Từ chối dịch vụ(DoS)
Module 10


Tin tức bảo mật

Việt Hàn IT

LOGO

2


Mục tiêu của module
 Tấn công DoS và DDoS là gì?
 Làm thế nào để tấn cơng
DDoS?
 Dấu hiệu DoS
 Internet Relay Chat(IRC)
 Kỹ thuật tấn công DoS
 Botnet
 Botnet ecosystem

Việt Hàn IT

LOGO

 Nghiên cứu các tình huống
DDoS
 Cơng cụ DoS
 Kỹ thuật phát hiện

 Biện pháp đối phó DoS/DDoS
 Kỹ thuật đề phịng botnets tấn
cơng lại
 Cơng cụ bảo vệ DoS/DDoS
 Kiểm tra sự thâm nhập DoS

3


LOGO

Việt Hàn IT

4


Tấn cơng từ chối dịch vụ là gì?

LOGO

 Tấn cơng từ chối dịch vụ là kiểu tấn công vào máy tính hoặc một
mạng để ngăn chặn sự truy cập hợp pháp.
 Trên kiểu tấn công DoS, attackers làm tràn ngập hệ thống của
victim với luồng yêu cầu dịch vụ không hợp pháp làm quá tải
nguồn(server), ngăn chặn server thực hiện nhiệm vụ có mục
đích.

Việt Hàn IT

5



Tấn cơng từ chối dịch vụ phân tán là gì?

LOGO

Ảnh hưởng
của DoS
Mất lịng
tốt

Ngắt
mạng

Mất tài
chính

Phá doanh
nghiệp

Việt Hàn IT

Tấn cơng từ chối dịch vụ
phân tán bao gồm vô số
các thỏa hiệp của hệ
thống để tấn công mục
tiêu duy nhất, là nguyên
nhân người sử dụng bị từ
chối dịch vụ của hệ
thống.

Để khởi động một cuộc
tấn công DDoS, một kẻ
tấn công sử dụng botnet
và tấn công một hệ thống
duy nhất

6


Tấn công từ chối dịch vụ phân tán hoạt động
như thế nào?

Việt Hàn IT

LOGO

7


LOGO

Dấu hiệu cuộc tấn công DoS
Không thể dùng
một website cụ
thể
Thông thường
hiệu suất mạng
sẽ chậm

Không thể truy

cập bất kỳ
website nào
Đột ngột tăng
lượng thư rác
nhận được
Việt Hàn IT

8


Tội phạm mạng

LOGO

Tội phạm mạng đang ngày càng được liên kết với các tập đồn tội
phạm có tổ chức để tận dụng lợi thế của các kỹ thuật tinh vi của họ.

Những nhóm có tổ chức tội phạm mạng làm việc trên thiết lập thứ bậc vớ
một mơ hình chia sẻ doanh thu được xác định trước, giống như một tập
đồn lớn cung cấp các dịch vụ phạm tội.
Nhóm tổ chức tạo ra và thuê botnet để cung cấp các dịch vụ khác nhau, từ
việc viết phần mềm độc hại, tấn công các tài khoản ngân hàng, để tạo ra
tấn công DoS lớn đối với bất kỳ mục tiêu với một mức giá.

Theo Verizon 2010 dữ liệu báo cáo điều tra vi phạm, phần lớn các vi phạm
đã điều khiển bởi các nhóm có tổ chức và hầu như tất cả các dữ liệu b
đánh cắp (70%) là công việc của bọn tội phạm tổ chức bên ngoài.

