DDoS attacks in Q2 2011

All statistical data presented in this report were obtained using Kaspersky Lab’s botnet monitoring system and Kaspersky DDoS Prevention.

The quarter in figures

  • The most powerful attack repelled by Kaspersky DDoS Prevention in Q2: 500 Mbps
  • The average power of the attacks repelled by Kaspersky DDoS Prevention: 70 Mbps
  • The longest DDoS attack in Q2: 60 days, 1 hour, 21 minutes and 9 seconds
  • The highest number of DDoS attacks against a single site in Q2: 218.

DDoS and protests

Distributed denial-of-service attacks are no longer being carried out simply to make a profit. Cybercriminals are increasingly targeting government resources or the sites of big companies to show off their skills, demonstrate their power or, in some cases, as a form of protest. These are exactly the sort of attacks that get maximum publicity in the media.

The most active hacker groups in the second quarter of 2011 were LulzSec and Anonymous. They organized DDoS attacks on government sites in the US, the UK, Spain, Turkey, Iran and several other countries. The hackers managed to temporarily bring down sites such as cia.gov (the US Central Intelligence Agency) and www.soca.gov.uk (the British Serious Organized Crime Agency (SOCA)). This shows that even government sites safeguarded by specialist agencies are not immune to DDoS attacks.

Attacking government sites is a risky business for hackers because it immediately attracts the attention of law enforcement authorities. In Q2 of 2011, for example, more than 30 members of Anonymous were arrested on suspicion of launching DDoS attacks on government sites. More arrests are likely to follow as authorities continue their investigations. However, not all those involved are likely to be convicted because participation in the organization of a DDoS attack is still not considered illegal in many countries.

One big corporation subjected to a major attack was Sony. At the end of March, Sony brought legal action against several hackers accusing them of breaching the firmware of the popular PlayStation 3 console. In protest at Sony’s pursuit of the hackers, Anonymous launched a DDoS attack that crippled the company’s PlayStationnetwork.com sites for some time. But this was just the tip of the iceberg. According to Sony, during the DDoS attack the servers of the PSN service were hacked and the data of 77 million users were stolen. Whether or not it was done intentionally, the DDoS attack by Anonymous served as a diversionary tactic for the theft of huge volumes of data and which, at the end of the day, affected Sony’s reputation.

DDoS attacks on social media

The second quarter of 2011 is likely to be remembered by Russian Internet users for the series of attacks on LiveJournal. The resource is popular with a variety of people, with housewives, photographers, pilots and even politicians posting blogs on the site. According to our botnet monitoring system, the mass attacks on LiveJournal began by targeting journals of a political nature, in particular, that of the anti-corruption and political activist Alexey Navalny.

Our botnet monitoring system has been tracking a botnet named Optima which was used in the DDoS attacks on LiveJournal. In the period between 23 March and 1 April Optima received commands to attack the anti-corruption site http://rospil.info, http://www.rutoplivo.ru and http://navalny.livejournal.com as well as the furniture factory site http://www.kredo-m.ru. On certain days only http://navalny.livejournal.com was attacked. At the beginning of April the botnet received a command to attack a long list of LiveJournal addresses mostly belonging to popular bloggers who cover a wide range of subjects.

The Optima botnet has been known on the market since late 2010. From the type of code used, it is safe to say that Optima bots are developed by Russian-speaking malware writers and they are mostly sold on Russian-language forums. It is difficult to determine the size of the botnet because it is highly segmented. However, our monitoring system has recorded instances of the Optima bots that attacked LiveJournal receiving commands to download other malicious programs. This suggests the Optima botnet includes tens of thousands of infected machines because such downloads are considered unprofitable for small botnets.

The motive for the attacks on LiveJournal remains unclear as nobody has yet claimed responsibility. Until the cybercriminals behind the attacks are identified, it will be difficult to say whether the attacks were ordered or just a show of force.

DDoS attacks on social media are becoming more frequent because these services allow the immediate exchange of information between tens of thousands of users. Blocking this process, even if it is just for a short time, can only be achieved with the help of DDoS attacks.

We expect to see a further growth in these types of attack in the future.

Commercial DDoS attacks

Ordinary criminals also continue to make active use of DDoS attacks. However, information about attacks that aim to extort or blackmail organizations is rarely made public and when it is, it is usually related to the subsequent criminal investigation.

