1



KHOA 
o0o




: 


Tên tiểu luận:






PGS. TSKH. 
 
Nhóm 7








M13CQTE02-B





- 11/2014




i







flood 1
1.1 Những biện pháp đối phó với SYN flood 3
 5
2.1 Các thành phần của DNS 6
2.2 Truyền thông DNS 6
2.3 Giả mạo DNS 8
2.4 Những vụ tấn công DNS 8
2.5 Biện pháp phòng chống tấn công DNS 9
công SMURF 11
3.1 Các biện pháp đối phó Smurf 12
3.2 Những site Bị Tấn công 13

 14
4.1 Mạng BOTNET 14
4.2 Mục đích sử dụng mạng Botnets 14
4.3 Các dạng của mạng BOT. 15
4.4 Các bước xây dựng mạng BotNet? Cách phân tích mạng Bot. 15
4.5 Tấn công DDoS 16
4.6 Phân loại tấn công DDoS 17









ii



Hình 1.1: SYN Connection 1
Hình 1.2 SYN flood DoS attack 2
Hình 1.3 SYN flood DoS result 3
Hình 1.4 Hệ thống phát hiện và chống xâm nhập IDS 4
Hình 2.1 Truy vấn và đáp trả DNS 6
Hình 2.2 Các gói truy vấn và đáp trả DNS 7
Hình 2.3 Truy vấn và đáp trả DNS bằng đệ quy 8
Hình 2.4 Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID 8
Hình 4.1 Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot. 16
Hình 4.2: Sơ đồ phân loại tấn công DDoS 17

Hình 4.3 Sơ đồ tấn công DDoS ở dạng Khuếch đại giao tiếp. 18






iii


M 
Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào
có hệ thống mạng dù lớn hay nhỏ. Hiện nay, các hacker trong và ngoài nước luôn tìm
cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ. Những thông tin nhạy
cảm thường ảnh hưởng tới sống còn của công ty. Chính vì vậy, các nhà quản trị mạng
luôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và cố gắng hoàn thiện hệ thống
mình để bớt lỗ hổng.
Tuy nhiên, một kiểu tấn công rất cổ điển là tấn công từ chối dịch vụ chưa bao
giờ mất đi tính nguy hiểm đối với hệ thống mạng. Hậu quả mà DoS gây ra không chỉ
tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục. DoS
vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàn cuộc tấn
công.
Với yêu cầu cấp thiết như vậy, nhóm em chọn đề tài “Tìm hiểu về tấn công từ
chối dịch vụ DoS” nhằm mục đích để hiểu được các kiểu tấn công và từ đó đưa ra
cách phòng chống DoS.




iv



 NHÓM 7
STT
Tên hc viên
Ni dung tìm hiu
1
Nguyễn Tiến Quân
Tấn công SYN flood
2
Nguyễn Thanh Ngọc, Bùi Việt Hà
Tấn công DNS
3
Trịnh Quốc Thái
Tấn công SMURF
4
Ngô Văn Thái, Phạm Ngọc Tuyên
Tấn công DDoS







































Chương 1: Tấn công kiểu SYN flood

Nhóm 7 – M13CQTE02-B


Trang 1


1. 
Lợi dụng cách thức hoạt động của kết nối TCP/IP, hacker bắt đầu quá trình thiết
lập một kết nối TPC/IP tới mục tiêu muốn tấn công mà không gửi trả gói tin ACK,
khiến cho mục tiêu luôn rơi vào trạng thái chờ (đợi gói tin ACK từ phía yêu cầu thiết
lập kết nối) và liên tục gửi gói tin SYN ACK để thiết lập kết nối. Một cách khác là giả
mạo địa chỉ IP nguồn của gói tin yêu cầu thiết lập kết nối SYN và cũng như trường
hợp trên, máy tính đích cũng rơi vào trạng thái chờ vì các gói tin SYN ACK không thể
đi đến đích do địa chỉ IP nguồn là không có thật. Kiểu tấn công SYN flood được các
hacker áp dụng để tấn công một hệ thống mạng có băng thông lớn hơn hệ thống của
hacker.

Hình 1.1: SYN Connection

Ở những hoàn cảnh thông thường thì một gói tin SYN được gửi từ một cổng cụ
thể trên hệ thống A tới một cổng cụ thể đang ở trong trạng thái NGHE (LISTENING)
trên hệ thống B. Ở điểm này thì kết nối tiềm năng này trên hệ thống B là một trạng
thái SYN_RECV. Ở giai đoạn này thì hệ thống B sẽ cố gửi lại một gói tin
SYN/ACK tới hệ thống A. Nếu mọi việc suôn sẻ thì hệ thống A sẽ gửi lại một gói
tin ACK và kết nối sẽ chuyển sang một trạng thái được thiết lập (ESTABLISHED).
Trong khi cơ chế này hầu như luôn hoạt động tốt thì kẻ tấn công có thể lợi dụng
một số yếu điểm cố hữu trong hệ thống này để tạo ra một điều kiện DoS. Vấn đề ở
chỗ hầu hết các hệ thống phân bổ một số lượng xác định các nguồn lực khi lập nên
một kết nối tiềm năng hay một kết nối chưa được thiết lập đầy đủ. Trong khi hầu hết
các hệ thống có thể duy trì được hàng trăm các kết nối đồng thời tới một cổng cụ thể
(ví dụ như 80) thì có thể chỉ mất khoảng một tá các yêu cầu kết nối tiềm năng để làm
yếu đi các nguồn lực được phân bổ để lập nên kết nối đó. Điều này chính xác là cơ
chế mà kẻ tấn công SYN sẽ dùng đến để vô hiệu hóa một hệ thống.

