Một vấn nạn mà bất kỳ người quản trị website nào cũng nên tìm hiểu đó chính là các thủ thuật hack website, cách đánh sập web mà hacker thường sử dụng. Có như vậy thì việc bảo vệ trang web mới đạt được hiệu quả cao nhất.
Một số thuật ngữ chúng ta thường nghe đó chính là “DDOS web”, “đánh sập web bằng CMD”, “Termux”.
Bài viết này mình sẽ giới thiệu về một số phương pháp hacker thường dùng để tấn công trang web của bạn.
Tiếp theo đó là những cách chống DDOS website tốt nhất hiện nay.
Vậy! DDOS là gì?
DDOS là phương pháp tấn công bằng “từ chối dịch vụ phân tán”, được viết tắt là Distributed Denial of Service. Trong đó “DOS” được viết tắt là “Denial of service”.
Phương pháp này khiến cho người dùng không thể sử dụng tài nguyên máy tính, nó là bao gồm sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để một trang, hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống. Theo vi.wikipedia.org.
Đặc trưng nhất khi bạn nghe tới việc DDOS một trang web thì sẽ nghe tới CMD, vậy CMD là gì?
CMD là gì?
CMD – Command Prompt là ứng dụng dùng để chạy các lệnh trong Windows. CMD được tích hợp sẵn nhiều các câu lệnh khác nhau, chức năng của những câu lệnh đó là điều hành hệ thống chỉ qua một giao diện nhập lệnh thay thế cho việc bạn phải thao tác từng bước trên hệ điều hành Windows. CMD là một chương trình giả lập MS-DOS (Microsoft Dos) của Windows, chứa nhiều lệnh có sẵn nhưng nó không phải là MS-DOS.
Termux là gì?
Termux là một công cụ mà hacker thường sử dụng để DDOS một trang web bằng điện thoại. Nó là ứng dụng giả lập công cụ dòng lệnh trên Android có thể hoạt động trực tiếp mà không cần phải root hoặc cài đặt.
Bạn có thể cài thêm các gói bổ sung có sẵn bằng trình quản lý gói APT. Kho ứng dụng APT Termux được lưu trữ bởi JFrog Bintray. Termux chỉ hoạt động trên Android 5.0 trở lên.
Tuy nhiên, rất nhiều người vì mục đích nào đó mà lên mạng tải và cài phần mềm này nhưng kết quả lại không mong muốn, vì một số phiên bản “share” không hoạt động, một số khác lại chứa mã độc tiềm ẩn gây hại.
Lưu ý: Chỉ nên tìm hiểu về “cách DDOS web” để bảo vệ và tránh nguy cơ tiềm ẩn, không khuyến khích việc sử dụng việc này để làm tổn hại đến tài nguyên mạng của người khác. Vì nếu làm vậy bạn sẽ đối mặt với “luật an ninh mạng” đấy.
Mục tiêu của việc đánh sập web là gì?
Tuy không có nhiều cách đánh sập web nhưng mục đích sử dụng các phương pháp này lại khá phong phú, với nhiều mục đích khác nhau, tốt cũng có, xấu cũng có.
- Đánh sập trang web đen, chứa phim đồi trụy (18+): Đây là một việc tốt mà phương pháp này làm được, các trang web chứa phim nhạy cảm sẽ ảnh hưởng rất lớn đối với các em nhỏ, độ tuổi mới lớn, luôn tò mò tới những điều mới. Kẻ xấu có thể sử dụng các web đen để lây lan vi rút máy tính.
- Đánh sập web lừa đảo: Có nhiều kẻ xấu với mục đích muốn chiếm đoạt thông tin, tài sản của người khác. Vì vậy, chúng sẽ giả mạo một trang web nào đó và yêu cầu bạn phải nhập thông tin cá nhân và bảo mật. Lúc này chúng sẽ nhờ vào thông tin đó mà đánh cặp tài sản liên quan của bạn. Ví dụ cho việc này chính là “giả mạo ngân hàng”, “xác thực khuyến mãi”,…v.v.