In April, a court in Dusseldorf handed down a sentence to a cybercriminal who tried to blackmail six German bookmakers during the 2010 World Cup. The culprit used the familiar routine of: intimidation, a trial attack on the victim’s site, and a message containing a ransom demand. Three of the six offices agreed to pay off the attacker. According to the bookmakers, a few hours of website downtime can result in the loss of significant sums – 25-40,000 euros for large offices and 5-6,000 euros for smaller offices. Surprisingly, the scammer only demanded 2000 euros. He received money in U-cash vouchers – a method which had already been used by the author of the well-known GpCode Trojan program. The court sentenced the defendant to nearly three years in prison – the first time in German legal history that someone has been imprisoned for organizing a DDoS attack. Such attacks are now classified by the country’s courts as computer sabotage and are punishable by up to 10 years in jail.

In June, the Russian judicial system also addressed the subject of DDoS attacks. On 24 June, a Moscow court sanctioned the arrest of Pavel Vrublevsky, the owner of ChronoPay, Russia’s biggest Internet payment service provider. Vrublevsky was accused of organizing a DDoS attack against competitor firm Assist in order to undermine its chances in a tender for a lucrative contract to process payments for Aeroflot, Russia’s largest airline. Sources close to the investigation said Vrublevsky was also considered the owner of the Rx-Promotion affiliate network which specializes in spreading pharmaceutical spam.

Statistical summary

Distribution of DDoS attacks by country

According to our statistics for Q2 2011, 89% of DDoS traffic was generated in 23 countries. The distribution of DDoS sources was fairly evenly spread among those countries, with each accounting for 3-5% of all DDoS traffic.


Distribution of DDoS attacks by country in Q2 2011

Most attacks came from the US and Indonesia with each country accounting for 5% of all DDoS traffic.

The US’s leading position is down to the large number of computers in the country. Last year, US law enforcement authorities waged a successful anti-botnet campaign which led to the closure of a number of botnets. It is quite possible that cybercriminals will try to restore the lost botnet capacities and the number of DDoS attacks will increase.

Meanwhile, the large number of infected computers in Indonesia means it also ranks highly in the DDoS traffic rating. In Q2 of 2011, almost every second machine (48%) on the Indonesian segment of Kaspersky Security Network, Kaspersky Lab’s globally-distributed threat monitoring network, was subjected to a local malware infection attempt. Such a high percentage of blocked local infection attempts is the result of a large number of unprotected computers being used to spread malware.

Those countries responsible for less than 3% of all DDoS traffic included countries with high levels of computerization and IT security ( Japan, Hong Kong, Singapore) as well as countries where the number of computers per person is significantly lower and antivirus protection is far from perfect (India, Vietnam, Oman, Egypt, the Philippines, etc.).

Distribution of attacked websites by online activity

In Q2, online trading sites, including e-stores, auctions, buy and sell message boards etc., were increasingly targeted by cybercriminals – websites of this category accounted for a quarter of all attacks. This is hardly surprising: online trading largely depends on a website’s availability, and each hour of downtime results in lost clients and lost profits. This explains why these types of sites were targeted most often – competitors or straightforward extortion were usually behind the attacks.


Breakdown of attacked sites by areas of activity. Q2 2011

Gaming-related sites were the second most popular targets. As Kaspersky Lab’s monitoring system indicates, most attacks targeted EVE Online and its related websites. The MMORPG space-themed game had 357,000 active gamers as of late 2010. One site in particular that publishes EVE Online news experienced one of the most prolonged attacks – DDoS bots targeted it for 35 days. WoW and Lineage were also subject to some unwanted cybercriminal attention, although it was the games’ various pirate servers that suffered most.

The websites of electronic stock exchanges and banks occupy third and fourth places respectively. Cybercriminals attack trading platforms in order to cover their tracks after fraudulent transactions rather than to extort money. Typically, both the financial organizations and their clients lose money when such operations are performed. Therefore, how robust a service is against DDoS attacks is a factor that directly affects its reputation.

Interestingly, quite a substantial proportion of DDoS attacks targeted mass media sites (7%), and blogs and forums (8%), which are essentially a form of social mass media. We have already discussed the attacks on LiveJournal above. There is always someone who disagrees with a freely expressed opinion and it appears DDoS attacks are now being used as a means to silence media channels.