Chương 1: Tấn công kiểu SYN flood

Nhóm 7 – M13CQTE02-B

Trang 2



Hình 1.2 SYN flood DoS attack
Khi một vụ tấn công lũ SYN được khởi đầu thì kẻ tấn công sẽ gửi đi một gói
tin SYN từ hệ thống A đến hệ thống B. Tuy nhiên kẻ tấn công sẽ giả mạo địa chỉ
nguồn của một hệ thống không tồn tại. Hệ thống B lúc này sẽ cố gửi một gói tin
SYN/ACK tới địa chỉ bị giả mạo. Nếu hệ thống bị giả mạo có tồn tại thì thông
thường nó sẽ phản hồi lại với một gói tin RST tới hệ thống B vì nó đã không khởi
đầu quá trình kết nối. Tuy nhiên phải nhớ là kẻ tấn công chọn một hệ thống mà
không thể tiếp cận tới được. Do vậy hệ thống B sẽ gửi một gói tin SYN/ACK và
không bao giờ nhận một gói tin RST trở lại từ hệ thống A. Kết nối tiềm năng này
hiện đang ở trạng thái SYN_RECV và được xếp thành một dãy chờ kết nối. Hệ thống
này hiện có nhiệm vụ lập một kết nối và kết nối tiềm năng này sẽ chỉ được xếp
bằng từ dãy chờ sau khi bộ phận định giờ thiết lập kết nối hết hạn. Bộ phận định giờ
kết nối thay đổi theo hệ thống nhưng có thể chỉ mất 75 giây hoặc tới 23 phút đối với
một số thực thi IP bị phá vỡ. Do dãy chờ kết nối thông thường rất nhỏ nên kẻ tấn công
có thể chỉ phải gửi một vài gói tin SYN cứ 10 giây một để vô hiệu hóa hoàn toàn một
cổng cụ thể. Hệ thống này bị tấn công sẽ không bao giờ có thể xóa được dãy chờ ùn
đống trước khi nhận những yêu cầu SYN mới.
Chương 1: Tấn công kiểu SYN flood

Nhóm 7 – M13CQTE02-B

Trang 3




Hình 1.3 SYN flood DoS result
1.1 Nh bi pháp i phó v SYN flood
Để xác định được liêu bạn có bị tấn công hay không bạn có thể phát lệnh netstat
nếu nó được hỗ trợ bởi hệ điều hành của bạn. Nếu bạn thấy nhiều kết nối trong một
trạng thái SYN_RECV thì nó có thể cho biết là một vụ tấn công SYN đang được
tiến hành.
Tiếp đến là bốn cách cơ bản để tiếp cận những cuộc tấn công lũ SYN. Trong khi
từng biện pháp có những ưu điểm và nhược điểm riêng thì chúng có thể được sử dụng
nhằm giảm đi những hậu quả của một vụ tấn công SYN tập trung. Hãy ghi nhớ khó
khăn trong lần theo dấu vết cuộc tấn công trở lại kẻ xâm nhập vì nguồn gói tin đã bị
giả mạo. Tuy nhiên dostracker của MCI có thể trợ giúp trong nhiệm vụ này (nếu bạn
có quyền truy nhập vào từng cầu dẫn hop trong đường dẫn).
Tng Kích  Dãy ch  ni
Trong khi mỗi ngăn xếp IP của nhà cung cấp hơi khác nhau một chút thì việc
điều chỉnh kích cỡ của dãy chờ kết nối nhằm giúp cải thiện những tác động của một
vụ tấn công lũ SYN là điều hoàn toàn có thể. Điều này là hữu ích song không phải
là biện pháp tối ưu nhất, vì nó sử dụng các nguồn lực hệ thống bổ sung và có thể
ảnh hưởng đến hoạt động.
Gim Khng th gian ch Khi  lp  ni
Việc giảm khoảng thời gian chết khi thiết lập kết nối cũng có thể giúp giảm
Chương 1: Tấn công kiểu SYN flood

Nhóm 7 – M13CQTE02-B

Trang 4



những tác động của một vụ tấn công SYN mặc dù nó vẫn chưa phải là biện pháp tối
ưu.
Update pn  ca nhà cung cp m phát hi nhng nguy c tn công
SYN flood
Ở thời điểm này thì hầu hết các hệ điều hành hiện đại đã được triển khai các
cơ chế dò và phòng tránh lũ SYN. Hãy xem CERT phần CA-96:21, "Những vụ tấn
công Giả mạo IP và Gây lũ TCP SYN," và tìm danh sách các những cách giải quyết
và sửa chữa tạm thời của hệ điều hành.
Do những vụ tấn công SYN đã trở nên lấn lướt trên toàn Mạng nên những biện
pháp khác cũng đã được phát triển nhằm đối phó với điều kiện DoS này. Ví dụ
như những kerrnel Linux hiện đại 2.0.30 và sau đó là cài một tùy chọn có tên SYN
cookie. Nếu như tùy chọn này được hiệu lực hóa thì kernel sẽ dò và ghi lại những vụ
tấn công SYN có thể xảy ra. Sau đó nó sẽ sử dụng một giao thức thách thức mật mã
có tên là SYN cookie nhằm cho phép những người sử dụng an toàn để tiếp tục kết
nối
Những hệ điều hành khác như Windows NT 4.0 SP2 và các phiên bản tiếp theo
nhờ đến một cơ chế ghi ngược động. Khi dãy chờ kết nối xuống dưới ngưỡng đã
định được cấu hình từ trước thì hệ thống sẽ tự động phân bổ các nguồn lực bổ
sung. Do vậy mà dãy chờ kết nối không bao giờ bị quá tải.
S ng IDS  g
Một số sản phẩm IDS mạng có thể dò và tích cực phản hồi lại trước những
vụ tấn công SYN. Một vụ tấn công SYN có thể bị dò bằng một trận lũ các gói tin SYN
mà không có những phản hồi đi kèm. Một IDS có thể gửi các gói tin RST tới hệ thống
bị tấn công tương ứng với yêu cầu SYN ban đầu. Hành động này có thể hỗ trợ cho
hệ thống bị tấn công trong việc giải thoát dãy chờ kết nối.

