HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA CƠNG NGHỆ THƠNG TIN
BÁO CÁO
AN TỒN VÀ BẢO MẬT HỆ THỐNG THƠNG
TIN ĐỀ TÀI
TẤN CƠNG DOS VÀ DDOS
GIẢNG VIÊN
NHĨM
SINH VIÊN THỰC HIỆN:
1
Mục Lục
I.
TẤN CÔNG DOS.....................................................................................................................................................3
1.
2.
3.
II.
a.
b.
a.
b.
c.
d.
e.
GIỚI THIỆU VỀ CÁC CUỘC TẤN CÔNG DOS.................................................................................................................3
ĐỊNH NGHĨA VỀ TẤN CƠNG DOS.............................................................................................................................3
Các mục đích của tấn công DoS..................................................................................................................3
Mục tiêu mà kẻ tấn công thường sử dụng tấn cơng DoS.........................................................................3
CÁC DẠNG TẤN CƠNG DOS....................................................................................................................................4
Tấn cơng Smurf...........................................................................................................................................4
Tấn cơng Buffer overflow...........................................................................................................................4
Tấn công Ping of Death..............................................................................................................................5
Tấn công Teardrop......................................................................................................................................5
Tấn công SYN..............................................................................................................................................6
TẤN CÔNG DDOS..................................................................................................................................................7
1.
2.
3.
4.
5.
a.
b.
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.
GIỚI THIỆU VỀ CÁC CUỘC TẤN CÔNG DDOS...............................................................................................................7
KHÁI NIỆM VỀ TẤN CÔNG DDOS..............................................................................................................................7
CÁC GIAI ĐOẠN CỦA MỘT CUỘC TẤN CƠNG DDOS.....................................................................................................7
KIẾN TRÚC TỔNG QUAN CỦA DDOS ATTACK – NETWORK..................................................................................................................8
Mơ hình Agent – Handler...........................................................................................................................9
Mơ hình IRC – Based.................................................................................................................................10
PHÂN LOẠI TẤN CÔNG DDOS................................................................................................................................10
DdoS – SYN Flood......................................................................................................................................11
DdoS – UDP Flood.....................................................................................................................................12
DdoS – HTTP Flood....................................................................................................................................12
DdoS – Pings of Death..............................................................................................................................13
DdoS – Fraggle Attack..............................................................................................................................14
DdoS – Slowloris.......................................................................................................................................14
DDoS – Application Level Attack..............................................................................................................14
DDoS – NTP Amplification........................................................................................................................15
DDoS – Advance Persistent DoS (APDoS)................................................................................................16
DDoS – Zero – Day DdoS Attack...............................................................................................................16
III.
TÁC HẠI CỦA CÁC CUỘC TẤN CƠNG DOS/DDOS..........................................................................................17
IV.
BIỆN PHÁP PHỊNG CHỐNG DOS/DDOS........................................................................................................17
1.
NHẬN BIẾT TẤN CƠNG DOS/DDOS....................................................................................................................17
2.
NHỮNG BIỆN PHÁP ĐỐI PHĨ VỚI DOS/DDOS...................................................................................................17
3.
CƠNG CỤ PHỊNG CHỐNG DDOS........................................................................................................................17
V.
SO SÁNH TẤN CƠNG DOS VÀ DDOS...................................................................................................................18
VI.
DEMO CƠNG CỤ TẤN CÔNG DOS VÀ DDOS..................................................................................................18
1.
MÔ PHỎNG TẤN CÔNG DOS................................................................................................................................18
Chuẩn bị....................................................................................................................................................18
Tiến hành..................................................................................................................................................19
Tiến hành tấn cơng...................................................................................................................................20
2.
MƠ PHỎNG TẤN CƠNG DDOS..............................................................................................................................22
a.
Các tool hỗ trợ thực hiện..........................................................................................................................22
b.
Thực hiện...................................................................................................................................................22
VII.
2
a.
b.
c.
TÀI LIỆU THAM KHẢO....................................................................................................................................25
I.
Tấn công DoS
1. Giới thiệu về các cuộc tấn công DoS
Trường hợp đầu tiên được ghi lại về một cuộc Tấn công Từ chối Dịch vụ là vào tháng
2 năm 2000 khi một hacker Canada 15 tuổi tấn công vào các máy chủ web của Amazon
và eBay. Kể từ đó, ngày càng có nhiều đối tượng sử dụng tấn cơng DoS để nhắm vào các
mục tiêu trong nhiều ngành công nghiệp.
