ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT
- - - -  - - - -

ĐỒ ÁN MÔN HỌC
TÌM HIỂU VỀ DDOS, MÔ TẢ CÁCH TẤN CÔNG VÀ PHƯƠNG PHÁP
PHÒNG THỦ
Giảng viên hướng dẫn Nhóm thực hiện
Thạc sĩ : Trương Hoài Phan Nguyễn Thị Diệu K094061108
Tống Thị Hoa K094061126
Đặng Thị Liên K094061150
Nguyễn Thị Kim Nga K094061163
Dương Trọng Vinh K094061216

1
Thành phố Hồ Chí Minh, tháng 11/2012
Mục Lục
2
Chương 1 : CƠ SỞ LÝ THUYẾT VÀ TỔNG QUAN VỀ DDOS
1.1 Nguồn gốc
Cuối thế kỷ 19 cũng như đầu thiên niên kỷ mới đánh dấu bước phát triển nhanh, mạnh của
một số chiến lược tấn công khác biệt nhắm vào hệ thống mạng. DDoS, tức Distributed Denial of
Services, hình thức tấn công từ chối dịch vụ phân tán khét tiếng ra đời. Tương tự với người anh
em DoS (tấn công từ chối dịch vụ), DDoS được phát tán rất rộng, chủ yếu nhờ tính đơn giản
nhưng rất khó bị dò tìm của chúng. Đã có nhiều kinh nghiệm đối phó được chia sẻ, với khối
lượng kiến thức không nhỏ về nó, nhưng ngày nay DDoS vẫn đang là một mối đe doạ nghiêm
trọng, một công cụ nguy hiểm của hacker. Chúng ta hãy cùng tìm hiểu về DDoS và sản phẩm kế
thừa từ nó: các cuộc tấn công botnet.
a. Giới thiệu về Bot và Botnet
Bot là viết tắt của robot, tức các chương trình tự động hoá (chứ không phải là người máy như
nghĩa chúng ta vẫn gọi) thường xuyên được sử dụng trong thế giới Internet. Người ta định nghĩa

spider được dùng bởi các công cụ tìm kiếm trực tuyến, ánh xạ website và phần mềm đáp ứng theo
yêu cầu trên IRC (như eggdrop) là robot. Các chương trình tự động phản ứng khi gặp sự kiện
ngoài mạng nội bộ cũng được gọi là robot. Chúng ta sẽ quan tâm tới một kiểu robot cụ thể (hay
bot như tên tắt vẫn thường được gọi) là IRC bot. IRC bot sử dụng các mạng IRC như một kênh
liên lạc để nhận lệnh từ người dùng từ xa. Ví dụ cụ thể như, người dùng là một kẻ tấn công, còn
bot là một Trojan horse. Một lập trình viên giỏi có thể dễ dàng tạo ra một số bot riêng của mình,
hoặc xây dựng lại từ các bot có sẵn. Chúng có thể dễ dàng ẩn nấp trước những hệ thống bảo mật
cơ bản, sau đó là phát tán đi nhanh chóng trong thời gian ngắn.
b. IRC
IRC là tên viết tắt của Internet Relay Chat. Đó là một giao thức được thiết kế cho hoạt động
liên lạc theo kiểu hình thức tán gẫu thời gian thực (ví dụ RFC 1459, các bản update RFC 2810,
2811, 2812, 2813) dựa trên kiến trúc client-server. Hầu hết mọi server IRC đều cho phép truy cập
miễn phí, không kể đối tượng sử dụng. IRC là một giao thức mạng mở dựa trên nền tảng TCP
(Transmission Control Protocol - Giao thức điều khiển truyền vận), đôi khi được nâng cao với
SSL (Secure Sockets Layer - Tầng socket bảo mật).
Một server IRC kết nối với server IRC khác trong cùng một mạng. Người dùng IRC có thể liên
lạc với cả hai theo hình thức công cộng (trên các kênh) hoặc riêng tư (một đối một). Có hai mức
3
truy cập cơ bản vào kênh IRC: mức người dùng (user) và mức điều hành (operator). Người dùng
nào tạo một kênh liên lạc riêng sẽ trở thành người điều hành. Một điều hành viên có nhiều đặc
quyền hơn (tuỳ thuộc vào từng kiểu chế độ do người điều hành ban đầu thiết lập ) so với người
dùng thông thường.
Các bot IRC được coi như một người dùng (hoặc điều hành viên) thông thường. Chúng là các quy
trình daemon, có thể chạy tự động một số thao tác. Quá trình điều khiển các bot này thông thường
dựa trên việc gửi lệnh để thiết lập kênh liên lạc do hacker thực hiện, với mục đích chính là phá
hoại. Tất nhiên, việc quản trị bot cũng đòi hỏi cơ chế thẩm định và cấp phép. Vì thế, chỉ có chủ sở
hữu chúng mới có thể sử dụng.
Một thành phần quan trọng của các bot này là những sự kiện mà chúng có thể dùng để phát tán
nhanh chóng tới máy tính khác. Xây dựng kế hoạch cần thận cho chương trình tấn công sẽ giúp
thu được kết quả tốt hơn với thời gian ngắn hơn (như xâm phạm được nhiều máy tính hơn chẳng