Hình 1.4 Hệ thống phát hiện và chống xâm nhập IDS

Chương 2: Tấn công DNS


Nhóm 7 – M13CQTE02-B

Trang 5


2. DNS
Tiêu chuẩn Domain Name System (DNS) - Giao thức Hệ thống tên miền là một
tiêu chuẩn do Nhóm chuyên trách kỹ thuật Internet - Internet Engineering Task Force
(IETF) phát hành.
Vào năm 1983, hai nhà khoa học máy tính người Mỹ là Jonathan Bruce Postel
(Jon Postel), từ Đại học California, thành phố Los Angeles và Paul Mockapetris từ Đại
học California, thành phố Irvine đã phát minh ra và đã viết những đặc tả đầu tiên cho
hệ thống tên miền. Tiếp đó, tháng 11/1983, những đặc tả kỹ thuật DNS ban đầu được
công bố bởi IETF trong RFC 882 để mô tả các định nghĩa và ứng dụng và RFC 883 để
mô tả những đặc tả kỹ thuật và cài đặt giao thức. Sau đó những đặc tả này đã được
IETF thay thế lần lượt bởi RFC 1034 và RFC 1035 vào tháng 11/1987. Đi kèm với
RFC 1034 và RFC 1035 là những RFC mô tả và định nghĩa giao thức DNS
Ví dụ : RFC 920 ban hành tháng 10/1984 (Các yêu cầu tên miền – Các tên miền
cấp cao gốc định sẵn); RFC 1591 ban hành tháng 03/1994 (Đại diện và Cấu trúc hệ
thống tên miền); RFC 1912 ban hành tháng 02/1996 (Các lỗi cấu hình và quản lý DNS
phổ biến); RFC 1995 ban hành tháng 08/1996 (Cơ chế chuyển vùng tăng trưởng trong
DNS) Ngoài ra có một số RFC được đề xuất hỗ trợ cho DNS cũng được IETF xây
dựng và phát hành như: Giới thiệu và yêu cầu an toàn cho DNS (RFC 4033 ban hành
tháng 03/2005); Các bản ghi tài nguyên cho các mở rộng an toàn DNS (RFC 4034 ban
hành tháng 03/2005); Giao thức sửa đổi cho các mở rộng an toàn DNS (RFC 4035 ban
hành tháng 03/2005)
Mục tiêu thiết kế chính của DNS là để tham chiếu đến các nguồn tài nguyên. Để
tránh những vấn đề gây ra bởi việc mã hóa những ký tự đặc biệt, tên được yêu cầu
không nên chứa định danh mạng, địa chỉ mạng, lộ trình hoặc thông tin tương tự liên
quan đến tên. DNS là một hệ thống đặt tên phân tán có phân cấp cho các máy tính,

dịch vụ hoặc bất kỳ tài nguyên nào kết nối với Internet hoặc mạng riêng. DNS liên kết
đa dạng thông tin với tên miền được gán cho mỗi chủ thể tham gia. Một dịch vụ tên
miền xử lý những truy vấn các tên miền thành các địa chỉ IP để xác định vị trí các thiết
bị và các dịch vụ máy vi tính trên toàn cầu.
Thuật ngữ "tên miền" được sử dụng trong mô tả DNS ở đây để tham chiếu đến
một tên có cấu trúc, các tên được phân cách bằng dấu chấm, ví dụ "ISI.EDU“. Mục
đích của tên miền là cung cấp một cơ chế để đặt tên cho các tài nguyên sử dụng trong
các máy chủ, các mạng máy tính, tập các giao thức và các tổ chức quản lý khác nhau.
Một “miền“ được xác định bởi một tên miền. Một miền A là miền con của miền B nếu
miền A thuộc miền B. Ví dụ A.B.C.D là một miền con của B.C.D, C.D, D.
DNS chủ yếu sử dụng giao thức UDP trên cổng số 53 để phục vụ các yêu cầu
dịch vụ. Truy vấn DNS bao gồm một yêu cầu UDP duy nhất từ các máy khách, theo
Chương 2: Tấn công DNS

Nhóm 7 – M13CQTE02-B

Trang 6


sau là một UDP trả lời duy nhất từ máy chủ. Giao thức TCP được sử dụng khi kích
thước dữ liệu phản hồi vượt quá 512 byte hoặc cho các tác vụ khác.
2.1 
DNS có ba thành phần chính:
 Không gian tên miền (Domain Name Space) và Bản ghi tài nguyên (Resource
Records): là các đặc tả cho một không gian các tên có dạng cây (gọi là cây không
gian tên miền hay cây tên miền) và dữ liệu tương ứng với các tên, cụ thể mỗi nút
và lá của cây không gian tên miền gồm tập các thông tin. Một truy vấn xác định
tên của tên miền cần xử lý và mô tả thông tin tài nguyên mong muốn. Ví dụ:
Internet sử dụng một vài tên miền của mình để xác định các máy chủ, các truy
vấn tìm các tài nguyên địa chỉ trả lại địa chỉ IP máy chủ.

 Máy chủ tên (Name Servers) là các chương trình máy chủ lưu trữ thông tin về
cấu trúc cây không gian tên miền. Một máy chủ tên có thể lưu cấu trúc hay tập
thông tin về bất kì phần nào của cây không gian tên miền.
 Bộ phân giải (Resolvers) là chương trình máy tính sẽ trích xuất thông tin từ các
máy chủ tên phản hồi lại các yêu cầu của máy khách. Chương trình phân giải
phải có khả năng truy cập vào ít nhất một máy chủ tên và sử dụng thông tin của
máy chủ để trả lời một truy vấn trực tiếp hay điều chuyển truy vấn sang máy chủ
tên khác.
2.2 
Máy chủ DNS làm việc bằng cách lưu một cơ sở dữ liệu các entry (được gọi là
bản ghi tài nguyên) địa chỉ IP để bản đồ hóa tên DNS, truyền thông các bản ghi tài
nguyên đó đến máy khách và đến máy chủ DNS khác. Kiến trúc máy chủ DNS trong
toàn doanh nghiệp và Internet là một thứ khá phức tạp. Như một vấn đề của thực tế,
bạn có thể hình dung chúng như các quyển sổ chuyên dụng cho kiến trúc DNS. Chúng
tôi sẽ không đi vào giới thiệu các khía cạnh về kiến trúc hay thậm chí các kiểu lưu
lượng DNS khác nhau, mà chỉ giới thiệu một phiên giao dịch DNS cơ bản, bạn có thể
thấy điều đó trong hình .