Vào ngày 15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công DoS cực mạnh và
làm gián đoạn websites trong vòng 2 giờ.
Vào lúc 15:09 giờ GMT ngày 27 tháng 3 năm 2003, toàn bộ phiên bản tiếng anh của
website Al-Jazeera bị tấn công làm gián đoạn trong nhiều giờ.
2. Định nghĩa về tấn công DoS
Tấn công DoS là một kiểu tấn công mà một người làm cho một hệ thống không
thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình
thường, bằng cách làm quá tải tài nguyên của hệ thống. DoS có thể làm 1 máy tính
nào đó ngưng hoạt động, từ mạng nội bộ đến 1 hệ thống mạng lớn.
Nếu kẻ tấn cơng khơng có khả năng thâm nhập được vào hệ thống, thì chúng cố
gắng tìm cách làm cho hệ thống đó sụp đổ và khơng có khả năng phục vụ người dùng
bình thường, đó là tấn công Denial of Service (DoS). Mặc dù tấn công DoS khơng có
khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch
vụ mà hệ thống đó cung cấp. Nói chung, tấn công DoS cũng không nguy hiểm như
những kiểu tấn công khác bởi kẻ tấn cơng ít có khả năng chiếm dụng hay xây nhập được
những thông tin dữ liệu của hệ thống. Nhưng nếu máy chủ mà không cung cấp dịch vụ,
thơng tin cho khách truy cập thì sự tồn tại của máy chủ khơng có ý nghĩa. Đặc biệt là
những hệ thống giao dịch điện tử thì thiệt hại của việc này sẽ ảnh hưởng rất lớn. Tuy
nhiên, nếu hệ thống máy chủ được bảo mật tốt, khó thâm nhập, việc tấn công từ chối
dịch vụ DoS sẽ được coi như phương pháp cuối cùng cho những hacker triệt hạ hệ
thống.
a. Các mục đích của tấn cơng DoS
-
Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập( flood), khi đó hệ
thống mạng sẽ khơng có khả năng đáp ứng những dịch vụ khác cho người dùng
bình thường.
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ.
Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó.
Cố gắng ngăn chặn các dịch vụ khơng cho người khác có khả năng truy cập vào.
Khi tấn cơng DoS xảy ra người dùng có cảm giác khi truy cập dịch vụ như bị:
Disable Network – Tắt mạng
Disable Organization - Tổ chức không hoạt động
Financial Loss – Tài chính bị mất
b. Mục tiêu mà kẻ tấn cơng thường sử dụng tấn công DoS:
-
3
Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên.
-
-
Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và
CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS.
Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống
điều hoà, hệ thống điện, hệ thống làm mát và nhiều tài nguyên khác của
doanh nghiệp. Bạn thử tưởng tượng khi nguồn điện vào máy chủ web bị
ngắt thì người dùng có thể truy cập vào máy chủ đó khơng.
Phá hoại hoặc thay đổi các thơng tin cấu hình.
Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hồ…
3. Các dạng tấn cơng DoS
a. Tấn cơng Smurf
-
Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều
mạng với địa chỉ nguồn là mục tiêu cần tấn công.
-
Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping tới máy B máy B
reply lại hoàn tất quá trình. Khi ping tới địa chỉ Broadcast của mạng nào đó thì tồn
bộ các máy tính trong mạng đó sẽ Reply lại . Nhưng giờ thay đổi địa chỉ nguồn, thay
địa chỉ nguồn là máy C và ping tới địa chỉ Broadcast của một mạng nào đó, thì tồn
bộ các máy tính trong mạng đó sẽ reply lại vào máy C chứ khơng phải pc gửi và đó
là tấn cơng Smurf. Kết quả đích tấn cơng sẽ phải chịu nhận một đợt Reply gói ICMP
cực lớn và làm cho mạng bị rớt hoặc bị chậm lại khơng có khả năng đáp ứng các
dịch vụ khác. Quá trình này được khuếch đại khi có luồng ping reply từ một mạng
được kết nối với nhau (mạng BOT).
b. Tấn công Buffer overflow
4
-
-
Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thơng
tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ.
