TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
=====o0o====
THẢO LUẬN
ĐỀ TÀI: TẤN CÔNG TỪ CHỐI DỊCH VỤ DoS VÀ DDoS
Giảng viên giảng dạy
Sinh viên thực hiện
Lớp
: TS. Trần Đức Khánh
: Vũ Thị Thùy Như
Phạm Thị Nhung
Nguyễn Thị Thi
Nguyễn Thị Nụ
Nguyễn Thị Thùy Liên
: 12BCNTT2
Hà Nội, ngày 07/27/22
TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ
TẤN CÔNG DOS
Tấn cơng giao thức
Tấn cơng DNS
TẤN CƠNG DDOS
2
1.
Các cuộc tấn công từ chối dịch vụ
2.
Mục tiêu của các cuộc tấn công từ chối dịch vụ
3.
Các dạng tấn công từ chối dịch vụ
3
1. Các cuộc tấn công từ chối dịch vụ:
Tấn công DDoS vào
54 trang web chính
phủ, ngân hàng tại
Georgia
8/2009
2007
2000
5
2. Mục tiêu của các cuộc tấn công:
Các
trang web lớn
Các
tổ chức thương mại điện tử trên Internet
3. Các dạng tấn công
Tấn
công DoS (Denial of Service): Tấn công từ một cá thể, hay
tập hợp các cá thể
Tấn
công DDoS (Distributed Denial of Service): Tấn cơng từ
một mạng máy tính được thiết kế để tấn cơng tới một đích cụ
thể nào đó
6
1.
Định nghĩa DoS
2.
Các mục đích của tấn cơng DoS
3.
Mục tiêu của kẻ tấn công
4.
Các dạng tấn công
5.
Tấn công giao thức
6.
Tấn công DNS Cache Poisoning
7
1. Định nghĩa DoS
Tấn công DoS là một kiểu tấn công mà một người làm cho một
hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi
một cách đáng kể với người dùng bình thường, bằng cách làm
quá tải tài nguyên của hệ thống.
Nếu kẻ tấn công khơng có khả năng thâm nhập được vào hệ
thống, thì chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và
khơng có khả năng phục vụ người dùng bình thường
8
2. Mục đích
Cố gắng chiếm băng thơng mạng và làm hệ thống mạng bị
ngập (flood).
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá
trình truy cập vào dịch vụ.
Cố gắng ngăn chặn những người dùng cụ thể vào một
dịch vụ nào đó
Cố gắng ngăn chặn các dịch vụ khơng cho người khác có
khả năng truy cập vào
9
3. Mục tiêu tấn công
Tạo
ra sự khan hiếm, những giới hạn và không đổi mới tài
nguyên.
Băng
thông của hệ thống mạng (Network Bandwidth), bộ
nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ liệu đều là mục
tiêu của tấn công DoS.
Phá
hoại hoặc thay đổi các thơng tin cấu hình
Phá
hoại tầng vật lý hoặc các thiết bị mạng như nguồn
điện
10
4. Các dạng tấn công DoS
Tràn
kết nối (Connection Flooding): tấn công giao thức
TCP, UDP, ICMP
Syn
DNS:
Flood, ICMP Smurfing, Ping of Death,…
tận dụng lỗi Buffer Overflow để thay đổi thông tin
định tuyến: DNS cache poisoning.
11
5. Tấn công giao thức
5.1.Syn Flood
5.1.1. Giao thức bắt tay 3 bước TCP
Client gửi gói tin SYN đến server -> TCB
(Transmission Control Block) chuyển sang trạng
thái SYN-RECEIVED
Server gửi trả lại gói tin SYN-ACK
Client gửi gói tin ACK tới server -> TCB chuyển
sang trạng thái ESTABLISHED
- > Kết nối được thiết lập
12
5.1.2. Cơ chế tấn công Syn Flood
Khi
kẻ tấn công gửi dịng lũ SYN dẫn đến tình trạng có q
nhiều TCB làm bộ nhớ của host bị cạn kiệt
Để
phòng tránh việc bộ nhớ bị cạn kiệt, HĐH chỉ lưu giữ một
số TCB xảy ra đồng thời ở trạng thái SYN-RECEIVED
Do
hạn chế khơng gian lưu trữ nên khi có q nhiều kết nối,
một số kết nối hợp lệ bị từ chối
13
5.1.3. Cách thức tấn công Syn Flood
Kẻ tấn công gửi một loạt các gói tin SYN với địa
chỉ ip khơng có thực đến hệ thống đích cần tấn
cơng
Hệ thống đích gửi trở lại các địa chỉ khơng có
thực đó và chờ đợi để nhận thông tin phản hồi từ
các địa chỉ ip giả , đưa các request chờ đợi này
vào bộ nhớ, gây lãng phí một lượng đáng kể bộ
nhớ trên máy chủ
Nếu kẻ tấn công gửi cùng một lúc nhiều gói tin có
địa chỉ IP giả như vậy thì hệ thống sẽ bị quá tải
dẫn đến bị crash hoặc boot máy tính
14
5.1.4. Cách phịng chống Syn Flood
Tăng
kích thước hàng đợi kết nối
Giảm
khoảng thời gian thiết lập kết nối
Sử
dụng phần mềm
IDS
mạng
Phương
pháp phát hiện tấn công:
SFD: Sử dụng mối quan hệ giữa cặp SYN-FIN
SFD-BF: Cải tiến phương pháp SFD sử dụng Bloom
Filter
15
5.2. ICMP Smurfing
5.2.1. ICMP
ICMP
(Internet Control Message Protocol) – Giao thức điều khiển
truyền tin trên mạng. Việc định tuyến qua các mạng sử dụng giao thức
điều khiển truyền tin ICMP để gửi thông báo làm những công việc sau:
Điều khiển, thông báo lỗi và chức năng thông tin cho TCP/IP.