Hình 2.1 Truy vấn và đáp trả DNS
Chương 2: Tấn công DNS

Nhóm 7 – M13CQTE02-B

Trang 7


DNS hoạt động theo hình thức truy vấn và đáp trả (query/response). Một máy
khách cần phân giải DNS cho một địa chỉ IP nào đó sẽ gửi đi một truy vấn đến máy
chủ DNS, máy chủ DNS này sẽ gửi thông tin được yêu cầu trong gói đáp trả của nó.
Đứng trên phối cảnh máy khách, chỉ có hai gói xuất hiện lúc này là truy vấn và đáp trả.


Hình 2.2 Các gói truy vấn và đáp trả DNS
Kịch bản này sẽ có đôi chút phức tạp khi xem xét đến sự hồi quy DNS. Nhờ có
cấu trúc thứ bậc DNS của Internet, các máy chủ DNS cần có khả năng truyền thông
với nhau để đưa ra câu trả lời cho các truy vấn được đệ trình bởi máy khách. Nếu tất cả
đều diễn ra thuận lợi như mong đợi, máy chủ DNS bên trong của chúng ta sẽ biết tên
để bản đồ hóa địa chỉ IP cho máy chủ bên trong mạng nội bộ, tuy nhiên không thể
mong đợi nó biết địa chỉ tương quan giữa Google hoặc Dell. Đây là nơi sự đệ quy
đóng vai trò quan trọng. Sự đệ quy diễn ra khi một máy chủ DNS truy vấn máy chủ
DNS khác với tư cách máy khách tạo yêu cầu. Về bản chất, cách thức này sẽ biến một
máy chủ DNS thành một máy khách.

Chương 2: Tấn công DNS

Nhóm 7 – M13CQTE02-B

Trang 8


Hình 2.3 Truy vấn và đáp trả DNS bằng đệ quy
2.3 
Có nhiều cách để có thể thực hiện vấn đề giả mạo DNS. Chúng tôi sẽ sử dụng
một kỹ thuật mang tên giả mạo DNS ID.Mỗi truy vấn DNS được gửi qua mạng đều có
chứa một số nhận dạng duy nhất, mục đích của số nhận dạng này là để phân biệt các
truy vấn và đáp trả chúng. Điều này có nghĩa rằng nếu một máy tính đang tấn công của
chúng ta có thể chặn một truy vấn DNS nào đó được gửi đi từ một thiết bị cụ thể, thì
tất cả những gì chúng ta cần thực hiện là tạo một gói giả mạo có chứa số nhận dạng đó
để gói dữ liệu đó được chấp nhận bởi mục tiêu. Chúng ta sẽ hoàn tất quá trình này
bằng cách thực hiện hai bước với một công cụ đơn giản. Đầu tiên, chúng ta cần giả
mạo ARP cache thiết bị mục tiêu để định tuyến lại lưu lượng của nó qua host đang tấn

công của mình, từ đó có thể chặn yêu cầu DNS và gửi đi gói dữ liệu giả mạo. Mục
đích của kịch bản này là lừa người dùng trong mạng mục tiêu truy cập vào website độc
thay vì website mà họ đang cố gắng truy cập.


Hình 2.4 Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID
2.4 
Vào năm 1997, đội an ninh của tập đoàn Secure Network (SNI) bây giờ là tập
đoàn Network Associates (NAI) đã cho ra một chương trình tư vấn về một vài yếu
điếm được phát hiện trong những thực thi BIND. Đệ qui cho phép một namesever xử
lý những yêu cầu về những vùng và một vùng hoặc miền không được phụ vụ bởi
nameserver thì nameserver sẽ truyền một truy vấn tới nameserver có thẩm quyền thì
nameserver đầu tiên sẽ gửi trả lời trở lại bên yêu cầu.
Chương 2: Tấn công DNS

Nhóm 7 – M13CQTE02-B

Trang 9


Thật không may là khi đệ qui được hiệu lực hóa trên những phiên bản BIND yếu
thì một kẻ tấn công có thể làm hỏng cạc của nameserver có nhiệm vụ tiến hành tra cứu
đệ quy. Điều này được biết đến như là giả mạo hồ sơ PTR và khai thác quy trình vạch
đường đi cho các địa chỉ IP tới các hostname. Trong khi đó có những dấu hiệu an ninh
nghiêm trọng liên quan đến việc khai thác những mối quan hệ ủy thác phụ thuộc vào
những tra cứu hostname thì cũng có tiềm năng tiến hành một vụ tấn công Dos DNS.
Ví dụ: kẻ tấn công có thể cố thuyết phục một nameserver mục tiêu giấu kín
những thông tin mô tả đường đi từ WWW.abcompany.com tới 0.0.0.10 , một địa chỉ
IP không tồn tại. Khi những người sử dụng nameserver yếu muốn tới trang
www.abc.company.com thì họ sẽ chẳng bao giờ nhận được câu trả lời từ 0.0.0.10 phủ

nhận có hiệu quả dịch vụ tới www.abccompany.com.
Ngoài ra việc giả mạo DNS là một kỹ thuật MITM được sử dụng nhằm cung cấp
thông tin DNS sai cho một host để khi người dùng duyệt đến một địa chỉ nào đó, ví dụ,
www.bankofamerica.com có IP XXX.XX.XX.XX, thì cố gắng này sẽ được gửi đến
một địa chỉ www.bankofamerica.com giả mạo cư trú ở địa chỉ IP YYY.YY.YY.YY,
đây là địa chỉ mà kẻ tấn công đã tạo trước để đánh cắp các thông tin tài khoản ngân
hàng trực tuyến từ người dùng. Tấn công này có thể thực hiện khá dễ dàng và trong bài
này chúng ta sẽ đi nghiên cứu cách làm việc của nó, cách nó thực hiện tấn công thế
nào và cuối cùng là cách chống trả ra sao.
2.5 
Việc phòng chống tấn công việc giả mạo DNS khó vì có khá ít các dấu hiệu tấn
công. Thông thường, bạn không hề biết DNS của mình bị giả mạo cho tới khi điều đó
xảy ra. Những gì bạn nhận được là một trang web khác hoàn toàn so với những gì
mong đợi. Trong các tấn công với chủ đích lớn, rất có thể bạn sẽ không hề biết rằng
mình đã bị lừa nhập các thông tin quan trọng của mình vào một website giả mạo cho
tới khi nhận được cuộc gọi từ ngân hàng hỏi tại sao bạn lại rút nhiều tiền đến vậy. Mặc
dù khó nhưng không phải không có biện pháp nào có thể phòng chống các kiểu tấn
công này, đây là một sô thứ bạn cần thực hiện:
Bảo vệ các máy tính bên trong của bạn: Các tấn công giống như trên thường
được thực thi từ bên trong mạng của bạn. Nếu các thiết bị mạng của an toàn thì sẽ bạn
sẽ giảm được khả năng các host bị thỏa hiệp và được sử dụng để khởi chạy tấn công
giả mạo.Không dựa vào DNS cho các hệ thống bảo mật, trên các hệ thống an toàn và
có độ nhạy cảm cao, không duyệt Internet trên nó là cách thực hiện tốt nhất để không
sử dụng đến DNS. Nếu bạn có phần mềm sử dụng hostname để thực hiện một số công
việc của nó thì chúng cần phải được điều chỉnh những gì cần thiết trong file cấu hình
thiết bị.Sử dụng IDS: Một hệ thống phát hiện xâm nhập, khi được đặt và triển khai
đúng, có thể vạch mặt các hình thức giả mạo ARP cache và giả mạo DNS.Sử dụng
DNSSEC: DNSSEC là một giải pháp thay thế mới cho DNS, sử dụng các bản ghi
Chương 2: Tấn công DNS