Kẻ tấn cơng có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và đánh
cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã nguy
hiểm. - Tấn cơng Buffer Overflow tơi đã trình bày cách khai thác lỗi này trong bài
viết trước về hacking windows cũng trên trang VnExperts - Training CCNA, CCNP,
CCSP, MCSA, MCSE, MCITP, Linux+, Security+, CEH.
Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể sẽ xảy
ra q trình tràn bộ nhớ đệm.
c. Tấn cơng Ping of Death
-
Kẻ tấn cơng gửi những gói tin IP lớn hơn số lương bytes cho phép của tin IP là
65.536 bytes.
Q trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở layer II.
Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes. Nhưng hệ điều
hành không thể nhận biết được độ lớn của gói tin này và sẽ bị khởi động lại, hay đơn
giản là sẽ bị gián đoạn giao tiếp.
Để nhận biết kẻ tấn cơng gửi gói tin lớn hơn gói tin cho phép thì tương đối dễ dàng.
-
Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ.
-
d. Tấn công Teardrop
5
-
Kẻ tấn cơng sử dụng sử dụng gói IP với các thơng số rất khó hiểu để chia ra các phần
nhỏ (fragment).
Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểu được, hệ
thống cố gắng build lại gói tin và điều đó chiếm một phần tài ngun hệ thống,
nếu q trình đó liên tục xảy ra hệ thống khơng cịn tài ngun cho các ứng dụng
khác, phục vụ các user khác.
e. Tấn công SYN
-
-
-
-
6
Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn cơng. Để xử
lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối.
Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy
chủ. Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện Request
TCP SYN và lúc này máy chủ khơng cịn khả năng đáp lại - kết nối không được thực
hiện.
Đây là kiểu tấn công mà kẻ tấn cơng lợi dụng q trình giao tiếp của TCP theo –
Three-way.
Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn các gói TCP SYN
tới máy chủ bị tấn công, địa chỉ IP nguồn của gói tin đã bị thay đổi và đó chính là tấn
cơng DoS.
Hình bên trên thể hiện các giao tiếp bình thường với máy chủ và bên dưới thế hiện
khi máy chủ bị tấn cơng gói SYN đến sẽ rất nhiều trong khi đó khả năng trả lời của
máy chủ lại có hạn và khi đó máy chủ sẽ từ chối các truy cập hợp pháp.
Quá trình TCP Three-way handshake được thực hiện: Khi máy A muốn giao tiếp với
máy B. (1) máy A bắn ra một gói TCP SYN tới máy B – (2) máy B khi nhận được
-
-
-
II.
gói SYN từ A sẽ gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B
gói ACK và bắt đầu các giao tiếp dữ liệu.
Máy A và máy B sẽ dữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một quá trình
TCP Three-way handshake lần nữa để thực hiện phiên kết nối tiếp theo để trao đổi
dữ liệu.
Thật không may kẻ tấn công đã lợi dụng kẽ hở này để thực hiện hành vi tấn công
nhằm sử dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu cầu Threeway handshake xuống rất nhỏ và không gửi lại gói ACK, cứ bắn gói SYN ra liên tục
trong một thời gian nhất định và không bao giờ trả lời lại gói SYN&ACK từ máy bị
tấn cơng.
Với ngun tắc chỉ chấp nhận gói SYN từ một máy tới hệ thống sau mỗi 75 giây nếu
địa chỉ IP nào vi phạm sẽ chuyển vào Rule deny access sẽ ngăn cản tấn công này.
Tấn công DdoS
1. Giới thiệu về các cuộc tấn công DdoS
Ngày 7/3/2000, yahoo.com đã phải ngưng phục vụ hàng trăm triệu user trên toàn thế
giới nhiều giờ liền. Vài giờ sau, Yahoo đã tìm ra nguyên nhân gây nên tình trạng này,
họ đang phải gánh chịu một đợt tấn cơng DDoS với quy mơ vài ngàn máy tính liên tục
gửi hàng triệu request đến các server dịch vụ làm các server này không thể phục vụ các
user thông thường khác.
Đội ngũ Google Cloud team mới đây đã tiết lộ những thơng tin chính thức đầu tiên
về một cuộc tấn cơng DDoS lớn chưa từng có, nhắm mục tiêu trực tiếp đến các dịch vụ
của Google và diễn ra trong khoảng thời gian tháng 9 năm 2017. Cuộc tấn cơng DDoS
này có độ lớn ước tính lên tới 2,54 Tbps, khiến nó trở thành cuộc tấn cơng DDoS đáng
sợ nhất từng được ghi nhận trong lịch sử phát triển internet cho đến thời điểm hiện tại.