- Web nhà trường: Chúng ta thường bắt gặp trên các bộ phim là việc hack, hoặc sử dụng cách đánh sập trang web trường để lấy cắp thông tin thi cử, hồ sơ học sinh,..v.v. Và điều này hoàn toàn có thật ở ngoài đời. Và dù là vì mục đich gì thì việc “đánh sập website” đều là không nên làm.
- Đánh sập trang web đối thủ: Một mục tiêu củ việc DDOS website nữa đó là “đè bẹp đối thủ” trên không gian mạng. Đó có thể là tranh chấp kinh doanh, SEO thua người ta thì quay ra phá, hoặc nhiều lý do khác…
- ….
Những cách đánh sập web (DDOS) phổ biến nhất hiện nay:
Hiện nay có rất nhiều cách đánh sập trang web được sử dụng bởi hacker. Thời gian qua, cứ mỗi khi có thêm một “cách chống DDOS” được tìm ra thì lại có phương pháp để hack website bằng DDOS xuất hiện.
Và dù bạn có tìm hiểu nhiều đến đâu cũng nên cẩn thận, bởi vì các hacker trên thế giới quả thực rất là giỏi.
1. Cách đánh sập website bằng CMD (Command Prompt):
Đây là cách DDOS website đơn giản, chỉ cần một công cụ miễn phí có sẵn trong Windows là đã có thể thực hiện được rồi.
Lưu ý răng:
- Cách chỉ tấn công thành công khi biết được địa chỉ IP
- Mạng của người tấn công phải mạnh, nếu không sẽ bị “phản tác dụng”.
- Càng nhiều máy tính thực hiện cách này cùng một lúc thì lúc này vấn đề sẽ là “cuộc tấn công tầm quốc tế” rồi.
Các bước thực hiện:
Quy trình tấn công DDOS website bằng CMD như sau:
Bước 1: Tìm địa chỉ IP website.
Bạn sử dụng cú pháp này trong CMD để tìm IP của một website bất kỳ.
Ping www.temien.com -t . Trong đó “www.tenmien.com” là website của đối tượng cần DDOS.
Nếu không biết cách mở CMD thì bạn chỉ việc gõ vào ô tìm kiếm trên thanh START ký tự “CMD” là được.
Bước 2: Mở CMD và chạy lệnh
Trong CMD bạn gõ lệnh code đánh sập website :
- ping [xxx.xxx.xxx.xxx] -t -l 65500
Trong đó xxx.xxx.xxx.xxx là địa chỉ IP của trang web cần tấn công.
Bước 3: Đợi và quan sát
Bây giờ, việc của bạn là đợi xem trang web đang bị DDOS.
Bước 4: Thành công
Khi nào bạn truy cập website đó và nhận được thông báo “máy chủ không hoạt động“ hoặc “trang web tạm thời” thì quá trình đã thành công.
Đây là cách DDOS trang web đơn giản nhất, nhưng đôi lúc nó cũng khó thành công vì máy nhà băng thông quá yếu nên không thể tấn công được người ta.
2. Cách DDOS web bằng Termux
Termux là một ứng dụng Android, nó cung cấp một giao diện cho người sử dụng các dòng lệnh.
Tải miễn phí tại đây.
Lưu ý:
- Đôi lúc khi bạn gõ chữ nhưng nó không hiển thị trên màn hình, vì vậy sau khi gõ bạn cứ bấm Enter là được.
- Khi nó có thông điệp hỏi đáp kiểu xác nhận Yes/No thì bạn chọn 1 phương án sau đó bấm Enter là được.
Code cần sử dụng:
- apt update && apt upgrade
- termux-setup-storage
- pkg install php
- pkg install git
- pkg install python2
- pkg install curl
Các công cụ hack có sẵn:
- Hydra
- Metasploit Framework
- Nmap: Đây là công cụ quét IP, Port mạng. Sử dụng lệnh ” pkg install nmap” để cài đặt, sau khi cài đặt bạn cs thể sử dụng lệnh “Nmap IP” để quét IP trang web, hoặc “NMAP Domain” để tìm kiếm host của tên miền.