Governmental sites make up 1% of all attacked websites, although this statistic does not include attacks carried out by the group Anonymous using the “voluntary” botnet based on LOIC, a program used to arrange attacks. DDoS attacks are increasingly being used to lead protests against government agencies in many countries, and we can expect to see more similar attacks in the future, especially at crucial stages in the political processes of societies.

Types of DDoS attacks

In Q2, Kaspersky Lab’s botnet monitoring system intercepted over 20,000 web-borne commands to initiate attacks on different sites.


Types of DDoS attacks. Q2 2011

HTTP flood is the most popular (88.9%) method of attacking a website: a huge number of HTTP requests are sent to the targeted site over a short period. In most cases they look just like regular user requests, making it difficult to filter them out. This makes this type of DDoS attack more popular among cybercriminals than others.

SYN Flood attacks are the second most popular type of attack (5.4%). During such attacks, botnets send multiple data packages to the web server in order to establish a TCP connection. Cybercriminals manipulate packages so the server connections are left half open rather than established. Since a server can only maintain a limited number of connections at any time and botnets can generate lots of requests in short periods of time, the targeted server soon becomes unable to accept connections from regular users.

DDoS attacks on DNS servers (0.2%) were the least popular type of attack. As a result of this kind of attack DNS servers are unable to convert site names into IP addresses, so the sites serviced by the targeted server become unavailable to users. This type of attack is particularly damaging in that a single attack can render hundreds or even thousands of websites unavailable.

During a DDoS attack on one web resource, the bots received commands to send requests to an average of two web pages on the targeted site. If we compare the number of attacks delivered on site names and those on IP addresses, it can be seen that it is mostly IP addresses that are attacked: 72% of all attacks targeted IP addresses.


Breakdown of DDoS attacks by targets: site names vs. IP addresses. Q2 2011

Activity of DDoS botnets over time

Having analyzed all the available data, we can say on which days of the week cybercriminals prefer to carry out their attacks to bring down a site.


Breakdown of DDoS attacks by days of the week. Q2 2011

Weekdays see the most active use of the Internet. It is on these days that various web resources are most in demand and that DDoS attacks are likely to inflict the maximum amount of damage on websites. Another important factor is that greater numbers of computers are switched on on weekdays, so there are more active bots. As a result, cybercriminal activity peaks from Monday to Thursday – on these days an average of 80% of all DDoS attacks take place.


DDoS attacks have long been used for criminal purposes, but recently they have increasingly been used as a form of protest against the activities of both governments and major corporations. Such attacks receive widespread publicity in the mass media and are usually the subject of investigations by law enforcement agencies. We can expect to see the sites of government bodies in various countries increasingly come under attack as DDoS-based protests gain in popularity.

This does not mean that DDoS attacks are no longer used for extortion and blackmail. The victims, however, rarely acknowledge such incidents in order to protect their reputation. Cybercriminals are also increasingly using DDoS attacks as a diversionary tactic when launching more sophisticated attacks such as those on online banking systems. Complex attacks of this nature are particularly damaging in that they can cause significant losses for the financial institutions as well as their clients.

Most of the websites that we encounter as a result of DDoS attacks require much stronger protection. This is especially true as the summer holiday season comes to an end and more computers are switched on again, including zombie machines controlled by botmasters that will only make DDoS attacks more powerful and damaging.


Source : securelist.com

How to: Dos a site using CMD

First u go to Start > Run > Cmd Type for expample Ping http://www.lol.nl after u did that u will see its ip


then u do the same thing but then with the ip but then a lil bit diffrent cuz u type for example
ping 85.344.2.12 -t -l 65500 ( the -t -l 65500 are always the shit u need to type to hack it dont try something diffrent )
this should take some hours but the best thign u should do is ask your friend to also do it so with like 10 ppl u will be done in no time alone like 5 – 4 hours if u did it good it should look like thisi hope u will do it good and if your doing it on the last part if it keeps to say time out shit over and over like 1000 times then stop u failed ( this shizzle doesnt work on evry site have fun ) it should say like atleast if it doesnt say time out over and over after u did the -t -l 65500 blah blah just ur doing it good if it doesnt say time out at project or something all the time if it says something diffrent keep your work up let it take time it might even take 10 hours if its a big site