hạn). Một số n bot kết nối vào một kênh đơn để chờ lệnh từ kẻ tấn công thì được gọi là một
botnet.
Các mạng zombie (một tên khác của máy tính bị tấn công theo kiểu bot) thường được điều khiển
qua công cụ độc quyền, do chính những kẻ chuyên bẻ khoá cố tình phát triển. Trải qua thời gian,
chúng hướng tới phương thức điều khiển từ xa. IRC được xem là công cụ phát động các cuộc tấn
công tốt nhất nhờ tính linh hoạt, dễ sử dụng và đặc biệt là các server chung có thể được dùng như
một phương tiện liên lạc. IRC cung cấp cách thức điều khiển đơn giản hàng trăm, thậm chí hàng
nghìn bot cùng lúc một cách linh hoạt. Nó cũng cho phép kẻ tấn công che đậy nhân dạng thật của
mình với một số thủ thuật đơn giản như sử dụng proxy nặc danh hay giả mạo địa chỉ IP. Song
cũng chính bởi vậy mà chúng để lại dấu vết cho người quản trị server lần theo.
Trong hầu hết các trường hợp tấn công bởi bot, nạn nhân chủ yếu là người dùng máy tính đơn lẻ,
server ở các trường đại học hoặc mạng doanh nghiệp nhỏ. Lý do là bởi máy tính ở những nơi này
không được giám sát chặt chẽ và thường để hở hoàn toàn lớp bảo vệ mạng. Những đối tượng
người dùng này thường không xây dựng cho mình chính sách bảo mật, hoặc nếu có thì không
hoàn chỉnh, chỉ cục bộ ở một số phần. Hầu hết người dùng máy tính cá nhân kết nối đường truyền
ADSL đều không nhận thức được các mối nguy hiểm xung quanh và không sử dụng phần mềm
bảo vệ như các công cụ diệt virus hay tường lửa cá nhân.
c. Ứng dụng của Bot
- Tấn công từ chối dịch vụ phân tán (DDoS)
- Spamming (phát tán thư rác)
- Sniffing và Keylogging
4
- …
1.2 Lịch sử của tấn công DDoS
a. Mục tiêu
Mục tiêu các cuộc tấn công thường vào các trang web lớn và các tổ chức thương mại điện tử
trên Internet. Mục tiêu đó được thực hiện bởi những đối tượng:
• Điển hình là cộng đồng hacker kinh điển tốn không ít giấy mực của báo chí là
Anonymous (Nhóm hacker được biết đến nhiều nhưng thông tin định danh cũng như
hành tung của cộng đồng này ít được biết đến) Nhóm hacker thực hiện hàng loạt vụ tấn

công DDoS, nhằm vào nhiều website chính phủ, đánh cắp thông tin cá nhân… chiến tích
của Anonymous tham khảo trực tiếp tại đây hp://www.baomoi.com/Nhom-hacker-
Anonymous-Tu-vo-danh-den-noi-danh/76/6527224.epi
• Ngoài ra còn có những cá nhân khác, hoạt động không có tổ chức chỉ nhằm mục đích
kiếm tiền hoặc ăn cắp thông tin cá nhân để thực hiện gian lận. Không đâu xa có thể tìm
thấy tin rao vặt ở nhiều nơi điển hình như:
Ví dụ:
“Tình hình là kinh tế việt nam khá khăn nên mình đánh liều đi DDoS. Vào thẳng vấn đề
luôn.DDoS site giá tối thiểu 250k/h (tức là site đó die 1 tiếng). Cho test ddos thử trước.
Bạn nào có nhu cầu liên hệ: maifamily.maianhkhoa
p/s: Kèm bán luôn tool ddos: 150m”
b. Các cuộc tấn công
- Vào ngày 15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công DDoS cực mạnh và làm gián
đoạn websites trong vòng 2 giờ.
- Vào lúc 15:09 giờ GMT ngày 27 tháng 3 năm 2003: toàn bộ phiên bản tiếng anh của website
Al-Jazeera bị tấn công làm gián đoạn trong nhiều giờ
- 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi Phifli.
- Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động vì cuộc tấn công bằng (DDOS)
- Tháng 6 – 1999 Mạng Trinoo đã được cài đặt và kiểm tra trên hơn 2000 hệ thống.
- Lúc 7 giờ tối ngày 9-2/2000 Website Excite.com là cái đích của một vụ tấn công từ chối dịch
vụ, dữ liệu được luân chuyễn tới tấp trong vòng 1 giờ cho đến khi kết thúc, và gói dữ liệu đó đã
hư hỏng nặng.
- 7/2/2000 Yahoo! đã bị tấn công từ chối dịch vụ và ngưng trệ hoạt động trong vòng 3 giờ
đồng hồ
5
- Gần đây nhất là vụ tấn công của website Bkav. Cụ thể là Chỉ 2 ngày sau khi bị tấn công vào
Website nhánh webscan.bkav.com.vn , từ tối ngày 4/2/2012, trang chủ của Bkav tại địa
chỉ www.bkav.com.vn đã không thể truy cập.
Các khách hàng sử dụng phần mềm diệt virus Bkav bản mất phí Bkav Pro cũng không thể kết nối
tới máy chủ để cập nhật các virus mới.

