TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
=====o0o====

THẢO LUẬN
ĐỀ TÀI: TẤN CÔNG TỪ CHỐI DỊCH VỤ DoS VÀ DDoS

Giảng viên giảng dạy
Sinh viên thực hiện

Lớp

: TS. Trần Đức Khánh
: Vũ Thị Thùy Như
Phạm Thị Nhung
Nguyễn Thị Thi
Nguyễn Thị Nụ
Nguyễn Thị Thùy Liên
: 12BCNTT2
Hà Nội, ngày 07/27/22




TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ



TẤN CÔNG DOS





Tấn cơng giao thức



Tấn cơng DNS

TẤN CƠNG DDOS

2


1.

Các cuộc tấn công từ chối dịch vụ

2.

Mục tiêu của các cuộc tấn công từ chối dịch vụ

3.

Các dạng tấn công từ chối dịch vụ

3





1. Các cuộc tấn công từ chối dịch vụ:

Tấn công DDoS vào
54 trang web chính
phủ, ngân hàng tại
Georgia
8/2009
2007
2000

5


2. Mục tiêu của các cuộc tấn công:
Các

trang web lớn

Các

tổ chức thương mại điện tử trên Internet

3. Các dạng tấn công
Tấn

công DoS (Denial of Service): Tấn công từ một cá thể, hay

tập hợp các cá thể
Tấn


công DDoS (Distributed Denial of Service): Tấn cơng từ

một mạng máy tính được thiết kế để tấn cơng tới một đích cụ
thể nào đó

6


1.

Định nghĩa DoS

2.

Các mục đích của tấn cơng DoS

3.

Mục tiêu của kẻ tấn công

4.

Các dạng tấn công

5.

Tấn công giao thức

6.


Tấn công DNS Cache Poisoning

7


1. Định nghĩa DoS


Tấn công DoS là một kiểu tấn công mà một người làm cho một

hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi
một cách đáng kể với người dùng bình thường, bằng cách làm
quá tải tài nguyên của hệ thống.


Nếu kẻ tấn công khơng có khả năng thâm nhập được vào hệ

thống, thì chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và
khơng có khả năng phục vụ người dùng bình thường

8


2. Mục đích


Cố gắng chiếm băng thơng mạng và làm hệ thống mạng bị

ngập (flood).



Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá

trình truy cập vào dịch vụ.


Cố gắng ngăn chặn những người dùng cụ thể vào một

dịch vụ nào đó


Cố gắng ngăn chặn các dịch vụ khơng cho người khác có

khả năng truy cập vào
9


3. Mục tiêu tấn công
Tạo

ra sự khan hiếm, những giới hạn và không đổi mới tài

nguyên.
Băng

thông của hệ thống mạng (Network Bandwidth), bộ

nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ liệu đều là mục
tiêu của tấn công DoS.

Phá

hoại hoặc thay đổi các thơng tin cấu hình

Phá

hoại tầng vật lý hoặc các thiết bị mạng như nguồn

điện
10


4. Các dạng tấn công DoS
Tràn

kết nối (Connection Flooding): tấn công giao thức

TCP, UDP, ICMP
Syn
DNS:

Flood, ICMP Smurfing, Ping of Death,…

tận dụng lỗi Buffer Overflow để thay đổi thông tin

định tuyến: DNS cache poisoning.

11



5. Tấn công giao thức
5.1.Syn Flood
5.1.1. Giao thức bắt tay 3 bước TCP


Client gửi gói tin SYN đến server -> TCB
(Transmission Control Block) chuyển sang trạng
thái SYN-RECEIVED



Server gửi trả lại gói tin SYN-ACK



Client gửi gói tin ACK tới server -> TCB chuyển
sang trạng thái ESTABLISHED
- > Kết nối được thiết lập

12


5.1.2. Cơ chế tấn công Syn Flood
Khi

kẻ tấn công gửi dịng lũ SYN dẫn đến tình trạng có q

nhiều TCB làm bộ nhớ của host bị cạn kiệt
Để


phòng tránh việc bộ nhớ bị cạn kiệt, HĐH chỉ lưu giữ một

số TCB xảy ra đồng thời ở trạng thái SYN-RECEIVED
Do

hạn chế khơng gian lưu trữ nên khi có q nhiều kết nối,

một số kết nối hợp lệ bị từ chối

13


5.1.3. Cách thức tấn công Syn Flood


Kẻ tấn công gửi một loạt các gói tin SYN với địa
chỉ ip khơng có thực đến hệ thống đích cần tấn
cơng



Hệ thống đích gửi trở lại các địa chỉ khơng có
thực đó và chờ đợi để nhận thông tin phản hồi từ
các địa chỉ ip giả , đưa các request chờ đợi này
vào bộ nhớ, gây lãng phí một lượng đáng kể bộ
nhớ trên máy chủ



Nếu kẻ tấn công gửi cùng một lúc nhiều gói tin có

địa chỉ IP giả như vậy thì hệ thống sẽ bị quá tải
dẫn đến bị crash hoặc boot máy tính

14


5.1.4. Cách phịng chống Syn Flood
Tăng

kích thước hàng đợi kết nối

Giảm

khoảng thời gian thiết lập kết nối

Sử

dụng phần mềm

IDS

mạng

Phương

pháp phát hiện tấn công:



