh hơn trừ khi số tiền chuộc bằng Bitcoin, dao động trong khoảng từ 200 USD đến 25.000 USD, thanh toán ngay trong ngày.

Các thông báo đòi tiền chuộc tiếp theo với các lời đe dọa về một cuộc tấn công DDoS khác lớn hơn và các yêu cầu đòi tiền chuộc cao hơn sau đó đã được gửi đến những nạn nhân trả tiền và nếu đang thực hiện các biện pháp phòng thủ. Những điều này cũng đi kèm với các làn sóng tấn công DDoS quy mô nhỏ, đôi khi kéo dài vài ngày. Nếu các cuộc tấn công DDoS đã được nạn nhân ngăn chặn thành công, DD4BC sẽ từ bỏ và chuyển sang các mục tiêu mới.

RDDoS lớn hơn, phức tạp hơn nhiều

Akamai cho biết, họ đã đối phó với “ba trong sáu cuộc tấn công DDoS có quy mô lớn nhất” mà công ty từng ghi nhận.

Hai trong số này là các cuộc tấn công DDoS đòi tiền chuộc lớn nhất được biết đến và gần đây nhất trong số chúng đạt đỉnh 800Gbps (100Gb/s) nhắm mục tiêu vào một công ty cờ bạc ở châu Âu và cũng là vụ phức tạp nhất mà Akamai nhìn thấy kể từ khi DDoS tống tiền bắt đầu.

Theo Akamai, thủ phạm đã sử dụng một vectơ tấn công DDoS mới: một giao thức mạng được gọi là Giao thức kiểm soát tắc nghẽn Datagram (Datagram Congestion Control Protocol – DCCP) hoặc giao thức 33.

Việc tận dụng DCCP cho DDoS dẫn đến một cuộc tấn công theo khối lượng và có thể vượt qua các biện pháp phòng thủ được thiết lập cho các luồng lưu lượng TCP và UDP thường thấy trong các sự cố này.

Có mục tiêu và dai dẵng

Công ty chống DDoS  Radware đã chứng kiến ​​làn sóng  tống tiền mới xảy ra vào cuối năm 2020 và vào tuần đầu tiên của tháng một năm nay. Một số công ty đã bị đe dọa tấn công DDoS vào tháng 8 và tháng 9 năm 2020 đã nhận được thư đòi tiền chuộc mới yêu cầu 10 bitcoin để ngăn chặn cuộc tấn công.

Radware các công ty bị nhận thư tống tiền nhưng không công bố cho giới truyền thông biết. Theo điều tra, một tổ chức Hacker đã gửi nhiều email đến nhiều công ty để đe dọa đòi tiền chuộc.

Hacker bắt đầu chứng minh rằng họ không đưa ra những lời đe dọa suông chỉ vài giờ sau khi gửi thư. Các nạn nhân đã trải qua hơn 9 giờ tấn công DDoS không ngừng, vượt quá 200Gbps và đạt đỉnh 237Gbps.

Akamai xác nhận khách hàng của họ đã trải qua những giai đoạn tương tự, công ty cho biết  “các chiến dịch DDoS năm 2021 đã trở nên có mục tiêu hơn và dai dẵng hơn nhiều so với trước đây”.

Akamai đã chứng kiến ​​nhiều chiến dịch DDoS kéo dài trong vài ngày và nhắm mục tiêu vào một loạt địa chỉ IP, cho thấy rằng những kẻ tấn công quyết tâm thực hiện DDoS chứ không phải dọa suông.

Một xu hướng khác được các nhà nghiên cứu quan sát thấy trong năm nay là sự gia tăng của các cuộc tấn công DDoS trên 50Gbps. Mặc dù có vẻ nhiều nhưng lượng dữ liệu rác này có thể khiến nhiều dịch vụ “rớt mạng”.

Trong vòng chưa đầy ba tháng, Akamai đã ghi nhận nhiều vụ tấn công có cường độ này hơn so với toàn bộ năm 2019 và số lượng của chúng dự kiến ​​sẽ tăng đáng kể trong năm nay.

