Tải bản đầy đủ (.docx) (59 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Lập trình

QUẢN Lý d6cntt epu dai

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.15 MB, 59 trang )

MỤC LỤC
LỜI MỞ ĐẦU


DANH MỤC CÁC HÌNH


LIỆT KÊ CHỮ VIẾT TẮT
Từ viết
tắt

Diễn giải

Từ viết
tắt

Diễn giải

DoS

Denial of Service

DDoS

Distributed Denial of
Service

CNTT

Công nghệ thông tin


ADSL

Asymmetric Digital
Subscriber Line

IRC

Internet Relay Chat


LỜI MỞ ĐẦU
Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào có hệ thống
mạng dù lớn hay nhỏ. Hiện nay, các hacker trong và ngoài nước luôn tìm cách tấn công và
xâm nhập hệ thống để lấy các thông tin nội bộ. Những thông tin nhạy cảm thường ảnh hưởng
tới sống còn của công ty. Chính vì vậy, các nhà quản trị mạng luôn cố gắng bảo vệ hệ thống
của mình tốt nhất có thể và cố gắng hoàn thiện hệ thống mình để bớt lỗ hổng.
Tuy nhiên, một kiểu tấn công rất cổ điển là tấn công từ chối dịch vụ chưa bao giờ mất đi tính
nguy hiểm đối với hệ thống mạng. Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc,
và công sức mà còn mất rất nhiều thời gian để khắc phục. DoS và DDoS vẫn đang là vấn đề
nan giải chưa có biện pháp nào chống được hoàn toàn cuộc tấn công.
Với yêu cầu cấp thiết như vậy, em chọn đề tài “Nghiên cứu và triển khai thử nghiệm tấn
công từ chối dịch vụ đang phân tán trên mạng internet” làm đồ án An Ninh Mạng. Mục
đích đưa ra khi làm đề tài là hiểu được các kiểu tấn công và cách phòng chống DoS/ DDoS.
Đồ án được được chia làm 5 chương:
Chương 1: Tổng quan an ninh mạng
Chương 2: Kỹ thuật tấn công DoS- DDoS
Chương 3: Triển khai thử nghiệm và các biện pháp phòng chống
Chương 4: Kết luận
Do có những mặt hạn chế nhất định về mặt kiến thức cũng như kinh nghiệm thực tế nên đồ án
này không thể tránh được những thiếu sót, khuyết điểm. Em rất mong được thầy cô và các bạn

giúp đỡ để kiến thức bản thân cũng như đồ án được hoàn thiện hơn


CHƯƠNG 1:

TỔNG QUAN AN NINH MẠNG

1.1 Giới thiệu về an ninh mạng
Mạng máy tính là tập các máy tính được kết nối với nhau để trao đổi thông tin. Các máy tính
khi tham gia vào mạng sẽ cùng chia sẻ phương tiện vật lý chung, quan trọng hơn là sư chia sẻ,
khai thác tài nguyên thông tin giữa các máy tính với nhau. Cùng sự phát triển của Internet đã
tạo ra cuộc cách mạng trong mọi lĩnh vực, hầu hết các mạng của doanh nghiệp đều kết nối
Internet. Trong một môi trường công cộng như vậy nảy sinh nhiều nguy cơ mới như: mất
thông tin, những thông tin quan trọng bị rơi vào tay kẻ xấu, phá hoại hoạt động của một tổ
chức hay cơ quan, giả mạo thông tin. Trong hoàn cảnh đó, mỗi doanh nghiệp hay tổ chức cần
thiết phải có một hệ thống để bảo vệ mạnh chính là hệ thống an ninh mạng. Hệ thống an ninh
mạng là một hệ thống ngăn không cho truy cập trai phép hay từ những máy tính và thiết bị
ngoại vi của bạn nếu bạn không cho phép.

