+++++ Dear ….. Thank you for visiting our booth at the Myanmar Black Hacking. We hope you will have a good time and enjoyed your visit to Underground. In case we won't answer some of your questions about our Real Info, we encourage you to visit our website at www.myanmarblackhacking.com +++++ It will give you a good idea of what we can do for +++++

Mar 27, 2015

0 DDoS ရဲ့လုပ္ေဆာင္ပံု (သို ့) DDoS ဆိုတာ ဘာလဲ




(“This page cannot be displayed”) ဆိုေသာ စာတန္းအား Web စာမ်က္ႏွာျပင္၌ အင္တာနက္ အသံုးျပဳသည့္အခါ ရံဖန္ရံခါ ေတြ႕ျမင္ဖူးမည္ဟု ထင္ပါသည္။အဆိုပါ ဝန္ေဆာင္မႈမ်ား ရပ္ဆိုင္းသည့္ ျဖစ္စဥ္မ်ားသည္ အင္တာနက္ ဝင္ေရာက္ အသံုးျပဳျခင္းတြင္ သာမက ေခတ္မီကြန္ပ်ဴတာ စာပို႔စနစ္ (E-mail) ၊ တိုးတက္ေသာ ႏိုင္ငံမ်ား၌ တြင္က်ယ္စြာ အသံုးျပဳလ်က္ရိွေသာ အင္တာနက္ေပၚမွ ျပဳလုပ္ႏိုင္သည့္ ေငြေၾကးဝန္ေဆာင္မူ လုပ္ငန္း (Ebanking) မ်ား ႏွင့္ အင္တာနက္ကြန္ယက္ အေျချပဳစီးပြားေရး လုပ္ငန္းမ်ား အားလံုး အထိပါ ႀကီးမားစြာ ဆံုး႐ံႈးနစ္နာေစေသာ အင္တာနက္ဝိုင္းဝန္း တို္က္ခိုက္မႈ (Distributed Denial of Service) DDoS ပင္ ျဖစ္သည္။ တိုက္ခိုက္မႈသည္ စကၠန္႔ပိုင္း၊ မိနစ္ပိုင္းမွ်သာ မဟုတ္ နာရီမ်ားစြာ ရက္ေပါင္းမ်ားစြာ အထိပါ ေရာက္႐ိွ သြားႏိုင္ပါသည္။
ယေန႔ အားလံုးေသာလူအမ်ား ေန႔စဥ္ျပဳလုပ္ေနသည့္ တေန႔တာဘဝတြင္ ကြန္ပ်ဴတာစနစ္အေပၚ လြန္စြာမီွခိုေနၾကသည္မွာ မည္သူမွျငင္းႏိုင္လိမ့္မည္မဟုတ္ေပ။ ဥပမာ - လက္ကိုင္ဖုန္းစနစ္၊ စီပြားေရးႏွင့္ ဆိုင္ေသာအလုပ္မ်ား၊ ေဖ်ာ္ေျဖေရးမ်ား သာမက ေန႔စဥ္လူေနမူဘဝ လုပ္ငန္းေဆာင္တာမ်ား ကိုပါ ကြန္ပ်ဴတာ စနစ္မ်ားႏွင္႔ မကင္းေဝးႏိုင္ပါ။ ထို႔အတူ အထက္ပါအေၾကာင္းအရာမ်ား၏ အဓိကၾကေသာ ကြန္ပ်ဴတာကြန္ယက္စနစ္ႀကီး အဆင္ေျပေခ်ာေမြ႕စြာ လည္ပတ္ႏိုင္ျခင္းမျပဳေစရန္ အဖ်က္အေမွာင့္ လုပ္ရပ္ျဖစ္ေသာ တိုက္ခိုက္မႈ (DDoS) မ်ားကို မသာမာသူ အဖ်က္သမားမ်ားမွ လက္ရိွအသံုးျပဳ လ်က္႐ိွသည့္ စက္ပစၥည္းမ်ား (Hardware Devices) ကြန္ရက္စည္းမ်ဥ္း (Network Protocol) အျခားေသာ (Application Protocol) ႏွင့္ ကြန္ပ်ဴတာစနစ္မ်ား၏ အားနည္းခ်က္မ်ားကို ထိုးႏွက္ တိုက္ခိုက္လ်က္႐ိွသည္။ မမွန္းဆႏိုင္ေသာ ပမာဏ အလြန္မ်ားျပားစြာ တိုးတက္ေနသည့္ ကြန္ပ်ဴတာသံုးစြဲမႈ ႏွင့္ ေနရာအႏွံ႔တြင္ ေတြ႕ႏိုင္ေသာ ေ႐ြ႕႐ွား အသံုးအေဆာင္ စက္ပစၥည္းမ်ား၏ ကြန္ပ်ဴတာကြန္ယက္ စနစ္ႀကီးေပၚ ခိုင္မာစြာ ေျခကုပ္ယူမီွခို ေနသည္မွာလည္း ထင္႐ွားလွပါသည္။ တဖက္မွာလည္း ဆက္သြယ္မႈကြန္ယက္မ်ား အတြင္း လံုၿခံဳေရး ဆိုင္ရာ အႏၲရာယ္မ်ားမွာ ပို၍ ပို၍ မ်ားျပားလာပါသည္။ ထိုအႏၲရာယ္မ်ားထဲမွ DDoS အေၾကာင္းကို အေျခခံမွ စတင္ျဖစ္ေပၚလာပံု ႏွင့္ ျဖစ္ရသည့္ အေၾကာင္းအရင္းတို႔ကို ကြန္ယက္ ထိန္းခ်ဳပ္သူမ်ား (Network Administrator) အတြက္ ဗဟုသုတ ဖလွယ္သည့္ အေနျဖင့္ တင္ျပသြားမည္ ျဖစ္ပါသည္။


