DoS(Denial Of
Service)
Ngô Văn Công
Tin tức
Mục đích

DoS là gì?

Các kiểu DoS khác nhau

DoS tools

DDoS là gì?

DDoS attack Taxonomy

DDoS Tools

Reflected DoS Attacks

Taxonomy of DDoS countermeasures

Worms and Viruses
Thuật ngữ

Denial of Service(DoS) Attack

Đó là kiểu tấn công nhằm làm cho hệ thống
không thể sử dụng được, hay làm cho nó rất
chậm đối với các người dùng hợp lệ, bằng
cách làm quá tải tài nguyên của hệ thống


Distributed Denial of Service(DDoS)

Trên mạng Internet, DDoS là một kiểu tấn
công mà sử dụng nhiều hệ thống đã bị chiếm
quyền điều khiển để tấn công một mục tiêu
dẫn đến từ chối dịch vụ đối với các người
dùng trên hệ thống
Thực tế
Tin tức
DoS là gì?

Tấn công DoS là cách tấn công
mà một người cố gắng làm cho
hệ thống không thể sử dụng
được, hay là làm cho khả năng
phục vụ người dùng hợp lệ rất
chậm bằng cách làm quá tải nó
dấn đến không ai có thể truy cập
được

Nếu attacker không thể chiếm
quyền điều khiển máy tính thì
thường attacker sẽ làm tê liệt hệ
thống bằng cách thực hiện một
cuộc tấn công bằng DoS
Mục đích của DoS

Mục đích của tấn công DoS không phải để
truy cập một cách trái phép vào máy tính

hay dữ liệu mà là ngăn không cho người
dùng hợp lệ truy cập vào.

Attacker có thể

Cố gắng “Flood” hệ thống mạng, vì vậy ngăn
cản luồng dữ liệu của người dùng hợp lệ

Cố gắng ngắt kết nối giữa 2 máy tính, vì vậy
ngăn truy cập vào dịch vụ.

Cố gắng ngăn một người nào đó truy cập vào
dịch vụ.

Cố gắng phá hỏng dịch vụ
Ảnh hưởng

Khi tấn công DoS xảy ra người dùng có cảm giác
khi truy cập vào dịch vụ đó như bị:

Disable Network - Tắt mạng

Disable Organization - Tổ chức không hoạt động

Tổn thất tài chính

Tổn thất niềm tin
Các kiểu tấn công

Có 2 kiểu tấn công


DoS attack

DDoS attack
•
Một kiểu tấn công mà cố gắng làm cho hệ thống
mạng bị sập bằng cách làm tràn ngập các gói tin.
Phân loại DoS

Smurf

Buffer Overflow Attack

Ping of death

Teardrop

SYN
Smurf Attack

Attacker tạo ra một số lượng
lớn các gói tin ICMP
echo(ping) tới một địa chỉ
quảng bá và giả địa chỉ IP
nguồn là địa chỉ IP của nạn
nhân.

Kết quả là một số lượng lớn
các gói tin trả lời (ICMP Echo
Reply) làm tràn ngập host của

nạn nhân, host bị giả dạng

Sự khuếch đại nhanh của các
gói tin trả lời có thể lam tràn
ngập kết nối mạng của nạn
nhân

"smurf" dùng gói tin UDP echo
được gọi tên khác là "fraggle"
Smurf Attack
Buffer Overflow attacks

Tràn bộ đệm xảy ra khi 1 chương
trình viết nhiều thông tin vào bộ
đệm, vượt ra khỏi không gian mà
nó được cung cấp.

Attacker có thể ghi đè nên dữ liệu
điều khiển của chương trình và
chiếm quyền điều khiển chương
trình để chạy các đoạn mã của
attacker thay vì đoạn mã của
chương trình.

Gửi một thông điệp mail với tập
tin gắn kém có tên dài hơn 256
ký tự có thể làm tràn bộ đệm
Ping of Death Attack

Attacker gửi một IP packet lớn hơn 65,536

bytes cho phép bởi giao thức IP

Phân đoạn(fragementation) cho phép 1 gói
tin IP chia ra thành nhiều phân đoạn nhỏ
hơn.

Hacker có thể dễ dàng tạo ra 1 gói tin có
kích thước lớn hơn 65,536 bytes tại quá
trình phân đoạn. Các hệ điều hành, không
thể điều khiển các gói tin với kích thước
vượt quá, bị đóng băng, khởi động lại hay
bị treo.

