1
1
Bài Tiểu Luận
Bài Tiểu Luận
Môn:
Môn:


Mạng Căn Bản
Mạng Căn Bản
Giảng Viên Hướng Dẫn:
Giảng Viên Hướng Dẫn:


Mai Xuân Phú
Mai Xuân Phú
Thành Viên Nhóm Thực Hiện:
Thành Viên Nhóm Thực Hiện:


Lê Xuân Hiến
Lê Xuân Hiến
09026863
09026863
Phạm Thị Liên
Phạm Thị Liên
09023233
09023233
Lê Thị Huệ

Lê Thị Huệ
09013693
09013693
Phạm Thị Hiên
Phạm Thị Hiên
09016033
09016033
Mai Thị Huyền
Mai Thị Huyền
09013093
09013093
Bộ Công Thương
Bộ Công Thương
Trường Đại Học Công Nghiệp Tp Hồ Chí Minh
Trường Đại Học Công Nghiệp Tp Hồ Chí Minh
Đề Tài:
Đề Tài:


Tìm Hiểu Về Tấn Công Từ Chối Dịch Vụ - DoS
Tìm Hiểu Về Tấn Công Từ Chối Dịch Vụ - DoS
2
Nội Dung
Nội Dung

Lịch Sử Một Số Cuộc Tấn Công DoS

Denial of Service Attack là gì??

Cách nhận biết khi bị tấn công


Các Dạng Tấn Công DoS

Giải Pháp Phòng Tránh DoS

Các Công Cụ Được Sử Dụng Để Tấn Công DoS
3
Lịch sử một số cuộc tấn công DoS
Lịch sử một số cuộc tấn công DoS

Cuộc tấn công đầu tiên liên quan đến máy chủ DSN xảy ra vào
tháng 1 năm 2001 và mục tiêu đầu tiên là trang Register.com.
Hậu quả là trang Web này phải ngừng hoạt động trong nhiều
giờ và mất nhiều dữ liệu.

Vào lúc 15:09 giờ GMT ngày 27 tháng 3 năm 2003, toàn bộ
phiên bản tiếng Anh của website Al-Jazeera bị tấn công làm
gián đoạn trong nhiều giờ.

Vào ngày 15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công
DoS cực mạnh và làm gián đoạn Websites trong vòng 2 giờ.

Vào 8/12/2010, một nhóm hacker tấn công đồng loạt trang web
của hãng Mastercard, Visa để trả đũa cho việc chủ Wikileaks bị
tạm giam ở Anh. Nhóm hacker lấy tên “Chiến dịch trả đũa",
nhận trách nhiệm gây ra các lỗi kỹ thuật nghiêm trọng trên
trang web của Mastercard. Cuộc tấn công đã đánh sập thành
công website của Mastercard, Postfinance và Visa.
4
Vậy Tấn Công DoS là gì?

Vậy Tấn Công DoS là gì?

Tấn công DoS là một kiểu tấn công làm cho hệ thống
không thể sử dụng được, hoặc làm cho hệ thống đó
chậm đi đáng kể, bằng cách làm quá tải tài nguyên của
hệ thống.

Nếu kẻ tấn công không có khả năng thâm nhập được
vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ
thống đó sụp đổ và không có khả năng phục vụ người
dùng bình thường.

Mặc dù tấn công DoS không có khả năng truy cập vào
dữ liệu thực của hệ thống nhưng có thể làm gián đoạn
các dịch vụ mà hệ thống đó cung cấp.

DoS khi tấn công vào một hệ thống sẽ khai thác những
cái yếu nhất của hệ thống như Buffer, Bandwidth…
5
Mục đích của tấn công DoS
Mục đích của tấn công DoS

Tiêu tốn tài nguyên hệ thống như băng thông,
dung lượng đĩa cứng hoặc thời gian xử lý.

Phá vỡ các thông tin cấu hình như thông tin định
tuyến.

Phá vỡ các trạng thái thông tin như việc tự động
reset lại các phiên TCP.


Phá vỡ các thành phần vật lý của mạng máy
tính.

Làm tắc nghẽn thông tin liên lạc có chủ đích dẫn
đến việc liên lạc không được thông suốt.
6
Cách nhận biết khi bị tấn công DoS
Cách nhận biết khi bị tấn công DoS

Máy tính thực thi chậm khác thường (khi mở file
hay truy cập Internet).

Không thể dùng một Website cụ thể.

Không thể truy cập bất kỳ Website nào

Bị chuyển sang các trang Web lạ khi truy cập
mạng

Tăng lượng thư rác nhận được.