တိုက္ခိုက္မႈ အမ်ဳိးအစား (Many Kinds of DDoS) မ်ားစြာရွိ သကဲ့သို့ အဆိုပါ တိုက္ခိုက္မႈ တိုင္းတြင္ လုပ္ေဆာင္ရမည့္ အဆင့္မ်ားမွာ မ်ားျပားလွ ပါသည္။ ထို႔အတူ တိုက္ခိုက္မႈတစ္ခု (DDoS) ျဖစ္ရန္အတြက္ လိုအပ္ေသာ လုပ္ငန္းစဥ္မ်ားစြာ ႐ွိသည့္အနက္ အဓိက က႑ႀကီး သံုးခု ခြဲႏိုင္သည္။ ၄င္းတို႔မွာ
(၁) ဆက္သြယ္မႈစနစ္ သက္မွတ္ခ်က္ သေဘာတရား က႑ (Methodology of Communication between the attacker and the victim)
(၂) မမွန္မကန္အသံုးခ်သည့္နည္းလမ္း ႏွင့္ ဖန္တီး ေရးသားထားေသာ အစီအစဥ္ နည္းပညာပိုင္း ဆိုင္ရာ လုပ္ေဆာင္မူ က႑ (According to the Exploitation Mechanism)
(၃) ျပန္႔ႏွ႔ံေရာက္ရိွမႈ နည္းလမ္း ႏွင့္ သက္ဆိုင္သည့္ (Spreading Technique) အသီးသီးတို႔ျဖစ္ၾကသည္။
(၁) ဆက္သြယ္မႈစနစ္ သက္မွတ္ခ်က္သေဘာတရားကို အေျခခံေသာ က႑ (Methodology of Communication between the attacker and the victim)
အထက္ပါအမ်ဳိးစားကို တဖန္ လုပ္ေဆာင္မႈစနစ္ ေပၚမႈတည္၍ ႏွစ္မ်ိဳး ထပ္ခြဲႏိုင္ပါသည္။ ၄င္းတို႕မွာ (က) Handler Based Agents ႏွင့္ (ခ) IRC Based Agents တို႕ျဖစ္ၾကသည္။
(က) Handler Based Agents
Agent-Handler DDoS attack network တစ္ခုတြင္ clients ၊ handlers ႏွင့္ agents တို႕ပါဝင္သည္။ Client Platform ဆိုသည္မွာ တိုက္ခိုက္သူမွ DDoS တိုက္ခိုက္မႈ ျပဳလုပ္ရန္ အသံုးခ်မည့္ ကြန္ယက္ မဟုတ္ဘဲ က်န္ရိွသည့္ အစိတ္အပိုင္း ေနရာ (where attacker exists) ပင္ျဖစ္သည္။ Handlers မ်ားကေတာ့ (Software Packages) မ်ားျဖစ္ၿပီး အင္တာနက္အေပၚတြင္ တည္ရိွေနေသာ စြမ္းေဆာင္ရည္ ျမင့္မားသည့္ ကြန္ပ်ဴတာစနစ္ေပၚတြင္ ထည့္သြင္းျခင္းခံရကာ Attacker ႏွင့္ Agents မ်ား သြယ္ဝိုက္၍ ဆက္သြယ္ရန္ ျပဳလုပ္ထားေသာ လုပ္ေဆာင္မႈ အစီအစဥ္ပင္ ျဖစ္ပါသည္။ တိုက္ခိုက္သူမွ အဖ်က္ အေမွာင့္မ်ား ျပဳလုပ္ရန္ ေရးသားထားေသာ အစီအစဥ္ (Agent Software) ကို ထိန္းခ်ဳပ္ျခင္း ခံရသည့္ ကြန္ပ်ဴတာမ်ားထဲတြင္ အသံုးျပဳသူမ်ား (Users) မသိေစဘဲ ထည့္သြင္းရသည္။ ပထမဦးစြာ တိုက္ခိုက္သူသည္ ၄င္း ႏွင့္ ပစ္မွတ္ သားေကာင္ (Victim) တို႔အၾကား ေဆာင္ရြက္သူ Handler အား သူ (Handler) ၏ လက္ေအာက္တြင္ ႐ိွေသာ Agents မ်ားအား စနစ္ လည္ပတ္ေနမႈ႐ိွ မ႐ိွ သိ႐ိွရန္အတြက္ ဆက္သြယ္ လိုက္သည္။ ထို႔ေနာက္ တိုက္ခိုက္မႈ အစီအစဥ္ အခ်ိန္ဇယားမ်ား ေသာ္လည္းေကာင္း အျခား သူ၏ (Agent Software) ျမွင့္တင္ျခင္းေသာ္ လည္းေကာင္း Handler မွတဆင္႔ စတင္ျပဳလုပ္ျခင္း ၊ ျပင္ဆင္ ျဖည့္စြက္ျခင္းမ်ားကို ခိုင္းေစလိုက္သည္။ တိုက္ခိုက္သူ၏ အစီအစဥ္ေပၚမႈတည္၍ Agents မ်ားတြင္ Handler တစ္ဦး သို႔မဟုတ္ အမ်ားအျပား ရိွႏိုင္သည္။ ပံုမွန္အားျဖင္ Handler Software ကို Bandwidth ပမာဏမ်ား ၿပီးလမ္းေၾကာင္း ေပၚတြင္ရိွေသာ ထိန္းခ်ဳပ္ျခင္းခံရသည့္ စြမ္းရည္ျမင့္ Server မ်ား သို႔မဟုတ္ Network Router မ်ား ထဲတြင္ ထည့္သြင္းလိုက္သည္။ ထို႔ေၾကာင့္ တိုက္ခိုက္သူ (Client) ႏွင့္ ၾကားခံ ေဆာင္ရြက္သူ (Handler) အၾကား ႏွင့္ တဖန္ ၾကားခံေဆာင္ရြက္သူ (Handler) ႏွင့္ ထိန္းခ်ဳပ္ခံရသည့္ ကြန္ပ်ဴတာ (Agent) အၾကား ေပးပို႕ေသာ အခ်က္အလက္မ်ား မွာ စီစစ္႐ွာေဖြရန္ ခဲယဥ္းသြားပါသည္။ အဆိုပါ အျပန္အလွန္ ေပးပို႔မႈမ်ား ကို TCP, UDP သို႔မဟုတ္ ICMP မ်ားကို အသံုးျပဳၿပီး ဆက္သြယ္ ေဆာင္ရြက္ျခင္း ျဖစ္သည္။ ပံုမွန္အားျဖင့္ ထိန္းခ်ဳပ္ခံရသည့္ ကြန္ပ်ဴတာ Agents မ်ား၏ ပိုင္ရွင္ ႏွင့္ အသံုးျပဳ သူမ်ားသည္ ကြန္ပ်ဴတာ နည္းပညာ ဗဟုသုတမရိွသူမ်ား ျဖစ္ၾကၿပီး ၄င္းတို႔၏ ကြန္ပ်ဴတာမ်ားသည္ ထိန္းခ်ဳပ္ျခင္း ခံရေသာေၾကာင့္ DDoS တိုက္ခိုက္မႈတြင္ Agent တခုအျဖစ္ပါဝင္ ေနသည္ကို စိုးစဥ္းမွ် သိ႐ိွႏိုင္လိမ့္ မဟုတ္ေပ။ အဘယ္ေၾကာင့္ ဆိုေသာ္ Agents မ်ားသည္ DDoS တိုက္ခိုက္မႈ အတြက္ ပါဝင္ေနစဥ္ ၄င္းကြန္ပ်ဴတာမ်ား၏ လုပ္ေဆာင္မႈအရင္းအျမစ္မ်ား (System Resources) ထဲမွ အနည္းငယ္ေသာ ပမာဏသာ အသံုးျပဳ၍ ကြန္ပ်ဴတာ လုပ္ေဆာင္မႈမွာ သိသာထင္႐ွားစြာ ေျပာင္းလဲျခင္း မ႐ိွသျဖင့္ သတိမူမိလိမ့္မည္ မဟုတ္ေခ်။ ပံု(၁) မွာ Handler Based Agents ၏ လုပ္ေဆာင္မူ ပံုစံ ကို ပံုျဖင့္ ေဖာ္ျပထား ျဖစ္သည္။