Một số câu lệnh kiểm tra server khi bị tấn công DDoS


– Kiểm tra số connection trên port 80:

netstat -n | grep :80 |wc –l

– Kiểm tra số lượng connection đang ở trạng thái SYN_RECV:


netstat -n | grep :80 | grep SYN_RECV|wc –l

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

netstat -an|grep :80 |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort –rn

Nếu muốn kiểm tra IP nào mở nhiều SYN thì thêm vào:

netstat -an|grep :80|grep SYN |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort –rn

– Đối với server có nhiều IP, để kiểm tra IP nào đang bị tấn công:

netstat -plan  | grep  :80 | awk '{print $4}'| cut -d: -f1 |sort |uniq –c

Bài viết trên sẽ có vài trường hợp ra kết quả không đúng nếu như sử dụng kernel mới , IP có dạng ‘::ffff:′ . Để tổng quát hơn các bạn nên dùng như sau cho mọi trường hợp :

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

[root@localhost~]# netstat -an | grep ':80' | awk '{print $5}' | sed s/'::ffff:'// | cut -d":" -f1 | sort | uniq –c

Đồng thời mình bổ xung thêm :
– Hiển thị số lượng kết nối mỗi loại (kiểm tra xem có phải bị SYN_FLOOD hay DDoS hay ko) :

root@localhost [~]# netstat -an | grep :80 | awk '{print $6}' | sort | uniq -c

Trong trường hợp đang bị tấn công , cần phải quan sát các tham số trên một các real time => dùng lệnh ‘watch’ :

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

[root@localhost~]#watch  "netstat -an | grep ':80' | awk '{print \$5}' | sed s/'::ffff:'// | cut -d\":\" -f1 | sort | uniq -c"

– Hiển thị số lượng kết nối mỗi loại :

root@localhost [~]# watch "netstat -an | grep :80 | awk '{print \$6}' | sort | uniq -c"

Một số công cụ “hack” miễn phí

Nếu bạn là người ưa thích tìm hiểu, khám phá về phần mềm và những lĩnh vực có liên quan, chắc chắn sẽ phải cần đến bộ tổ hợp công cụ dùng để hack. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số chương trình hỗ trợ trực tuyến khá phổ biến và được nhiều người sử dụng.

1. Date Cracker 2000:

Date Cracker 2000 là 1 chương trình hỗ trợ có thể giúp người dùng xóa bỏ chế độ bảo vệ chương trình có liên quan đến thời gian sử dụng. Cách thức này rất có ích với những phần mềm có thời hạn dùng thử, cụ thể khi tiến hành áp dụng bằng Data Cracker 2000 thì trên chương trình đó của bạn sẽ hiển thị thông tin như There are 90 days remaining in your trial period. Nhưng đối với những ứng dụng được áp dụng kỹ thuật bảo vệ quá kỹ càng thì cách này không thực hiện được.

>>> Video hướng dẫn tham khảo:

2. Advanced Port Scanner:

Đây là 1 tiện ích nhỏ gọn, với dung lượng vô cùng bé, tốc độ hoạt động nhanh chóng với chức năng chính là quét các cổng đang hoạt động trên hệ thống. Tất cả những gì bạn cần làm là điền địa chỉ IP của máy tính cần kiểm tra, chương trình sẽ lập tức liệt kê và hiển thị cụ thể những thông tin trên từng cổng:

>>> Video hướng dẫn tham khảo:

3. Ophcrack:

Ứng dụng đầy “sức mạnh” này có thể dễ dàng bẻ khóa hoặc khôi phục bất cứ mật khẩu nào đối với người sử dụng hệ điều hành Windows. Để tìm hiểu cơ chế hoạt động cơ bản của Ophcrack với các hệ điều hành, các bạn hãy tham khảo video hướng dẫn mẫu dưới đây:

4. RAR Password Cracker:

Đây chắc chắn là công cụ không thể thiếu đối với bất kỳ người sử dụng nào, với khả năng có thể tìm và bẻ khóa bất kỳ mật khẩu bảo vệ nào của file RAR.