Đến rạng sáng nay (5/2), trang chủ Bkav tiếp tục chuyển hướng tới trang “/trang-chu3″, kết nối
rất ít khi thành công. Khi truy cập được, trang chủ Bkav không có dấu hiệu bị sửa đổi bởi hacker
và cũng không có bất cứ thông báo nào liên quan tới sự cố.
Trước đó, vào tháng 10/2008, Website của Bkav cũng từng bị tấn công DDoS bởi một mạng
botnet có quy mô lớn nhất Việt Nam tại thời điểm đó với khoảng 1.000 máy tính, khiến hệ thống
không thể hoạt động. Đối tượng gây ra vụ tấn công này đã bị bắt sau đó không lâu.
 Và 15 vụ tấn công DDoS nổi tiếng nhất lịch sử, xem thêm tại hp://www.baomoi.com/15-
vu-tan-cong-DDoS-noi-&eng-nhat-lich-su/76/6001710.epi
Tấn công từ chối dịch vụ DDoS (Distributed Denial of Service) là hình thức gây “ngập lụt” hệ
thống hoặc băng thông của nạn nhân bằng một khối lượng lớn các truy cập đồng thời từ một
hệ thống mạng máy tính gồm nhiều máy bị chiếm quyền điều khiển. Đây thường được coi là
hành động tấn công thuộc loại “bẩn thỉu” nhất và rất khó chống đỡ.
6
1.3 Định nghĩa khái quát về tấn công DdoS
a. Khái niệm
Tấn công từ chối dịch vụ phân tán (DDoS – Distributed Denial of Service) là hoạt động làm
chấm dứt hoặc gián đoạn các dịch vụ tại máy nạn nhân. Tấn công Ddos huy động số lượng lớn
các máy bị lợi dụng để tấn công nạn nhân vào một cùng thời điểm. Do DDoS có tính chất phân
tán nên việc ngăn chặn là rất khó khăn. Việc ngăn chặn DDoS không thể từ một máy tính bị tấn
công mà phải kết hợp giữa các router để tiến hành phân tích và chặn. Do có số lượng Agent lớn
và bao phủ trên diện rộng nên việc phát hiện được các gói tin tấn công nhưng khó có khả năng
giải quyết triệt để được DDoS. Ở đây Agent là những máy trực tiếp gửi thông điệp tấn công.
Trên Internet tấn công Distributed Denial of Service là một dạng tấn công từ nhiều máy tính tới
một đích, nó gây ra từ chối các yêu cầu hợp lệ của các user bình thường. Bằng cách tạo ra những
gói tin cực nhiều đến một đích cụ thể, nó có thể gây tình trạng tương tự như hệ thống bị
shutdown.
Kết luận
- Qua đó ta có thể thấy rõ những vụ tấn công từ chối dịch vụ (Denial Of Services Attack ) và
những cuộc tấn công về việc gửi nhửng gói dữ liệu tới máy chủ (Flood Data Of Services
Attack) tới tấp là những mối lo sợ cho nhiều mạng máy tính lớn và nhỏ hiện nay,

7
- Khi một mạng máy tính bị Hacker tấn công nó sẽ chiếm một lượng lớn tài nguyên trên server
như dung lượng ổ cứng, bộ nhớ, CPU, băng thông …. Lượng tài nguyên này tùy thuộc vào
khả năng huy động tấn công của mỗi Hacker. Khi đó Server sẽ không thể đáp ứng hết những
yêu cầu từ những client của những người sử dụng và từ đó server có thể sẽ nhanh chóng bị
ngừng hoạt động, crash hoặc reboot.
Nguyên tắc hoạt động
Cùng 1 lúc server hoặc 1 địa chỉ IP bị hàng chục ngàn máy khác tấn công vào ,điều này khiến cho
máy bị tràn bộ nhớ ==> làm serve bị treo hoặc reset lại ,rất nguy hiểm có thể xóa sạch Database
của web đó
b. Các đặc tính của DDoS
- Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, và thường dựa vào các
dịch vụ có sẵn trên các máy tính trong mạng botnet
- Các dịch vụ tấn công được điều khiển từ những "primary victim" trong khi các máy tính bị
chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn công thường được gọi là "secondary
victims".
- Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ IP trên
Internet.
- Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall. Nếu nó từ 30.000
địa chỉ IP khác, thì điều này là vô cùng khó khăn.
- Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DdoS.
1.4 Những khả năng bị tấn công bằng DDoS
a. Các giai đoạn tấn công bằng DDoS
Bao gồm 3 giai đoạn :
• Giai đoạn chuẩn bị
- Chuẩn bị công cụ quan trọng của cuộc tấn công, công cụ này thông thường hoạt động theo
mô hình client-server. Hacker có thể viết phần mềm này hay down load một cách dễ dàng,
theo thống kê tạm thời có khoảng hơn 10 công cụ DDoS được cung cấp miễn phí trên mạng
(các công cụ này sẽ phân tích chi tiết vào phần sau)
- Kế tiếp, dùng các kỹ thuật hack khác để nắm trọn quyền một số host trên mạng. tiến hành