Nhóm 7 – M13CQTE02-B

Trang 10


DNS có chữ ký để bảo đảm sự hợp lệ hóa của đáp trả truy vấn. Tuy DNSSEC vẫn
chưa được triển khải rộng rãi nhưng nó đã được chấp thuận là “tương lai của DNS”.
Giả mạo DNS là một hình thức tấn công MITM khá nguy hiểm khi được đi cặp
với những dự định ác độc. Sử dụng công nghệ này những kẻ tấn công có thể tận dụng
các kỹ thuật giả mạo để đánh cắp các thông tin quan trọng của người dùng, hay cài đặt
malware trên một ổ đĩa bị khai thác, hoặc gây ra một tấn công từ chối dịch vụ. Ngoài
ra ta còn biện pháp đối phó DNS bằng cách giải quyết những vấn đề phát hiện trong
BIND hãy nâng cấp thành BIND phiên bản 4.9.6 hoặc 8.1.1 và những phiên bản về sau
.
Chương 3: Tấn công SMURF

Nhóm 7 – M13CQTE02-B

Trang 11


3. T công SMURF
Tấn công Smurf là một trong những dạng tấn công DoS đáng sợ nhất do những
hậu quả mở rộng của vụ tấn công. Hậu quả mở rộng là kết quả của việc gửi đi một yêu
cầu được định hướng về truyền ping tới một mạng các hệ thống sẽ phản hồi trước
những yêu cầu như vậy. Một yêu cầu được định hướng vềtruyền ping có thể được gửi
cho địa chỉ mạng cũng có thể được gửi cho địa chỉ truyền mạng và yêu cầu một dụng
cụ hiện đang thực hiện chức năng truyền lớp 3 (IP) tới lớp 2 (mạng). (Xem RFC 1812,
“Những yêu cầu đối với các Cầu dẫn IP Phiên bản 4”. Nếu chúng ta giả sử mạng này
có chuẩn Lớp C hay phân phát địa chỉ 24 bit thì địa chỉ mạng sẽ là .0, trong khi địa chỉ

truyền sẽ là .255. Những đợt truyền được định hướng đều được sử dụng phổ biến cho
các mục đích chuẩn đoán để xem những gì hiện còn mà không phải ping từng địa chỉ
trong dãy.
Một vụ tấn công Smurf lợi dụng những đợt phát định hướng và yêu cầu tối thiểu
ba nhân tố: kẻ tấn công, mạng mở rộng, và nạn nhân. Một kẻ tấn công gửi đi các gói
tin ICMP ECHO bị giả mạo tới địa chỉ truyền của mạng mở rộng. Địa chỉ nguồn của
các gói tin bị giả mạo nhằm làm cho nó trông có vẻ như là hệ thống của nạn nhân đã
khởi đầu yêu cầu. Sau đó vụ phá hoại bắt đầu. Vì gói tin ECHO đã được gửi tới địa chỉ
truyền nên tất cả các hệ thống trên mạng mở rộng sẽ phản hồi trước nạn nhân (trừ phi
bị định cấu hình thay vào đó). Nếu một kẻ tấn công gửi một gói tin ICMP đơn lẻ tới
một mạng mởrộng có 100 hệ thống sẽ phản hồi trước một ping truyền thì kẻ tấn công
đã nhân lên một cách có hiệu quả vụ tấn công DoS bằng một cường là 100.
Chúng ta gọi tỉ lệ các gói tin được gửi đi tới những hệ thống phản hồi trước tỉ lệ
mở rộng. Do vậy kẻ tấn công có thể tìm được một mạng mở rộng bằng một tỉ lệ mở
rộng cao đều có cơ hội lớn hơn trong việc bão hòa mạng của nạn nhân.
Để dựng nên bức tranh về loại hình tấn công này, hãy xem một ví dụ. Giả sử kẻ
tấn công gửi 14K đường giao thông ICMP được duy trì tới địa chỉ truyền của một
mạng mở rộng có 100 hệ thống. Mạng của kẻ tấn công được kết nối với mạng Internet
thông qua một kết nối ISDN hai kênh; mạng mở rộng được kết nối thông qua một liên
kết T3 45-Mbps và mạng của nạn nhân được kết nối thông qua một liên kết T1 1.544-
Mbps. Nếu bạn ngoại suy những con số đó bạn sẽ thấy rằng kẻ tấn công có thể tạo ra
14 Mbps đường giao thông để gửi tới mạng của nạn nhân. Mạng của nạn nhân ít có cơ
hội thoát khỏi vụ tấn công này bởi vụ tấn công này sẽ nhanh chóng tiêu thụ mọi dải
thông sẵn có của liên kết T1 của mình.
Một biến thể của vụ tấn công này được gọi là tấn công Fraggle. Một vụ tấn công
Fraggle về cơ bản là một vụ tấn công Smurf có sử dụng UDP thay cho ICMP. Kẻ tấn
công có thể gửi đi các gói tin UDP giả mạo tới địa chỉ truyền của mạng mở rộng điển
hình là cổng 7 (echo). Từng hệ thống trên mạng có echo có hiệu lực sẽ phản hồi trở lại
host của nạn nhân tạo ra những lượng giao thông lớn. Nếu echo không được hiệu lực
Chương 3: Tấn công SMURF