2. Khái niệm về tấn công DdoS
Một cuộc tấn công từ chối dịch vụ phân tán (viết tắt Distributed Denial of Service
attack-DDos attack) là hành động ngăn cản những người dùng hợp pháp của dịch vụ nào
đó truy cập và sử dụng dịch vụ đó bằng cách làm cho sever khơng thể đáp ứng được các
yêu cầu sử dụng dịch vụ từ các khách hàng.
Tấn công DDoS xảy ra khi số lượng yêu cầu truy cập vào trang web quá lớn, dẫn
đến việc máy chủ q tải và khơng cịn khả năng xử lý.
Khi tấn cơng bằng hình thức DDOS, tin tặc có thể lợi dụng máy tính của khách
hàng để tấn cơng vào các máy tính khác. Sau đó, chúng sử dụng máy tính của khách hàng
để gửi một số lượng lớn dữ liệu và yêu cầu đến một trang web hoặc một địa chỉ email nào
đó. Đơi khi tấn cơng DDos cịn được sử dụng như công cụ màn chắn cho cuộc tấn cơng
mạng phí sau, khi mà các nhân sự an ninh mạng đang tập trung xử lí sự cố cho trang web
bị tấn công DDos, tin tặc sẽ lợi dụng thời cơ để chèn vào các công cụ SQL, và lúc doanh
nghiệp nhận ra thì đã muộn
Nguồn tấn cơng khơng đến từ một máy tính trên internet, mà đến từ một hệ thống
nhiều máy tính với các địa chỉ IP khác nhau, hệ thống này được gọi là DDOS attack
network (khác với Dos)
3. Các giai đoạn của một cuộc tấn cơng DdoS
Một cuộc tấn cơng DDos thì có 3 giai đoạn chính: chuẩn bị, xác định mục tiêu và thời
điểm, phát động tấn cơng và xóa dấu vết. Chúng ta sẽ đi cụ thể hơn vào từng giai đoạn:
7
-
-
-
Giai đoạn chuẩn bị:
Giai đoạn này tin tặc sẽ chuẩn bị công cụ cho một cuộc tấn công, và thơng
thường thì cơng cụ này sẽ hoạt động theo mơ hình client-server. Tin tặc có thể
trực tiếp viết các phần mềm này hoặc là tải một số công cụ dùng để tấn cơng
DDos được chia sẻ miễn phí trên mạng như Trinoo, Tribe flood Network,
Knight, Mstream,…
Tiếp theo, chúng tìm cách chiếm quyền điều khiển các máy tính trên mạng, tiến
hành tải và cài đặt ngầm các chương trình độc hại trên máy tính đó bằng cách
lừa cho người dùng click vào link quảng cáo có chứa Trojan, worm.
Kết thúc giai đoạn này, tin tặc sẽ có một mạng lưới các máy tính để phục vụ
cho việc tấn cơng DDos.
Giai đoạn xác định mục tiêu và thời điểm tấn công:
Sau khi xác định được mục tiêu cần tấn cơng, tin tặc sẽ có hoạt động điều chỉnh
mạng tấn cơng về phía mục tiêu.
Thời điểm tấn cơng sẽ phụ thuộc vào mức độ thiệt hại và tốc độ đáp ứng
của mục tiêu, vì vậy nó được tin tặc ấn định trước.
Giai đoạn phát động tấn cơng và xóa dấu vết:
Đúng thời điểm được ấn định, tin tặc phát lệnh tấn cơng từ máy của mình, lệnh
tấn cơng này có thể đi qua nhiều cấp mới đến mục tiêu. Tồn bộ mạng các máy
tính mà tin tặc đã chiếm quyền điều khiển sẽ đồng loạt tấn công mục tiêu, mục
tiêu sẽ nhanh chóng bị cạn kiệt băng thơng và không thể tiếp tục hoạt động.
Sau một khoảng thời gian tấn cơng thì tin tặc sẽ tiến hành xóa mọi dấu vết có thể
truy cập ngược đến mình, địi hỏi tin tặc phải có trình độ cao và cực kì chuyên
nghiệp.