- Wireshark
- Red Hawk: Đây là công cụ thu nhập thông tin như WHOIS, IP, SXX,…v.v. Vì nó bắt buộc chạy trên PHP nên yêu cầu phải cài đặt PHP thì mới sử dụng được.
- Bettercap
- Slowloris
- SQLmap
Và còn nhiều tính năng khác nữa. Mình chỉ muốn giới thiệu quả vì công năng của ứng dụng này cũng khá lớn nên đối tượng xấu sử dụng sẽ không hay chút nào.
Co một công cụ khác nữa đó chính là LOIC.
3. Tấn công web bằng LOIC:
LOIC là tên viết tắt của Low Orbone Ion Canon. Đây là một tool đánh sập web hoàn toàn có thể sử dụng ngay mà không cần cài đặt.
Download nó tại đây.
- Bước 1: Mở phần mềm
- Bước 2: Nhập URL
- Bước 3: Nhập địa chỉ IP
- Bước 4: Nhấn nút Lock On
- Bước 5: Thiết lập phương thức tấn công
Dưới tùy chọn ‘ Attack Option ‘
- Bước 6: Tùy chọn Dữ liệu gửi đi đến một trong hai cổng TCP / UDP
Dưới tùy chọn ‘ TCP / UDP Message ‘ -> bạn có thể chọn để đề cập đến bất cứ điều gì bạn muốn
- Bước 7: Nhấn nút và bắt đầu:
Bây giờ nhấn nút ” IIMA CHARGIN MAH LAZER ” -> Tiến hành Lực Lượng Tổng Tấn Công Trung Tâm Máy Chủ Thôi nào !!!
- Lưu ý nên chạy phần mềm tối thiểu 1 tiếng đồng hồ thì mới có tác dụng.
4. DDOS bằng Google Doc:
Nghe thôi cũng thấy thú vị rồi đúng không?
Có thể sử dụng Google làm tác động xấu đến một website, đây là cách mà một số cá nhân có mục đích khủng bố, phá phách sử dụng.
Hiểu một cách đơn giản!
Khi bạn nhập vào file Google Doc đoạn “TEXT” sau: = image (“http://tenmien.com/wp-content/uploads/2016/website.png”) nó sẽ tìm nạp hình ảnh và sau đó hiển thị nó từ Bộ nhớ cache. Sau đó nó sẽ gửi lưu lượng truy cập đến Website đó để tìm kiếm hình ảnh và trả về đường link.
Có lẻ bạn chưa hiểu!
Thủ thuật ở đây là khi bạn dùng một tham số “r” để truy vấn địa chỉ liên kết, thì lúc này Crawl của Google sẽ tìm và xem lại đường dẫn file theo nhiều lần. Số lần ở đây được quyết định bởi tham số “r”.
- Tuy nhiên, nếu bạn sử dụng liên kết tệp pdf lớn, trình thu thập dữ liệu của Google feedfetcher sẽ không thể tìm nạp bất cứ thứ gì.
- Mặc dù, nó sẽ crawl cùng một trang web nhiều lần mà sẽ dẫn đến một ngăn xếp của băng thông đi gửi kết quả như vậy dẫn đến băng thông bị nghẽn .
- Phần tốt nhất về thủ thuật này là nó sẽ không mất băng thông của bạn, vì nó không tìm nạp gì.
5. Cách DDOS Wifi
Cách DDOS Wifi được hiểu như sau: Khi bạn truy cập vào một mạng Wifi thì mỗi lần đăng nhập sẽ có “xác thực”. Nhưng vì phần cứng hay tài nguyên không sức để xử lý quá nhiều yêu cầu truy cập cùng một lúc gẫy ra tình trạng “sập Wifi”.