cài đặt các software cần thiết trên các host này, việc cấu hình và thử nghiệm toàn bộ attack-
8
DDoS aack-network
Agent -Handler IRC - Based
Client – Handler
Communicaon
Secret/private channel Public channel
TCP UDP ICMP TCP UDP ICMP
Client – Handler
Communicaon
netword (bao gồm mạng lưới các máy đã bị lợi dụng cùng với các software đã được thiết lập
trên đó, máy của hacker hoặc một số máy khác đã được thiết lập như điểm phát động tấn
công) cũng sẽ được thực hiện trong giai đoạn này.
• Giai đoạn xác định mục tiêu và thời điểm
- Sau khi xác định mục tiêu lấn cuối, hacker sẽ có hoạt động điều chỉnh attack-netword
chuyển hướng tấn công về phía mục tiêu.
- Yếu tố thời điểm sẽ quyết định mức độ thiệt hại và tốc độ đáp ứng của mục tiêu đối với
cuộc tấn công.
• Phát động tấn công và xóa dấu vết
- Đúng thời điểm đã định, hacker phát động tấn công từ máy của mình, lệnh tấn công này có
thể đi qua nhiều cấp mói đến host thực sự tấn công. Toàn bộ attack-network (có thể lên đến
hàng ngàn máy), sẽ vắt cạn năng lực của server mục tiêu liên tục, ngăn chặn không cho nó
hoạt động như thiết kế.
- Sau một khoảng thời gian tấn công thích hợp, hacker tiến hành xóa mọi dấu vết có thể truy
ngược đến mình, việc này đòi hỏi trình độ khác cao và không tuyệt đối cần thiết.
b. Kiến trúc tổng quan của DDoS attack-network
Nhìn chung DDoS attack-network có hai mô hình chính
 Mô hình Agent – Handler
 Mô hình IRC – Based
4.b. Sơ đồ chính phân loại các kiểu tấn công DDoS

Chi tiết từng mô hình
 Mô hình Agent – Handler
9
Theo mô hình này, attack-network gồm 3 thành phần: Agent, Client và Handler
+ Client: là software cơ sở để hacker điều khiển mọi hoạt động của attack-network
+ Handler: là một thành phần software trung gian giữa Agent và Client
+ Agent: là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ Client
thông qua các Handler
Kiến trúc attack-network kiểu Agent – Handler
Attacker sẽ từ Client giao tiếp với cc1 Handler để xác định số lượng Agent đang online, điều
chỉnh thời điểm tấn công và cập nhật các Agent. Tùy theo cách attacker cấu hình attack-network,
các Agent sẽ chịu sự quản lý của một hay nhiều Handler.
Thông thường Attacker sẽ đặt Handler software trên một Router hay một server có lượng
traffic lưu thông nhiều. Việc này nhằm làm cho các giao tiếp giữa Client, handler và Agent khó bị
phát hiện. Các gia tiếp này thông thường xảy ra trên các protocol TCP, UDP hay ICMP. Chủ
nhân thực sự của các Agent thông thường không hề hay biết họ bị lợi dụng vào cuộc tấn công
kiểu DDoS, do họ không đủ kiến thức hoặc các chương trình Backdoor Agent chỉ sử dụng rất ít
tài nguyên hệ thống làm cho hầu như không thể thấy ảnh hưởng gì đến hiệu năng của hệ thống.
 Mô hình IRC – Based
10
Internet Relay Chat (IRC) là một hệ thống online chat multiuser, IRC cho phép User tạo một
kết nối đến multipoint đến nhiều user khác và chat thời gian thực. Kiến trúc củ IRC network bao
gồm nhiều IRC server trên khắp internet, giao tiếp với nhau trên nhiều kênh (channel). IRC
network cho phép user tạo ba loại channel: public, private và serect.
• Public channel: Cho phép user của channel đó thấy IRC name và nhận được message của
mọi user khác trên cùng channel
• Private channel: được thiết kế để giao tiếp với các đối tượng cho phép. Không cho phép
các user không cùng channel thấy IRC name và message trên channel. Tuy nhiên, nếu
user ngoài channel dùng một số lệnh channel locator thì có thể biết được sự tồn tại của
private channel đó.

• Secrect channel : tương tự private channel nhưng không thể xác định bằng channel
locator.
Chú giải: + IRC: Internet Relay Chat
+ A: Agent
Kiến trúc attack-network của kiểu IRC-Base
IRC – Based net work cũng tương tự như Agent – Handler network nhưng mô hình này sử
dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent (không sử dụng
Handler). Sử dụng mô hình này, attacker còn có thêm một số lợi thế khác như:
11
+ Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vô cùng khó khăn
+ IRC traffic có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ
+ Không cần phải duy trì danh sách các Agent, hacker chỉ cần logon vào IRC server là đã có thể
nhận được report về trạng thái các Agent do các channel gửi về.
+ Sau cùng: IRC cũng là một môi trường file sharing tạo điều kiện phát tán các Agent code lên
nhiều máy khác.
c. Phân loại tấn công.
Có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng nếu nhìn dưới góc độ chuyên môn
thì có thể chia các biến thề này thành hai loại dựa trên mụch đích tấn công: Làm cạn kiệt băng
thông và làm cạn kiệt tài nguyên hệ thống. Dưới đây là sơ đồ mô tả sự phân loại các kiểu tấn công
DdoS.
Kiểu tấn công làm cạn kiệt băng thông của mạng (BandWith Depletion Attack)
Gồm có 2 loại BandWith Depletion Attack
• Flood attack (tràn băng thông): điều khiển các Agent gởi một lượng lớn traffic đến hệ
thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông.
• Amplification attack (khuyếch đại giao tiếp) : Điều khiển các agent hay Client tự gửi
message đến một địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi
message đến hệ thống dịch vụ của mục tiêu. Phương pháp này làm gia tăng traffic không
cần thiết, làm suy giảm băng thông của mục tiêu.
Phân tích chi tiết
• Flood attack