4. Kiến trúc tổng quan của DdoS Attack – Network
-
-
8
Như đã tìm hiểu ở phần trên, tin tặc sẽ chiếm quyền điều khiển của hàng loạt các
máy tính khác nhau, tạo nên một mạng lưới hỗ trợ cho chúng được gọi là DDos
attack network. Kĩ thuật tấn công DDos attack-network này thì có 2 mơ hình
chính:
Mơ hình Agent-handler
Mơ hình IRC-based
Sơ đồ chính phân loại các mơ hình tấn cơng DDos attack-network:
a. Mơ hình Agent – Handler
9
Gồm 3 phần:
Client: là software cơ sở để tin tặc điều khiển mọi hoạt động của attack-network
Handler: là một thành phần software trung gian giữa Agent và Client
Agent: là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ
Client
thông qua các Handler
Attacker sẽ từ Client giao tiếp với Handler để xác định số lượng Agent đang
online, điều chỉnh thời điểm tấn công và cập nhật với các Agent. Tùy theo cách
attacker cấu hình attack-network, các Agent sẽ chịu sự quản lý của một hay nhiều
Handler.
Thông thường Attacker sẽ đặt Handler software trên một router hay một server có
lượng traffic lưu thơng nhiều. Việc này nhằm làm cho các giao tiếp giữa Client,
handler và agent khó bị phát hiện. Các giao tiếp này thông thường xảy ra trên các
Protocol TCP, UDP hay ICMP. Chủ nhân thực sự sự của các Agent thông thường
không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu ddos, Do họ khơng đủ kiến
thức hoặc các chương trình Backdoor agent chỉ sử dụng rất ít tài nguyên hệ thống
làm cho hầu như khơng thể thấy ảnh hưởng gì đến hiệu năng của hệ thống.
b. Mơ hình IRC – Based
-
-
Internet Relay Chat (IRC) là một hệ thống online chat multiuser, IRC cho phép
người dùng tạo một kết nối multipoint đến nhiều user khác và chat thời gian thực.
Kiến trúc của IRC network bao gồm nhiều IRC server trên khắp internet, giao tiếp
với nhau trên nhiều kênh (channel). IRC network cho phép người dùng tạo ra 3 loại
kênh: public, private và secret.
Public Channel: cho phép người dùng của Channel đó thấy IRC name và nhận
được message của mọi người dùng khác trên cùng Channel
Private Channel: được thiết kế để giao tiếp với các đối tượng cho phép. Không
cho phép các người dùng khác cùng Channel thấy IRC name và message trên
channel. Tuy nhiên, nếu người dùng ngoài Channel dùng một số lệnh Channel
locator thì có thể biết được sự tồn tại của Private Channel đó.
Secret Channel: Tương tự Private Channel nhưng khơng thể xác định bằng
Channel locator
IRC-Based network cũng tương tự như agent-Handler network nhưng mơ hình này sử
dụng các kệnh giao tiếp IRC làm phương tiện giao tiếp giữa Client và agent (khơng sử
dụng Handler). Sử dụng mơ hình này, kẻ tấn cơng cịn có một số lợi thế khác như:
Các giao tiếp dạng chat message làm cho việc phát hiện chúng là vơ cùng khó
khăn
IRC traffic có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ
Khơng cần phải duy trì danh sách các Agent, tin tặc chỉ cần login vào IRC server
là đã có thể nhận được report về trạng thái các Agent do các channel gửi về
Sau cùng: IRC cũng là một môi trường file sharing tạo điều kiện phát tán các
agent code trên nhiều máy khác
5. Phân loại tấn công DdoS
1
-
-
Tấn cơng DDos có rất nhiều loại và biến thể nhưng giới chuyên môn thường chia
các kiểu tấn công DDos thành 2 loại chính dựa vào mục đích của kẻ tấn công:
Tấn công DDos làm cạn kiệt băng thông
Tấn công DDos làm cạn kiệt tài nguyên hệ thống
Sơ đồ phân loại tấn cơng DDos theo mục đích tấn cơng:
- Sau đây, chúng ta sẽ cùng tìm hiểu chi tiết một số kiểu tấn công thường gặp hiện
nay:
a. DdoS – SYN Flood
SYN Flood là hình thức tấn cơng được thực hiện để khai thác điểm yếu trong giao
thức kết nối mạng TCP (quá trình bắt tay 3 bước). Theo phương thức giao tiếp internet
thơng thường thì máy chủ sẽ nhận 1 thông điệp nội bộ (SYN) để tiến hành “bắt tay”
(handshake). Khi đã nhận được thông điệp, máy chủ sẽ gửi cờ báo nhận (ACK) tới máy
lưu trữ ban đầu và đóng kết nối. Nhưng một khi tin tặc đã tấn công SYN Flood, các thông
điệp giả mạo sẽ được gửi đi liên tục, dẫn đến kết nối không được đóng lại và dịch vụ bị
đánh sập.