Khi
một máy tính muốn kiểm tra một máy khác có tồn tại và đang hoạt
động hay khơng, nó gửi một thơng báo Echo Request. Khi trạm đích
nhận được thơng báo đó, nó gửi lại một Echo Reply. Lệnh ping sử dụng
các thông báo này. Ping là một lệnh phổ biến và thường được sử dụng
để kiểm tra kết nối.
16
5.2. ICMP Smurfing
5.2.2. Cơ chế tấn công
Sử
dụng các site khuếch đại để làm tăng lưu lượng giao
dịch với đích bị tấn công
17
5.2. ICMP Smurfing
5.2.3. Cách thức tấn công
Kẻ tấn công gửi các gói tin
ICMP_ECHO_REQUEST với địa chỉ gửi nặc
danh tới 1 số địa chỉ broadcast trong subnet.
Các máy trạm trong subnet nhận được gói
tin này và gửi thơng tin trả lời.
Các trả lời này được gửi trực tiếp đến địa chỉ
bị nặc danh.
Thông thường việc này làm nghẽn đường
truyền trong mạng của máy bị tấn công. Cả
đường truyền từ ISP đến hệ thống mạng
của máy bị tấn công cũng bị nghẽn.
Kiểu tấn công này dùng để tấn công các
webserver
18
5.2.4. Cách phịng chống ICMP Smurfing
Vơ
hiệu hóa chức năng directed broadcast tại bộ định tuyến
Phối
hợp với ISP để giới hạn lưu lượng ICMP
19
6.Tấn công DNS Cache Poisoning
Định nghĩa DNS (Domain Name System) : là hệ thống
phân giải tên miền cho Internet(1984),để ánh xạ giữa các tên miền (
www.mydomain.com) và các địa chỉ IP (192.168.0.2).
Nguyên tắc làm việc của DNS
Mỗi website cũng có một tên miền thể hiện bằng URL và một
địa chỉ IP khác nhau. Nhờ DNS, người sử dụng chỉ cần đưa
URL hay còn gọi là đường kết nối (link) cho trình trình duyệt
(web browser) biết để tìm đến địa chỉ cần thiết
20
DNS server có hai cơng việc chính:
•
Chịu trách nhiệm phân giải tên từ các máy bên trong miền về các địa chỉ
Internet, cả bên trong lẫn bên ngồi miền nó quản lý.
•
Trả lời các máy chủ DNS bên ngồi đang cố gắng phân giải những cái tên
bên trong miền nó quản lý.
Khi máy chủ DNS nhận được yêu cầu phân giải địa chỉ (request) từ máy trạm,
nó sẽ tra cứu bộ đệm (DNS Cache) và trả về địa chỉ IP tương ứng với tên
miền mà máy trạm yêu cầu. Nếu khơng tìm thấy trong bộ đệm, máy chủ DNS
sẽ chuyển yêu cầu phân giải tới một máy chủ DNS khác.
.
21
22
Tấn công giả mạo DNS (DNS cache poisoning):
Định nghĩa: là kỹ thuật tấn cơng MITM, theo đó dữ liệu sai sẽ được đưa
vào hệ thống tên miền (DNS) cho một máy chủ, để khi người dùng
duyệt đến một địa chỉ nào đó sẽ bị chuyển sang một địa chỉ khác mà
khơng hề hay biết
Mục đích: đánh cắp thơng tin, mật khẩu, giao dịch ko thực hiện được
Có hai cơ chế tấn công giả mạo DNS
Giả mạo các phản hồi DNS
Giả mạo địa chỉ DNS
23
Giả mạo các phản hồi DNS
Hacker gửi hàng loạt yêu cầu phân giải địa chỉ (DNS Requests) tới
máy chủ DNS nạn nhân (DNS Server A).
Các tên miền cần phân giải đã được hacker tính tốn sao cho DNS
Server A khơng thể tìm thấy trong bộ đệm (Cache) của nó và buộc
phải chuyển tiếp (Request forwarding) tới máy chủ DNS tiếp theo
(DNS Server B).
24
Giả mạo các phản hồi DNS
Giữa A và B trao đổi với nhau được xác thực thông qua một mã số
giao dịch TID (Transaction ID) ngẫu nhiên
TID này chỉ là một số 16 bit (giá trị nhỏ hơn 65535) và mọi trao đổi
giữa A và B đều diễn ra trên một cổng cố định của A
trước khi máy A chưa kịp nhận các gói tin trả lời từ máy B, hacker
đã gửi liên tiếp các gói tin giả mạo (fake responses) bản tin trả lời
của máy B (tức là một địa chỉ IP do hacker quản lý) tới cổng cố
định nói trên của A. Chỉ cần một trong các gói tin giả mạo này có
TID trùng với TID mà máy A đang chờ thì máy A sẽ chấp nhận. Lúc
này, gói tin trả lời thật từ máy B (response) sẽ không được máy A
xử lý nữa, mà máy A sẽ gửi trả lại cho máy người dùng một địa chỉ
IP sai lệch (của hacker).
25
Giả mạo các phản hồi DNS
26