ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG VÀ TRUYỀN THÔNG
o0o

MÔN: Xây Dựng Chuẩn Chính Sách
An Toàn Thông Tin Trong Doanh Nghiệp
DENIAL OF SERVICES
SINH VIÊN THỰC HIỆN: GIÁO VIÊN HƯỚNG DẪN:
Nguyễn Lâm 08520194 GV : CH.Nguyễn Duy
Cao Nhật Quang 08520304
Ngô Tấn Tài 08520323
Lâm Văn Tú 08520610
Thành Phố Hồ Chí Minh
-26/03/2012-
[DENIAL OF SERVICES]
LỜI MỞ ĐẦU
Với những kiến thức đã được học về DoS/DDoS, nhóm chúng em quyết định tìm hiểu rõ
hơn về DoS/DDoS, dùng các tool mà Hacker sử dụng để tấn công để có thể hiểu các bước triển
khai một cuộc tấn công, đưa ra cách phòng chống và ngăn ngừa trong hệ thống mạng .
Chúng em xin chân thành cảm ơn sự giúp đỡ của thầy Nguyễn Duy – Giảng viên trực tiếp
hướng dẫn đã giúp đỡ nhóm em hoàn thành đồ án này.
Trong quá trình tìm hiểu và viết báo cáo không tránh khỏi sai sót, rất mong nhận được sự
góp ý của thầy.
Chúng em xin chân thành cảm ơn.
TPHCM, ngày 31 tháng 03 năm 2012
Lớp MMT03 – Nhóm07 thực hiện
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 2
[DENIAL OF SERVICES]
MỤC LỤC
1 DOS

1.1 Khái niệm DOS
Tấn công từ chối dịch vụ DoS (Denial of Service) có thể mô tả hành động ngăn cản
những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó.Nó bao gồm :
làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích cuối cùng là máy chủ (Server)
không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm (Client).

Hình 1: Băng thông khi tấn công DoS
1.2 Phân loại
Được phân theo 2 loại :
Loại 1: Dựa theo đặc điểm của hệ thống bị tấn công: gây quá tải khiến hệ thống mất khả năng
phục vụ
• Tin tặc gửi rất nhiều yêu cầu dịch vụ, bắt chước như người dùng thực sự yêu cầu đối với
hệ thống.
• Để giải quyết yêu cầu, hệ thống phải tốn tài nguyên(CPU, bộ nhớ, đường truyền,…). Mà
tài nguyên này thì là hữu hạn. Do đó hệ thống sẽ không còn tài nguyên để phục vụ các
yêu cầu sau
• Hình thức chủ yếu của kiểu tấn công từ chối dịch vụ phân tán
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 3
[DENIAL OF SERVICES]
Loại 2: Làm cho hệ thống bị treo, tê liệt do tấn công vào đặc điểm của hệ thống hoặc lỗi về
an toàn thông tin
• Tin tặc lợi dụng kẽ hở an toàn thông tin của hệ thống để gửi các yêu cầu hoặc các gói tin
không hợp lệ (không đúng theo tiêu chuẩn) một cách cố ý, khiến cho hệ thống bị tấn
công khi nhận được yêu cầu hay gói tin này, xử lý không đúng hoặc không theo trình tự
đã được thiết kế, dẫn đến sự sụp đổ của chính hệ thống đó
• Điển hình là kiểu tấn công Ping of Death hoặc SYN Flood.
1.3 Các kỹ thuật tấn công DOS
1.3.1 Winnuke :
DoS Attack loại này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x. Hacker
sẽ gởi các gói tin với dữ liệu ‘Out of Band’ đến cổng 139 của máy tính đích (cổng 139 là