1
b. DdoS – UDP Flood
UDP (User Datagram Protocol) được hiểu là giao thức kết nối khơng tin cậy. Theo đó,
UDP Flood sẽ tấn công gây ngập lụt UDP.
Khi thực hiện phương thức tấn công này, tin tặc sẽ gửi một lượng lớn các gói tin UDP
tới một số cổng ngẫu nhiên trên server. Máy chủ kiểm tra và trả lời với một ICMP
Destination Unreachable (gói tin khơng tìm thấy). Khi số lượng yêu cầu UDP vượt quá
ngưỡng cho phép, máy chủ sẽ mất khả năng xử lý request, dẫn đến tình trạng từ chối dịch
vụ.
c. DdoS – HTTP Flood
HTTP Flood tấn công, gây quá tải bằng cách gửi hàng loạt yêu cầu GET hoặc POST
hợp pháp đến máy chủ. Phương pháp này tuy tiêu tốn ít băng thơng hơn các kiểu tấn công
1
từ chối dịch vụ khác nhưng vẫn có thể buộc máy chủ sử dụng nguồn tài nguyên tối đa để
xử lý tác vụ.
d. DdoS – Pings of Death
Ping of Death là kỹ thuật tấn công làm quá tải hệ thống máy chủ trực tuyến bằng
cách gửi đến các gói tin ICMP có kích thước trên 65.536 byte đến mục tiêu. Bởi kích
thước tệp vượt q mức cho phép của gói tin IP nên chúng sẽ được chia thành từng phần
nhỏ và gửi đến hệ thống máy đích. Khi đến nơi, các phần này sẽ được phép lại thành một
gói tin hoàn chỉnh vượt quá khả năng xử lý của hệ thống, gây tràn bộ nhớ đệm và khiến
máy chủ bị treo.
Smurf Attack sử dụng một phần mềm độc hại tên là Smurf để giả mạo địa chỉ IP và
gửi các gói ICMP đến máy chủ, gây quá tải hệ thống.
1
e. DdoS – Fraggle Attack
Fraggle Attack là một kiểu tấn cơng tương tự như Smurf. Thay vì sử dụng ICMP,
Fraggle Attack sẽ gửi một lượng lớn UDP đến máy chủ
f. DdoS – Slowloris
-
Tin tặc sẽ gửi đến server một lượng lớn u cầu HTTP khơng hồn chỉnh.
Đồng thời cố gắng duy trì số kết nối tối đa trong thời gian dài. Khi số lượng
kết nối của webserver đạt cực đại (webserver bị đầy kết nối), máy chủ sẽ bắt
đầu từ chối những yêu cầu kết nối tiếp theo, bao gồm cả request của người
dùng thông thường.
g. DDoS – Application Level Attack
1
Application Level Attack tấn công vào lỗ hổng bảo mật các thiết bị mạng, hệ điều
hành server. Đây được xem là loại tấn công tinh vi và gây ra hậu quả lớn nhất.
h. DDoS – NTP Amplification
NTP Amplification là kiểu tấn cơng khai thác lỗ hổng tính năng Monlist của máy chủ
NTP. Monlist là gì? Monlist là danh sách các máy tính kết nối với máy chủ NTP. Cụ thể,
tin tặc sẽ gửi request yêu cầu Monlist đến NTP server bằng IP giả. Source IP bị giả mạo
chính là địa chỉ IP của máy tính mục tiêu. Vì vậy, các NTP server sẽ liên tục gửi phản hồi
Monlist về cho nạn nhân. Điều này khiến hệ thống webserver mục tiêu bị q tải.
