Tổng quan
DoS - DDoS - DRDoS
>> KSEC CLUB <<
Nội dung TRÌNH BÀY
•
Phần 1: Tổng quan về DoS - Denial of Service
•
Phần 2: Tổng quan về DDoS - Distributed Denial of Service
•
Phần 3: Tổng quan về DRDoS - Distributed Reflection Denial of Service
Phần 1: Tổng quan về DoS
1.
Mục tiêu - mục đích - khái niệm - nhận diện
2.
Các dạng tấn công DoS
a.
Smuff và Fraggle
b.
Tấn công Buffer overflow
c.
Tấn công Ping of Death
d.
Tấn công Teardrop
e.
Tấn công SYN
f.
Slowloris HTTP DoS
g.
Slow read HTTP DoS
1. Mục tiêu - mục đích - khái niệm - nhận diện
•

Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng
những dịch vụ khác cho người dùng bình thường.
•
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ.
•
Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
•
Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào.
a. Mục Tiêu
1. Mục tiêu - mục đích - khái niệm - nhận diện
•
Mục tiêu các cuộc tấn công thường vào các trang web lớn và các tổ chức thương mại điện tử trên Internet.
b. Mục Đích
1. Mục tiêu - mục đích - khái niệm - nhận diện
•
Là kiểu tấn công từ một cá thể, hay tập hợp các cá thể.
•
Là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng
kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống.
•
DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung
cấp.
c. Khái Niệm
1. Mục tiêu - mục đích - khái niệm - nhận diện
•
Mạng thực thi chậm khác thường khi mở tập tin hay truy cập Website.
•
Không thể dùng một website cụ thể.
•
Không thể truy cập bất kỳ website nào.

•
Tăng lượng thư rác nhận được.
d. Nhận Diện
2. Các dạng tấn công DoS
•
Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn
công.
•
Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping tới máy B máy B reply lại hoàn tất quá
trình. Khi tôi ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại tôi. Nhưng giờ tôi
thay đổi địa chỉ nguồn, thay địa chỉ nguồn là máy C và tôi ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy
tính trong mạng đó sẽ reply lại vào máy C chứ không phải tôi và đó là tấn công Smurf.
•
Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho mạng bị dớt hoặc bị chậm lại không có
khả năng đáp ứng các dịch vụ khác.
•
Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được kết nối với nhau (mạng BOT).
•
Tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn công Smurf.
a. Smuff và Fraggle (1)
2. Các dạng tấn công DoS
a. Smuff và Fraggle (2)
2. Các dạng tấn công DoS
•
Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thông tin lớn hơn dung lượng của bộ nhớ đệm trong
bộ nhớ.
•
Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và đánh cắp quyền điều khiển của một số chương
trình nhằm thực thi các đoạn mã nguy hiểm.
•

Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể sẽ xảy ra quá trình tràn bộ nhớ đệm.
b. Tấn công Buffer overflow
2. Các dạng tấn công DoS
•
K t n công g i nh ng gói tin IP l n h n s l ng bytes cho phép c a tin IP là 65.536 bytes.ẻ ấ ử ữ ớ ơ ố ươ ủ
•
Quá trình chia nh gói tin IP thành nh ng ph n nh đ c th c hi n layer II.ỏ ữ ầ ỏ ượ ự ệ ở
•
Quá trình chia nh có th th c hi n v i gói IP l n h n 65.536 bytes. Nh ng h đi u hành không th nh n bi t đ c đ l n ỏ ể ự ệ ớ ớ ơ ư ệ ề ể ậ ế ượ ộ ớ
c a gói tin này và s b kh i đ ng l i, hay đ n gi n là s b gián đo n giao ti p.ủ ẽ ị ở ộ ạ ơ ả ẽ ị ạ ế
•
Đ nh n bi t k t n công g i gói tin l n h n gói tin cho phép thì t ng đ i d dàng.ể ậ ế ẻ ấ ử ớ ơ ươ ố ễ
c. Tấn công Ping of Death
2. Các dạng tấn công DoS
•
Gói tin IP r t l n khi đ n Router s b chia nh làm nhi u ph n nh vàđínhcácgiátr offset đ cóth rápl ikhiđ nmáyđích.ấ ớ ế ẽ ị ỏ ề ầ ỏ ị ể ể ạ ế
•
K t n công s d ng s d ng gói IP v i các thông s r t khó hi u (ch ng chéo lên nhau) đ chia ra các ph n nh (fragment).ẻ ấ ử ụ ử ụ ớ ố ấ ể ồ ể ầ ỏ
•
N u h đi u hành nh n đ c các gói tin đã đ c chia nh và không hi u đ c, h th ng c g ng build l i gói tin và đi u đó ế ệ ề ậ ượ ượ ỏ ể ượ ệ ố ố ắ ạ ề
chi m m t ph n tài nguyên h th ng, n u quá trình đó liên t c x y ra h th ng không còn tài nguyên cho các ng d ng khác, ế ộ ầ ệ ố ế ụ ả ệ ố ứ ụ
ph c v các user khác.ụ ụ
d. Tấn công Teardrop
2. Các dạng tấn công DoS
•
K t n công g i các yêu c u (request o) TCP SYN t i máy ch b t n công. Đ x lý l ng gói tin SYN này h th ng c n t n ẻ ấ ử ầ ả ớ ủ ị ấ ể ử ượ ệ ố ầ ố
m t l ng b nh cho k t n i.ộ ượ ộ ớ ế ố
•
Khi có r t nhi u gói SYN o t i máy ch và chi m h t các yêu c u x lý c a máy ch . M t ng i dùng bình th ng k t n i ấ ề ả ớ ủ ế ế ầ ử ủ ủ ộ ườ ườ ế ố
t i máy ch ban đ u th c hi n Request TCP SYN và lúc này máy ch không còn kh năng đáp l i - k t n i không đ c th c ớ ủ ầ ự ệ ủ ả ạ ế ố ượ ự