cổng NetBIOS, cổng này chỉ chấp nhận các gói tin có cờ Out of Band được bật ). Khi máy
tính của Victim nhận được gói tin này, một màn hình xanh báo lỗi sẽ hiện lên do chương
trình của Windows nhận được các gói tin này nhưng nó lại không biết phản ứng với các dữ
liệu Out Of Band như thế nào dẫn đến hệ thống sẽ bị crash.
Hình 2: thông báo lỗi khi bị tấn công Winnuke
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 4
[DENIAL OF SERVICES]
1.3.2 Ping of Death :
Ở kiểu DoS Attack này, chỉ cần gửi một gói dữ liệu có kích thước lớn thông qua lệnh
ping đến máy đích thì hệ thống của họ sẽ bị treo.
Hình 3: cách truyền gói ICMP
1.3.3 Teardrop :
Dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá
trình : dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có
một giá trị offset để các định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các
mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại
với nhau theo thứ tự đúng như ban đầu. Lợi dụng sơ hở đó, Hacker gởi đến hệ thống đích
một loạt gói packets có giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể nào
sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng
hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn .
1.3.4 SYN Attack :
Hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ IP nguồn không có
thực. Hệ thống đích khi nhận được các SYN packets này sẽ gửi trở lại các địa chỉ không có
thực đó và chờ đợi để nhận thông tin phản hồi từ các địa chỉ IP giả. Vì đây là các địa chỉ IP
không có thực, nên hệ thống đích sẽ chờ đợi vô ích và còn đưa ra các ‘request’ chờ đợi này
vào bộ nhớ, gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dung
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 5
[DENIAL OF SERVICES]
vào việc khác thay cho phải chờ đợi thông tin phản hồi không có thực này. Nếu ta gửi cùng
một lúc nhiều gói tin có địa chỉ IP giả như vậy thì hệ thống sẽ bị quá tải dẫn đến bị crash

hoặc boot máy tính.

Hình 4: Quá trình làm việc của gói tin SYN
1.3.5 Land Attack :
Land Attack cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ IP không
có thực, Hacker sẽ dùng chính địa chỉ IP của hệ thống nạn nhân. Điều này sẽ tạo nên một
vòng lặp vô hạn trong chính hệ thống nạn nhân đó, giữa một bên cần nhận thông tin phản hồi
còn một bên thì chẳng bao giờ gửi thông tin phản hồi đó đi cả.
1.3.6 Smurf Attack:
Trong Smurf Attack, cần có 3 thành phần : Hacker (người ra lệnh tấn công), mạng
khuếch đại (sẽ nghe lệnh của Hacker) và hệ thống của nạn nhân. Hacker sẽ gửi các gói tin
ICMP đến địa chỉ Broadcast của mạng khuếch đại. Điều đặc biệt là các gói tin ICMP packets
này có địa chỉ IP nguồn chính là địa chỉ IP của nạn nhân. Khi các packets đó đến được địa
chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy
tính nạn nhân đã gửi gói tin ICMP packets đến và chúng sẽ đồng loạt gửi trả lại hệ thống nạn
nhân các gói tin phản hồi ICMP packets. Hệ thống má nạn nhân sẽ không chịu nổi một khối
lượng khỏng lồ các gói tin này và nhanh chóng sẽ ngừng hoạt động, crash hoặc reboot. Như
vậy, chỉ cần gởi một lượng nhỏ các gói tin ICMP packets đi thì hệ thống mạng khuếch đại sẽ
khuếch đại lượng gói tin ICMP packets này lên gấp bội. Tỉ lệ khuếch đại phụ thuộc vào số
máy tính có trong mạng khuếch đại. Nhiệm vụ của các Hacker là cố chiếm được càng nhiều
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 6
[DENIAL OF SERVICES]
hệ thống mạng hoặc Routers cho phép chuyển trực tiếp các gói tin đến địa chỉ Broadcast
không qua chỗ lọc địa chỉ nguồn ở các đầu ra của gói tin. Có được các hệ thống này, Hacker
sẽ dễ dàng tiến hành Smurf Attack trên các hệ thống cần tấn công.

