LOGO
TẤN CÔNG TỪ CHỐI DỊCH VỤ
DOS - DDOS
K11406 – Group Presentation
Nhóm NULL
Mục lục
Giới thiệu về DoS - DDoS
1
Phương thức tấn công
2
Cách phòng chống
4
Một vài ví dụ mẫu
5
5
3
Một số công cụ tấn công
Tin Tức

Vào 8/12/2010, Anonymous tấn công đồng loạt
trang web của hãng MasterCard, Visa để trả đũa
cho việc chủ Wikileaks bị tạm giam ở Anh.
Anonymous, lấy tên "chiến dịch trả đũa", nhận
trách nhiệm gây ra các lỗi kỹ thuật nghiêm trọng
trên trang web của MasterCard.

Cuộc tấn công đã đánh sập thành công website
của Mastercard, PostFinance và Visa.
PostFinance, ngân hàng đã đóng băng tài khoản
của Julian Assange, bị ngưng hoạt động hơn 16
giờ đồng hồ.

Giới thiệu về Dos - DDoS

Tấn công từ chối dịch vụ - DoS (Denial of
Service)

DoS là hình thức tấn công từ chối dịch vụ, có nhiều
cách để thực hiện tấn công kiểu này (VD : SYN
Flooding, ), thực chất là Hacker tận dụng lỗ hổng
bảo mật nào đó để yêu cầu Server làm việc “trời ơi"
nào đó, mục đính là không để Server có khả năng
đáp ứng yêu cầu dịch vụ của các Client khác, như
vậy gọi là "từ chối dịch vụ" của các Client khác.
Thường thì kẻ tấn công là từ một máy.
Giới thiệu về Dos - DDoS

Tấn công từ chối dịch vụ phân tán –
DDoS (Distribute Denial of Service)

DDoS là một dạng DoS nhưng kẻ tấn công sử
dụng nhiều máy để thực hiện.

Để khởi động một cuộc tấn công DDoS, kẻ tấn
công sử dụng botnet và tấn công hệ thống mục
tiêu.

Đặc điểm chết người của DDoS: “Rất dễ thực
hiện, hầu như không thể tránh, hậu quả rất nặng
nề”.
Giới thiệu về Dos - DDoS


Dấu hiệu khi bị tấn công

Thông thường thì hiệu suất mạng sẽ rất
chậm.

Không thể truy cập website.

Tăng lượng thư rác nhanh chóng.
Giới thiệu về Dos - DDoS

Các mục đích của tấn công DoS

Chiếm băng thông mạng, làm hệ thống mạng bị ngập (flood)
 hệ thống mạng sẽ không có khả năng đáp ứng những dịch
vụ khác cho người dùng bình thường.

Ngắt kết nối giữa hai máy, ngăn chặn quá trình truy cập dịch
vụ.

Chặn những người dùng cụ thể vào một dịch vụ nào đó.

Chặn các dịch vụ không cho người khác có khả năng truy
cập vào.

Khi người dùng truy cập gặp tình trạng:
•
Độ trễ (delay) cao, chập chờn.
•
Không kết nối được.
Phương thức tấn công

Tấn công
tràn
ngập yêu
cầu dịch
vụ
Tấn công
tràn ngập
SYN
Tấn công tràn
ngập ở cấp độ
dịch vụ
Tấn công
băng
thông
Kỹ thuật tấn công
Tấn công
tràn ngập
ICMP
Phương thức tấn công
Tấn công băng thông
Làm tràn ngập mạng mục tiêu với
những traffic không cần thiết
Amplification attack
Điều khiển các agent hay
client tự gửi message
đến một địa chỉ IP
broadcast, làm cho tất
cả các máy trong subnet
này gửi message đến hệ
thống dịch vụ của mục