…
7
Một Số Dạng Tấn Công DoS
Một Số Dạng Tấn Công DoS

Smurf Attack (hay Ping of Death)

SYN Flood Attack


Routing And DNS Attack

Buffer Overflow Attack

Teardrop Attack
8
1. Smurf Attack (hay Ping of Death)
1. Smurf Attack (hay Ping of Death)

Kiểu tấn công này lợi dụng tác động của mạng
khuếch đại. Khi người dùng gửi Ping Request đến
một máy tính hoặc một hệ thống mạng, máy tính
hoặc hệ thống đó sẽ gửi lại Ping Reply

Dựa vào điều này kẻ tấn công sẽ giả mạo địa chỉ IP
nguồn là nạn nhân và gửi các Packet đến mạng
khuếch đại, lúc đó mạng khuếch đại sẽ gửi các
Packet trả lời như thế cho nạn nhân (vì kẻ tấn công
đã giả mạo địa chỉ IP là nạn nhân)

Kết quả là đích tấn công sẽ phải chịu nhận một đợt
Reply gói ICMP (Internet Control Message Protocol)
cực lớn và làm cho mạng bị rớt hoặc bị chậm lại
đáng kể và không có khả năng đáp ứng các dịch vụ
khác.
9
1. Smurf Attack (hay Ping of Death)
1. Smurf Attack (hay Ping of Death)
10

2. SYN Flood attack
2. SYN Flood attack

Attacker gửi một lượng lớn các yêu cầu ảo TCP
SYN tới máy chủ bị tấn công. Để xử lý lượng
SYN này hệ thống cần tốn một lượng bộ nhớ để
kết nối. Khi có rất nhiều gói SYN ảo tới máy chủ,
nó sẽ chiếm hết các yêu cầu xử lý của máy chủ.


Một người dùng bình thường kết nối tới máy chủ
ban đầu thực hiện Request TCP SYN và lúc này
máy chủ không còn khả năng đáp lại - kết nối
không được thực hiện.
11
2. SYN Flood attack
2. SYN Flood attack
Hình ảnh về tấn công SYN Flood
Hình ảnh về tấn công SYN Flood
12
2. SYN Flood attack
2. SYN Flood attack

Máy X và máy A sẽ giữ kết nối ít nhất là 75 giây,
sau đó lại thực hiện một quá trình TCP Three-
way handshake lần nữa để thực hiện phiên kết
nối tiếp theo để trao đổi dữ liệu.

Attacker đã lợi dụng kẽ hở này để thực hiện tấn
công nhằm sử dụng hết tài nguyên của hệ thống

bằng cách giảm thời gian yêu cầu Three-way
handshake xuống rất nhỏ và không gửi lại gói
ACK, cứ bắn gói SYN ra liên tục trong một thời
gian nhất định và không bao giờ trả lời lại gói
SYN - ACK từ máy bị tấn công.
13
3. Routing And DNS Attack
3. Routing And DNS Attack
a. Routing
Kẻ tấn công sẽ thay đổi tuyến đường hợp lệ trên
các định tuyến bằng cách giả mạo địa chỉ IP nguồn.
Các nạn nhân sẽ có lưu lượng định tuyến qua mạng
của kẻ tấn công hoặc các Black hole.
b. DNS
Kẻ tấn công có thể đổi một lối vào trên DNS của hệ
thống nạn nhân rồi cho chỉ đến một Website của kẻ tấn
công.
Khi máy khách yêu cầu DNS phân tích địa chỉ bị
xâm nhập thành địa chỉ IP, lập tức DNS sẽ đổi thành địa
chỉ IP mà kẻ tấn công đã cho chỉ đến đó.
Kết quả là thay vì vào trang Web muốn vào thì các
nạn nhân sẽ vào trang Web do chính kẻ tấn công tạo ra.
14
4. Buffer Overflow Attack
4. Buffer Overflow Attack

Buffer Overflow xảy ra tại bất kỳ thời điểm nào có
chương trình ghi lượng thông tin lớn hơn dung lượng
của bộ nhớ đệm.


Kẻ tấn công có thể ghi đè lên dữ liệu, điều khiển chạy và
chiếm quyền điều khiển của một số chương trình nhằm
thực thi các đoạn mã nguy hiểm.

Internet Information Service (IIS 3.0, 4.0) và FTP Server
dễ bị tấn công trước tình trạng tràn bộ đệm thông qua
một số lệnh đơn giản vốn cho phép làm ngưng hoạt
đông của Server. Lệnh này chỉ khả dụng với người dùng
đã chứng thực, tuy nhiên người dùng FTP nặc danh sẽ
có quyền truy cập các lệnh này.
15
5. Teardrop
5. Teardrop

Teardrop khai thác các chỗ yếu trong mã tái hợp Packet.
Khi truyền đi các Packet, có khi phải chia các Packet ra
thành nhiều phần nhỏ hơn

Mỗi mảnh đều phải có một giá trị Offset nhất định để xác
định vị trí của mảnh đó trong Packet được chuyển đi. Khi
đến hệ thống đích sẽ dựa vào các giá tri Offset này để
ghép lại thành Packet hoàn chỉnh như ban đầu.

Attacker sẽ lợi dụng điểm này để gửi đến hệ thống đích
một loạt gói Packets với giá trị Offset chồng chéo lên
nhau. Hệ thống đích sẽ không thể nào tái hợp lại các
Packets này, nó không điều khiển được và có thể bị
Crash, Reboot nếu số lượng gói Packets với giá trị
Offset chồng chéo lên nhau quá lớn.