Nhóm 7 – M13CQTE02-B

Trang 12


hóa trên một hệ thống nằm trên mạng mở rộng thì nó sẽ tạo ra một thông điệp không
thể tới được ICMP mà vẫn tiêu thụ dải thông.
3.1 
Để phòng tránh việc bị sử dụng làm một chỗ mở rộng thì chức năng truyền được
định hướng nên được vô hiệu hóa tại cầu dẫn biên của bạn. Đối với các cầu dẫn Cisco
bạn có thể sử dụng lệnh như sau:
no ip directed-broadcast
Lệnh này sẽ vô hiệu hóa những đợt truyền được định hướng. Như ở Cisco IOS
phiên bản 12 thì chức năng này được hiệu lực hóa theo mặc định. Đối với những dụng
cụ khác hãy tham khảo tài liệu cho người sử dụng nhằm vô hiệu hoá những đợt truyền
được định hướng.
Thêm nữa là những hệ điều hành cụ thể có thể được định cấu hình để âm thầm
vứt bỏ đi những gói tin truyền ICMP ECHO.
Solaris 2.6, 2.5.1, 2.5, 2.4 và 2.3 Để phòng tránh các hệ thống Solaris không
phản hồi trước những yêu cầu ECHO truyền hãy bổ sung dòng sau đây vào
/etc/rc2.d/S69inet:
ndd -et /dev/ip ip_respond_to_echo_broadcast 0
Linux: Để phòng tránh cho các hệ thống Linux khỏi việc phản hồi trước những
yêu cầu truyền ECHO bạn có thể áp dụng bức tường lửa ở cấp độ kernel thông qua
ipfw. Hãy đảm bảo là bạn đã thu thập được việc áp dụng bức tường lửa vào kernel của
bạn và thực thi những lệnh sau:
ipfwadm -I -a deny -P icmp -D 10.10.10.0 -S 0/0 0 8
ipfwadm -I -a deny -P icmp -D 10.10.10.255 -S 0/0 0 8
Đảm bảo thay thế 10.10.10.0 bằng địa chỉ mạng của bạn và 10.10.10.255 bằng

địa chỉ truyền mạng của bạn.
FreeBSD: FreeBSD phiên bản 2.2.5 và sau đó vô hiệu hóa các đợt truyền được
định hướng theo mặc định. Chức năng này có thể được bật lên hay tắt đi bằng cách bổ
sung thông số sysct1 net.inet.icmp.bmcastecho.
AIX: Theo mặc định AIX 4.x vô hiệu hóa các phản hồi tới các địa chỉ truyền.
Kiểu không lệnh có thể được sử dụng nhằm bật hay tắt chức năng này bằng cách đặt
thuộc tính bcastping. Kiểu không lệnh được sử dụng để cấu hình các thuộc tính mạng
trong một kernel đang chạy. Những thuộc tính này phải được lập nên mỗi lần hệ thống
được khởi động lại.
Chương 3: Tấn công SMURF

Nhóm 7 – M13CQTE02-B

Trang 13


    : Nhằm phòng tránh cho các host không phản hồi
trước vụ tấn công Fraggle hãy vô hiệu hóa echo và chargen ở/etc/inetd/conf bằng cách
đặt một dấu “#” trước dịch vụ.
3.2 
Trong khi việc hiểu cách phòng tránh không cho chỗ của bạn bị sử dụng như là
một bộ phận mở rộng thì việc hiểu cần phải làm những gì site của bạn bị tấn công còn
quan trọng hơn nhiều. Như đã được đề cập đến ở những chương trước bạn nên hạn chế
ICMP đường vào và đường giao thông UDP tại các cầu dẫn biên của bạn chỉ trong
phạm vi những hệ thống cần thiết trên mạng của bạn và chỉ trong phạm vi những loại
hình ICMP riêng biệt. Dĩ nhiên là điều này không cản trở các cuộc tấn công Smurf và
Fraggle tiêu thụ dải thông của bạn. Hãy làm việc với ISP của bạn nhằm hạn chế càng
nhiều đường giao thông ICMP càng tốt và càng ngược dòng càng tốt. Để tăng cường
những biện pháp đối phó này một số tổ chức đã hiệu lực hóa chức năng Committed
Access Rate (CAR) được cung cấp bởi Cisco IOS 1.1CC, 11.1CE, và 12.0. Điều này

cho phép đường giao thông ICMP được hạn chế trong phạm vi một con số hợp lý như
256K hay 512K.
Nếu site của bạn bị tấn công thì trước hết bạn nên liên lạc với trung tâm điều
hành mạng (NOC) của ISP của bạn. Luôn ghi nhớ là rất khó có thể lần theo dấu vết
cuộc tấn công tới kẻ xâm nhập nhưng điều đó vẫn có thể. Bạn hoặc ISP của bạn sẽ
phải làm việc chặt chẽ với site mở rộng những gói tin có nguồn gốc hợp pháp từ site
mở rộng. Site mở rộng đang nhận những gói tin bịgiả mạo mà có vẻ như xuất phát từ
mạng của bạn.
Bằng cách xem xét một cách có hệ thống từng cầu dẫn bắt đầu bằng site mở rộng
và dòng ngược hoạt động, thì việc lần theo dấu vết cuộc tấn công trở lại mạng tấn công
là điều có thể. Điều này có thể được thực hiện thành công bằng cách xác định giao
diện mà gói tin bị giả mạo được nhận tại và theo dấu vết ngược trở lại. Để giúp tự
động hóa quy trình này đội ngũ an ninh ở MCI đã phát triển một tập lệnh Perl có tên là
dosattacker có thể đăng nhập vào một cầu dẫn Cisco và bắt đầu lần theo dấu vết của
một vụ tấn công lần trở lại nguồn của nó. Thật không may là chương trình này lại có
thể có giá trị rất hạn chế nếu bạn không sở hữu hay không có quyền truy nhập vào tất
cả những cầu dẫn có liên quan.
Chương 4: Tấn công bằng BOTNET

