DOS/DDOS
SV1 : 08520234_Phạm Nhật Minh
SV2 : 08520358_Đỗ Công Thành
SV3 : 08520279_Lê Ngọc Phi
SV4 : 08520092_Lê Phước Đông
Mục lục
I. Lý thuyết :
1. Tấn công DOS :
1.1. tấn công slow read
- Trong phần này em xin giới thiệu về tấn công Slow Read Denial of Service attack là một loại
tấn công DOS dựa vào lỗ hổng của dịch vụ http trên server bị tấn công.
- Cuộc tấn công khai thác một lỗ hổng mà hầu như các máy chủ web server mắc phải là
không hạn chế thời gian kết nối của một luồng dữ liệu đi vào. Với khả năng kéo dài kết
nối TCP hầu như là mãi mãi
- Nó có khả năng tranh chấp các kết nối của ứng dụng
- Khả năng kéo dài kết nối TCP thì được mô tả trong một vài lỗ hổng được báo cáo dưới
đây:
MS09-048, CVE-2008-4609, CVE-2009-1925, CVE-2009-1926 .
- Điều kiện tiên quyết để tấn công thành công là :
 Server phải chấp nhận kết nối với một cửa sổ quảng cáo(trường window size)
nhỏ hơn bộ đệm socket server gửi. Nó càng nhỏ càng tốt.
 Kẻ tấn công yêu cầu cần có một tài nguyên mà không phù hợp với bộ đệm của
server gửi. Ở đây thường sử dụng giữa 64kb và 128kb. Để làm đầy bộ đệm của
socket server có thể sử dụng việc tạo ống dẫn HTTP(-k tham số của slowhttptest)
1.2. tấn công Smurf
- Kiểu tấn công này cần một hệ thống rất quan trọng là mạng khuyếch đại
- Hacker dùng địa chỉ của máy tính cần tấn công để gửi gói tin ICMP echo cho toàn bộ
mạng (broadcast)
- Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker
muốn tấn công
1.3. Fraggle Attack

- Tương tự như tấn công smurf nhưng thay vì sử dụng gói ICMP thì chúng ta sử dụng gói
UDP ECHO gởi tới mục tiêu
- Nhưng Flaggle Attack nguy hiểm hơn Smurt attack rấtvnhiều.Vì Attacker tấn công bằng
một gói tin ECHO REQUEST với địa chỉ bên nhận là một địa chỉ broadcast, toàn bộ hệ thống
thuộc địa chỉ này lậptức gửi gói tin REPLY đến port echo của victim, sau đó từ victim một
gói tin ECHO REPLY lại gửi trở về địa chỉ broadcast, và quá trình cứ thế tiếp diễn.
2. Tấn công DDOS :
2.1. điều khiển qua web.
- Attacker sẽ thiết lập một webserver để đưa ra các lệnh điều khiển mạng botnet để thực
hiện các cuộc tấn công.
- Attacker cần tạo ra mạng botnet để điều khiển tấn công thông qua việc phát tán Trojan.
Các Trojan có nhiệm vụ kết nối đến webserver và chờ lệnh từ attacker thông qua
webserver.
- Attacker sẽ điều khiển mạng botnet này để thực hiện tấn công DDOS dựa vào mạng
botnet để gửi số lượng lớn các request đến server tấn công
- Nó làm cho server bị tấn công sẽ bị cạn kiệt nguồn tài nguyên(băng thông, bộ nhớ, CPU
xử lý…) và không thể đáp ứng yêu cầu của người dùng được nữa.
2.2. điều khiển qua kênh IRC
- Tương tự như DDOS điều khiển qua web , thay vì sử dụng web để điều khiển con bot thì
chúng ta dùng kênh IRC để điều khiển
3. Kết quả của các cuộc tấn công :
3.1 Đối với tấn công DOS :.
- Làm cho server bị crack hoặc bị treo
3.2 Đối với tấn tấn công DDOS :
- Kết quả của cuộc tấn công này là attacker có thể điều khiển, ăn cắp các thống tin quan
trọng … các máy bị nhiễm trojan do attacker phát tán.
- Attacker có thể điều khiển mạng botnet này để thực hiện tấn công DDOS đến các server
và làm cho server này cạn kiệt tài nguyên, ngưng hoạt động.
II. Mô hình triển khai tấn công :
1. Tấn công DOS :