12
Trong phương pháp này, các Agent sẽ gửi một lượng lớn IP traffic làm hệ thống dịch vụ
của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái hoạt động bão hòa. Làm
cho các User thực sự của hệ thống không sử dụng được dịch vụ. Flood Attack chi thành
hai loại
+ UDP Flood Attack: do tính chất connectionless của UDP, hệ thống nhận UDP message
chỉ đơn giản nhận vào tất cả các packet mình cần phải xử lý. Một lượng lớn các UDP
packet được gởi đến hệ thống dịch vụ của mục tiêu sẽ đẩy toàn bộ hệ thống đến ngưỡng
tới hạn.
+ ICMP Flood Attack: được thiết kế nhằm mục đích quản lý mạng cũng như định vị thiết
bị mạng. Khi các Agent gởi một lượng lớn ICMP_ECHO_REPLY đến hệ thống mục tiêu
thì hệ thống này phải reply một lượng tương ứng Packet để trả lời, sẽ dẫn đến nghẽn
đường truyền. Tương tự trường hợp trên, địa chỉ IP của cá Agent có thể bị giả mạo.
• Amplification attack (tấn công khuyếch đại)
Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ IP broadcast
của các router nhằm khuyếch đại và hồi chuyển cuộc tấn công. Chức năng này cho phép
bên gửi chỉ định một địa chỉ IP broadcast cho toàn subnet bên nhận thay vì nhiều địa chỉ.
Router sẽ có nhiệm vụ gửi đến tất cả địa chỉ IP trong subnet đó packet broadcast mà nó
nhận được.
Attacker có thể gửi broadcast message trực tiếp hay thông qua một số Agent nhằm làm
gia tăng cường độ của cuộc tấn công. Nếu attacker trực tiếp gửi message, thì có thể lợi
dụng các hệ thống bên trong broadcast network như một Agent.
13
Có thể chia Amplification Attack thành 2 loại:
+ Smuft attack: trong kiểu tấn công này attacker gởi packet đến network amplifier
(router hay thiết bị mạng khác hỗ trợ broadcast), với địa chỉ của nạn nhân. Thông thường
những packet được dùng là ICMP ECHO REQUEST, các packet này yêu cầu bên nhận
phải trả lời bằng một ICMP ECHO REPLY packet. Network amplifier sẽ gửi đến ICMP
ECHO REQUEST packet đến tất cả các hệ thống thuộc địa chỉ broadcast và tất cả các hệ
thống này sẽ REPLY packet về địa chỉ IP của mục tiêu tấn công Smuft Attack.

+ Fraggle Attack: tương tự như Smuft attack nhưng thay vì dùng ICMP ECHO
REQUEST packet thì sẽ dùng UDP ECHO packet gởi đếm mục tiêu. Thật ra còn một
biến thể khác của Fraggle attack sẽ gửi đến UDP ECHO packet đến chargen port (port
19/UNIX) của mục tiêu, với địa chỉ bên gửi là echo port (port 7/UNIX) của mục tiêu, tạo
nên một vòng lặp vô hạn. Attacker phát động cuộc tấn công bằng một ECHO REQUEST
với địa chỉ bên nhận là một địa chỉ broadcast, toàn bộ hệ thống thuộc địa chỉ này lập tức
gửi REPLY đến port echo của nạn nhân, sau đó từ nạn nhân một ECHO REPLY lại gửi
trở về địa chỉ broadcast, quá trình cứ thế tiếp diễn. Đây chính là nguyên nhân Flaggle
Attack nguy hiểm hơn Smuft Attack rất nhiều
14
Kiểu tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack)
Là kiểu tấn công trong đó Attacker gởi những packet dùng các protocol sai chức năng
thiết kế, hay gửi những packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài
nguyên này không phục vụ user thông thường khác được
Gồm có 2 loại:
• Protocol Exploit Attack (Khai thác lỗ hỗng trên các giao thức)
• Malformed Packet Attack là cách tấn công dùng các Agent để gởi các packet có cấu
trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo.
Phân tích chi tiết
• Protocol Exploit Attack (khai thác lỗ hổng trên giao thức)
Có 2 loại:
+ TCP SYS Attack: Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên
sử dụng phương thức bắt tay giữa bên gởi và bên nhận trước khi truyền dữ liệu. Bước đầu
tiên, bên gửi gởi một SYN REQUEST packet (Synchronize). Bên nhận nếu nhận được
SYN REQUEST sẽ trả lời bằng SYN/ACK REPLY packet. Bước cuối cùng, bên gửi sẽ
truyên packet cuối cùng ACK và bắt đầu truyền dữ liệu.
Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY nhưng không
nhận được ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽ resend lại
SYN/ACK REPLY cho đến hết thời gian timeout. Toàn bộ tài nguyên hệ thống “dự trữ” để
xử lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị “phong tỏa” cho đến hết