Download Tool DDoS Bypass Cloudflare Japan

Những khái niệm cơ bản về tấn công từ chối dịch vụ thì chắc mình sẽ không đề cập đến vì nó khá là dài dòng và nếu ai theo dõi những bài viết của mình về Dos/DDoS chắc cũng đã nắm khá rõ rồi phải không nào ?

Giờ vào bước đầu tiên các bạn cần tải file Tool DDoS Bypass Cloudflare Japan về máy tính của mình. Link mình sẽ để ở bên dưới.

Link Download

Lưu ý: Các bạn cần cài đặt Python 3 thì mới có thể sử dụng tool này nhé.

Sau khi download thành công các bạn giải nén nó ra và chạy file Japan.exe trong folder mới.

Sau khi nhấp vào thì giao diện chính của tool sẽ hiện ra. Ở phần Target các bạn nhập đường dẫn đến Website cần tấn công.

• Target (Ví dụ) : https://j4av.com

Sau đó sẽ có hai lựa chọn cho bạn đó là tấn công bằng Proxy loại http, sock4 hay là sock5. Đây là tuỳ bạn lựa chọn nhưng mình khuyên là nên sử dụng sock4 nhé.

Kế tiếp nó sẽ hỏi bạn dùng Auto Get Proxy có sẵn hay là sử dụng list Proxy của bạn. Nếu chưa có thì nhấn phím 1, có rồi thì nhấn phím 2.

Ở đây mình có rồi nên mình sẽ chọn List Proxy riêng nhé.

Các bạn có thể check proxy luôn để có một list live proxy tăng chất lượng cho cuộc tấn công nhé.

Các Method tấn công DDoS có sẵn trong tool bao gồm :

• HTTP FLOOD (Default)
• HTTP FLOOD (COOKIES)
• BYPASS CLOUDFLARE (Default)
• BYPASS CLOUDFLARE (COOKIE)
• FIND REAL IP CLOUDFLARE
• CHECK IP CLOUDFLARE

Các bạn lựa chọn phương thức tấn công phù hợp với mình rồi nhấn Enter để bắt đầu quá trình tấn công từ chối dịch vụ nhé.

Chúc các bạn thành công
TMQ.

Câu hỏi thường gặp

Tôi cần cài đặt gì để sử dụng Tool DDoS Bypass Cloudflare Japan?

Bạn cần cài đặt Python 3 trên máy tính của mình.

Tôi có thể sử dụng loại proxy nào với tool này?

Tool hỗ trợ proxy loại HTTP, SOCK4 và SOCK5. Tuy nhiên, bài viết khuyến nghị sử dụng SOCK4.

Tool này có những phương thức tấn công nào?

Tool cung cấp các phương thức tấn công như HTTP FLOOD (với và không có COOKIES), BYPASS CLOUDFLARE (với và không có COOKIE), FIND REAL IP CLOUDFLARE và CHECK IP CLOUDFLARE.

Hướng Dẫn Sử Dụng Tool DoS Server Game Full Power 2020

Đầu tiên, để sử dụng thì các bạn cần tải tool về máy tính đã. Nhấp vào link bên dưới để tải xuống.

Link Download

http://www.fshare.vn/file/UWPI62HXYSTF

Link Gốc 100% Của Tác Giả Pass DDoS

Sau khi download thành công về máy tính của bạn thì tiến hành giải nén ra ngoài Desktop để làm việc cho thuận tiện nhé.

Giải nén hoàn tất thì vào thư mục của tool và khởi động để vào giao diện chính.

Ở phần giao diện tool các bạn nhấn nút Y trên bàn phím để lấy key hoàn toàn miễn phí.

Rồi sau đó quay trở lại giao diện tool rồi nhập Key là có thể bắt đầu tiến hành Dos rồi đó.

Sau đó tool sẽ bắt các bạn cài Node.JS để hỗ trợ cho tool. Các bạn cứ việc cài đặt, nếu trong máy tính đã có thì sẽ không cần cài phần mềm đó nữa.

Trong giao diện mới sẽ có 5 thành phần chính :

• Target : Nhập địa chỉ link IP or Server Game.
• Port : Nhập Port của IP or Server Game.
• Method : Chọn phương thức tấn công ( Từ 1 – 7 ).
• Mode : Chọn Mode tấn công ( Để mặc định cũng được ).
• Threads : Số luồng ( Để mặc định 2000 hoặc lớn hơn nếu máy bạn nhiều RAM ).

