Các loại
tấn công từ chối dịch vụ
Giáo viên hướng dẫn:
Ts. Phạm Văn Tính
Thành viên trong nhóm:
Nguyễn Lê Bảo Toàn 06130205
Lê Công Bằng 06130007
Nguyễn Trí Cảnh 06130108
Đỗ Hoàng Tuyên
Phạm Thanh Phương
Đề tài:Bảo mật mạng và hệ thống

DoS

DDoS

DRDoS

Giới thiệu về DOS

Định nghĩa DOS

Các dạng tấn công DOS

Một số tool có thể sử dụng tấn công DOS

Nguyên nhân

Mục tiêu

Lịch sử một số cuộc tấn công DOS


Nguyên nhân:

Xuất phát từ động cơ chính trị.

Che dấu hành vi lừa đảo.

Các doanh nghiệp chơi xấu nhau

Mục đích trả thù cá nhân

Một số hacker mới vào nghề muốn chứng tỏ mình

………………………

Mục tiêu tấn công:

Mục tiêu các cuộc tấn công thường nhằm vào các trang
web lớn và các tổ chức thương mại điện tử trên Internet.

Lịch sử một số cuộc tấn công:

15/8/2003 : Website của Microsoft gián đoạn trong 2h.

27/3/2003: Website Al-Jazeera bị gián đoạn trong
nhiều giờ.

8 / 2009 : Twitter, Facebook, Google bị tấn công.

…………………

DOS
Vậy DOS là gì?

DOS viết tắt của Denial Of Services.

DOS làm cho một hệ thống không thể sử dụng được hoặc
chậm đi đáng kể đối với người dùng bình thường bằng cách
chiếm giữ tài nguyên của hệ thống.

Mặc dù tấn công DoS ít có khả năng truy cập vào dữ liệu
thực của hệ thống nhưng nó có thể làm gián đoạn các dịch
vụ mà hệ thống đó cung cấp.

DOS là một dạng tấn công nguy hiểm và khó phòng chống.
Server busy

Smurf

Buffer Overflow Attack

Ping of Death

Teardrop

SYN Attack

Kẻ tấn công gửi những gói tin IP lớn hơn số lương bytes
cho phép của IP là 65.536 bytes.


Quá trình chia nhỏ gói tin IP thành những phần nhỏ được
thực hiện ở layer II.

Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn
65.536 bytes. Nhưng hệ điều hành không thể nhận biết được
độ lớn của gói tin này và sẽ bị khởi động lại, hay đơn giản là
sẽ bị gián đoạn giao tiếp.

Để nhận biết kẻ tấn công gửi gói tin lớn hơn gói tin cho
phép thì tương đối dễ dàng.

Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần.

Kẻ tấn công sử dụng sử dụng gói IP với các thông số rất khó
hiểu để chia IP.

Khi hệ điều hành nhận được các gói tin đã được chia nhỏ sẽ
không hiểu được, hệ thống cố gắng build lại gói tin và điều đó
chiếm một phần tài nguyên hệ thống.

Nếu quá trình đó liên tục xảy ra hệ thống không còn tài nguyên
để phục vụ các ứng dụng khác.

giả sử rằng 4000 bytes này được chia thành 3 gói nhỏ(packet):
packet thứ nhất sẽ mang các 1bytes dữ liệu từ 1 đến 1500
packet thứ hai sẽ mang các bytes dữ liệu từ 1501 đến 3000
packet thứ ba sẽ mang các bytes dữ liệu còn lại, từ 3001 đến
4000
Khi các packets này đến đích, hệ thống đích sẽ dựa vào offset
của các gói packets để sắp xếp lại cho đúng với thứ tự ban đầu:

packet thứ nhất -> packet thứ hai -> packet thứ ba

Buffer Overflow xảy ra khi một chương trình phải ghi thông
tin xuống buffer nhiều hơn khoảng trống trong bộ nhớ quy
định cho nó.

Khi đó attacker có thể overwrite lại đường dẫn thực thi của
chương trình, điều khiển cho chương trình chạy đoạn mã của
attacker thay vì đoạn mã của chương trình.

Ví dụ :

Send một email với file đính kèm có tên lớn hơn 256 ký
tự.