thời gian timeout.
15
Nắm được điểm yếu này, attacker gởi một SYN packet đến nạn nhân với địa chỉ bên gởi
là giả mạo, kết quả là nạn nhân gởi SYN/ACK REPLY đến một địa chỉ khá và sẽ không bao
giờ nhận được ACK packet cuối cùng, cho đến hết thời gian timeout nạn nhân mới nhận ra
được điều này và giải phóng các tài nguyên hệ thống. Tuy nhiên, nếu lượng SYN packet giả
mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài nguyên.
+ PUSH = ACK Attack: Trong TCP protocol, các packet được chứa trong buffer, khi
buffer đầy thì các packet này sẽ được chuyển đến nơi cần thiết. Tuy nhiên, bên gởi có thể
yêu cầu hệ thống unload buffer trước khi buffer đầy bằng cách gởi một packet với PUSH
và ACK mang giá trị là 1. Những packet này làm cho hệ thống của nạn nhân unload tất cả
dữ liệu trong TCP buffer ngay lập tức và gửi một ACK packet trở về khi thực hiện xong
điều này, nếu quá trình được diễn ra liên tục với nhiều Agent, hệ thống sẽ không thể xử lý
được lượng lớn packet gửi đến và sẽ bị treo.
• Malformed Packet Attack
Có hai loại Malformed Packet Attack:
+ IP address attack: dùng packet có địa chỉ gởi và nhận giống nhau làm cho hệ điều hành
của nạn nhân không xử lý nổi và bị treo.
16
+ IP packet options attack: ngẫu nhiên hóa vùng OPTION trong IP packet và thiết lập tất
cả các bit QoS lên 1, điều này làm cho hệ thống của nạn nhân phải tốn thời gian phân
tích, nếu sử dụng số lượng lớn Agent có thể làm hệ thống nạn nhân hết khả năng xử lý.
17
Chương 2: ĐẶC TÍNH CỦA CÔNG CỤ TẤN CÔNG VÀ MỘT SỐ CÔNG CỤ TẤN
CÔNG DDOS
A. Đặc tính của công cụ tấn công DDoS
Có rất nhiều điểm giống nhau giữa về mặt software của các tool DDoS attack. Được thể hiện
dưới sơ đồ sau:
Có những điểm chung sau:
2.1 Cách thức cài đặt DDoS Agent

Attacker có thể dùng phương pháp active và passive để cài đặt agent software lên các máy
khác nhằm thiết lập attack-network kiểu Agent-Handler hay IRC-based.
- Cách cài đặt Active:
+ Scaning: dùng các công cụ như Nmap, Nessus để tìm những sơ hở trên các hệ thống đang
online nhằm cài đặt Agentsoftware. Chú ý, Nmap sẽ trả về những thông tin về một hệ thống
đã được chỉ định bằng địa chỉ IP, Nessus tìm kiếm từ những địa chỉ IP bất kỳ về một điểm
yếu biết trước nào đó.
+ Backdoor: sau khi tìm thấy được danh sách các hệ thống có thể lợi dụng, attacker sẽ tiến
hành xâm nhập và cài Agentsoftware lên các hệ thống này. Có rất nhiều thông tin sẵn có về
cách thức xâm nhập trên mạng, như site của tổ chức Common Vulnerabilities and Exposures
(CVE), ở đây liệt kê và phân loại trên 4.000 loại lỗi của tất cả các hệ thống hiện có. Thông tin
này luôn sẵn sàng cho cả giới quản trị mạng lẫn hacker.
18
+ Trojan: là một chương trình thực hiện một chức năng thông thường nào đó, nhưng lại có
một số chức năng tiềm ẩn phục vụ cho mục đích riêng của người viết mà người dùng không
thể biết được. Có thể dùng trojan như một Agent software.
+ buffer Overflow: tận dụng lỗi buffer overflow, attacker có thể làm cho chu trình thực thi
chương trình thông thường bị chuyển sang chu trình thực thi chương trình của hacker (nằm
trong vùng dữ liệu ghi đè). Có thể dùng cách này để tấn công vào một chương trình có điểm
yếu buffer overflow để chạy chương trình Agent software.
- Cách cài đặt passive:
+ Bug Website: attacker có thể lợi dụng một số lỗi của web brower để cài Agent software vào
máy của user truy cập. Attaker sẽ tạo một website mang nội dung tiềm ẩn những code và lệnh
để đặt bẫy user. Khi user truy cập nội dung của website, thì website download và cài đặt
Agent software một cách bí mật. Microsoft Internet Explorer web browser thường là mục tiêu
của cách cài đặt này, với các lỗi của ActiveX có thể cho phép IE brower tự động download và
cài đặt code trên máy của user duyệt web.
+ Corrupted file: một phương pháp khác là nhúng code vào trong các file thông thường. Khi
user đọc hay thực thi các file này, máy của họ lập tức bị nhiễm Agent software. Một trong
những kỹ thuật phổ biến là đặt tên file rất dài, do default của các hệ điều hành chỉ hiển thị