hi n.ệ
•
Đây là ki u t n công mà k t n công l i d ng quá trình giao ti p c a TCP theo – Three-way.ể ấ ẻ ấ ợ ụ ế ủ
•
Các đo n mã nguy hi m có kh năng sinh ra m t s l ng c c l n các gói TCP SYN t i máy ch b t n công, đ a ch IP ngu n ạ ể ả ộ ố ượ ự ớ ớ ủ ị ấ ị ỉ ồ
c a gói tin đã b thay đ i và đó chính là t n công DoS.ủ ị ổ ấ
e. Tấn công SYN (1)
2. Các dạng tấn công DoS
•
Quá trình TCP Three-way handshake đ c th c hi n: Khi máy A mu n giao ti p v i máy B. (1) máy A b n ra m t gói TCP SYN ượ ự ệ ố ế ớ ắ ộ
t i máy B – (2) máy B khi nh n đ c gói SYN t A s g i l i máy A gói ACK đ ng ý k t n i – (3) máy A g i l i máy B gói ACK ớ ậ ượ ừ ẽ ử ạ ồ ế ố ử ạ
và b t đ u các giao ti p d li u.ắ ầ ế ữ ệ
•
Máy A và máy B s d k t n i ít nh t là 75 giây, sau đó l i th c hi n m t quá trình TCP Three-way handshake l n n a đ th c ẽ ữ ế ố ấ ạ ự ệ ộ ầ ữ ể ự
hi n phiên k t n i ti p theo đ trao đ i d li u.ệ ế ố ế ể ổ ữ ệ
•
Th t không may k t n công đã l i d ng k h này đ th c hi n hành vi t n công nh m s d ng h t tài nguyên c a h th ng ậ ẻ ấ ợ ụ ẽ ở ể ự ệ ấ ằ ử ụ ế ủ ệ ố
b ng cách gi m th i gian yêu c u Three-way handshake xu ng r t nh và không g i l i gói ACK, c b n gói SYN ra liên t c ằ ả ờ ầ ố ấ ỏ ử ạ ứ ắ ụ
trong m t th i gian nh t đ nh và không bao gi tr l i l i gói SYN&ACK t máy b t n công.ộ ờ ấ ị ờ ả ờ ạ ừ ị ấ
e. Tấn công SYN (2)
2. Các dạng tấn công DoS
•
Hình dưới th hi n các giao ti p bình th ng v i máy ch và bên d i th hi n khi máy ch b t n công gói SYN đ n s r t ể ệ ế ườ ớ ủ ướ ế ệ ủ ị ấ ế ẽ ấ
nhi u trong khi đó kh năng tr l i c a máy ch l i có h n và khi đó máy ch s t ch i các truy c p h p pháp.ề ả ả ờ ủ ủ ạ ạ ủ ẽ ừ ố ậ ợ
e. Tấn công SYN (3)
2. Các dạng tấn công DoS
•
T n công vào t ng ng d ng c a b giao th c TCP c th là header c a giao th c HTTP khi g i request.ấ ầ ứ ụ ủ ộ ứ ụ ể ủ ứ ử
•
Do k t n i ch a hoàn thành lên không có thông tin l u l i trong log.ế ố ư ư ạ

•
Có th phòng ch ng v i nginx, apache mod_antiloris.ể ố ớ
f. Slowloris HTTP DoS
2. Các dạng tấn công DoS
•
T n công vào t ng ng d ng c a b giao th c TCP, c th là body (windows size) c a giao th c HTTP trong vi c nh n ấ ầ ứ ụ ủ ộ ứ ụ ể ủ ứ ệ ậ
response.
•
T c đ t n công ch m, yêu c u tài nguyên không cao nh ng c c kì khó ch ng đ .ố ộ ấ ậ ầ ư ự ố ỡ
g. Slow read HTTP DoS
Phần 2: Tổng quan về DDoS
1.
Ý nghĩa của mạng BOT
2.
Mạng BOT
3.
Mạng BOTNET
4.
Mục đích sử dụng mạng BOTNET
5.
Các dạng của mạng BOT
6.
Xây dựng và phát triển mạng BOTNET
7.
Phân loại tấn công DDoS
1. Ý nghĩa của mạng BOT (1)
•
Khi s d ng m t Tool t n công DoS t i m t máy ch đôi khi không gây nh h ng gì cho máy ch - Gi s b n s d ng tool ử ụ ộ ấ ớ ộ ủ ả ưở ủ ả ử ạ ử ụ
Ping of Death t i m t máy ch , trong đó máy ch k t n i v i m ng t c đ 100Mbps b n k t n i t i máy ch t c đ 3Mbps - ớ ộ ủ ủ ế ố ớ ạ ố ộ ạ ế ố ớ ủ ố ộ
V y t n công c a b n không có ý nghĩa gì.ậ ấ ủ ạ

•
Nh ng b n hãy t ng t ng có 1000 ng i nh b n cùng m t lúc t n công vào máy ch kia khi đó toàn b băng thông c a ư ạ ưở ượ ườ ư ạ ộ ấ ủ ộ ủ
1000 ng i c ng l i t i đa đ t 3Gbps và t c đ k t n i c a máy ch là 100 Mbps v y k t qu s ra sao các b n có kh năng ườ ộ ạ ố ạ ố ộ ế ố ủ ủ ậ ế ả ẽ ạ ả
t ng t ng.ưở ượ
•
Nh ng tôi đang th h i làm cách nào đ có 1000 máy tính k t n i v i m ng – tôi đi mua m t nghìn chi c và thuê 1000 thuê bao ư ử ỏ ể ế ố ớ ạ ộ ế
k t n i - ch c ch n tôi không làm nh v y r i và cũng không k tân công nào s d ng ph ng pháp này c .ế ố ắ ắ ư ậ ồ ẻ ử ụ ươ ả
1. Ý nghĩa của mạng BOT (2)
•
K t n công xây d ng m t m ng g m hàng nghìn máy tính k t Internet (có m ng BOT lên t i 400.000 máy). V y làm th nào ẻ ấ ự ộ ạ ồ ế ạ ớ ậ ể
chúng có kh năng l i d ng ng i k t n i t i Internet đ xây d ng m ng BOT trong bài vi t này tôi s gi i thi u v i các b n ả ợ ụ ườ ế ố ớ ể ự ạ ế ẽ ớ ệ ớ ạ
các m ng BOT và cách xây d ng, nh ng Tool xây d ng.ạ ự ữ ự
•
Khi có trong tay m ng BOT k t n công s d ng nh ng tool t n công đ n gi n đ t n công vào m t h th ng máy tính. D a ạ ẻ ấ ử ụ ữ ấ ơ ả ể ấ ộ ệ ố ự
vào nh ng truy c p hoàn toàn h p l c a h th ng, cùng m t lúc chúng s d ng m t d ch v c a máy ch , b n th t ng ữ ậ ợ ệ ủ ệ ố ộ ử ụ ộ ị ụ ủ ủ ạ ử ưở
t ng khi k t n công có trong tay 400.000 máy ch và cùng m t lúc ra l nh cho chúng download m t file trên trang web c a ượ ẻ ấ ủ ộ ệ ộ ủ
b n. Và đó chính là DDoS – Distributed Denial of Servcie ạ
•
Không có m t ph ng th c ch ng t n công DDoS m t cách hoàn toàn nh ng trong bài vi t này tôi cũng gi i thi u v i các b n ộ ươ ứ ố ấ ộ ư ế ớ ệ ớ ạ
nh ng ph ng pháp phòng ch ng DDoS khi chúng ta đã hi u v nó.ữ ươ ố ể ề
2. Mạng BOT
•
BOT t vi t t t c a t RoBOTừ ế ắ ủ ừ
•
IRCBOT – còn đ c g i là zombia hay drone.ượ ọ
•
Internet Relay Chat (IRC) là m t d ng truy n d li u th i gian th c trên Internet. Nó th ng đ c thi t k sao cho m t ng i ộ ạ ề ữ ệ ờ ự ườ ượ ế ế ộ ườ
có th nh n đ c cho m t group và m i ng i có th giao ti p v i nhau v i m t kênh khác nhau đ c g i là – Channels.ể ắ ượ ộ ỗ ườ ể ế ớ ớ ộ ượ ọ
•
Đ u tiên BOT k t n i kênh IRC v i IRC Server và đ i giao ti p gi a nh ng ng i v i nhau.ầ ế ố ớ ợ ế ữ ữ ườ ớ

•
K t n công có th đi u khi n m ng BOT và s d ng m ng BOT cũng nh s d ng nh m m t m c đích nào đó.ẻ ấ ể ề ể ạ ử ụ ạ ư ử ụ ằ ộ ụ
•
Nhi u m ng BOT k t n i v i nhau ng i ta g i là BOTNET.ề ạ ế ố ớ ườ ọ
3. Mạng BOTNET
•
M ng BOTNET bao g m nhi u máy tínhạ ồ ề
•
Nó đ c s d ng cho m c đích t n công DDoSượ ử ụ ụ ấ
•
M t m ng BOTNET nh có th ch bao g m 1000 máy tính nh ng b n th t ng t ng m i máy tính này k t n i t i Internet ộ ạ ỏ ể ỉ ồ ư ạ ử ưở ượ ỗ ế ố ớ
t c đ ch là 128Kbps thì m ng BOTNET này đã có kh năng t o băng thông là 1000*128 ~ 100Mbps – Đây là m t con s th ố ộ ỉ ạ ả ạ ộ ố ể
hi n băng thông mà khó m t nhà Hosting nào có th share cho m i trang web c a mình.ệ ộ ể ỗ ủ
4. Mục đích sử dụng mạng BOTNET
•
T n công Distributed Denial-of-Service - DDoSấ
•
Spamming
•
Sniffing traffic
•
Keylogging
•
Cài đ t và lây nhi m ch ng trình đ c h iặ ễ ươ ộ ạ
•
Cài đ t nh ng qu ng cáo Popupặ ữ ả
•
Google Adsense abuse
•
T n công vào IRC Chat Networksấ

•
Phishing
5. Các dạng của mạng BOT
•
AgoBOT/PhatBOT/ForBOT/XtremBOT - Đây là nh ng BOT đ c vi t b ng C++ trên n n t ng Cross-platform và mã ngu n ữ ượ ế ằ ề ả ồ
đ c tìm trên GPL. AgoBOT đ c vi t b i Ago nick name đ c ng i ta bi t đ n là Wonk, m t thanh niên tr ng i Đ c – ượ ượ ế ở ượ ườ ế ế ộ ẻ ườ ứ
đã b b t h i tháng 5 năm 2004 v i t i danh v t i ph m máy tính.ị ắ ồ ớ ộ ề ộ ạ
•
AgoBOT có kh năng s d ng NTFS Alternate Data Stream (ADS) và nh m t lo i Rootkit nh m n các ti n trình đang ch y ả ử ụ ư ộ ạ ằ ẩ ế ạ
trên h th ngệ ố
•
SDBOT/RBOT/UrBOT/UrXBOT
•
SDBOT đ c vi t b ng ng n ng C và cũng đ c public b i GPL. Nó đ c coi nh là ti n thân c a RBOT, RxBOT, UrBOT, ượ ế ằ ồ ữ ượ ở ươ ư ề ủ
UrXBOT, JrBOT mIRC-Based BOTs – GT-BOTs
•
GT đ c vi t t t t fhai t Global Threat và tên th ng đ c s d ng cho t t c các mIRC-scripted BOTs. Nó có kh năng s ượ ế ắ ư ừ ườ ượ ử ụ ấ ả ả ử
d ng ph n m m IM là mIRC đ thi t l p m t s script và m t s đo n mã khác.ụ ầ ề ể ế ậ ộ ố ộ ố ạ
6. Xây dựng và phát triển mạng BOTNET
Đ hi u h n v xây d ng h th ng m ng BOTNET chúng ta nghiên c u t cách lây nhi m vào m t máy tính, cách t o ể ể ơ ề ự ệ ố ạ ứ ừ ễ ộ ạ
ra m t m ng BOT và dùng m ng BOT này t n công vào m t đích nào đó c a m ng BOTNET đ c t o ra t ộ ạ ạ ấ ộ ủ ạ ượ ạ ừ
AgoBOT’s.'
•
B c 1: Cách lây nhi m vào máy tínhướ ễ
•
B c 2: Cách lây lan và xây d ng t o m ng BOTNETướ ự ạ ạ
•
B c 3: K t n i vào IRCướ ế ố
•
B c 4: Đi u khi n t n công t m ng BOTNETướ ề ể ấ ừ ạ