Hình 5: Phương thức tấn công Smurf
1.3.7 UDP Flooding :
Cách tấn công UDP đòi hỏi phải có 2 hệ thống máy cùng tham gia. Hackers sẽ làm cho
hệ thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức UDP. Và giả mạo

địa chỉ IP của các gói tin là địa chỉ Loopback (127.0.0.1) rồi gửi gói tin này đến hệ thống của
nạn nhân trên cổng UDP Echo (7). Hệ thống của nạn nhân sẽ trả lời lại các messages do
nhiều hệ thống không cho dung địa chỉ loopback nên Hacker sẽ giả mạo một địa chỉ IP của
một máy tính nào đó trên mạng và tiến hành UDP Flood trên hệ thống của nạn nhân .
1.3.8 Tấn công DNS :
Hacker có thể đổi một lối vào trên Domain Name Server của hệ thống nạn nhân cho chỉ
đến một website nào đó của Hacker. Khi máy khách yêu cầu DNS phân tích địa chỉ bị xâm
nhập thành địa chỉ IP, lập tức DNS (đã bị Hacker thay đổi cache tạm thời) sẽ đổi thành địa
chỉ IP mà Hacker đã cho chỉ đến đó. Kết quả là thay vì phải vào trang Web muốn vào thì các
nạn nhân sẽ vào trang Web do chính Hacker tạo ra.
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 7
[DENIAL OF SERVICES]
1.3.9 Distributed DoS Attacks (DDoS) :
DDoS yêu cầu phải có ít nhất vài Hackers cùng tham gia. Đầu tiên các Hackers sẽ cố
thâm nhập vào các mạng máy tính được bảo mật kém, sau đó cài lên các hệ thống này
chương trình DDoS Server. Bây giờ các Hackers sẽ hẹn nhu đến thời gian đã định sẽ dùng
DDoS Client kết nối đến các DDoS Server, sau đó đồng loạt ra lệnh cho các DDoS Server
này tiến hành tấn dông DDoS đến hệ thống nạn nhân.
1.3.10 Distributed Reflection Denial of Service Attack (DRDoS):
Kiểu tấn công lợi hại nhất và làm boot máy tính của đối phương nhanh gọn nhất. Cách
làm thì cũng tương tự như DDoS nhưng thay vì tấn công bằng nhiều máy tính thì Hacker chỉ
cần dùng một máy tán công thông qua các Server lớn trên thế giới. Vẫn với phương pháp giả
mạo đại chỉ IP của victim, kẻ tấn công sẽ gởi các gói tin đến các Server mạnh nhất, nhanh
nhất và có đường truyền rộng nhất như Yahoo .v.v…, các Server này sẽ phản hồi các gói tin
đó đến đại chỉ của Victim. Việc cùng một lúc nhận được nhiều gói tin thông qua các Server
lớn này sẽ nhanh cóng làm nghẽn đường truyền của máy tính nạn nhân và làm crash, reboot
máy tính đó. Cách tấn công này lợi hại ở chỗ chỉ cần một máy có kết nối Internet đơn giản
với đường truyền bình thường cũng có thể đánh bật được hệ thống có đường truyền tốt nhất
thế giới nếu như ta không kịp ngăn chặn .
1.4 Mô hình triển khai tấn công DOS

- Mô hình tấn công DoS rất đơn giản . Chỉ cần một máy tính kết nối internet là có thể tấn
công bất kỳ mục tiêu mong muốn .
- Các công cụ để thực hiện tấn công DoS :
• Freak88
• Engage Packet builder
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 8
[DENIAL OF SERVICES]
• Crazy Pinger
• Nemesy
• Panther mode 2 nuker-firewall killer
• DDoSPing2.00
• UDP flooder
• Wireless De-authentication Attack
- Để triển khai cuộc tấn công DoS cần :
• Biết được địa chỉ IP của nơi muốn tấn công.
• Công cụ tấn công được cài trên máy Hacker.
1.5 Triển khai tấn công DOS
1.5.1 Tool Icmp Packets Sender : là tool tấn công ping of death
IP Hacker:10.0.0.2 và IP Victim: 10.0.0.4
Giao diện sử dụng
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 9
[DENIAL OF SERVICES]
Thông báo làm việc
Kết quả ở máy Victim
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 10
[DENIAL OF SERVICES]
1.5.2 Tool UDP Flooder 2.0: dùng để tấn công UDP Flood
IP Hacker : 192.168.1.12
IP Victim : 118.69.199.197
Hostname Victim : doanuit.tk

