TÌM HIỂU VỀ DoS-DDoS
ĐẠI HỌC QuỐC GIA TP HỒ CHÍ MINH
ĐH CÔNG NGHỆ THÔNG TIN
GVHD : Trần Duy
DoS-DDoS
I. Tấn Công Từ Chối Dịch Vụ(Denial of
Service - DoS)
II. Tấn Công DDoS
I. Tấn Công Từ Chối Dịch Vụ(DoS)
1. Giới Thiệu:
Lịch sử tấn công:
15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công
DoS cực mạnh và làm gián đoạn websites trong vòng 2
giờ.
15:09 giờ GMT ngày 27 tháng 3 năm 2003: toàn bộ
phiên bản tiếng anh của website Al-Jazeera bị tấn công
làm gián đoạn trong nhiều giờ
I. Tấn Công Từ Chối Dịch Vụ
Định nghĩa về tấn công DoS
Là một kiểu tấn công mà một người làm cho một hệ
thống không thể sử dụng, hoặc làm cho hệ thống đó
chậm đi một cách đáng kể với người dùng bình thường,
bằng cách làm quá tải tài nguyên của hệ thống.
Nếu kẻ tấn công không có khả năng thâm nhập được
vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ
thống đó sụp đổ và không có khả năng phục vụ người
dùng bình thường đó là tấn công Denial of Service
(DoS).
I. Tấn Công Từ Chối Dịch Vụ
Mục Đích Của Tấn Công DoS
Cố gắng chiếm băng thông mạng và làm hệ thống

mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có
khả năng đáp ứng những dịch vụ khác cho người dùng
bình thường.
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn
quá trình truy cập vào dịch vụ.
Cố gắng ngăn chặn những người dùng cụ thể vào một
dịch vụ nào đó.
Cố gắng ngăn chặn các dịch vụ không cho người khác
có khả năng truy cập vào.
I. Tấn Công Từ Chối Dịch Vụ
Mục tiêu mà Attacker (kẻ tấn công) sử dụng tấn công
DoS.
Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài
nguyên.
Băng thông của hệ thống mạng (Network Bandwidth), bộ
nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ liệu đều là mục tiêu
của tấn công DoS.
Tấn công vào hệ thống khác phục vụ cho mạng máy tính
như: hệ thống điều hoà, hệ thống điện, hệ thống làm mát và
nhiều tài nguyên khác của doanh nghiệp.
Phá hoại hoặc thay đổi các thông tin cấu hình.
I. Tấn Công Từ Chối Dịch Vụ
2. Các Dạng Tấn Công:
Winnuke
DoS attack loại này chỉ có thể áp dụng cho các máy tính đang
chạy Windows9x. Hacker sẽ gởi các gói tin với dữ liệu “Out of
Band” đến cổng 139 của máy tính đích(cổng NetBIOS, cổng này
chỉ chấp nhận các gói tin có cờ Out of Band được bật). Khi máy
tính của victim nhận được gói tin này, một màn hình xanh thông
báo lỗi sẽ được hiển thị lên với nạn nhân do chương trình của

Windows nhận được các gói tin này nhưng nó lại không biết
phản ứng với các dữ liệu Out of Band như thế nào dẫn đến hệ
thống sẽ bị crash.
I. Tấn Công Từ Chối Dịch Vụ
Gói tin TCP header được hacker sử dụng
I. Tấn Công Từ Chối Dịch Vụ
Ping of Dead
Hacker gửi những gói tin IP lớn hơn số lượng bytes
cho phép của tin IP là 65.536 bytes.
Một gói tin như vậy khi được gửi đi thì sẽ bị chia
nhỏ ra thành các segment nhỏ hơn, nhưng khi máy đích
ráp lại, host đích nhận thấy rằng là gói tin quá lớn đối
với đối với buffer bên nhận. Kết quả là hệ thống không
thể quản lý nổi tình trạng bất thường này và sẽ reboot
hoặc bị treo.
I. Tấn Công Từ Chối Dịch Vụ
Mô hình tấn công Ping of Dead
I. Tấn Công Từ Chối Dịch Vụ
Teardrop
Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm
nhiều phần nhỏ.
Kẻ tấn công sử dụng sử dụng gói IP với các thông số rất
khó hiểu (các giá trị offset chồng chéo lên nhau) để chia ra
các phần nhỏ (fragment).
Nếu hệ điều hành nhận được các gói tin đã được chia
nhỏ và không hiểu được, hệ thống cố gắng build lại gói tin
và điều đó chiếm một phần tài nguyên hệ thống, nếu quá
trình đó liên tục xảy ra hệ thống không còn tài nguyên cho
các ứng dụng khác, phục vụ các user khác.
I. Tấn Công Từ Chối Dịch Vụ