Việc còn lại là bấm Enter để bắt đầu tấn công DoS thôi. Muốn dừng lại thì tắt bảng DoS đi là được.

Một số hình ảnh dùng Tool DoS Server Game Full Power tấn công sever Minecraft.

Mình không khuyến khích các bạn không sử dụng với mục đích phá hoại bất kỳ các tổ chức hay cá nhân nào. Mình sẽ không chịu trách nhiệm với các hành vì của các bạn.

Chúc các bạn thành công
TMQ.

Câu hỏi thường gặp

Tool này có an toàn để sử dụng không?

Tool này chỉ nên được sử dụng để test trên các server hoặc website mà bạn sở hữu. Sử dụng tool này để tấn công bất kỳ hệ thống nào khác là bất hợp pháp và có thể dẫn đến hậu quả pháp lý nghiêm trọng.

Tôi cần cài đặt phần mềm nào khác để sử dụng tool?

Tool yêu cầu cài đặt Node.JS để hoạt động. Nếu máy tính của bạn đã có Node.JS, bạn không cần cài đặt lại.

Tôi có thể sử dụng tool này để tấn công các loại server nào?

Tool này được thiết kế để tấn công các server game như Minecraft, Samp, hoặc CSGO. Tuy nhiên, việc sử dụng tool này để tấn công bất kỳ hệ thống nào khác là bất hợp pháp.

Hướng Dẫn Sử Dụng Tool Anonymous DDoSer v1.0

Về khái niệm DoS thì ở những bài trước mình đã chia sẻ cho các bạn. Vì vậy ở bài này mình sẽ vào thẳng chủ đề luôn. Không lan man nhiều vào bài thôi.

Đầu tiên, các bạn cần Download Tool Anonymous DDoSer v1.0 về máy tính đã. Các bạn nhấn vào chữ bên dưới để Download nhé.

Link Download

( Link gốc của tác giả Pass DDoS )

http://www.fshare.vn/file/REGSATZA6NJE

Sau khi download thành công thì bạn tiến hành giải nén ra Desktop như mọi khi nhé.

Các bạn tiến hành chạy file Anonymous DDoSer v1.0.exe để mở tool nhé.

Ở đây chúng ta phải có Key. Để có key các bạn ấn Y để get Key về máy tính.

Sau khi nhấn yes thì sẽ có một tab mở lên. Bạn click qua quảng cáo để lấy Key nhé.

Dán Key bạn vừa mới get được vào tool.

Sau khi dán key thì tool sẽ chuyển qua giao diện panel DoS.

• Target : Địa chỉ của website.
• Port : Nhấn enter để lấy port mặc định.
• Method : Chọn phương thức tấn công ( 1 hoặc 2 ).
• Get Socks : Chọn Yes.
• Threads : Để mặc định là 1000.

Sau khi điền hết thông tin thì các bạn chỉ cần nhấn Enter và đợi nó load Socks và check website victim là được nhé. Chỉ dùng Tool DDOS để nghiên cứu, học tập, vui lòng không phá hoại hoặc phạm pháp.

Câu hỏi thường gặp

Công cụ Anonymous DDoSer v1.0 có an toàn không?

Việc sử dụng công cụ này để tấn công các website mà bạn không sở hữu là bất hợp pháp. Chỉ sử dụng công cụ này trên các website hoặc server mà bạn làm chủ để thử nghiệm và nghiên cứu.

Tôi cần làm gì sau khi tải xuống Anonymous DDoSer v1.0?

Sau khi tải xuống, giải nén file và chạy file Anonymous DDoSer v1.0.exe. Bạn sẽ cần lấy Key bằng cách nhấn Y và làm theo hướng dẫn để có thể sử dụng công cụ.

Anonymous DDoSer v1.0 hoạt động như thế nào?

Công cụ này cho phép bạn chỉ định địa chỉ website mục tiêu (Target), cổng (Port), phương thức tấn công (Method), số luồng (Threads) và sử dụng Proxy (Get Socks). Nhấn Enter để bắt đầu quá trình.