• Giao diện sử dụng UDP Flooder 2.0
• Dùng WireShare kiểm tra trên máy Hacker
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 11
[DENIAL OF SERVICES]
1.5.3 DoSHTTP 2.5.1 :
- IP Hacker: 192.168.1.12
- IP Victim: 118.69.199.197
- Hostname Victim: doanuit.tk
• Giao diện sử dụng DoSHTTP
• Dùng WireShare để kiểm tra:
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 12
[DENIAL OF SERVICES]
1.5.4 Panther mode 2 nuker-firewall:
- IPVictim: 10.0.0.4
• Giao diện sử dụng
• Dùng WireShark để kiểm tra kết quả trên máy Victim
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 13
[DENIAL OF SERVICES]
1.5.5 Tool Sprut:
IP Victim: 118.69.199.197
Hostname Victim: doanuit.tk
• Giao diện sử dụng:
• Tình trạng khi làm việc
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 14
[DENIAL OF SERVICES]
• Dùng WireShare trên máy Hacker để kiểm tra thông tin

• Kiểm tra kết quả khi vào trang web Victim (doanuit.tk):
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 15
[DENIAL OF SERVICES]

1.5.6 Tool Engage Packet builder:
• Giao diện sử dụng:
• Tool này có thể cấu hình bằng tay hay sử dụng Script
• Đoạn Script được sử dụng để tấn công:
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 16
[DENIAL OF SERVICES]
IPDESTINATION : địa chỉ IP Victim
PORTDESTINATION: port cần tấn công của Victim
SYN=1 : Đặt SYN có giá trị là 1
SEND 100000 TCP : gửi 100000 gói TCP
• Chỉ đến đoạn Script để tiến hành dos và chạy Script
• Dùng WireShake để kiểm tra kết quả:
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 17
[DENIAL OF SERVICES]
• Giá trị SYN=1
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 18
[DENIAL OF SERVICES]
2 Distributed Denial of Service Attacks (DDoS Attacks)
2.1 Khái niêm:
Tấn công Distributed Denial-of-Service(DDoS) là kiểu tấn công từ nhiều máy tích tới một
đích, nó gây ra từ chối các yêu cầu hợp lệ của các user bình thường. Bằng cách tạo ra những gói
tin cực nhiều đến một mục đích cụ thể, nó có thể gây ra trình trạng tương tự như hệ thống bị
shutdown.

2.2 Các đặc tính của tấn công DDoS:
- Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, và thường dựa vào
các dịch vụ có sẵn trên các máy tính trong mạng botnet.
- Các dịch vụ tấn công được điều khiển từ những “primary victim” trong khi các máy tính
bị chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn công thường là “secondary
victims”.

