DDOS Concepts

Distributed Denial of Service (DDOS) လို႕ေခၚတဲ့ attack အေၾကာင္း အမ်ားၾကီးမဟုတ္ဘူးနည္းနည္းေလးေျပာခ်င္တယ္။ စဥ္းစားလို႕ရေအာင္လို႕ပါ။ အျပည့္စံုေတာ့မေရးႏိုင္ဘူး။ အမ်ားၾကီးပဲဆိုေတာ့ concepts ပဲ အဓိကေတြးမိတာေလးေရးထားတာ။ တခ်ိဳ႕ကလဲ လုပ္ခ်င္တာပဲသိျပီး တခ်ိဳ႕တြက္စရာရွိတာေလးေတြမတြက္မိရင္ အလြဲအလြဲအေခ်ာ္ေခ်ာ္ေတြျဖစ္ကုန္မွာ။

က်ေနာ္သိသေလာက္တခါတေလ OP (Operation) ေတြလုပ္ၾကပါတယ္။ ဒီအခါမွာ ေတာ္လွန္ေရးစိတ္ဓါတ္ျပင္းထန္သူမ်ား ( Beginner မ်ားသာ ) က မိမိအေနနဲ႕ တစ္ခုခု တပ္စြမ္းသေလာက္ပါ၀င္လွဳပ္လွ်ားဖို႕ တာဆူလာတတ္ၾကတယ္။ ဒီအခါမွာ နည္းနည္းတြက္ဆတတ္ဖို႕ အၾကံေပးခ်င္တာပါ။ သိျပီးသားသူေတြကေတာ့ သိျပီးေနျပီဆိုေတာ့ သူတို႕ဘာသာ လုပ္ၾကလိမ့္မယ္။ တခါတေလ ဦးေဆာင္တဲ့သူလြဲသြားရင္ သူတို႕ေျပာတဲ့အတိုင္းလုိက္လုပ္တဲ့အခါမွာ Ph bill ေတြဘာေတြမလိုအပ္ပဲကုန္သြားတာမ်ိဳးေတြရွိပါတယ္။ ဒါေၾကာင့္ တြက္ခ်က္ဖို႕လိုမယ္ ေခါင္းေဆာင္ေကာင္းလိုမယ္။

ဂ်ပန္စကားျပန္မ်ားႏွင့္ေတြ႕ဆံုျခင္း

အခုလိုမ်ိဳးခ်စ္စိတ္ျပင္းထန္ေနတဲ့ ညီအကိုေတြအေနနဲ႕ တခါတေလ အသားထဲကေလာက္ထြက္ သစၥာေဖာက္ေတြနဲ႕ ေတြ႕ရတတ္ပါတယ္။ ဒါကေတာ့ တျခားမဟုတ္ပါဘူး။ အခုလိုစိတ္ဓါတ္ျပင္းထန္ေနတဲ့သူေတြကို Ddos tool ဘာညာ ဆိုျပီး RAT တို႕ Botnet တို႕ Bind ျပီး သစၥာေဖာက္ၾကေသာ ဂ်ပန္စကားျပန္မ်ားႏွင့္ေတြ႕ရတတ္ပါတယ္။ သတိထားပါ။ ကိုယ္အရင္ခံရသြားႏိုင္ပါတယ္။

Budget Plan

ဖုန္းေဘနဲ႕သံုးေနရတဲ့အမ်ားစုက DOS က request ေတြအမ်ားၾကီးပို႕တာျဖစ္တဲ့အတြက္ Bill ကေတာ့ရက္ရက္စက္စက္ကုန္မွာပါ။ ပံုမပါပဲ code ေတြခ်ည္းပဲဆိုပါေတာ့။ google ကိုသာေခၚရင္ဘယ္ေလာက္ size ရွိမလဲၾကည့္ရေအာင္။

import requests

r=requests.get('https://google.com')
size=len(r.text)
kb=size/1024
print kb

10 Kb အဲဒါစာခ်ည္းပဲေနာ္။

Our ISP (telenor)

https://www.telenor.com.mm/page/internet-plans/120

စဥ္းစားေပါ့ 😀

Target Plan

Target ေရြးတဲ့ေနရာမွာလဲ အေရးပါေသးတယ္။ ဥပမာဆိုၾကပါစို႕ တစ္ေန႕ေနလို႕ ၁ ေယာက္၀င္မၾကည့္တဲ့ Website တစ္ခု သူ႕ဟာသူ gov ပဲျဖစ္ေနဦး။ က်ေနာ္႕အေနနဲ႕ေတာ့ ဘာမွအေရးမပါဘူးလို႕ထင္တာပဲ။ အေပၚက Badget plan နဲ႕သာဆို ISP ေတြကိုလုပ္ေက်ြးယံုသက္သက္ပဲ။ Denial of Service ဆိုတာ အေႏွာင့္ယွက္ေပးတယ္ပဲဆိုၾကပါေစဦး။ အေႏွာင့္ယွက္ျဖစ္မွ အက်ိဳးသက္ေရာက္မွဳရွိမွာမဟုတ္ဘူးလား? Work done ေပါ့ေနာ္။ ဥပမာ အေရးၾကီးသတင္းအခ်က္လက္တစ္ခုကို တင္မယ့္ေန႕မ်ိဳး အားလံုးကစိတ္၀င္စားေနၾကတဲ့အခ်ိန္ Website ကေခၚမရဘူးဆိုရင္ေတာ့ Work done ေပါ့။ ဒီလိုမ်ိဳးထည့္တြက္သင့္တယ္မဟုတ္လား ? ဟီး ေျပာျပတာေနာ္ လာဆဲမေနနဲ႕ဦး 😀