phần đầu của tên file nên attacker có thể gửi kèm theo email cho nạn nhân file như sau:
iloveyou.txt_hiiiiiii_NO_this_is_DDoS.exe, do chỉ thấy phần “Iloveyou.txt” hiển thị nên user
sẽ mở file này để đọc và lập tức file này được thực thi và Agent code được cài vào máy nạn
nhân. Ngoài ra còn nhiều cách khác như ngụy trang file, ghép file…
+ Rootkit: là những chương trình dùng để xóa dấu vết về sự hiện diện của Agent hay Handler
trên máy của nạn nhân. Rootkit thường được dùng trên Hander software đã được cài, đóng
vai trò xung yếu cho sự hoạt động của attack-network hay trên các môi trường mà khả năng
bị phát hiện của Handler là rất cao. Rootkit rất ít khi dùng trên các Agent do mức độ quan
trọng của Agent không cao và nếu có mất một số Agent cũng không ảnh hưởng nhiều đến
attack-network.
2.2 Giao tiếp trên Attack-Network
- Protocol: giao tiếp trên attack-network có thể thực hiện trên nền các protocol TCP, UDP,
ICMP.
- Mã hóa các giao tiếp: một vài công cụ DDoS hỗ trợ mã hóa giao tiếp trên toàn bộ attack-
network. Tùy theo protocol được sử dụng để giao tiếp sẽ có các phương pháp mã hóa thích
hợp. Nếu attack-network ở dạng IRC-based thì private và secrect channel đã hỗ trợ mã hóa
giao tiếp.
19
- Cách kích hoạt Agent: có hai phương pháp chủ yếu để kích hoạt Agent. Cách thứ nhất là
Agent sẽ thường xuyên quét thăm dó Handler hay IRC channel để nhận chỉ thị (active
Agent). Cách thứ hai là Agent chỉ đơn giản là “nằm vùng” chờ chỉ thị từ Handler hay IRC
Channel.
2.3 Các nền tảng hỗ trợ Agent
Các công cụ DDoS thông thường được thiết kế hoạt động tương thích với nhiều hệ điều hành
khác nhau như: Unix, Linux, Solaris hay Windows. Các thành phần của attack-network có thể
vận hành trên các môi trường hệ điều hành khác nhau.
Thông thường Handler sẽ vận hành trên các hệ chạy trên các server lớn như Unix, Linux hay
Solaris. Agent thông thường chạy trên hệ điều hành phổ biến nhất là windows do cần số
lượng lớn dễ khai thác.
2.4 Các chức năng của công cụ DDoS

Tập hợp các lệnh chung
TẬP LỆNH CỦA HANDLER
Lệnh Mô tả
Log On Nhằm dùng để logon vào Handler software (user + password)
Turn On Kích hoạt Handler sẵn sàng nhận lệnh
Log Off Nhằm dùng để Logoff ra khỏi Handler software
Turn Off Chỉ dẫn Handler ngưng hoạt động, nếu Handler đang quét tìm
Agent thì dừng ngay hành vi này
Initiate Attack Ra lệnh cho Handler hướng dẫn mọi Agent trực thuộc tấn công
mục tiêu đã định
List Agents Yên cầu Handler liệt kê các Agent trực thuộc
Kiss Agents Loại bỏ một Agent ra khỏi hàng ngũ Attack-Network
Add victim Thêm một mục tiêu để tấn công
Download Upgrades Cập nhật cho Handler software (downloads file.exe về và thực
thi)
Set Spoofing Kích hoạt và thiết lập cơ chế giả mạo địa chỉ IP cho các Agent
Set Attack Time Định thời điểm tấn công cho các Agent
Set Attack Duration Thông báo độ dài của cuộc tấn công vào mục tiêu
BufferSize Thiết lập kích thước buffer của Agent (nhằm gia tăng sức mạnh
cho Agent)
20
Help Hướng dẫn sử dụng chương trình
TẬP LỆNH của AGENT
Turn On Kich hoat Agent sẵn sàng nhận lệnh
Turn Off Chỉ dẫn Agent ngưng hoạt động, nếu Agent đang quét tìm Handler/IRC
Channel thì dừng ngay hành vi này lại
Initiate Attacke Ra lệnh Agent tấn công mục tiêu đã định
Download
Upgrades
Cập nhật cho Agent software (downloaf file .exe về và thực thi)

Set Spoofing Thiết lập cơ chế giả mạo địa chỉ IP cho các Agent hoạt động
Set Attack
Duration
Thông báo độ dài các cuộc tấn công vào mục tiêu
Set Packet Size Thiết lập kích thước của attack packet
Help Hướng dẫn sử dụng chương trình
2.5 Tấn công DDoS không thể ngăn chặn hoàn toàn
Tấn công DDoS không thể ngăn chặn hoàn toàn vì những nguyên nhân sau:
- Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên các máy tính kết nối
tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng Botnet gồm nhiều máy tính
kết nối tới Internet.
- Một tấn công DDoS được thực hiện sẽ rất khó để ngăn chặn hoàn toàn.
- Những gói tin đến Firewall có thể chặn lại, nhưng hầu hết chúng đều đến từ những địa chỉ
IP chưa có trong các Access Rule của Firewall và là những gói tin hoàn toàn hợp lệ.
- Nếu địa chỉ nguồn của gói tin có thể bị giả mạo, sau khi bạn không nhận được sự phản hồi
từ những địa chỉ nguồn thật thì bạn cần phải thực hiện cấm giao tiếp với địa chỉ nguồn đó.
- Tuy nhiên một mạng Botnet bao gồm từ hàng nghìn tới vài trăm nghìn địa chỉ IP trên
Internet và điều đó là vô cùng khó khăn để ngăn chặn tấn công.
B. Một số công cụ tấn công DDoS
Đây là vấn đề không bao giờ lỗi thời, nhưng những tool về DDoS Các tools này bạn hoàn toàn
có thể Download miễn phí trên Internet và lưu ý là chỉ để thử, đây là các tools yếu và chỉ mang
tính Demo về tấn công DdoS mà thôi.
2.6 Công cụ DDoS dạng Agent – Handler
2.6.1 TrinOO
21
Là một trong các công cụ DDoS đầu tiên được phát tán rộng rãi. TrinOO có kiến trúc Agent –
Handler, là công cụ DDoS kiểu Bandwidth Depletion Attack, sử dụng kỹ thuật UDP flood.
Các version đầu tiên của TrinOO không hỗ trợ giả mạo địa chỉ IP. TrinOO Agent được cài
đặt lợi dụng lỗi remote buffer overrun. Hoạt động trên hệ điều hành Solaris 2.5.1 à Red Hat
Linux 6.0. Attack – network giao tiếp dùng TCP (attacker client và handler) và UDP (Handler