Công cụ cần thiết :
- Mdk3
- Linux
- Một điểm AP (Điểm truy cập Wifi)
Ở đây chúng ta sẽ dùng MDK3 như sau:
Bước 1 : Chuyển card wifi sang chế độ monitor
- Không giải thích nhiều nữa . Các bài trước đã có rồi ,chạy lệnh :
airmon-ng start
- Ở đây card wifi của tôi tên là wlp2s0
Bước 2 : Quét tìm MAC của AP
- Chạy lệnh sau :
airodump-ng
- Ở đây tôi là
airodump-ng wlp2s0mon
- Sau đó đối chiếu với tên Wifi ta lấy địa chỉ BSSID
- Như trong ảnh : Wifi tên Đảng có BSSID là [ 02:4b:f3:08:a0:54 ]
Bước 3 : Attack
- Chạy lênh sau :
mdk3 a -a
- Ở đây tôi chạy :
mdk3 wlp2s0mon a -a 02:4b:f3:08:a0:54
Cách chống DDOS cho web hiệu quả:
Cách 1: Chống iframe.
Đây là phương pháp được xem là thô sơ nhất. Kẻ tấn công sẽ mượn 1 website có lượt truy cập lớn nào đó chèn các iframe hướng về website cần đánh rồi cho chạy lệnh refresh (tải lại) nhiều lần hoặc họ viết sẵn 1 tập tin flash với công dụng tương tự rồi đặt lên website và khi người dùng truy cập vào website này thì họ vô tình bất đắc dĩ trở thành người tấn công website kia.
Với hình thức tấn công kiểu như thế này bạn hoàn toàn có thể chống lại bằng cách chèn 1 đoạn mã Javascript chống chèn iframe từ các website khác đến website của bạn.<script language=”JavaScript”>if (top.location != self.location){top.location = self.location}</script>
Cách 2: Chống tải lại trang web quá nhiều từ kẻ xấu
Một hình thức tấn công khác nữa là dùng phím F5 liên tục có chủ ý, hoặc dùng một phần mềm được lập trình sẵn với công dụng tương tự.
Nếu bạn bị tấn công như thế này thì bạn hãy thiết lập tập tin .htaccess với nội dung:RewriteEngine onRewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?domain.com [NC]RewriteRule !antiddos.phtml http://www.domain.com/antiddos.phtml?%{REQUEST_URI} [QSA]
Sau đó tạo thêm một một tập tin antiddos.phtml có nội dung:<?$text = $HTTP_SERVER_VARS[‘QUERY_STRING’];$text = preg_replace(“#php&#si”,’php?’,$text);echo(‘<center><a href=http://www.domain.com/?’.$text.’>;<font color=red size=5 face=Monotype>[CLICK HERE TO ENTER]</font></a</center>’);?>Sau đó bạn upload 2 tập tin này lên thư mục gốc của website. Như vậy là mỗi khi truy cập vào website, nếu lần đầu tiên thì sẽ có thông báo yêu cầu nhấn chuột thì bạn mới vào được website và ở các lần sau sẽ không có và các phần mềm DDOS được lập trình sẽ bị chặn lại ở bước click chuột để vào trang web ở lần truy cập đầu tiên nên việc tải lại trang web chỉ đơn thuần là 1 trang HTML nhỏ không ảnh hưởng nhiều đến hệ thống.
Cách 3: Sử dụng Cloudflare (có trả phí và miễn phí)
Phương án sử dụng miễn phí chỉ phù hợp với quy mô DDoS nhỏ. Quy mô lớn 1 chút là chính Cloudflare sẽ khóa website của Bạn nhằm đảm bảo tài nguyên của Cloudflare.
Bản có trả phí khá tốt, tuy nhiên nó RẤT đắt
Cách 4: Sử dụng Firewall mềm trên VPS
Phương án này không khả quan cho lắm. Nó chỉ có thể chống ddos bằng cách chặn IP nếu IP đó gửi quá nhiều request đến VPS. Phương án này bất khả thi nếu Bạn đang thuê Hosting
Tạm kết
Với những hướng dẫn về cách đánh sập web đơn giản và một số cách chống DDOS trên đây hy vọng bạn sẻ bảo vệ website mình thật tốt.