Some DDOS tools

http://resources.infosecinstitute.com/dos-attacks-free-dos-attacking-tools/

VPS Server 

VPS server ေတြကေတာ့ ဒီမွာလဲေရာင္းတဲ့သူေတြရွိသလို Online ကေနလဲကိုယ့္ကို၀ယ္လို႕ရတယ္ Credit card ရွိရင္ေပါ့။ ဒါကက်ေတာ့ က်ေနာ္တို႕ရဲ႕ Bandwidth နဲ႕မဆိုင္ဘူး VPS ရဲ႕ bandwidth နဲ႕ပဲဆိုင္တာဆိုေတာ့ ခုန Budget plan မွာ Ph bill ေတြသိပ္မကုန္ေတာ့ပဲ VPS ရဲ႕ ကုန္က်ေငြပဲရွိေတာ့မယ္။

စဥ္းစားေပါ့ 😀

DDOS with Botnets

ဒီတစ္ခါက်ေတာ့ Badget plan အနဲဆံုးျဖစ္ျပီး bots ေတြမ်ားရင္မ်ားသလို အက်ိဳးသက္ေရာက္မွဳရွိေစႏိုင္ပါတယ္။ မိမိ Computer ကေန C & C (command and control) server ကိုသြားတဲ့ request ကလြဲလို႕ က်န္တဲ့ bandwidth အားလံုးလဲ ကိုယ္နဲ႕မဆိုင္ေတာ့ဘူး။ အရမ္းၾကမ္းတယ္ဆိုတာေတြျဖစ္လာရပါတယ္။

Botnets Wiki ( Link )

အဂၤလိပ္မင္းၾကီးႏွင့္ေတြ႕ဆံုျခင္း

Botnet ေတြက ပိုမိုက္တယ္ဟဆိုျပီး စမ္းၾကတဲ့အခါမွာ ေနာက္ထပ္မွတ္သားစရာေလးေတြေျပာခ်င္ပါေသးတယ္။ ဟိုအရင္က ဂ်ပန္စကားျပန္ေလာက္ ဂ်င္းထည့္ခံရတာ Botnet ေတြကိုင္မွ AV (Anti-Virus) မသိေအာင္ FUD (Fully Undetectable) crypter ေတြလိုလာ Botnet builder ေတြလိုလာနဲ႕ဆိုရင္ Bind ထားတာေလးေတြကိုထမ္မံရရွိႏိုင္ပါေသးတယ္။ Bot အေပၚ bot ဆင့္ေပါ့။ Botnet ဆုိေတာ့လဲ ကိုယ့္အလွည့္က်ေတာ့ AV နဲ႕စစ္လို႕ကမရ။ VM ေတြဘာေတြနဲ႕ စမ္းေပါ့။ VPS ေပၚတင္စမ္းေပါ့။

Attack Types

  1. Application-layer DDOS attack
  2. Protocol DOS attack
  3. Volume-based DDOS attack

စသည္ျဖင့္ရွိၾကပါတယ္။ အဲဒါေတြကေတာ့ ဒီမွာပဲေနာက္မွ edit လုပ္ျပီးေသခ်ာေျပာျပေပးပါေတာ့မယ္။ ေတာ္ေတာ္မ်ားတယ္ရွင္းျပရမွာ။ TCP syn flood , HTTP flood စတာေတြအျပင္ One Billion Laugh Attack ( XML Bomb) , Ddosing SQL တို႕လို႕ Web Service ကေနတိုက္တာဘာညာသာရကာေတြကလဲရွိေသးတာကိုး ။ 😀 ခုေတာ့ ဒီေလာက္ပဲစဥ္းစားထားပါဦး။

မွတ္ခ်က္။ ။ ပံုေတြက ဟာသ သေဘာနဲ႕ထည့္ထားတာေနာ္ ဖတ္လို႕ေကာင္းေအာင္လို႕ပါ ဥပမာေပးတာပါ။ မည္သူတစ္ဦးတစ္ေယာက္ကိုမွ တိုက္ခိုက္ျခင္းမဟုတ္ပါဘူး။ သိထားရေအာင္လို႕ပါ

 

Thanks for Reading xD

(To Be Continued )

4 Comments

  1. လိုခ်က္​တဲ့အခ်က္​​ေတြရယ္​ Link ​ေတြရယ္​ရလို႔​ေက်း​ေက်းဗ်ာ
    Waiyan Ye Yint

Comments are closed.