ပံု(၁) Handler Based Agents

(ခ)IRC Based Agents
Internet Relay Chat (IRC) ဆိုသည္မွာ အသံုးျပဳသူအမ်ားမွ တၿပိဳင္နက္တည္း စာေရးသားေျပာဆိုေသာ စနစ္ျဖစ္ပါသည္။ ၄င္းသည္ အသံုးျပဳသူမ်ား အား Two-Party သို႔မဟုတ္ Multi-Party Interconnections မ်ားကို ခြင့္ျပဳထားၿပီး စားသားမ်ားအား တခ်ိန္တည္းတြင္ ေရးသားေျပာဆိုႏိုင္ေသာ ဝန္ေဆာင္မႈလည္းျဖစ္ သည္။ IRC ကြန္ရက္တည္ေဆာက္မႈတြင္ IRC Server မ်ားသည္ ကမာၻ႔ေနရာအႏွ႔ံတြင္ တည္႐ိွေနၿပီး အဆိုပါ Server မ်ားသည္ အျပန္အလွန္ ခ်ိတ္ဆက္မႈယူကာ ဆယ္သြယ္ထားပါသည္။ ထို IRC Server မ်ားသည္ public ၊ private ႏွင့္ secret ဆိုေသာ ဝန္ေဆာင္မႈ အတန္းအစားမ်ား ခြဲကာ profile ကို တည္ေဆာက္ ခြင့္ျပဳထားသည္။
IRC Based DDoS တိုက္ခိုက္မႈသည္ Agents မ်ားကို အမိန္႔ေပးခိုင္ေစသည့္ စနစ္ Handler Software in Handler Based Agents ႏွင့္ IRC Communication Channel in IRC Based Agents တစ္ခုမွလြဲ၍ က်န္အစီအစဥ္မွာ အတူတူပင္ ျဖစ္သည္။ ဤ IRC Channel ကို အသံုးျပဳျခင္းအားျဖင့္ တိုက္ခိုက္သူ၏ DDoS ပုံစံ တည္ေဆာက္မႈ အတြက္ အျခားေသာ အက်ဳိးရလဒ္မ်ား ျဖစ္ထြန္းေစသည္။ ဥပမာ တိုက္ခိုက္သူ သည္ တရားဝင္ပံုမွန္ျဖစ္ေသာ IRC ports ကို အသံုးျပဳ၍ Agents မ်ားအား တိုက္႐ိုက္ အမိန္႔ေပးႏိုင္သည္။ ဤအေျခအေနမွာ DDoS Packets မ်ားအား ေျခရာခံရာ၌ ခက္ခဲေသာ ေၾကာင္းရင္းတစ္ရပ္ လည္းျဖစ္ သည္။ ပံု(၂) မွာ IRC Based Agents ၏ လုပ္ေဆာင္မူပံုစံကို ပံုျဖင့္ ေဖာ္ျပထား ျဖစ္သည္။