Nhóm 7 – M13CQTE02-B

Trang 14


4. 
4.1 NET
BOT từ viết tắt của từ RoBOT
IRCbot – còn được gọi là zombia hay drone.
Internet Relay Chat (IRC) là một dạng truyền dữ liệu thời gian thực trên Internet.
Nó thường được thiết kế sao cho một người có thể nhắn được cho một group và mỗi

người có thể giao tiếp với nhau với một kênh khác nhau được gọi là – Channels.
Đầu tiên BOT kết nối kênh IRC với IRC Server và đợi giao tiếp giữa các máy.
Kẻ tấn công có thể điều khiển mạng BOT và sử dụng mạng BOT cũng như sử dụng
nhằm một mục đích nào đó. Nhiều mạng BOT kết nối với nhau người ta gọi là
BOTNET – botnet.
Mạng Botnet: Mạng Botnet bao gồm nhiều máy tính. Nó được sử dụng cho mục
đích tấn công DDoS. Một mạng Botnet nhỏ có thể chỉ bao gồm 1000 máy tính mỗi
máy tính này kết nối tới Internet tốc độ chỉ là 128Kbps thì mạng Botnet này đã có khả
năng tạo băng thông là 1000*128 ~ 100Mbps – Đây là một con số thể hiện băng thông
mà khó một nhà Hosting nào có thể share cho mỗi trang web của mình.
4.2 
Tấn công Distributed Denial-of-Service – DDoS: Botnet được sử dụng cho tấn
công DDoS
Spamming: Mở một SOCKS v4/v5 proxy server cho việc Spamming
Sniffing traffic: Bot cũng có thể sử dụng các gói tin nó sniffer (tóm được các giao
tiếp trên mạng) sau khi tóm được các gói tin nó cố gắng giải mã gói tin để lấy được
các nội dung có ý nghĩa như tài khoản ngân hàng và nhiều thông tin có giá trị khác của
người sử dụng.
Keylogging: Với sự trợ giúp của Keylogger rất nhiều thông tin nhạy cảm của
người dùng có thể sẽ bị kẻ tấn công khai thác như tài khoản trên e-banking, cũng như
nhiều tài khoản khác.
Cài đặt và lây nhiễm chương trình độc hại: Botnet có thể sử dụng để tạo ra mạng
những mạng BOT mới.
Cài đặt những quảng cáo Popup: Tự động bật ra những quảng cáo không mong
muốn với người sử dụng.
Google Adsense abuse: Tự động thay đổi các kết quả tìm kiếm hiển thị mỗi khi
người dùng sử dụng dịch vụ tìm kiểm của Google, khi thay đổi kết quả nó sẽ lừa người
dùng kích vào những trang web nguy hiểm.
Chương 4: Tấn công bằng BOTNET


Nhóm 7 – M13CQTE02-B

Trang 15


Tấn công vào IRC Chat Networks: Nó được gọi là clone attack
Phishing: Mạng botnet còn được sử dụng để phishing mail nhằm lấy các thông
tin nhạy cảm của người dùng.
4.3 
Agobot/Phatbot/Forbot/XtremBot: Đây là những bot được viết bằng C++ trên
nền tảng Cross-platform và mã nguồn được tìm trên GPL. Agobot được viết bởi Ago
nick name được người ta biết đến là Wonk, một thanh niên trẻ người Đức – đã bị bắt
hồi tháng 5 năm 2004 với tội danh về tội phạm máy tính.
Agobot có khả năng sử dụng NTFS Alternate Data Stream (ADS) và như một
loại Rootkit nhằm ẩn các tiến trình đang chạy trên hệ thống
SDBot/Rbot/UrBot/UrXbot
SDBot được viết bằng ngồn ngữ C và cũng được public bởi GPL. Nó đươc coi
như là tiền thân của Rbot, RxBot, UrBot, UrXBot, JrBot mIRC-Based Bots – GT-Bots
GT được viết tắt tư fhai từ Global Threat và tên thường được sử dụng cho tất cả
các mIRC-scripted bots. Nó có khả năng sử dụng phần mềm IM là mIRC để thiết lập
một số script và một số đoạn mã khác.
4.4 
Để hiểu hơn về xây dựng hệ thống mạng BotNet chúng ta nghiên cứu từ cách lây
nhiễm vào một máy tính, cách tạo ra một mạng Bot và dùng mạng Bot này tấn công
vào một đích nào đó của mạng Botnet được tạo ra từ Agobot’s.
Bước 1: Lây nhiễm vào máy tính: Đầu tiên kẻ tấn công lừa cho người dùng chạy
file "chess.exe", một Agobot thường copy chúng vào hệ thống và sẽ thêm các thông số
trong Registry để đảm bảo sẽ chạy cùng với hệ thống khi khởi động. Trong Registry
có các vị trí cho các ứng dụng chạy lúc khởi động tại.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run,

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Bước 2: Lây lan và xây dựng tạo mạng BOTNET: Sau khi trong hệ thống mạng
có một máy tính bị nhiễm Agobot, nó sẽ tự động tìm kiếm các máy tính khác trong hệ
thống và lây nhiễm sử dụng các lỗ hổng trong tài nguyên được chia sẻ trong hệ thống
mạng. Chúng thường cố gắng kết nối tới các dữ liệu share mặc định dành cho các ứng
dụng quản trị (administrator or administrative) ví dụ như: C$, D$, E$ và print$ bằng
cách đoán usernames và password để có thể truy cập được vào một hệ thống khác và
lây nhiễm. Agobot có thể lây lan rất nhanh bởi chúng có khả năng tận dụng các điểm
yếu trong hệ điều hành Windows, hay các ứng dụng, các dịch vụ chạy trên hệ thống.
Bước 3: Kết nối vào IRC: Bước tiếp theo của Agobot sẽ tạo ra một IRC-
Controlled Backdoor để mở các yếu tố cần thiết, và kết nối tới mạng Botnet thông qua
Chương 4: Tấn công bằng BOTNET

Nhóm 7 – M13CQTE02-B

Trang 16


IRC-Controll, sau khi kết nối nó sẽ mở những dịch vụ cần thiết để khi có yêu cầu
chúng sẽ được điều khiển bởi kẻ tấn công thông qua kênh giao tiếp IRC.
Bước 4: Điều khiển tấn công từ mạng BotNet: Kẻ tấn công điều khiển các máy
trong mạng Agobot download những file .exe về chạy trên máy. Lấy toàn bộ thông tin
liên quan và cần thiết trên hệ thống mà kẻ tấn công muốn. Chạy những file khác trên
hệ thống đáp ứng yêu cầu của kẻ tấn công. Chạy những chương trình DDoS tấn công
hệ thống khác.