Vì sử dụng IP giả mạo và có khả năng khuếch đại và sử dụng băng thông lớn nên
NTP Amplification là một kiểu tấn công “ném đá giấu tay” có tính phá hoại rất cao
1
i. DDoS – Advance Persistent DoS (APDoS)
Đây là một loại tấn cơng có thể gây ra nhiều thiệt hại nghiêm trọng cho nạn nhân.
Advanced Persistent Dos sử dụng kết hợp nhiều kiểu tấn công đã được đề cập ở trên. Ví
dụ như HTTP Flood, SYN Flood,…. Để làm quá tải hệ thống webserver mục tiêu.
Thường thì APDos sẽ gửi hàng triệu yêu cầu trên giây và các cuộc tấn công này kéo dài
hàng tuần.
j. DDoS – Zero – Day DdoS Attack
Zero-day DDos Attack là một kiểu tấn công DDos mới, gây quá tải hệ thống bằng
cách khai thác các lỗ hổng chưa được vá của máy chủ
1
III.
Tác hại của các cuộc tấn công DoS/DdoS
-
IV.
Hệ thống, máy chủ bị tấn công DDoS sẽ sập khiến người dùng không truy cập được
Doanh nghiệp sở hữu máy chủ, hệ thống sẽ bị mất doanh thu, chưa kể đến khoản chi
phí cần phải bỏ ra để khắc phục sự cố.
Khi mạng sập, mọi công việc yêu cầu mạng đều không thể thực hiện, làm gián đoạn
công việc, ảnh hưởng đến hiệu suất công việc.
Nếu người dùng truy cập website khi nó bị sập sẽ ảnh hưởng đến danh tiếng của
cơng ty, nếu website sập trong thời gian dài thì có thể người dùng sẽ bỏ đi, lựa chọn
dịch vụ khác thay thế.
Đối với những vụ tấn công DDoS kỹ thuật cao có thể dẫn đến việc lấy trộm tiền bạc,
dữ liệu khách hàng của cơng ty.
Biện pháp phịng chống DoS/DdoS
1. Nhận biết tấn công DoS/DdoS
Tấn công Dos/DDos đôi khi rất khó để phân biệt với các hoạt động truy cập mạng
thông thường. Tuy nhiên, khi gặp phải các biểu hiện dưới đây thì đã có đủ bằng
chứng để nghi ngờ hệ thống máy chủ của mình đang là mục tiêu của các cuộc tấn
công Dos/DDos:
Kết nối mạng bỗng nhiên chậm một cách bất thường (khi mở file hoặc truy cập
website đều tốn rất nhiều thời gian).
Không thể vào được các trang web bình thường vẫn truy cập. Thậm chí, nếu cuộc
tấn công quá mạnh,sẽ không thể vào bất cứ website/blog nào.
Số lượng thư rác trong tài khoản bỗng dưng tăng đột biến
2. Những biện pháp đối phó với DoS/DdoS
-
-
-
-
-
Thật ra, khơng có một cách thức cụ thể nào có thể ngăn chặn hồn tồn việc bị tấn
cơng DDos. Tuy nhiên có vài phương pháp giúp giảm bớt phần nào nguy cơ trở
thành nạn nhân của DDos
-Định tuyến hố đen: Đây là một giải pháp được đa số quản trị viên mạng thực hiện
để phịng tránh các cuộc tấn cơng Dos/DDos. Cần tạo một tuyến đường lỗ đen để
chuyển cá traffic vào đó. Nhằm tránh tình trạng q tải trên hệ thống. Khi website
gặp phải một cuộc tấn công từ chối dịch vụ, nhà cung cấp dịch vụ internet có thể
đưa tất cả lưu lượng truy cập quá tải từ website vào lỗ đen để tự bảo vệ mình.
- Giới hạn tỉ lệ: Việc giới hạn số lượng yêu cầu trong khả năng máy chủ có thể chấp
nhận trong một khoảng thời gian nhất định là cách tốt nhất để giảm thiểu hậu quả
Dos/DDos gây ra.Việc giới hạn gửi yêu cầu sẽ làm chậm q trình tấn cơng của tin
tặc. Tuy nhiên, nếu chỉ sử dụng một phương pháp này thì các hacker vẫn có thể
khiến bạn gặp rắc rối với các kiểu DDos phức tạp
- Tường lửa ứng dụng web: Sử dụng tường lửa ứng dụng web (WAF) là một biện
pháp giảm thiểu các cuộc tấn công DDos tầng 7. Theo đó, WAF sẽ lọc các yêu cầu
truy cập dựa vào một quy tắc nhất định. Từ đó giúp máy chủ tránh khỏi một số
lượng truy cập độc hại.