>>> Video hướng dẫn tham khảo:

5. PC Activity Monitor:

Với cơ chế hoạt động vô cùng nhẹ nhàng nhưng cũng rất hiệu quả, PC Activity Monitor gần như không gây ra bất kỳ ảnh hưởng nào đến hệ điều hành, do vậy rất phù hợp với những mô hình hệ thống với số lượng máy tính bất kỳ. Chức năng chính của PC Activity Monitor là giám sát và thu thập toàn bộ thông tin của người dùng trên máy tính, và tất cả những thông tin dữ liệu này đều được mã hóa thành file log duy nhất, sau đó sẽ được gửi đến địa chỉ email bí mật của người điều khiển đã thiết lập trước đó.

6. Cain & Abel:

Nếu muốn khôi phục mật khẩu của các tài khoản sử dụng trong hệ điều hành của Microsoft, các bạn hãy dùng Cain & Abel. Dễ dàng bắt các gói dữ liệu được truyền tải qua hệ thống mạng, bẻ khóa mật khẩu dựa vào phương pháp Dictionary, Brute – Force và Cryptanalysis, ghi lại các đoạn hội thoại VoIP…

7. SpyRemover Pro 3.05:

Với khả năng nhận dạng và tiêu diệt tới hơn 140.000 loại chương trình độc hại khác nhau, bao gồm: virus, spyware, adware, trojan… đây chắc chắn là công cụ bảo mật hỗ trợ không thể thiếu dành cho bất kỳ người sử dụng Windows nào.

8. Nikto:

Đây là 1 hệ thống web server mã nguồn mở – Open Source (GPL) có khả năng thực hiện các cuộc kiểm tra toàn diện đối với nhiều thành phần hỗ trợ khác nhau, bao gồm hơn 3500 file dữ liệu với mức độ nguy hiểm khác nhau, tương thích với hơn 900 phiên bản server…

>>> Video hướng dẫn tham khảo:

9. SuperScan:

Nếu muốn xóa những file tạm, file rác sinh ra trong quá trình sử dụng hệ thống Windows, các bạn hãy dùng SuperScan, chỉ với 1 thác tác nhấn chuột đơn giản, mọi việc sẽ được giải quyết nhanh chóng và đơn giản.

10. Yersinia:

Là 1 công cụ phục vụ trong các hệ thống mạng, nền tảng kỹ thuật vững chắc để kiểm tra, đánh giá và phân tích những hệ thống mạng ảo, qua đó dễ dàng xây dựng và đánh giá những thành phần cần thiết khi đưa vào áp dụng thực tế.

11. PuTTY:

PuTTY là trong cổng SSH client để kết nối tới chuẩn Nokia 9200 Communicator, phiên bản hiện tại của ứng dụng bao gồm một số dịch vụ hỗ trợ giao thức SSH, bộ giả lập câu lệnh Terminal và giao diện dòng lệnh quen thuộc với người sử dụng.

12. Nessus:

Với chức năng chính là rà soát để phát hiện các lỗ hổng an ninh trong các hệ thống và ứng dụng, tự động kiểm tra cấu hình, phát hiện và khôi phục dữ liệu, phân tích và báo cáo cụ thể về tình hình bảo mật hiện thời. Hiện tại, Nessus được phân phối tùy theo yêu cầu của khách hàng và quy mô cụ thể của từng hệ thống.

13. Hping:

Đây là 1 công cụ phân tích gói dữ liệu TCP/IP dựa trên giao diện dòng lệnh, được chia theo 8 chức năng cụ thể khác nhau, không chỉ hỗ trợ việc gửi thông tin ICMP tới cho các thành phần yêu cầu trong hệ thống, Hping còn hỗ trợ các giao thức khác như TCP, UDP, ICMP và RAW-IP.

14. coWPAtty:

Chức năng chính của coWPAtty khi hoạt động trong bất kỳ hệ thống nào là kiểm tra và đảm bảo độ bảo mật, an toàn của những thành phần được chia sẻ đối với hệ thống WiFi Protected Access (WPA).

15. DumpAutoComplete v0.7:

Ứng dụng này có khả năng tìm kiếm phần profile mặc định trong Firefox của tài khoản người dùng đã từng sử dụng công cụ và có tác động đến bộ phận cache AutoComplete của định dạng XML. Bên cạnh đó, những file AutoComplete có thể được gửi tới một số chương trình để phân tích. Điểm mạnh của công cụ này là hiểu được hầu hết cách thức hoạt động của hệ thống dựa trên các file autocomplete (với Firefox 1.x) cũng như dữ liệu lưu trữ dựa vào SQLite (Firefox 2.x).