- Là dạng tấn công rất khó có thể pháp hiện bởi tấn công này được sinh ra từ nhiều địa chỉ
IP trên Internet.
- Nếu một địa chỉ IP tấn công một công ty, nó có thể được ngăn bởi Firewall. Nếu nó từ
30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn.
- Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DDoS, và điều này
càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trên internet thực hiện
tấn công DoS và được gọi là tấn công DDoS
- Tấn công DDoS không thể ngăn chặn hoàn toàn.
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 19
[DENIAL OF SERVICES]
• Các dạng tấn công DDoS thực hiện tìm các lỗ hỏng bảo mật trên các máy tính kết nối
tới Internet và khai thác các lỗ hỏng bảo mật để xây dựng mạng Botnet gồm nhiều
máy tính kết nối tới Internet.
• Một tấn công DDoS thực hiện sẽ rất khó để ngăn chặn hoàn toàn.
• Những gói tin đển Firewall có thể ngăn lại, nhưng hầu hết chúng đến từ những địa chỉ
IP chưa có trong các Access Rule của Firewall và là những gói tin hoàn toàn hợp lệ.
• Nếu địa chỉ nguồn của gói tin có thể bị giả mạo, sau khi không nhận được phản hồi từ
những địa chỉ nguồn thật thì cần phải thực hiện cấm giao tiếp với địa chỉ nguồn đó.
Tuy nhiên, một mạng Botnet bao gồm từ hàng nghìn đến hàng trăm nghìn địa chỉ IP
trên Internet và điều đó là vô cùng khó khăn để ngăn chặn được tấn công.
2.3 Mô hình tấn công DDoS:
2.3.1 Mô hình Agent – Handler
Theo mô hìnhAgent-Handler gồm 3 thành phần: Agent, Client và Handler
• Client : là software cơ sở để Hacker điều khiển mọi hoạt động của attack-network.
• Handler : là một thành phần software trung gian giữa Agent và Client.
• Agent : là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ Client
thông qua các Handler.
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 20
[DENIAL OF SERVICES]
Attacker sẽ từ Client giao tiếp với một Handler để xác định số lượng Agent đang online,

điều chỉnh thời điểm tấn công và cập nhật các Agent. Tùy theo cách attacker cấu hình attack-
network, các Agent sẽ chịu sự quản lý của một hay nhiều Handler.
Thông thường Attacker sẽ đặt Handler software trên một Router hay một Server có lượng
traffic lưu thông nhiều. Việc này nhằm làm cho các giao tiếp giữa Client, handler và Agent khó
bị phát hiện. Các gia tiếp này thông thường xảy ra trên các protocol TCP, UDP hay ICMP. Chủ
nhân thực sự của các Agent thông thường không hề hay biết họ bị lợi dụng vào cuộc tấn công
kiểu DDoS, do họ không đủ kiến thức hoặc các chương trình Backdoor Agent chỉ sử dụng rất ít
tài nguyên hệ thống làm cho hầu như không thể thấy ảnh hưởng gì đến hiệu năng của hệ thống.
2.3.2 Mô hình IRC – Based

Internet Relay Chat (IRC) là một hệ thống online chat multiuser, IRC cho phép User tạo một
kết nối đến multIPoint đến nhiều user khác và chat thời gian thực. Kiến trúc củ IRC network bao
gồm nhiều IRC Server trên khắp Internet, giao tiếp với nhau trên nhiều kênh (channel). IRC
network cho phép user tạo ba loại channel: public, private và serect.
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 21
[DENIAL OF SERVICES]
• Public channel: Cho phép user của channel đó thấy IRC name và nhận được message của
mọi user khác trên cùng channel.
• Private channel: được thiết kế để giao tiếp với các đối tượng cho phép. Không cho phép
các user không cùng channel thấy IRC name và message trên channel. Tuy nhiên, nếu
user ngoài channel dùng một số lệnh channel locator thì có thể biết được sự tồn tại của
private channel đó.
• Secrect channel : tương tự private channel nhưng không thể xác định bằng channel
locator.
IRC – Based network cũng tương tự như Agent – Handler network nhưng mô hình này sử
dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent (không sử dụng
Handler). Sử dụng mô hình này, Attacker còn có thêm một số lợi thế khác như:
• Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vô cùng khó khăn.
• IRC traffic có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ.
• Không cần phải duy trì danh sách các Agent, Hacker chỉ cần logon vào IRC Server là đã