Attacker có thể dễ dàng giả dạng định
danh của mình khi gửi gói tin quá cỡ.
Teardrop Attack

Giao thức IP quy định rằng các gói
tin với kích thước quá lớn so với
router kế tiếp phải được phân mảnh
thành nhiều gói tin nhỏ hơn

Attacker đặt các thông số sai vào
trường offset trong các gói tin IP
phân mảnh

Nếu hệ điều hành khi nhận những
gói tin này không thể kết hợp
những gói tin này lại với nhau có
thể làm cho hệ thống sụp đổ


Đó là kiểu tấn công trên giao thức
UDP, sử dụng các offset trồng chéo
nhau làm cho các hosts bị tê liệt
SYN Attack(1/2)

Attacker gửi các yêu cầu TCP
SYN giả đến máy chủ nạn
nhân. host sẽ cấp tài
nguyên(bộ nhớ) cho kết nối.

Làm cho máy chủ không thể
trả lời các yêu cầu hợp lệ

Kiểu tấn công này tận dụng
cơ chế bắt tay 3 pha của
giao thức TCP

Attacker sẽ làm ngập lụt các
yêu cầu TCP SYN trên máy
nạn nhân với địa chỉa IP
nguồn giả có thể làm DoS
SYN Attack(2/2)

Khi host B nhận yêu cấu
SYN kết nối từ host A, nó
phải lưu yêu cầu trong
hàng đợi kết nối ít nhất là
75s


Một attacker có thể tận
dụng kích thước nhỏ của
hàng đợi bằng cách gửi
nhiều yêu cầu SYN kết nối
tới và không bao giờ trả
lời SYN&ACK

Hàng đợi của nạn nhân sẽ
nhanh chóng bị đầy
Hacking Tools

Jolt2

Bubonic.c

Land and LaTierra

Targa
Jolt2

Cho phép attackers thực
hiện tấn công DoS trên
các máy chạy windows

Làm cho các máy tính
mục tiêu tiêu thụ 100%
CPU để xử lý các gói tin
không hợp lệ

Nhiều router hay

gateway cũng có thể bị
tấn công
Bubonic.c

Bubonic là công cụ cho phép tấn công DoS
các máy chạy window 2000

Nó làm việc bằng cách gửi một cách ngẫu
nhiên các gói tin TCP, với các thiết lập
ngẫu nhiên, với mục đích là làm tăng tải
chó máy mục tiêu, dẫn tới hệ thống bị
crash.
c: \> bubonic 12.23.23.2 10.0.0.1 100
Bubonic.c
Land and LaTierra

Giả địa chỉ IP và mở
các kết nối TCP

Địa chỉ IP đích và
nguồn được chỉnh
giống nhau, là địa chỉ
của máy đích

Kết quả là gửi gói tin
trả lời lại cho chính
nó, bởi vì địa chỉ giống
nhau
Mạng BOT NET


Khi sử dụng một Tool tấn công DoS tới một máy chủ đôi khi
không gây ảnh hưởng gì cho máy chủ - Giả sử máy tính
attacker sử dụng tool Ping of Death tới một máy chủ, trong
đó máy chủ kết nối với mạng tốc độ 100Mbps, attacker kết
nối tới máy chủ tốc độ 3Mbps - Vậy tấn công của hacker
không có ý nghĩa gì.

Hãy tưởng tượng có 1000 người cùng một lúc tấn công vào
máy chủ kia khi đó toàn bộ băng thông của 1000 người
cộng lại tối đa đạt 3Gbps và tốc độ kết nối của máy chủ là
100 Mbps vậy kết quả sẽ ra sao?

Kẻ tấn công xây dựng một mạng gồm hàng nghìn máy tính
kết Internet (có mạng BOT lên tới 400.000 máy). Attacker
có khả năng lợi dụng người kết nối tới Internet để xây dựng
mạng BOT

Khi có trong tay mạng BOT kẻ tấn công sử dụng những tool
tấn công đơn giản để tấn công vào một hệ thống máy tính.
Dựa vào những truy cập hoàn toàn hợp lệ của hệ thống,
cùng một lúc chúng sử dụng một dịch vụ của máy chủ, khi
kẻ tấn công có trong tay 400.000 máy chủ và cùng một lúc
ra lệnh cho chúng download một file trên 1 trang web. Và
đó chính là DDoS – Distributed Denial of Servcie
Mạng BOT

BOT từ viết tắt của từ RoBOT

IRCbot – còn được gọi là zombia hay drone.


Internet Relay Chat (IRC) là một dạng truyền dữ
liệu thời gian thực trên Internet. Nó thường được
thiết kế sao cho một người có thể nhắn được cho
một group và mỗi người có thể giao tiếp với nhau
với một kênh khác nhau được gọi là – Channels.

Đầu tiên BOT kết nối kênh IRC với IRC Server và
đợi giao tiếp giữa những người với nhau.

Kẻ tấn công có thể điều khiển mạng BOT và sử
dụng mạng BOT cũng như sử dụng nhằm một
mục đích nào đó.

Nhiều mạng BOT kết nối với nhau người ta gọi là
BOTNET