Deploying DDOS Deflate

It happens more times than you know, especially if you are not running any kind of monitoring system that sends you alerts.  And even if you are, if the monitoring system is on the same machine, good luck seeing a warning until the DDOS is over.

DDOS Deflate is a Bash shell script that will help you block the attack. This is great for servers that don’t have an existing system like CPhulk Brute Force protection, etc.  It used to be possible to install Portsentry or Tri-Sentry, but a savvy router hardware firm bought those tools, e.g. you can’t get them for free anymore.

As the DDOS Deflate website shows, you can get a lot of mileage out of commands like this:


It lists out the IP’s you are connected to.

To install DDOS Deflate:



chmod 0700 install.sh



then you see:



Source : http://linux-administration-pro.com/2011/08/deploying-ddos-deflate/

Kỹ thuật tấn công Cross-site request forgery (CSRF)

Cross-site Request Forgery (CSRF) là kỹ thuật tấn công bằng cách sử dụng quyền chứng thực của người dùng đối với một website. CSRF là kỹ thuật tấn công vào người dùng, dựa vào đó hacker có thể thực thi những thao tác phải yêu cầu sự chứng thực.

Tấn công CSRF có thể xem tại bài Top 10 kỹ thuật tấn công trên web

Tấn công sử dụng kỹ thuật này dành cho người am hiểu về hệ thống, có thể là người từng phát triển ứng dụng đó, hoặc một mã nguồn mở, hoặc một mã nguồn nào đó đã được công khai code :”>

Để đơn giản chúng ta lấy vị dụ đơn giản sau :

Giả sử có hệ thống bán hàng, khách hàng được đăng sản phẩm của mình lên để bán, tuy nhiên phải qua kiểm duyệt của admin (ở đây chúng ta biết admin là ai rồi, nói chung là biết info của nó Winking smile)

Giả sử sản phẩm mình đăng lên có id=4

Thường thì khi active sản phẩm Lập trình viên thường làm thế này :

1. tạo 1 request ajax dạng http://site.com/active.aspx?id=4

2. Kiểm tra xác thực user

3. Kiểm tra roles của user

4. Thực hiện cập nhật trạng thái của sản phẩm thành true Smile

5. Trả về 1 respone dạng json hay html

Vậy chúng ta sẽ tấn công và tự active sản phẩm của mình như thế nào :”>

Tất nhiên nếu site lỗi XSS thì ta có thể khai thác lỗi XSS tại bài này

Nếu site không có lỗi Xss hay sql Injection…..

Chúng ta có thể làm như sau :

Gửi tin nhắn đến Admin (Tất nhiên tin nhắn trong site hỗ trợ html) nội dung như sau :

<img src=”http://site.com/active.aspx?id=4” width=”0” hieght=”0”/img>

Nội dung chém gió ở đây Winking smile

giải thích : khi admin đọc tin nhắn này trình duyệt sẽ request đến link đó và lấy cookie của trình duyệt và tiến hành active Smile Để ý cái ảnh có chiều cao và rộng bằng 0 rất khó phát hiện Smile

Trường hợp không gửi tin nhắn được các bạn có thể gửi mail, giả sử ta biết rằng admin đang login chúng ta có thể send 1 cái web mà chúng ta lập ra, trong đó có đoạn code trên rồi send qua yahoo hay gì gì đó, khi đó admin viếng thăm vào và thực hiện thao tác trên Open-mouthed smile 

Như vậy ta thực hiện một truy vấn trái phép dựa vào chính người dùng Open-mouthed smile

Cách phòng tránh :

– Sử dụng POST thay cho GET

– Sử dụng một token khó đoán

– xác thực các thao tác nhạy cảm thông qua mật khẩu hoặc captcha


Top 10 kỹ thuật tấn công trên web

Các chuyên gia bảo mật đã liệt kê 10 kỹ thuật hàng đầu tấn công trên web và dự báo các giao dịch ngân hàng trực tuyến có nguy cơ bị hacker thâm nhập cao nhất. Phát hiện của Dương Ngọc Thái, chuyên gia bảo mật người Việt Nam đứng hàng đầu.