1.1. Tấn công Slow Read Denial of Service attack :
192.168.91.167 192.168.91.150

Attacker Server
Hình 1.1 : mô hình triển khai tấn công Slow-Read DoS attack
- Công cụ sử dụng để thực hiện tấn công Slow-Read DoS attack dùng để gửi các request
TCP đến server tấn công.
- Công cụ có thể thực hiện tấn công chạy trên hệ thống linux và cần có môi trường biên
dịch gcc.
- Attacker gửi rất nhiều request TCP đến server tấn công và các kết nối TCP này sẽ bị kéo
dài làm server phải chờ đợi để kết thúc 1 kết nối TCP, điều này làm cho cho máy server
cạn kiệt tài nguyên.
- Hình dưới đây minh họa cuộc tấn công slow – read DOS attack
 Số lượng request gửi đi là 1000 request
 Ở đây sử dụng request GET để thực hiện tấn công
 Số lượng kết nối cho mỗi giao là 200 kết nối/ 1 giây
 Tham giò kết nối máy server bị DOS, nếu không có phản ứng đã nhận sau 3 giây
- kết quả của cuộc tấn công :
 ở giây 181 : có 1000 kết nối
 số lượng kết nối đang chờ server giai quyết ở khoảng giây thứ 5-76 là tầm 600 kết
nối.
 kết nối đã hoàn thành tầm 375 kết nối
 server vailable : server đáp ứng các kết nối đã hoạt động quá tải

1.2 tấn công Smurf và Fraggle
- Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều
mạng với địa chỉ nguồn là mục tiêu cần tấn công.
* Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping
tới máy B máy B reply lại hoàn tất quá trình. Khi tôi ping tới địa chỉ Broadcast của mạng
nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại tôi. Nhưng giờ tôi thay đổi

địa chỉ nguồn, thay địa chỉ nguồn là máy C và tôi ping tới địa chỉ Broadcast của một
mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C chứ không
phải tôi và đó là tấn công Smurf.
- Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho
mạng bị dớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ khác.
- Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được kết nối với
nhau (mạng BOT).
- tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn công Smurf.
2. Tấn công DDOS :
- Mô hình triển khai tấn công

5 6
target server
1
zombie
2 3
Attacker victim
- Attacker phát tán Trojan cho các máy victim để tạo ra mạng botnet để attacker có thể điều khiển tấn
công.
- Bot command & control central : là trung tâm điều khiển mạng botnet để thực hiện các cuộc tấn
công DDOS. Các lệnh điều khiển này sẽ do attacker thực hiện. Trong demo này thì trung tâm này
chính là một webserver do attacker thuê.
- Zombie : là các máy tính(victim) mà bị nhiễm Trojan,bot … và bị hacker điều khiển.Số lượng
zombie càng lớn thì cuộc tấn công càng mạng và nguy hiểm.
III. Triển khai tấn công :
1. Tấn công DOS :
1.1. Triển khai tấn công Slow Read Denial of Service attack :
- Để sử dụng tool trên cần 1 máy tính chạy hệ điều hành Linux.
 Ở đây em sử dụng Backtrack 5r1 có địa chỉ IP: 192.168.91.167 để thực hiện tấn công.
 Còn máy bị tấn công là window xp có địa chỉ IP : 192.168.91.150

- Giải nén tools slowhttptest-1.4.tar.gz bằng lệnh :
Bot cammad &
control central
Bots tấn công
server
Bots kết nối server &
chờ lệnh tử server
www.zing.vn
192.168.91.1
Attacker gửi lệnh, điều khiển
bots thong qua server
4
Thiết lập
điều khiển
các botnet
thong qua
server
Lây lan bot qua hệ
thống khác và hình
thành 1 mạng
botnet
Phát tán Trojan tạo
mạng botnet
192.168.91.150
192.168.91.1
Tar –xzvf slowhttptest-1.4.tar.gz
- sau khi giải nén
- thực hiện cài đặt, biên dịch source code chương trình bằng các lệnh sau :
- sau khi cài đặt xong chúng ta có thể sử dụng tools đã được cài đặt để tấn công. Bằng cách sử

dụng dòng lệnh sau :
./slowhttptest -c 1000 -X -g -o slow_read_stats -r 200 -w 512 -y 1024 -n 5 -z 32 -k 3 –u
http://192.168.91.150 -p 3
- các tham số :
 -X 1000 : bắt đầu tấn công slow-read với thử nghiệm với 1000 kết nối
 -r 200 : tạo 200 kết nối cho mỗi giây
 -w 512 -y 1024 : ban đầu gói tin SYN cho mỗi kết nối có giá trị ngẫu nhiên kích thước
window size giữa 512 và 1024
 -n 5 -z 32 : ứng dụng sẽ đọc 32 byte cho mỗi 5 giây từ mỗi bộ đệm của socket nhận
 -k 3 : Để nhân kích thước tấn công, chúng ta sử dụng đường ống. Tham số “-k 3” để yêu
cầu tài nguyên trên server cùng 3 lần trên 1 socket
 -p 3 : tham giò kết nối máy server bị DOS, nếu không có phản ứng đã nhận sau 3 giây
- sử dụng wiresharke trên máy bị tấn công có IP : 192.168.91.150 để xem các gói tin mà máy tấn
công thực hiện.
- Một gói tin được máy tấn công sử dụng để tấn công :
Chúng ta phân tích gói tin sau đây để thấy các tham số mà máy tấn công đã sử dụng ở trên.
 Timestamp value : 231872
 window scale : 3
- đây là ảnh kết thúc tấn công
2.2. tấn công Smurf
- đâu tiên chúng ta cần biên dịch mã nguồn Smurf
- sau khi biên dịch song ta chạy chương trình tấn công Smurf
- với các tham số saddr: là địa chỉ IP nguồn mà chúng ta cần giả mạo trong trường hợp này là địa
chỉ của victim
- tham số daddr: là địa chỉ IP của hệ thống khuyết đại ví dụ như địa chỉ IP Broadcast của google
hoặc yahoo
Chương trình đang chạy và tấn công địa chỉ victim là 192.168.1.1 . các máy trong miền sub IP
192.168.1.0/24 sau khi nhận gói ICMP broadcast thì sẽ phản hồi đến victim và dẫn đến việc quá
tải trên máy của nạn nhân
2.Tấn công DDOS :