tiêu. Phương pháp này
làm gia tăng traffic
không cần thiết, làm suy
giảm băng thông của
mục tiêu.
Flood attack
Attacker sẽ làm ngập
(flood) sự kết nối của
mạng bằng một
đường truyền mạnh
hơn bằng cách gữi
những đòi hỏi
(request) tới mạng bị
tấn công. thí dụ
Hacker sẽ dùng
đường truyền T1
(1.544M) hay mạnh
hơn để tấn công
mạng dùng 56k hoặc
128k.
Phương thức tấn công
Tấn công tràn ngập ICMP – Smurf
- Là thủ phạm sinh ra cực nhiều giao tiếp
ICMP (ping) tới địa chỉ Broadcast của nhiều
mạng với địa chỉ nguồn là mục tiêu cần tấn
công.
- Kết quả đích tấn công sẽ phải chịu nhận một
đợt Reply gói ICMP cực lớn và làm cho mạng
bị rớt hoặc bị chậm lại không có khả năng
đáp ứng các dịch vụ khác.

Chúng ta cần lưu ý : Khi ping tới một địa chỉ
là quá trình hai chiều – Khi máy A ping tới
máy B, máy B reply lại hoàn tất quá trình. Khi
A ping tới địa chỉ Broadcast của mạng nào đó
thì toàn bộ các máy tính trong mạng đó sẽ
Reply lại A. Nhưng giờ A giả mạo địa chỉ
nguồn, thay địa chỉ nguồn là máy C và ping
tới địa chỉ Broadcast của một mạng nào đó,
thì toàn bộ các máy tính trong mạng đó sẽ
reply lại vào máy C chứ không phải A và đó là
tấn công Smurf.
.
Phương thức tấn công
Tấn công tràn ngập ở cấp độ dịch vụ
Với mục đích làm mất dịch vụ của các mạng, kẻ tấn
công phá hủy mã nguồn chương trình và file làm ảnh
hưởng tới hệ thống máy tính. Tấn công làm tràn ngập ở
cấp độ ứng dụng, kẻ tấn công cố gắng:
•
Tràn ngập ứng dụng web tới lưu lượng người sử
dụng hợp lệ.
•
Ngắt dịch vụ cụ thể của hệ thống hoặc con người.
•
Làm tắt nghẽn cơ sở dữ liệu của ứng dụng kết nối
bằng truy vấn thủ công nguy hiểm SQL.
Phương thức tấn công
Tấn công tràn ngập yêu cầu dịch vụ
Một kẻ tấn công hoặc nhóm zombie cố gắng làm
cạn kiệt tài nguyên máy chủ bằng cách thiết lập

và phá hủy các kết nối TCP. Nó bắt đầu gửi yêu
cầu trên tất cả kết nối và nguồn gốc từ server kết
nối tốc độ cao.
Phương thức tấn công
Tấn công tràn ngập SYN
Attacker gởi một SYN packet đến nạn nhân với địa chỉ
bên gởi là giả mạo, kết quả là nạn nhân gởi SYN/ACK
REPLY đến một địa chỉ khác và sẽ không bao giờ nhận
được ACK packet cuối cùng, cho đến hết thời gian
nạn nhân mới nhận ra được điều này và giải phóng
các tài nguyên hệ thống. Tuy nhiên, nếu lượng SYN
packet giả mạo đến với số lượng nhiều và dồn dập, hệ
thống của nạn nhân có thể bị hết tài nguyên.
Phương thức tấn công
Khái niệm
Hoạt động
Xây dựng – Khai thác
Mạng
Botnet

Botnet là gì ?
- Một mạng máy tính ma

Ai kiểm soát botnet ?
- Botmaster (kẻ làm chủ/nắm giữ bot) sẽ kiểm
soát mạng máy tính ma botnet. Botmaster có
thể làm sập các trang web với dữ liệu, bản
sao và ăn cắp phần mềm. Botmaster cũng
cho những kẻ xấu trên Internet khác thuê đội
quân máy tính ma của mình