SFD: Sử dụng mối quan hệ giữa cặp SYN-FIN




SFD-BF: Cải tiến phương pháp SFD sử dụng Bloom
Filter

15


5.2. ICMP Smurfing
5.2.1. ICMP
ICMP

(Internet Control Message Protocol) – Giao thức điều khiển

truyền tin trên mạng. Việc định tuyến qua các mạng sử dụng giao thức
điều khiển truyền tin ICMP để gửi thông báo làm những công việc sau:
Điều khiển, thông báo lỗi và chức năng thông tin cho TCP/IP.
Khi

một máy tính muốn kiểm tra một máy khác có tồn tại và đang hoạt

động hay khơng, nó gửi một thơng báo Echo Request. Khi trạm đích
nhận được thơng báo đó, nó gửi lại một Echo Reply. Lệnh ping sử dụng
các thông báo này. Ping là một lệnh phổ biến và thường được sử dụng
để kiểm tra kết nối.
16


5.2. ICMP Smurfing

5.2.2. Cơ chế tấn công
Sử

dụng các site khuếch đại để làm tăng lưu lượng giao

dịch với đích bị tấn công

17


5.2. ICMP Smurfing
5.2.3. Cách thức tấn công








Kẻ tấn công gửi các gói tin
ICMP_ECHO_REQUEST với địa chỉ gửi nặc
danh tới 1 số địa chỉ broadcast trong subnet.
Các máy trạm trong subnet nhận được gói
tin này và gửi thơng tin trả lời.
Các trả lời này được gửi trực tiếp đến địa chỉ
bị nặc danh.
Thông thường việc này làm nghẽn đường
truyền trong mạng của máy bị tấn công. Cả
đường truyền từ ISP đến hệ thống mạng

của máy bị tấn công cũng bị nghẽn.
Kiểu tấn công này dùng để tấn công các
webserver

18


5.2.4. Cách phịng chống ICMP Smurfing
Vơ

hiệu hóa chức năng directed broadcast tại bộ định tuyến

Phối

hợp với ISP để giới hạn lưu lượng ICMP

19


6.Tấn công DNS Cache Poisoning


Định nghĩa DNS (Domain Name System) : là hệ thống

phân giải tên miền cho Internet(1984),để ánh xạ giữa các tên miền (
www.mydomain.com) và các địa chỉ IP (192.168.0.2).


Nguyên tắc làm việc của DNS



Mỗi website cũng có một tên miền thể hiện bằng URL và một
địa chỉ IP khác nhau. Nhờ DNS, người sử dụng chỉ cần đưa
URL hay còn gọi là đường kết nối (link) cho trình trình duyệt
(web browser) biết để tìm đến địa chỉ cần thiết

20


DNS server có hai cơng việc chính:



•

Chịu trách nhiệm phân giải tên từ các máy bên trong miền về các địa chỉ
Internet, cả bên trong lẫn bên ngồi miền nó quản lý.

•

Trả lời các máy chủ DNS bên ngồi đang cố gắng phân giải những cái tên
bên trong miền nó quản lý.

Khi máy chủ DNS nhận được yêu cầu phân giải địa chỉ (request) từ máy trạm,



nó sẽ tra cứu bộ đệm (DNS Cache) và trả về địa chỉ IP tương ứng với tên
miền mà máy trạm yêu cầu. Nếu khơng tìm thấy trong bộ đệm, máy chủ DNS
sẽ chuyển yêu cầu phân giải tới một máy chủ DNS khác.

.

21


22




Tấn công giả mạo DNS (DNS cache poisoning):



Định nghĩa: là kỹ thuật tấn cơng MITM, theo đó dữ liệu sai sẽ được đưa
vào hệ thống tên miền (DNS) cho một máy chủ, để khi người dùng
duyệt đến một địa chỉ nào đó sẽ bị chuyển sang một địa chỉ khác mà
khơng hề hay biết



Mục đích: đánh cắp thơng tin, mật khẩu, giao dịch ko thực hiện được



Có hai cơ chế tấn công giả mạo DNS


Giả mạo các phản hồi DNS




Giả mạo địa chỉ DNS

23


Giả mạo các phản hồi DNS



Hacker gửi hàng loạt yêu cầu phân giải địa chỉ (DNS Requests) tới
máy chủ DNS nạn nhân (DNS Server A).



Các tên miền cần phân giải đã được hacker tính tốn sao cho DNS
Server A khơng thể tìm thấy trong bộ đệm (Cache) của nó và buộc
phải chuyển tiếp (Request forwarding) tới máy chủ DNS tiếp theo
(DNS Server B).

24


Giả mạo các phản hồi DNS


Giữa A và B trao đổi với nhau được xác thực thông qua một mã số
giao dịch TID (Transaction ID) ngẫu nhiên




TID này chỉ là một số 16 bit (giá trị nhỏ hơn 65535) và mọi trao đổi
giữa A và B đều diễn ra trên một cổng cố định của A



trước khi máy A chưa kịp nhận các gói tin trả lời từ máy B, hacker
đã gửi liên tiếp các gói tin giả mạo (fake responses) bản tin trả lời
của máy B (tức là một địa chỉ IP do hacker quản lý) tới cổng cố
định nói trên của A. Chỉ cần một trong các gói tin giả mạo này có
TID trùng với TID mà máy A đang chờ thì máy A sẽ chấp nhận. Lúc
này, gói tin trả lời thật từ máy B (response) sẽ không được máy A
xử lý nữa, mà máy A sẽ gửi trả lại cho máy người dùng một địa chỉ
IP sai lệch (của hacker).
25


Giả mạo các phản hồi DNS

26