2.1. điều khiển qua web
- webserver có IP : 192.168.91.1
- máy bị dính bot có IP : 192.168.91.150 sử dụng hệ điều hành window xp sp3
- Đầu tiên kẻ tấn công cần thiết lập 1 webserver để điều khiển botnet.
- Máy bị tấn công : www.zing.vn
- Sau đó attacker cần tạo mạng botnet, ở đây attacker có thể sử dụng phương thức đính kèm con
bot vào 1 chương trình hợp pháp mà người sử dụng hay dùng.
- Ở đây để đính kèm con bot vào 1 chương trình khác em sử dụng chương trình “ Senna Spy
One EXE maker 2000”. Con bot sẽ được đính kèm với chương trinh IDM. Khi người dùng cài
chương trình IDM thì con Bot cũng sẽ được tự động cài theo.
- khi chạy 1 chương trình thì bot này sẽ tự động cài đặt và chạy ẩn trong hệ thống. Và đưới đây là
hình ảnh con bot được cài đặt khi người dùng double click vào chương trình IDM mà attacker đã
đính kèm bot vào.
- Sau khi máy victim bị nhiễm con bot thì con bot sẽ thực hiện mở các kết nối về webserver để
chờ lệnh. Lúc này webserver sẽ xuất hiện con bot cho attacker điều khiển
- Attacker dùng webserver này gửi 1 lệnh tấn công website: zing.vn (có ip là 120.138.69.70) cho
các botnet.
- dưới đây là các gói tin của máy bot khi bị attacker gửi lệnh tấn công trang “zing.vn” .
2.2. điều khiển qua kênh IRC
- đầu tiên chúng ta mở một kênh IRC có tên là #lephi
- tiếp theo chúng ta up lên web server đoạn code chứa thông tin kênh IRC. Sau khi máy bị nhiễm
bot được bật lên nó sẽ tự động kết nối đến kênh IRC này và chúng ta có thể kết nối đến kênh IRC
#lephi để điều khiển bot
- hình trên cho thấy người điều khiển bot có tên là lephi còn con bot là V-LOCK-*
- trong con bot đã được lập trình sẵn là phải đúng user lephi và phải login với password là 123456
thì mới điều khiển được bot
IV. Nhận xét và giải pháp phòng chống :
1. ưu điểm của cuộc tấn công :
- Đối với tấn công DOS dạng Slow Read Denial of Service attack thì đơn giản và ai cũng

có khả năng thực hiện một cuộc tấn công này
- Đối với tấn công DDOS thì việc tấn công rất hiệu quả và mạnh vì nó dựa vào số lượng
botnet, nếu botnet càng đông thì cuộc tấn công càng mạnh và server bị tấn công sẽ nhanh
chóng ngừng hoạt động.
2. Khuyết điểm :
- Đối với tấn công DOS dạng Slow Read Denial of Service attack để server ngừng hoạt
động thì server đó cần sử dụng các dịch vụ apache bản 2.2 trở về trước. Nên nếu server
đã cập nhập bản cho lỗ hổng này thì cuộc tấn công trên sẽ bị vô hiệu hóa. Và server bị tấn
công sẽ hoạt động lại nếu cuộc tấn công kết thúc.
- Đối với tấn công DDOS thì cần tạo mạng botnet lớn và việc tạo botnet thì không đơn
giản vì các người dùng có thể sử dụng các chương trình diệt virus,Trojan …nên việc phát
tán Trojan để tạo mạng botnet cũng khó khăn.
3. Giải pháp phòng chống :
- Đối với tấn công DOS thì lien tục cập nhập các bản vá lỗi mới nhất của các dịch vụ, phần
mềm. Tắt các dịch vụ không cần thiết khi hoạt động …
- Đối với tấn công DDOS thì việc ngăn chặn triệt để các cuộc tấn công này là không
thể.Tuy nhiên chúng ta có thể phòng chống các cuộc tấn công này bằng cách xây dựng
các hệ thống như :
 Ngưỡng giới hạn đáp ứng của server nếu vượt quá ngưỡng này thì server bị tấn công
 Theo dõi nguồn IP : Sử dụng thuật toán để phân tích lưu lượng đến và đi trong
khoảng thời gian để và từ đó đưa ra đánh giá xem IP đó có phải là 1 botnet không
 Theo dõi lưu lượng đến và đi : phân tích lưu lượng đến và đi của server, số lượng
request trong 1 khoảng thời gian