có thể nhận được report về trạng thái các Agent do các channel gửi về.
• Sau cùng: IRC cũng là một môi trường file sharing tạo điều kiện phát tán các Agent code
lên nhiều máy khác.
2.4 Phân loại tấn công DDoS
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 22
[DENIAL OF SERVICES]
3 Mạng BotNet
3.1 Ý nghĩa của mạng Bot
Khi sử dụng một Tool tấn công DoS tới một máy chủ đôi khi không gây ảnh hưởng gì cho
máy chủ . Giả sự bạn sử dụng tool Ping of Death tới một máy chủ, trong đó máy chủ kết nối với
mạng tốc độ 100Mbps bạn kết nối tới máy chủ tốc độ 3Mbps dẫn tới cuộc tấn công của bạn
không có ý nghĩa gì.
Nhưng khi có 1000 người cùng một lúc tấn công vào máy chủ kia khi đó toàn bộ băng thông
của 1000 người cộng lại tối đa 3Gbps và tốc độ kết nối của máy chủ là 100Mbps sẽ làm băng
thông máy chủ được sử dụng hoàn toàn.
Khi có trong tay mạng BOT, Hacker sử dụng những tool tấn công đơn giản để tấn công vào
một hệ thống máy tính. Dựa vào những truy cập hoàn toàn hợp lệ của hệ thống, cùng một lúc
chúng sử dụng một dịch vụ của máy chủ vd : Hacker có trong tay 400.000 máy và cùng một lúc
ra lệnh cho chúng download một file trên trang web của bạn. Và đó chính là DDoS-Distributed
Denial of Service.
3.2 Định nghĩa Bot và BotNet
3.2.1 Bot
BOT là viết tắt của robot, tức là chương trình tự động hóa thường được sử dụng trên Internet.
IRCbot còn được goi là zombie hay drone.
Đầu tiên BOT kết nối kênh IRC với IRC Server và đợi giao tiếp giữa những người với nhau.
Hacker sẽ điều khiển và sử dụng mạng BOT nhằm mục đích nào đó. Nhiều mạng BOT kết nối
với nhau sẽ được gọi là BOTNET.
3.2.2 BotNet
Mạng BotNet bao gồm nhiều máy tính nhằm sử dụng cho mục đích tấn công DDoS. Một
mạng Botnet nhỏ có thể chỉ bao gồm 1000 máy tính nhưng mỗi máy tính kết nối tới Internet tốc

độ chỉ là 128Kbps thì mạng Botnet này đã có khả năng tạo băng thông là 1000*128 ~ 100Mbps
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 23
[DENIAL OF SERVICES]
(đây là một con số thể hiện băng thông mà khó một nhà Hosting nào có thể share cho mỗi trang
web của mình).
3.3 Mục đích sử dụng mạng BotNet
Tấn công Distributed Denial-of-Service (DDoS)
- Spamming: mở một SOCKS v4/v5 proxy Server cho việc Spamming
- Sniffing traffic: Bot cũng có thể sử dụng các gói tin nó sniffer (tóm được các giao tiếp
trên mạng) sau khi tóm được các gói tin nó cố gắng giải mã gói tin để lấy được các nội
dung có ý nghĩa như tài khoản ngân hàng và nhiều thông tin có giá trị khác của người sử
dụng.
- Keylogging: với sự trợ giúp của Keylogger rất nhiều thông tin nhạy cảm của người dùng
có thể sẽ bị tấn công khai thác như tài khoản trên e-banking, cũng như nhiều tài khoản
khác.
- Cài đặt và lây lang chương trình độc hại: Botnet có thể sử dụng để tọa ra những mạng
BOT mới.
- Cài đặt những quảng cáo Popup: tự động bật ra những quảng cáo không mong muốn với
người sử dụng.
- Google Adsense abuse: tự động thay đổi các kết quả tìm kiếm hiển thị mỗi khi người
dùng sử dụng dịch vụ tìm kiếm của google, khi thay đổi kết quả nó sẽ lừa người dùng
kích và những trang web nguy hiểm.
- Tấn công vào IRC Chat Networks: còn được gọi là clone attack.
- Phishing: mạng botnet còn được sử dụng để phishing mail nhằm lấy thông tin nhạy cảm
của người dùng.
3.4 Các dạng của Bot
Agobot/Phatbot/Forbot/XtremBot là những bot được viết bằng C++ trên nền tảng Cross-
platform và mã nguồn được tìm trên GPL.
- Agobot: có khả năng sử dụng NTFS Alternate Data Stream(ADS) và như một loại
Rootkit nằm ẩn các tiến trình đang chạy trên hệ thống.