Sự tham gia ngày càng tăng của đoàn tổ chức tội phạm chiến tranh mạng
động cơ chính trị và hacktivism là một vấn đề quan tâm cho các cơ quan an

ninh quốc gia.
www.themegallery.com
Company Name

Việt Hàn IT

9


Sơ đồ tổ chức của tổ chức tội phạm mạng:

LOGO

Boss

Kẻ tấn công crimeware sở hữu công
cụ trojan phân phối trên trang web
hợp pháp

Việt Hàn IT

Underboss cung cấp, quản lý và
điều khiển trojan

10


Internet Query Chat (ICQ)

LOGO


 ICQ là chat client được dùng để chat với mọi người.
 Nó gán một số định danh phổ cập (UIN) xác định
người dùng duy nhất giữa những người sử dụng ICQ
 Khi một người sử dụng ICQ kết nối với Internet, ICQ
khởi động và cố gắng để kết nối với máy chủ Mirabilis
(Mirabilis là công ty phát triển ICQ), là nơi cơ sở dữ liệu
chứa thông tin của tất cả người dùng ICQ.
 Tại máy chủ Mirabilis, ICQ tìm kiếm yêu cầu số UIN
bên trong cơ sở dữ liệu của nó (một loại điện thoại của
thư mục), và cập nhật thông tin.
 Bây giờ người dùng có thể liên hệ với người bạn của
mình bởi vì ICQ biết địa chỉ IP.

Việt Hàn IT

11


Internet Relay Chat (IRC)

LOGO

IRC là hệ thống để trò chuyện bao gồm thiết lập nguyên tắc,
quy ước và phần mềm client/server

Nó cho phép chuyển hướng kết nối máy tính tới máy tính với
mục đích dễ dàng chia sẽ giữa clients
Một vài website (như là Talk City) hoặc mạng IRC (như là
Undernet) cung cấp server và hỗ trợ người sử dụng tải IRC

clients tới PC của họ
Sau khi người sử dụng tải ứng dụng client, họ bắt đầu chat
nhóm (gọi là kênh) hoặc gia nhập một nhóm có trước
Kênh IRC đang được ưu chuộng là #hottub và #riskybus.
Giao thức IRC dùng giao thức điều khiển truyền vận (có thể
Việt Hàn IT dùng IRC qua telnet client), thông thường dùng port 6667
12


LOGO

Việt Hàn IT

13


Kỹ thuật tấn công DoS

Việt Hàn IT

LOGO

14


LOGO

Tấn cơng băng thơng
Một máy tính riêng lẻ
khơng thể đáp ứng đủ

yêu cầu tràn ngập thiết
bị mạng; do đó tấn công
DDoS được tạo ra từ
nơi mà kẻ tấn công
dùng nhiều máy tính
làm tràn ngập victim

Kẻ tấn cơng dùng
botnets và thực hiện tấn
công DDoS bằng tràn
ngập mạng với ICMP
ECHO packets
Việt Hàn IT

Khi tấn cơng DDoS được
chạy, tràn ngập một mạng,
nó có thể gây ra tràn ngập
thiết bị mạng như là
switches và routers do
thống kê quan trọng trong
lưu lượng mạng

Về cơ
thơng
khơng
duy trì
lệ

bản, tất cả băng
được dùng và

băng thông nào
để sử dụng hợp
15


Tràn ngập u cầu dịch vụ

Một kẻ tấn cơng hoặc
nhóm zombie cố gắng
làm cạn kiệt tài nguyên
máy chủ bằng cách
thiết lập và phá hủy
các kết nối TCP

LOGO

Yêu cầu dịch vụ tấn
công tràn ngập servers
với kết nối tốc độ cao
từ nguồn hợp lệ

Nó bắt đầu gửi yêu
cầu trên tất cả kết
nối
Việt Hàn IT

16


Tấn công SYN


LOGO

Kẻ tấn công gửi giả mạo TCP SYN
yêu cầu tới máy chủ đích (victim)

Victim gửi lại một SYN ACK đáp ứng
yêu cầu và chờ đợi ACK để hoàn tất
thiết lập phiên
Victim sẽ khơng nhận đáp ứng bởi
vì địa chỉ nguồn là giả mạo

Việt Hàn IT

Lưu ý: Tấn công này khai thác cách thức bắt tay ba bước 17


Làm ngập SYN
 Thực hiện tràn ngập SYN dựa
vào thuận lợi lỗ hổng bằng bắt tay
ba bước TCP
 Khi Host B nhận yêu cầu SYN từ
A, nó phải giữ đường đi một phần
mở kết nối trên "hàng đợi lắng
nghe" tối thiểu 75 giây
 Một host nguy hiểm có thể khám
phá kích cỡ nhỏ để lắng nghe theo
hàng bằng cách gửi nhiều yêu cầu
SYN tới host, nhưng không bao giờ
trả lời bằng SYN/ACK