Mạng botnet
Mục đích của botnet

- Nó được sử dụng cho mục đích tấn công DDoS,
Sniff, Keylogging, Phishing v v

- Một mạng Botnet nhỏ có thể chỉ bao gồm 1000 máy
tính nhưng bạn thử tưởng tượng mỗi máy tính này
kết nối tới Internet tốc độ chỉ là 128Kbps thì mạng
Botnet này đã có khả năng tạo băng thông là
1000*128 ~ 100Mbps – một con số thể hiện băng
thông mà khó một nhà Hosting nào có thể share cho
mỗi trang web của mình.
Mạng botnet
Phương thức hoạt động
Mạng botnet
Khai thác và xây dựng
Cách thức 1 botnet được tạo và gửi spam
Một số công cụ mẫu
LOIC
DoSHTTP
Công cụ LOIC là một
ứng dụng DOS viết
bằng C# . Đây là một
botnet tình nguyện
kết nối đến một máy
chủ từ xa chỉ đạo các
cuộc tấn công làm lũ
lụt trang web mục tiêu
bằng cái gói tin TCP

hoặc UDP.
Là phần mềm tấn công
tràn ngập HTTP nhằm
kiểm thử trên windows.
Bao gồm: Xác nhận
URL, chuyển hướng
HTTP, giám sát hiệu
suất.
Giúp chuyên gia CNTT
thử nghiệm hiệu năng
máy chủ web và đánh
giá độ bảo mật.
Một số công cụ mẫu
Công cụ LOIC
Công cụ DoSHTTP
Cách phòng chống
Kỹ thuật phát hiện
Đối phó chiến lược
DoS/DDoS
Đối phó tấn công
DoS/DDoS
•
Hoạt động định
hình
•
Phát hiện thay
đổi điểm theo
trình tự
•
Hấp thụ cuộc tấn

công
•
Làm giảm dịch vụ
•
Tắt dịch vụ
•
Bảo vệ thứ cấp
victims
•
Phát hiện tiềm
năng tấn công
•
Làm lệch hướng
tấn công
•
Làm dịu cuộc tấn
công
•
Pháp lý
Cách phòng chống
Kỹ thuật phòng thủ
chống lại botnet
Đối phó DoS/DDoS Bảo vệ DoS/DDoS
•
Lọc
•
Lọc lỗ đen
•
Lọc nguồn IP uy
tín trên Cisco IPS

•
Cung cấp dịch vụ
phòng chống
DDoS từ ISP
•
Tắt những dịch
vụ không sử
dụng và không
bảo mật
•
Ngăn chặn địa
chỉ trả lại không
bị ghi đè
….
•
Bảo vệ ở mức độ
ISP
•
Hệ thống bảo vệ
IntelliGuard
Một số công cụ phòng chống
D-Guard Anti-DDoS
Firewall
FortGuard Firewall
NetFlow Analyzer
một công cụ phân
tích lưu lượng tin
hoàn chỉnh, tận
dụng công nghệ
luồng chảy (flow

technogogies) để
cung cấp tầm nhìn
trực quan theo thời
gian thực về hiệu
suất băng thông
mạng.
cung cấp một cấp
trên cách tiếp cận
cơ bản để giảm
nhẹ các cuộc tấn
công DDoS, với
một thiết kế tập
trung vào giao
thông qua hợp
pháp chứ không
phải là loại bỏ giao
thông tấn công, xử
lý
là một phần mềm
tường lửa Anti-
DDoS nhỏ nhưng
mạnh mẽ với
Intrusion
Prevention System
sẵn có giúp người
dùng chống lại các
cuộc tấn công
DDoS với độ chính
xác và hiệu suất
cao nhất

Một số công cụ phòng chống
Công cụ NetFlow Analyzer
Dnp Firewall

- Chống lại những con Bot tự động săn
link và chôm thông tin
- Chống lại Spammers
- Flooding Attack
- Hạn chế DDoS
- Loại trừ những cuộc tấn công ngầm
nguy hiểm để khai thác lỗi tự động
- Các bộ máy tìm kiếm có thể truy cập.