- DBot/Rbot/UrBot/UrXbot: SDBot được viết bằng ngôn ngữ C và cũng được public bởi
GPL. Nó được coi như là tiền thân của Rbot, RxBot,UrBot,UrXBot, JrBot.
- mIRC/Based Bots/GTBots: GT được viết tắt từ Global Thread và tên thường được sử
dụng cho tất cả các mIRC-Scripted bots. Nó có khả năng sử dụng phần mềm IM là mIRC
để thiết lập một số Script và một số đoạn mã khác.
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 24
[DENIAL OF SERVICES]
3.5 Các bước xây dựng mạng BotNet và cách phân tích mạng Bot
Để hiểu hơn về xây dựng một hệ thống mạng BotNet cần hiểu về cách lây nhiễm vào một
máy tính, cách tạo ra một mạng Bot và dùng mạng Bot này tấn công vào một đích nào đó của
mạng Botnet được tạo ra.Sau đây là qui trình xây dựng mạng BotNet.
Bước 1: cách lây nhiễm vào máy tính
- Đầu tiên kẻ tấn công lừa cho người dụng chạy 1 file ứng dụng nào đó, sao đó Bot
thường copy chúng vào hệ thống và sẽ thêm các thông số trong Registry để đảm
bảo sẽ chạy cùng với hệ thống khi khởi động. Trong Registry có các vị trí cho các
ứng dụng tại thời điểm chạy:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run,
HKLM\Software\Microsoft\Wind-ows\CurrentVersion\Run .
Bước 2: Cách lây lan và xây dựng tạo mạng BotNet
- Sau khi trong hệ thống mạng có một số máy tính bị nhiễm Bot, nó sẽ tự động tìm
kiếm các máy tính khác trong hệ thống và lây nhiễm sử dụng các lỗ hỏng trong tài
nguyên được chia sẻ trong hệ thống mạng.
- Chúng thường cố gắng kết nối tới các dữ liệu share mặc định dành cho các ứng
dụng quản trị (administrator or administrative) ví dụ như: C$, D$, E$ và print$
bằng cách đoán usernames và password để có thể truy cập được vào một hệ thống
khác và lây nhiễm.
- Bot có thể lây lan rất nhanh bởi chúng có khả năng tận dụng các điểm yếu trong hệ
điều hành Windows, hay các ứng dụng, các dịch vụ chạy trên hệ thống.
Bước 3: Kết nối vào IRC
- Bot sẽ tạo ra một IRC-Controlled Backdoor để mở các yếu tố cần thiết, và kết nối

tới mạng BotNet thông qua IRC-Controll, sau khi kết nối nó sẽ mở những dịch vụ
cần thiết để khi có yêu cầu chúng sẽ được điểu khiển bới kẻ tấn công thông qua
kênh giao tiếp IRC.
Bước 4: Điều khiển tấn công từ mạng BotNet
- Kẻ tấn công điều khiển các máy trong mạng Bot, download những file.exe về
chạy trên máy.
- Lấy toàn bộ thông tin liên quan và cần thiết trên hệ thống mà kẻ tấn công muốn.
- Chạy những file khác trên hệ thống đáp ứng yêu cầu của kẻ tấn công.
- Chạy những chương trình DDoS tấn công hệ thống khác.
Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 25