Hội đồng các chuyên gia bảo mật đã xếp hạng những kỹ thuật tấn công trên web trong năm 2010 và các chuyên gia cũng đã liệt kê danh sách 10 kỹ thuật tấn công web hàng đầu sau quá trình đánh giá và ghi nhận.
Việc xếp hạng được tài trợ bởi Black Hat, OWASP, White Hat Security và những nội dung mô phỏng các phương thức tấn công sẽ đuợc trình bày trong hội thảo IT-Defense 2011 vào tháng tới tại Đức.
Dưới đây là 10 cách thức tấn công web được các chuyên gia về bảo mật bầu chọn:
1. Kiểu tấn công “padding oracle crypto”, kẻ tấn công (hacker) sẽ khai thác khung tổ chức (framework) ASP.Net, hacker có thể chiếm trọn quyền điều khiển bất kỳ trang web nào sử dụng ASP.NET và thậm chí nghiêm trọng hơn có thể chiếm quyền điều khiển hoàn toàn các máy chủ Windows chứa các trang web này. (Người phát hiện: Dương Ngọc Thái và Juliano Rizzo).
2. Evercookie: có thể dùng Javascript để tạo ra các cookie và giấu cookie ở 8 nơi khác nhau trong trình duyệt, gây khó khăn trong việc muốn xóa sạch chúng. Thông qua Evercookie, hacker có thể đột nhập vào máy tính ngay cả khi cookie đã bị xóa. (Người tạo ra: Samy Kamkar).
3. Tấn công Autocomplete: tính năng này sẽ tự động điền vào mẫu (form) có sẵn trên trang web (tính năng autocomplet tự động bật), lúc đó trang web chứa mã độc có thể “buộc” trình duyệt điền đầy đủ thông tin cá nhân mà dữ liệu được lấy từ các nguồn khác nhau nằm trên máy tính nạn nhân. (Người tạo: Jeremiah Grossman).
4. Tấn công HTTPS bằng cache injection: “tiêm” mã độc vào thư viện Javascript nằm trong cache của trình duyệt, do đó hacker có thể “phá” trang web dù được bảo vệ bởi SSL, và khiến cache bị xóa sạch. Gần một nửa trong 1 triệu trang web hàng đầu sử dụng thư viện mở rộng của Javascript. (Người tạo: Elie Bursztein, Baptiste Gourdin và Dan Boneh).
5. Bỏ qua bảo vệ CSRF bằng ClickJacking và HTTP Parameter Pollution: cách tấn công này sẽ lừa người dùng để lấy mật khẩu truy cập vào e-mail. Những kẻ tấn công có thể tạo lại mật khẩu mới của nạn nhân và truy cập trực tiếp vào tài khoản của nạn nhân. (Người tạo: Lavakumar Kuppan).
6. Universal XSS trong IE8: Lỗ hổng trong IE8 sẽ giúp hacker “nhả” mã độc vào các trang web và chiếm quyền kiểm soát máy. (Người tạo: David Lindsay và Eduardo Vela).
7. HTTP POST DoS: đây là kỹ thuật tấn công DDoS dựa trên một lỗ hổng về kiến trúc của phương thức POST trong HTTP nhằm kéo dài thời gian kết nối để làm cạn kiệt tài nguyên máy chủ. Một khi quá nhiều dữ liệu được gửi đến máy đích đồng thời thì lúc đó máy chủ trở nên quá tải. (Người tạo: Wong Onn Chee và Tom Brennan).
8. JavaSnoop: Khi dữ liệu truyền đến máy đích, đi kèm theo đó là công cụ JavaSnoop để kiểm tra xem các ứng dụng trên máy đích có bảo đảm an toàn hay không. Hacker có thể “núp bóng” dưới công cụ này (Người tạo: Arshan Dabirsiagh).
9. Tấn công qua CSS History trong Firefox không cần JavaScript cho PortScanning trong mạng nội bộ: cách tấn công này có thể tước đoạt dữ liệu trong history của trình duyệt. Các thông tin trong history có thể giúp hacker tấn công theo dạng lừa đảo trang web (phishing). (Người tạo: Robert “RSnake” Hansen).
10. Java Applet DNS Rebinding: Hacker có thể kiểm soát Java applet, khiến trình duyệt “phớt lờ” cache của DNS, sau đó người dùng có thể “sập bẫy”. Java applet thường là các chương trình nhỏ chạy bên trong trình duyệt Web (Người tạo: Stefano Di Paola).