Hình 4.1 Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot.
4.5 
Trên Internet tấn công Distributed Denial of Service là một dạng tấn công từ

nhiều máy tính tới một đích, nó gây ra từ chối các yêu cầu hợp lệ của các user bình
thường. Bằng cách tạo ra những gói tin cực nhiều đến một đích cụ thể, nó có thể gây
tình trạng tương tự như hệ thống bị shutdown.

Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, và thường
dựa vào các dịch vụ có sẵn trên các máy tính trong mạng botnet. Các dịch vụ tấn công
được điều khiển từ những "primary victim" trong khi các máy tính bị chiếm quyền sử
dụng trong mạng Bot được sử dụng để tấn công thường được gọi là "secondary
victims". Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ
nhiều địa chỉ IP trên Internet. Nếu một địa chỉ IP tấn công một công ty, nó có thể được
chặn bởi Firewall. Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn.
Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS, và điều này
càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trên internet thực hiện
tấn công DoS và đó được gọi là tấn công DDoS.

Chương 4: Tấn công bằng BOTNET

Nhóm 7 – M13CQTE02-B

Trang 17


Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên các máy
tính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng Botnet
gồm nhiều máy tính kết nối tới Internet. Một tấn công DDoS được thực hiện sẽ rất khó
để ngăn chặn hoàn toàn. Những gói tin đến Firewall có thể chặn lại, nhưng hầu hết
chúng đều đến từ những địa chỉ IP chưa có trong các Access Rule của Firewall và là
những gói tin hoàn toàn hợp lệ. Nếu địa chỉ nguồn của gói tin có thể bị giả mạo, sau
khi bạn không nhận được sự phản hồi từ những địa chỉ nguồn thật thì bạn cần phải
thực hiện cấm giao tiếp với địa chỉ nguồn đó. Tuy nhiên một mạng Botnet bao gồm từ

hàng nghìn tới vài trăm nghìn địa chỉ IP trên Internet và điều đó là vô cùng khó khăn
để ngăn chặn tấn công.
4.6 
Tấn công gây hết băng thông truy cập tới máy chủ.
 Flood attack
 UDP và ICMP Flood (flood – gây ngập lụt)
Tấn công khuếch đại các giao tiếp
 Smurf và Fraggle attack
 Tấn công DDoS vào Yahoo.com năm 2000

Hình 4.2: Sơ đồ phân loại tấn công DDoS
Tấn công Smurf khi sử dụng sẽ Ping đến địa chỉ Broadcast của một mạng nào đó
mà địa chỉ nguồn chính là địa chỉ của máy cần tấn công, khi đó toàn bộ các gói Reply
sẽ được chuyển tới địa chỉ IP của máy tính bị tấn công.
Chương 4: Tấn công bằng BOTNET

Nhóm 7 – M13CQTE02-B

Trang 18



Hình 4.3 Sơ đồ tấn công DDoS ở dạng Khuếch đại giao tiếp.


KẾT LUẬN

Nhóm 7 – M13CQTE02-B

Trang 19




Như chúng ta đã thấy những kẻ sử dụng nham hiểm có thể tiến hành nhiều loại
hình tấn công DoS nhằm phá hoại dụng cụ. Những cuộc tấn công tiêu thụ dải thông
đang là cái mốt mới nhất với khả năng mở rộng các lượng giao thông nghèo nàn tới
các cấp độ trừng phạt. Những cuộc tấn công đói nguồn lực đã xảy ra trong nhiều năm
và kẻ tấn công vẫn tiếp tục sử dụng chúng rất thành công. Những nhược điểm về lập
trình là thứ mà kẻ tấn công rất ưa chuộng làm tăng tính phức tạp của những thực thi
ngăn xếp IP và những chương trình liên quan. Cuối cùng thì việc lập tuyến và những
cuộc tấn công DNS đều vô cùng hiệu quả trong việc khai thác những nhược điểm cố
hữu ở những dịch vụ quan trọng mà là nền móng cho hầu hết mạng Internet. Trên thực
tế thì một số chuyên gia an ninh lập lý thuyết rằng có thể tiến hành một cuộc tấn công
DoS vào chính mạng Internet bằng cách vận dụng những thông tin lập tuyến qua Giao
thức Cổng Biên (BGP) mà được sử dụng rộng rãi bởi hầu hết các nhà cung cấp
Internet chính.
Những cuộc tấn công phủ nhận dịch vụ có phân phối đã trở nên ngày càng phổ
biến nhờ khả năng truy nhập dễ dàng tới những khai thác và khả năng trí tuệ cần thiết
tương đối kém để có thể tiến hành chúng. Những cuộc tấn công này nằm trong số
những vụ nham hiểm nhất vì chúng có thể nhanh chóng tiêu thụ ngay cả những host
lớn nhất trên mạng Internet khiến cho chúng trở nên vô dụng.
Vì thương mại điện tử tiếp tục đóng một vai trò chính trong nền kinh tế điện tử
nên những vụ tấn công DoS sẽ có tác động thậm chí là lớn hơn lên xã hội điện tử của
chúng ta. Nhiều tổ chức hiện đã bắt đầu nhận ra phần chính trong những khoản thu
nhập từ các nguồn trên mạng. Do vậy mà một vụ tấn công DoS kéo dài có thể làm cho
một số tổ chức có khả năng bị phá sản. Thậm chí nhiều cuộc tấn công này có thể áp
dụng những khả năng đột nhập tinh vi hơn mà có thể giấu đi những cuộc tấn công như
vậy.