Send một gói ICMP với size lớn .
Được xem là một trong những kiểu tấn công DoS kinh
điển nhất. Lợi dụng sơ hở của thủ tục TCP khi “bắt tay
ba lần”, mỗi khi client (máy khách) muốn thực hiện kết
nối(connection) với server (máy chủ) thì nó thực hiện
việc bắt tay ba lần (three – wayshandshake) thông qua
các gói tin (packet).

Bước 1: Client (máy khách) sẽ gửi các gói tin (packet
chứa SYN) đến máy chủ để yêu cầu kết nối.

Bước 2: Khi nhận được gói tin này, server sẽ gửi lại gói
tin SYN/ACK để thôngbáo cho client biết là nó đã nhận
được yêu cầu kết nối và chuẩn bị tài nguyên cho việc yêu

cầu này. Server sẽ giành một phần tài nguyên hệ thống
như bộ nhớ đệm(cache) để nhận và truyền dữ liệu. Ngoài
ra, các thông tin khác của client như địa chỉ IP và cổng
(port) cũng được ghi nhận.

Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần
bằng cách hồi âm lại gói tin chứa ACK cho server và tiến
hành kết nối.

Do TCP là giao thức hướng kết nối nên trong lần bắt
tay thứ hai,server gửi các gói tin SYN/ACK trả lời lại
client mà không nhận lại được hồi âm của client để
hoàn tất quá trình kết nối thì server nó vẫn bảo lưu
nguồn tài nguyên chuẩn bị kết nối đó và lập lại việc
gửi gói tin SYN/ACK cho client đến khi nào nhận
được hồi đáp của máy client.

Điểm mấu chốt là ở đây là làm cho client không hồi đáp
cho Server. Và có hàng nhiều,nhiều client như thế trong
khi server vẫn lặp lại việc gửi packet ACK đó và giành tài
nguyên để chờ trong lúc tài nguyên của hệ thống là có
giới hạn! Các hacker tấn công sẽ tìm cách để đạt đến giới
hạn đó.

Nếu quá trình đó kéo dài, server sẽ nhanh chóng trở nên
quá tải, dẫn đến tình trạng crash(treo) nên các yêu cầu hợp
lệ sẽ bị từ chối không thể đáp ứng được. Có thể hình dung
quátrình này cũng giống như khi máy tính cá nhân (PC)
hay bị “treo” khi mở cùng lúc quá nhiều chương trình
cùng lúc vậy .

Hacker sẽ giả địa chỉ IP gói tin. Khi một gói tin SYN
với IP giả mạo được gửi đến server và server sẽ cấp
vùng tài nguyên cho đường truyền này, đồng thời ghi
nhận toàn bộ thông tin và gửi gói SYN/ACK ngược lại
cho Client.
Vì địa chỉ IP của client là giả mạo nên sẽ không có
client nào nhận được SYN/ACK packet này để hồi đáp
cho máy chủ. Sau một thời gian không nhận được gói
tin ACK từ client, server nghĩ rằng gói tin bị thất lạc nên
lại tiếp tục gửi tiếp SYN/ACK, cứ như thế, các kết nối
(connections) tiếp tụcmở.

Nếu như kẻ tấn công tiếp tục gửi nhiều gói tin SYN
đến server thì cuối cùng server đã không thể tiếp nhận
thêm kết nối nào nữa, dù đó là các yêu cầu kết nối hợp
lệ. Việc không thể phục nữa cũng đồng nghĩa với việc
máy chủ không thể cung cấp dich vụ.
Land Attack

Là một dạng của SYN attack(thay ip giả chính là ip
victim)
DNS Attack

Giao thức DNS là giao thức phân giải địa chỉ, dùng để
ánh xạ giữa tên miền (domain name) địa chỉ Internet (IP).
Theo giao thức này, máy chủ DNS khi nhận được yêu cầu
phân giải địa chỉ (request) từ máy trạm, nó sẽ tra cứu
trong bộ đệm (cache) và trả về địa chỉ IP tương ứng với
tên miền mà máy trạm yêu cầu. Tuy nhiên, nếu không tìm

thấy trong bộ đệm, máy chủ DNS sẽ chuyển tiếp yêu cầu
phân giải tới một máy chủ DNS khác và đây chính là lỗ
hổng mà hacker sẽ khai thác.