- Anycast Network Diffusion:Phương pháp này giúp máy chủ tránh khỏi tình trạng
quá tải. Anycast cũng giống như chuyển nước từ một con sông lớn sang các kênh
nhỏ hơn. Cách thức xử lý này cho phép chuyển lượng traffic Dos/DDos đến các
điểm có thể quản lý được.
3. Cơng cụ phịng chống DdoS
1
Cloudflare: bảo vệ lớp 3 và 4 của cloudfare hấp thụ một cuộc tấn cơng trước khi nó
đến một máy chủ, bộ cân bằng tải, tường lửa và bộ định tuyến nào khơng. Bảo vệ
lớp 7 của nó phân biệt giữa lưu lượng có lợi và có hại.
Mạng F5: Cung cấp bảo vệ trên các cấp 3 đến 7. Silverline có thể ngăn chặn
các mạng cí khối lượng lớn, ngăn chặn chúng tiếp cận mạng của công ty
Mạng lưới Arbor: Nó cung cấp dịch vụ quét lưu lượng truy cập đa nhu cầu, theo yêu
cầu hỗ trợ DdoS 24/7 thông qua trung tâm hoạt động bảo mật của nó.
Ngồi ra cịn một số cơng cụ khác như Hoa sen đen, Incapsula…….
-
-
V.
-
So sánh tấn công DoS và DdoS
DoS
Viết tắt của Denial of service
DdoS
Chỉ một hệ thống nhắm mục tiêu vào
hệ thống nạn nhân
Viết tắt của Distributed Denial of
service
Nhiều hệ thống tấn công hệ thống nạn
nhân
PC bị nhắm mục tiêu được load từ
gói dữ liệu gửi từ một vị trí duy nhất
PC bị nhắm mục tiêu được load từ gói
dữ liệu gửi từ nhiều vị trí
Tấn cơng Dos chậm hơn so với
DDoS
Tấn cơng DDoS nhanh hơn so với tấn
cơng DoS
Có thể bị ngăn chặn dễ dàng vì chỉ sử
dụng một hệ thống
Rất khó để ngăn chặn cuộc tấn cơng
này vì nhiều thiết bị đang gửi gói tin
và tấn cơng từ nhiều vị trí
Chỉ một hệ thống duy nhất được sử
dụng với các công cụ tấn công DoS
Rất dễ theo dõi
Lưu lượng nhỏ truy cập đến
mạng của nạn nhận
Nhiều bot được sử dụng để tấn cơng
cùng một lúc
Khó theo dõi
Lưu lượng lớn truy cập đến mạng của
nạn nhận
1.
2.
3.
Các loại tấn công DoS là:
Tấn công tràn bộ đệm
Tấn công Ping of Death hoặc
ICMP Flood
Tấn công Tearfrop Attack
1.
2.
3.
VI.
Demo công cụ tấn công DoS và DDoS
1. Mô Phỏng tấn công DoS
a. Chuẩn bị:
-
1
Các loại tấn công DDoS là:
Tấn công Volumetric( tấn công
băng thông)
Tấn công Fragmentation
Attack( phân mảng dữ
liệu)
Application Layer Attack( khai
thác lỗ hổng trong các ứng
dụng)
Máy tấn công: Máy ảo kali linux;
Máy nạn nhân: Máy ảo window 10;
Sử dụng phần mềm wireshark để bắt gói tin ở máy nạn nhân.
-
Sử dụng lệnh hping3 để gửi gói tin đến máy nạn nhân gây ngập lụt.
b. Tiến hành:
1
-
Máy nạn nhân có ip : 192.168.88.130.
-
Máy tấn cơng có ip: 192.168.88.131
-
Phần mềm wireshark bắt gói tin trên máy nạn nhân:
- Trạng thái cpu và bộ nhớ của máy nạn nhân trước tấn công: ở mức ổn định.
c. Tiến hành tấn công:
-
2
Sử dụng lệnh : sudo hping3 192.168.88.130 –flood.
Trạng thái flood được khởi động: