Từ chối dịch vụ(DoS)
Module 10
Tin tức bảo mật
Việt Hàn IT
LOGO
2
Mục tiêu của module
Tấn công DoS và DDoS là gì?
Làm thế nào để tấn cơng
DDoS?
Dấu hiệu DoS
Internet Relay Chat(IRC)
Kỹ thuật tấn công DoS
Botnet
Botnet ecosystem
Việt Hàn IT
LOGO
Nghiên cứu các tình huống
DDoS
Cơng cụ DoS
Kỹ thuật phát hiện
Biện pháp đối phó DoS/DDoS
Kỹ thuật đề phịng botnets tấn
cơng lại
Cơng cụ bảo vệ DoS/DDoS
Kiểm tra sự thâm nhập DoS
3
LOGO
Việt Hàn IT
4
Tấn cơng từ chối dịch vụ là gì?
LOGO
Tấn cơng từ chối dịch vụ là kiểu tấn công vào máy tính hoặc một
mạng để ngăn chặn sự truy cập hợp pháp.
Trên kiểu tấn công DoS, attackers làm tràn ngập hệ thống của
victim với luồng yêu cầu dịch vụ không hợp pháp làm quá tải
nguồn(server), ngăn chặn server thực hiện nhiệm vụ có mục
đích.
Việt Hàn IT
5
Tấn cơng từ chối dịch vụ phân tán là gì?
LOGO
Ảnh hưởng
của DoS
Mất lịng
tốt
Ngắt
mạng
Mất tài
chính
Phá doanh
nghiệp
Việt Hàn IT
Tấn cơng từ chối dịch vụ
phân tán bao gồm vô số
các thỏa hiệp của hệ
thống để tấn công mục
tiêu duy nhất, là nguyên
nhân người sử dụng bị từ
chối dịch vụ của hệ
thống.
Để khởi động một cuộc
tấn công DDoS, một kẻ
tấn công sử dụng botnet
và tấn công một hệ thống
duy nhất
6
Tấn công từ chối dịch vụ phân tán hoạt động
như thế nào?
Việt Hàn IT
LOGO
7
LOGO
Dấu hiệu cuộc tấn công DoS
Không thể dùng
một website cụ
thể
Thông thường
hiệu suất mạng
sẽ chậm
Không thể truy
cập bất kỳ
website nào
Đột ngột tăng
lượng thư rác
nhận được
Việt Hàn IT
8
Tội phạm mạng
LOGO
Tội phạm mạng đang ngày càng được liên kết với các tập đồn tội
phạm có tổ chức để tận dụng lợi thế của các kỹ thuật tinh vi của họ.
Những nhóm có tổ chức tội phạm mạng làm việc trên thiết lập thứ bậc vớ
một mơ hình chia sẻ doanh thu được xác định trước, giống như một tập
đồn lớn cung cấp các dịch vụ phạm tội.
Nhóm tổ chức tạo ra và thuê botnet để cung cấp các dịch vụ khác nhau, từ
việc viết phần mềm độc hại, tấn công các tài khoản ngân hàng, để tạo ra
tấn công DoS lớn đối với bất kỳ mục tiêu với một mức giá.
Theo Verizon 2010 dữ liệu báo cáo điều tra vi phạm, phần lớn các vi phạm
đã điều khiển bởi các nhóm có tổ chức và hầu như tất cả các dữ liệu b
đánh cắp (70%) là công việc của bọn tội phạm tổ chức bên ngoài.
Sự tham gia ngày càng tăng của đoàn tổ chức tội phạm chiến tranh mạng
động cơ chính trị và hacktivism là một vấn đề quan tâm cho các cơ quan an
ninh quốc gia.
www.themegallery.com
Company Name
Việt Hàn IT
9
Sơ đồ tổ chức của tổ chức tội phạm mạng:
LOGO
Boss
Kẻ tấn công crimeware sở hữu công
cụ trojan phân phối trên trang web
hợp pháp
Việt Hàn IT
Underboss cung cấp, quản lý và
điều khiển trojan
10
Internet Query Chat (ICQ)
LOGO
ICQ là chat client được dùng để chat với mọi người.
Nó gán một số định danh phổ cập (UIN) xác định
người dùng duy nhất giữa những người sử dụng ICQ
Khi một người sử dụng ICQ kết nối với Internet, ICQ
khởi động và cố gắng để kết nối với máy chủ Mirabilis
(Mirabilis là công ty phát triển ICQ), là nơi cơ sở dữ liệu
chứa thông tin của tất cả người dùng ICQ.
Tại máy chủ Mirabilis, ICQ tìm kiếm yêu cầu số UIN
bên trong cơ sở dữ liệu của nó (một loại điện thoại của
thư mục), và cập nhật thông tin.
Bây giờ người dùng có thể liên hệ với người bạn của
mình bởi vì ICQ biết địa chỉ IP.
Việt Hàn IT
11
Internet Relay Chat (IRC)
LOGO
IRC là hệ thống để trò chuyện bao gồm thiết lập nguyên tắc,
quy ước và phần mềm client/server
Nó cho phép chuyển hướng kết nối máy tính tới máy tính với
mục đích dễ dàng chia sẽ giữa clients
Một vài website (như là Talk City) hoặc mạng IRC (như là
Undernet) cung cấp server và hỗ trợ người sử dụng tải IRC
clients tới PC của họ
Sau khi người sử dụng tải ứng dụng client, họ bắt đầu chat
nhóm (gọi là kênh) hoặc gia nhập một nhóm có trước
Kênh IRC đang được ưu chuộng là #hottub và #riskybus.
Giao thức IRC dùng giao thức điều khiển truyền vận (có thể
Việt Hàn IT dùng IRC qua telnet client), thông thường dùng port 6667
12
LOGO
Việt Hàn IT
13
Kỹ thuật tấn công DoS
Việt Hàn IT
LOGO
14
LOGO
Tấn cơng băng thơng
Một máy tính riêng lẻ
khơng thể đáp ứng đủ
yêu cầu tràn ngập thiết
bị mạng; do đó tấn công
DDoS được tạo ra từ
nơi mà kẻ tấn công
dùng nhiều máy tính
làm tràn ngập victim
Kẻ tấn cơng dùng
botnets và thực hiện tấn
công DDoS bằng tràn
ngập mạng với ICMP
ECHO packets
Việt Hàn IT
Khi tấn cơng DDoS được
chạy, tràn ngập một mạng,
nó có thể gây ra tràn ngập
thiết bị mạng như là
switches và routers do
thống kê quan trọng trong
lưu lượng mạng
Về cơ
thơng
khơng
duy trì
lệ
bản, tất cả băng
được dùng và
băng thông nào
để sử dụng hợp
15
Tràn ngập u cầu dịch vụ
Một kẻ tấn cơng hoặc
nhóm zombie cố gắng
làm cạn kiệt tài nguyên
máy chủ bằng cách
thiết lập và phá hủy
các kết nối TCP
LOGO
Yêu cầu dịch vụ tấn
công tràn ngập servers
với kết nối tốc độ cao
từ nguồn hợp lệ
Nó bắt đầu gửi yêu
cầu trên tất cả kết
nối
Việt Hàn IT
16
Tấn công SYN
LOGO
Kẻ tấn công gửi giả mạo TCP SYN
yêu cầu tới máy chủ đích (victim)
Victim gửi lại một SYN ACK đáp ứng
yêu cầu và chờ đợi ACK để hoàn tất
thiết lập phiên
Victim sẽ khơng nhận đáp ứng bởi
vì địa chỉ nguồn là giả mạo
Việt Hàn IT
Lưu ý: Tấn công này khai thác cách thức bắt tay ba bước 17
Làm ngập SYN
Thực hiện tràn ngập SYN dựa
vào thuận lợi lỗ hổng bằng bắt tay
ba bước TCP
Khi Host B nhận yêu cầu SYN từ
A, nó phải giữ đường đi một phần
mở kết nối trên "hàng đợi lắng
nghe" tối thiểu 75 giây
Một host nguy hiểm có thể khám
phá kích cỡ nhỏ để lắng nghe theo
hàng bằng cách gửi nhiều yêu cầu
SYN tới host, nhưng không bao giờ
trả lời bằng SYN/ACK
Victim lắng nghe hàng đợi nhanh
chóng bị lấp đầy
Khả năng loại bỏ một host từ
mạng tối thiểu là 75 giây có thể
được dùng như tấn cơng DoS
Việt Hàn IT
LOGO
Thiết lập kết nối
bình thường
18
Tấn công tràn ngập ICMP
Kiểu tấn công ICMP là thủ
phạm gửi số lượng lớn của gói
tin giả mạo địa chỉ nguồn tới
server đích để phá hủy nó và
gây ra ngừng đáp ứng yêu cầu
TCP/IP.
Sau khi đến ngưỡng ICMP
đạt đến, các router từ chối yêu
cầu phản hồi ICMP từ tất cả địa
chỉ trên cùng vùng an tồn cho
phần cịn lại.
LOGO
Kẻ tấn công gửi yêu cầu
ICMP ECHO với địa chỉ
nguồn giả mạo
Phản hồi yêu cầu ICMP hợp lệ từ địa chỉ
trên vùng an toàn
Việt Hàn IT
19
Tấn công điểm nối điểm
LOGO
Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình điểm nối
điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website giả
mạo của victim.
Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kết nối trực
tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức.
Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại website.
Việt Hàn IT
20
LOGO
Tấn công cố định DoS
Tấn công DoS liên tục, được biết như
phlashing, nghĩa là tấn công gây thiệt hại
cho hệ thống phần cứng mà không phục
hồi được
Không giống như tấn cơng DoS khác, nó
phá hoại hệ thống phần cứng, u cầu
victim thay thế hoặc cài đặt lại phần cứng
1. Tấn công thực hiện dùng phương pháp
như "xây dựng hệ thống”
2. Dùng phương pháp này, kẻ tấn công
gửi cập nhập phần cứng lừa đảo tới victim
Gửi email, IRC chats, tweets, video với nội
dung lừa đảo để cập nhập phần cứng
Việt Hàn IT
Kẻ tấn cơng truy cập tới
máy tính của victim
(Mã nguy hiểm chạy trên
21
hệ thống victim)
Tấn công tràn ngập ở cấp độ dịch vụ
Tấn công làm tràn ở cấp
độ ứng dụng là kết quả
mất dịch vụ của mạng đặc
biệt như là: email, tài
nguyên mạng, tạm thời
ngừng ứng dụng và dịch
vụ,...
LOGO
Dùng kiểu tấn công này,
kẻ tấn cơng phá hủy mã
nguồn chương trình và file
làm ảnh hưởng tới hệ
thống máy tính
Tấn cơng làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:
Tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ.
Ngắt dịch vụ cụ thể của hệ thống hoặc con người, ví dụ: khóa người dùng cố gắng
truy cập lại khi đăng nhập khơng có giá trị.
Làm tắt nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ công nguy hiểm
SQL
Việt Hàn IT
Kẻ tấn công khai thác mã
nguồn ứng dụng
22
LOGO
Việt Hàn IT
23
Botnet
LOGO
Bots là phần mềm ứng dụng chạy công việc tự động qua internet và thực
hiện lặp lại nhiệm vụ đơn giản, như là gián điệp web và tìm bộ máy đánh chỉ
số.
Botnet là một mạng lớn thỏa thuận hệ thống và được dùng bởi kẻ xâm
nhập để tạo ra tấn công DoS .
Việt Hàn IT
24
Kỹ thuật lan truyền botnet
LOGO
Tội phạm mạng liên lạc hệ thống IT
( Server, Software, và dịch vụ)
Dữ liệu
bộ công
cụ của
tội phạm
mạng
Trung tâm
lệnh và
điều khiển
trojan
Tải lên trojan để trộm dữ
liệu và nhận lệnh từ trung
tâm lệnh và điều khiển
trojan
Sát
nhập
mạng
nguy
hiểm
Việt Hàn IT
Thỏa hiệp các website hợp lệ
25