Linux, Windows 95 và Windows NT dễ bị tấn công kiểu
này.
16
Một Số Giải Pháp Phòng Tránh Tấn
Một Số Giải Pháp Phòng Tránh Tấn
Công DoS
Công DoS

Mô hình hệ thống cần phải được xây dựng hợp lý, tránh
phụ thuộc lẫn nhau quá mức. Bởi khi một bộ phận gặp
sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống.

Thiết lập mật khẩu mạnh để bảo vệ các thiết bị mạng và
các nguồn tài nguyên quan trọng khác.

Thiết lập các mức xác thực đối với các nguồn tin trên
mạng. Đặc biệt là khi cập nhật các thông tin định tuyến
giữa các Router.

Xây dựng hệ thống lọc thông tin trên Router, Firewall…
và hệ thống bảo vệ chống lại SYN flood.
17
Một Số Giải Pháp Phòng Tránh Tấn
Một Số Giải Pháp Phòng Tránh Tấn
Công DoS
Công DoS

Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và
dừng các dịch vụ chưa có yêu cầu hoặc không sử dụng.


Xây dựng hệ thống định mức, giới hạn cho người sử dụng,
nhằm ngăn ngừa trường hợp người sử dụng muốn lợi dụng
các tài nguyên trên Server để tấn công chính Server hoặc
mạng và Server khác.

Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ
hổng bảo mật và có biện pháp khắc phục kịp thời.

Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một
cách liên tục để phát hiện ngay những hành động bất bình
thường.

Xây dựng và triển khai hệ thống dự phòng
18
Một Số Công Cụ Được Sử Dụng
Một Số Công Cụ Được Sử Dụng
Trong Tấn Công DoS
Trong Tấn Công DoS

Jolt2

Nemesy

Panther2

Crazy Pinger

Some Trouble

UDP Flooder


FSMax
19
1. Tools DoS – Jolt2
1. Tools DoS – Jolt2

Cho phép tấn công từ chối dịch vụ (DoS) lên các
hệ thống trên nền tảng Windows như Windows
2000, Windows 2003, Windows XP, Windows
Vista…

Tool này khiến máy chủ bị tấn công có CPU luôn
hoạt động ở mức độ 100% và không thể xử lý
các dịch vụ khác.

Một số Router không phải trên nền tảng
Windows như Cisco và một số loại Router khác
cũng có thể bị tools này tấn công.
20
1. Tools DoS – Jolt2
1. Tools DoS – Jolt2
21
1. Tools DoS – Jolt2
1. Tools DoS – Jolt2

Đặc điểm nhận dạng:
- Máy tính chạy rất chậm.
- Jolt2 có thể làm xáo trộn các cài đặt Internet và có thể
thêm các phím tắt mới vào máy tính.
- Xuất hiện nhiều Popup ngay cả khi không kết nối

Internet. Jolt2 có thể bí mật theo dõi thói quen duyệt
Web và thu thập thông tin cá nhân của người sử dụng
- Jolt2 có thể giành quyền kiểm soát toàn bộ hộp thư của
nạn nhân để tạo và gửi Email với file đính kèm virus,
Email lừa đảo, thư rác, và các loại thư điện tử không
mong muốn cho người khác.
22
2. Tools DoS – Nemesys
2. Tools DoS – Nemesys




- Nemesys là một chương trình sinh ra những gói
- Nemesys là một chương trình sinh ra những gói
tin ngẫu nhiên có các thông tin do Attacker định
tin ngẫu nhiên có các thông tin do Attacker định
trước như số lượng gói tin, thời gian trễ…
trước như số lượng gói tin, thời gian trễ…
- Dựa vào chương trình này Attacker có thể cài và
- Dựa vào chương trình này Attacker có thể cài và
chạy các đoạn mã nguy hiểm vào máy tính không
chạy các đoạn mã nguy hiểm vào máy tính không
được bảo mật.
được bảo mật.
23
3. Tool DoS – Panther2
3. Tool DoS – Panther2
24
3. Tool DoS – Panther2

3. Tool DoS – Panther2

Panther2 hoạt động dựa trên nền tảng UDP
(User Datagram Protocol - Giao thức Internet
cho dịch vụ truyền Datagram) được thiết kế
dành riêng cho các kết nối 28.8 – 56 Kbps.

Panther2 có khả năng chiếm toàn bộ băng
thông mạng bằng nhiều phương pháp ví dụ như
thực hiện quá trình Ping cực nhanh và gây ra
tấn công DoS
25
4. Tool DoS – Crazy Pinger
4. Tool DoS – Crazy Pinger


Công cụ này có khả năng gửi những gói ICPM lớn (Internet
Công cụ này có khả năng gửi những gói ICPM lớn (Internet
Control Message Protocol
Control Message Protocol
-
-
Giao thức Internet báo cáo các
Giao thức Internet báo cáo các
lỗi phân phát các gói dữ liệu) tới một hệ thống mạng từ xa
lỗi phân phát các gói dữ liệu) tới một hệ thống mạng từ xa
với dung lượng và số lượng gói tin do người sử dụng định
với dung lượng và số lượng gói tin do người sử dụng định
trước
trước