ပံု(၂) IRC Based Agents

 ေနာက္အေၾကာင္းရင္း တစ္ခုမွာ IRC Server မ်ားအေနျဖင့္ ပမာဏမ်ားေသာ Bandwidth လမ္းေၾကာင္း မ်ား ႐ိွေနသည့္အတြက္ တိုက္ခိုက္သူမ်ားအေနျဖင့္ IRC ကြန္ယက္ထိန္းခ်ဴပ္သူမ်ားအား ေ႐ွာင္ပုန္းရန္ လြယ္ကူေနပါသည္။ တတိယအခ်က္အေနျဖင့္ တိုက္ခိုက္သူသည္ လုပ္ေဆာင္မႈအစီအစဥ္မ်ား ေရာ့နည္း သြားသည္။ အေၾကာင္းအရင္းမွာ Agents မ်ား Active ျဖစ္ေနမႈတို႔ကို ႐ိုး႐ွင္းစြာ Logging In ျပဳလုပ္ျခင္းျဖင့္ အလြယ္တကူ ၾကည့္႐ႈႏိုင္ပါသည္။ IRC ကြန္ယက္တြင္ ထည့္သြင္းထားေသာ Agent Software မွ IRC Channel ကိုဆက္သြယ္၍ Agents မ်ား၏ လည္ပတ္မႈကို Monitor ျပဳလုပ္ပါသည္။ စတုတၳအေၾကာင္း အရင္းမွာ IRC ကြန္ရက္မွာ လြယ္ကူစြာ အခ်က္အလက္မ်ား ကူေျပာင္းႏိုင္မႈ (Easy File Sharing) ဝန္ေဆာင္မႈရႏိုင္ျခင္း ပင္ျဖစ္သည္။ အဆိုပါကူးေျပာင္းမႈသည္ တဖက္လွည့္ အေနျဖင့္ တိုက္ခိုက္သူ၏ အစီအစဥ္မ်ား ျဖန္႔ေဝျခင္း (Agent Code Distribution) အျဖစ္ အသံုးခ်ႏိုင္သည္။ ဤအခ်က္သည္လည္း ေနာက္ထပ္ Agents မ်ား အျဖစ္ ေစခိုင္းႏိုင္ရန္ ျပဳလုပ္ၿပီး တိုက္ခိုက္မႈတြင္ ပါဝင္လာေအာင္ ေဆာင္ရြက္မႈ အတြက္ အခြင့္အေရးတစ္ရပ္ ပင္ျဖစ္သည္။ Agents မ်ားသည္ သက္ဆိုင္ရာ IRC Server မ်ားတြင္ အစုအဖြဲ႕လိုက္ တည္႐ိွေနၾကသည္။ ထို႔ေၾကာင့္ တိုက္ခိုက္သူသည္ Agents မ်ား အားလံုး ႏွင့္ ဆက္သြယ္မႈ ျပဳလိုသည့္ အခါတိုင္းတြင္ IRC Server အားလံုး ကို ခ်ိတ္ဆက္မႈျပဳၿပီး အလို႐ိွေသာ Agents မ်ားအား အမိန္႔ေပးခိုင္းေစသည္။ ထို႔အတူ Agents မ်ားကို ေနာက္ေၾကာင္း လိုက္ရန္မွာလည္း ခက္ခဲၿပီး တာဆီးႏိုင္ ရန္လည္း မလြယ္ကူေပ။
က်န္ရိွေနေသာ (၂)မမွန္မကန္အသံုးခ်သည့္နည္းလမ္းႏွင့္ဖန္တီးေရးသားထားေသာ အစီအစဥ္ နည္းပညာ ပိုင္းဆိုင္ရာ လုပ္ေဆာင္မူ က႑ (According to the Exploitation Mechanism) အား ေနာက္ဆက္တြဲ အပိုင္း (၂) ျဖင့္လည္းေကာင္း (၃) ျပန္႔ႏွ႔ံေရာက္ရိွမႈနည္းလမ္း ႏွင့္ သက္ဆိုင္သည့္ (Spreading Technique) အား ေနာက္ဆက္တြဲ အပိုင္း (၃) ျဖင့္ ဆက္လက္ တင္ျပသြားမည္ ျဖစ္ပါသည္။
 

References - http://www.mmcert.org.mm/ddos%28tm%29.php
(ရွင္းလင္းေစရန္ မူရင္းကို အနည္းငယ္ျပဳျပင္ထားပါတယ္)

0 comments:

Post a Comment