Cơ chế tấn công Teardrop
I. Tấn Công Từ Chối Dịch Vụ
Buffer overflow Attack.
Buffer Overflow xảy ra tại bất kỳ thời điểm nào có
chương trình ghi lượng thông tin lớn hơn dung lượng của
bộ nhớ đệm trong bộ nhớ.
Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy
các chương trình và đánh cắp quyền điều khiển của một số
chương trình nhằm thực thi các đoạn mã nguy hiểm.
Quá trình gửi một bức thư điện tử mà file đính kèm dài
quá 256 ký tự có thể sẽ xảy ra quá trình tràn bộ nhớ đệm.
I. Tấn Công Từ Chối Dịch Vụ
SYN attack
Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN
tới máy chủ bị tấn công. Để xử lý lượng gói tin SYN
này hệ thống cần tốn một lượng bộ nhớ cho kết nối.
Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm
hết các yêu cầu xử lý của máy chủ. Một người dùng
bình thường kết nối tới máy chủ ban đầu thực hiện
request TCP SYN và lúc này máy chủ không còn khả
năng đáp lại – kết nối không được thực hiện
I. Tấn Công Từ Chối Dịch Vụ
Cơ chế của SYN attack
I. Tấn Công Từ Chối Dịch Vụ
Thật không may kẻ tấn công đã lợi dụng kẽ hở
này để thực hiện hành vi tấn công nhằm sử dụng hết
tài nguyên của hệ thống bằng cách giảm thời gian
yêu cầu Three-way handshake xuống rất nhỏ và
không gửi lại gói ACK, cứ bắn gói SYN ra liên tục
trong một thời gian nhất định và không bao giờ trả

lời lại gói SYN&ACK từ máy bị tấn công.
Với nguyên tắc chỉ chấp nhận gói SYN từ một
máy tới hệ thống sau mỗi 75 giây nếu địa chỉ IP nào
vi phạm sẽ chuyển vào Rule deny access sẽ ngăn cản
tấn công này.
I. Tấn Công Từ Chối Dịch Vụ
Smurf
Là thủ phạm sinh ra cực nhiều gói tin ICMP (ping)
tới địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn
là mục tiêu cần tấn công.
Kết quả đích tấn công sẽ phải chịu nhận một đợt
Reply gói ICMP cực lớn và làm cho mạng bị đơ hoặc bị
chậm lại không có khả năng đáp ứng các dịch vụ khác.
Quá trình này được khuyếch đại khi có luồng ping
reply từ một mạng được kết nối với nhau (mạng BOT).
I. Tấn Công Từ Chối Dịch Vụ
Cơ chế của Smurf
I. Tấn Công Từ Chối Dịch Vụ
Land attack
Land Attack cũng gần giống như SYN Attack,
nhưng thay vì dùng các đia chỉ ip không có thực,kẻ
tấn công sẽ dùng chính địa chỉ ip của hệ thống nạn
nhân. Điều này sẽ tạo nên một vòng lặp vô tận giữa
trong chính hệ thống nạn nhân đó, giữa một bên
cần nhận thông tin phản hồi còn một bên thì chẳng
bao giờ gởi thông tin phản hồi đó đi cả.
I. Tấn Công Từ Chối Dịch Vụ
Mô hình của Land attack
I. Tấn Công Từ Chối Dịch Vụ
UDP Flood

Kẻ tấn công gửi 1 số lượng lớn các gói tin UDP có kích
thước lớn đến hệ thống mạng, khi hệ thống mạng bị tấn
công UDP Flood sẽ bị quá tải và chiếm hết băng thông
của đường truyền, vì thế nó gây ra những ảnh hưởng rất
lớn đến đường truyền, tốc độ của mạng, gây khó khăn
cho người dùng khi truy cập vào mạng này.
I. Tấn Công Từ Chối Dịch Vụ
Mô hình tấn công bằng UDP Flood
I. Tấn Công Từ Chối Dịch Vụ
3. Các công cụ (tool) được sử dụng để tấn công
Từ chối dịch vụ (DoS).
Nemesy, Jolt2, Bubonic.c, Land and
LaTierra, Targa, Blast20, Panther2,
Crazy Pinger, Some Trouble, UDP
Flood, Hping3, Httpdos, Slowloris
I. Tấn Công Từ Chối Dịch Vụ
4. Triển khai tấn công từ chối dich vụ(DoS):
Hping3
Mô hình:
I. Tấn Công Từ Chối Dịch Vụ
Tấn công bằng công cụ Hping3
Hping3 là công cụ đã được tích hợp sẵn trong
Kali Linux. Với công cụ Hping3, ta có thể thực
hiện các kiểu tấn công như sau:
Ping of Dead.
SYN Flood.
Land Attack.