 Victim lắng nghe hàng đợi nhanh
chóng bị lấp đầy
 Khả năng loại bỏ một host từ
mạng tối thiểu là 75 giây có thể
được dùng như tấn cơng DoS
Việt Hàn IT

LOGO

Thiết lập kết nối
bình thường

18


Tấn công tràn ngập ICMP
 Kiểu tấn công ICMP là thủ
phạm gửi số lượng lớn của gói
tin giả mạo địa chỉ nguồn tới
server đích để phá hủy nó và
gây ra ngừng đáp ứng yêu cầu
TCP/IP.
 Sau khi đến ngưỡng ICMP
đạt đến, các router từ chối yêu
cầu phản hồi ICMP từ tất cả địa
chỉ trên cùng vùng an tồn cho
phần cịn lại.

LOGO


Kẻ tấn công gửi yêu cầu
ICMP ECHO với địa chỉ
nguồn giả mạo

Phản hồi yêu cầu ICMP hợp lệ từ địa chỉ
trên vùng an toàn

Việt Hàn IT

19


Tấn công điểm nối điểm

LOGO

 Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình điểm nối
điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website giả
mạo của victim.
 Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kết nối trực
tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức.
 Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại website.

Việt Hàn IT

20


LOGO


Tấn công cố định DoS

Tấn công DoS liên tục, được biết như
phlashing, nghĩa là tấn công gây thiệt hại
cho hệ thống phần cứng mà không phục
hồi được
Không giống như tấn cơng DoS khác, nó
phá hoại hệ thống phần cứng, u cầu
victim thay thế hoặc cài đặt lại phần cứng
1. Tấn công thực hiện dùng phương pháp
như "xây dựng hệ thống”
2. Dùng phương pháp này, kẻ tấn công
gửi cập nhập phần cứng lừa đảo tới victim
Gửi email, IRC chats, tweets, video với nội
dung lừa đảo để cập nhập phần cứng

Việt Hàn IT

Kẻ tấn cơng truy cập tới
máy tính của victim

(Mã nguy hiểm chạy trên
21
hệ thống victim)


Tấn công tràn ngập ở cấp độ dịch vụ
Tấn công làm tràn ở cấp
độ ứng dụng là kết quả
mất dịch vụ của mạng đặc

biệt như là: email, tài
nguyên mạng, tạm thời
ngừng ứng dụng và dịch
vụ,...

LOGO

Dùng kiểu tấn công này,
kẻ tấn cơng phá hủy mã
nguồn chương trình và file
làm ảnh hưởng tới hệ
thống máy tính

Tấn cơng làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:
 Tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ.
 Ngắt dịch vụ cụ thể của hệ thống hoặc con người, ví dụ: khóa người dùng cố gắng
truy cập lại khi đăng nhập khơng có giá trị.
 Làm tắt nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ công nguy hiểm
SQL

Việt Hàn IT

Kẻ tấn công khai thác mã
nguồn ứng dụng

22


LOGO


Việt Hàn IT

23


Botnet

LOGO

 Bots là phần mềm ứng dụng chạy công việc tự động qua internet và thực
hiện lặp lại nhiệm vụ đơn giản, như là gián điệp web và tìm bộ máy đánh chỉ
số.
 Botnet là một mạng lớn thỏa thuận hệ thống và được dùng bởi kẻ xâm
nhập để tạo ra tấn công DoS .

Việt Hàn IT

24


Kỹ thuật lan truyền botnet

LOGO

Tội phạm mạng liên lạc hệ thống IT
( Server, Software, và dịch vụ)

Dữ liệu
bộ công
cụ của

tội phạm
mạng

Trung tâm
lệnh và
điều khiển
trojan

Tải lên trojan để trộm dữ
liệu và nhận lệnh từ trung
tâm lệnh và điều khiển
trojan
Sát
nhập
mạng
nguy
hiểm

Việt Hàn IT

Thỏa hiệp các website hợp lệ

25