và Agent). Mã hóa giao tiếp dùng phương pháp mã hóa đối xứng giữa Client, handler và
Agent.
2.6.2 Tribe Flood Network (TFN)
Kiểu kiến trúc Agent – Handler, công cụ DDoS hỗ trợ kiểu Bandwidth Deleption Attack và
Resourse Deleption Attack. Sử dụng kỹ thuật UDP flood, ICMP Flood, TCP SYN và Smurf
Attack. Các version đầu tiên không hỗ trợ giả mạo địa chỉ IP, TFN Agent được cài đặt lợi
dụng lỗi buffer overflow. Hoạt động trên hệ điều hành Solaris 2.x và Red Hat Linux 6.0.
Attack – Network giao tiếp dùng ICMP ECHO REPLY packet (TFN2K hỗ trợ thêm
TCP/UDP với tính năng chọn protocol tùy ý), không mã hóa giao tiếp (TFN2K hỗ trợ mã
hóa)
2.6.3 Stacheldraht
Là biến thể của TFN có thêm khả năng updat Agent tự động. Giao tiếp telnet mã hóa đối
xứng giữa Attacker và Handler.
2.6.4 Shaft
Là biến thể của TrinOO, giao tiếp Handler – Agent trên UDP, Attacker – Hendle trên
Internet. Tấn công dùng kỹ thuật UDP, ICMP và TCP flood. Có thể tấn công phối hợp nhiều
kiểu cùng lúc. Có thống kê chi tiết cho phép attacker biết tình trạng tổn thất của nạn nhân,
mức độ quy mô của cuộc tấn công để điều chỉnh số lượng Agent.
2.7 Công cụ DDoS dạng IRC – Based
Công cụ DDoS dạng IRC-based được phát triển sau các công cụ dạng Agent – Handler. Tuy
nhiên, công cụ DDoS dạng IRC phức tạp hơn rất nhiều, do tích hợp rất nhiều đặc tính của các
công cụ DDoS dạng Agent – Handler.
• Trinity
Là một điển hình của công cụ dạng này. Trinity có hầu hết các kỹ thuật tấn công bao gồm:
UDP, TCP SYS, TCP ACK, TCP fragment, TCP NULL, TCP RST, TCP random flag, TCP
ESTABLISHED packet flood. Nó có sẵn khả năng ngẫu nhiên hóa địa chỉ bên gởi. Trinity
cũng hỗ trợ TCP flood packet với khả năng ngẫu nhân tập CONTROL FLAG. Trinity có thể
nói là một trong số các công cụ DDoS nguy hiểm nhất.
Ngoài ra còn nhiều phần mềm khác như Knight, Kaiten, Mstream
22

Chương 3: ĐỀ MÔ
Mô tả: sử dụng công cụ để tấn công trang web với 2 công cụ
• Supper Scan: Một công cụ scan IP nhanh, ngoài ra còn rất nhiều các công cụ tương tự
khác tốt hơn.
• Smurf2k: Công cụ dùng các địa chỉ IP có sẳn để truy cập vào 1 website
Quy trình thực hiện
Bước 1: Dò tìm địa chỉ IP đang online bằng phần mền Supper Scan
Trong trường hợp này, người dùng nhập vào một khoản địa chỉ IP để dò tìm ví dụ như:
- StartIP: 192.168.1.1
- EndIP: 192.168.1.254
Sau đó nhấn nút bắt đầu, chương trình này sẽ dò tìm các địa chỉ IP đang hoạt động trong vùng từ
địa chỉ bắt đầu cho đến địa chỉ cuối. Các bạn có thể dò nhiều lần với các địa chỉ bắt đầu và kết
thúc khác nhau.
Kết quả của quá trình chính là chương chình sẽ tự động phát sinh một file mới tên là scanlog nội
dung trong file sẽ là các địa chỉ IP đang hoạt động như hình sau:
23
Copy file scanlog vào thư mục chứa Smurf2k.
Bước 2: Sử dụng Smurf2k để dùng các địa chỉ IP dò được truy cập vào 1 website
- Đầu tiên dò địa chỉ IP của Website: Run gõ cmd
- Khởi động Smurf2k và nhâp địa chỉ IP của Website vào Victim
- Chọn load list chính là chọn danh sách các IP đang hoạt động trên mạng chính là chọn file
scanlog vừa rồi đã đã copy vao thư mục smurf2k.
24
- Bấm chọn nút smurt chương chình sẽ bắt đầu:
- Chọn halt nếu bạn muốn dừng lại
Bạn có thể xem cụ thể ở đây: hp://www.media+re.com/?jnr3hh051z51kzq
Một demo khác đề cập tới hack web bằng DDoS các bạn có thể tham khảo tại
hp://www.media+re.com/?w61i26ahhy969b8
Kết quả thu được của tấn công
Làm cho web site bị treo không thể truy cập. Nhưng vì tool về DDoS chủ yếu là tool cũ có từ

rất lâu, đến giờ đây hầu hết các website đều có phương pháp bảo vệ riêng, không thể dễ dàng mà
tấn công trang web bằng một tool có sẵn như trên nữa. Nên nhóm dùng 2 tool trên mà vẫn không
đạt được kết quả như mong muốn. Demo mang tính chất minh họa rõ nét về tấn công DDoS.
25