Hình 1.: Mô

hình mạng máy tính

An ninh mạng máy tính bao gồm an toàn mạng và bảo mật thông tin.
-

An toàn mạng là công tác đảm bảo sao cho mạng có thể hoạt động trong các điều
kiện môi trường khác nhau.
Bảo mật thông tin là cơ chế đảm bảo cho mạng hoạt động thỏa mãn 2 mục tiêu sau:
• Bảo đảm điều điện thuận lợi cho những người sử dụng hợp pháp trong quá


trình khai thác và sử dụng tài nguyên trên mạng.
• Ngăn chặn có hiệu quả những kẻ truy cập trái phép hay xâm nhập khi chưa có
sự cho phép. Vi phạm bất hợp pháp được chia làm 2 loại là vi phạm thụ động

5


và vi phạm chủ động. Vi phạm thụ động đôi khi do vô tình hoặc không cố ý
còn vi phạm chủ động có mục đích phá hoại rõ ràng và hậu quả khôn lường.
Ngày nay các nguy cơ về an ninh trên mạng còn phát triển lên thành khái niệm chiến tranh
thông tin trên mạng được đầu tư công sức và tiền bạc rất lớn.

1.2 Khái niệm Hacker
Giỏi về lập trình và có kĩ năng trong hệ thống mạng.
Nên làm quen dần với việc nghiên cứu các lổ hỏng, các lỗi bảo mật.
Thành thạo,có hiểu biết về kĩ thuật xâm nhập.
Tự đặt cho mình một nguyên tắc, phải thật nghiêm khắc.
Các loại Hacker
-

Black Hat

Loại hacker này thường là một cá nhân có kiến thức, kĩ năng uyên thâm về máy tính, luôn có
ý nghĩ đen tối, sắp xếp và lên kế hoạch tấn công bất cứ thứ gì tùy mục đích. Black Hat cũng
có thể là một cracker.
-

White Hat


Trắng ở đây có nghĩa là luôn làm việc trong sáng, minh bạch để chống lại cái ác, cái đen tối.
Những người này cũng phải có kiến thức, kĩ năng uyên thâm như Black Hat, nhưng họ không
dùng kiến thức đó để thực hiện những ý đồ đen tối là tấn công, xâm nhập… mà họ là những
người đi tìm ra lỗ hổng và vá lỗ hổng đó lại và họ luôn đặt phòng thủ lên hạng đầu. Có thể coi
những người này như những người phân tích bảo mật.
-

Gray Hat

Những người này có thể thực hiện ý đồ đen tối hôm nay nhưng ngày mai lại giúp phòng thủ,
bảo mật.
-

Suicide Hat

Đây có thể coi như là loại hacker cảm tử vậy, có nghĩa là làm việc mà không sợ gì, dù có bị
giam 30 năm nhưng vẫn không lo lắng sợ gì.

1.3 Nguy cơ tiềm ẩn của an ninh mạng
Nhìn từ quan điểm hacker, có vô số cách để tấn công, lấy cắp thông tin của một hệ thống.
Lỗ hống của ứng dụng, lỗ hổng dịch vụ trực tuyến(web, mail..),lỗ hổng hệ điều hành… Vì thế
rất khó để có thể thiết lập và duy trì bảo mật thông tin.
Lỗi và sự bỏ sót, cố tình bỏ qua

6


Nguy cơ này được xếp vào hàng nguy hiểm nhất. Khi lập trình, các cảnh báo và lỗi do trình
biên dịch đưa ra thường bị bỏ qua và nó có thể dẫn đến những sự việc không đáng có, ví dụ
như tràn bộ đệm, tràn heap. Khi người dùng vô tình (hay cố ý) sử dụng các đầu vào không

hợp lý thì chương trình sẽ xử lý sai, hoặc dẫn đến việc bị khai thác, đổ vỡ (crash). Kỹ thuật
lập trình đóng vài trò rất quan trọng trong mọi ứng dụng. Và lập trình viên phải luôn luôn cập
nhật thông tin, các lỗi bị khai thác, cách phòng chống, sử dụng phương thức lập trình an toàn.
Một cách tốt nhất để phòng tránh là sử dụng chính sách “lease privilege” (có nghĩa là ít quyền
hạn nhất có thể). Người dùng sẽ chỉ được xử lý, truy cập đến một số vùng thông tin nhất định.
Một chính sách khác nhất thiết phải có, đó là phải sao lưu dữ liệu thường xuyên.
Lừa đảo và lấy cắp thông tin
Tưởng tượng rằng có những đồng nghiệp trong công ty đi làm không phải để làm việc, mà để
lấy cắp những thông tin quan trọng của công ty. Chuyện này hoàn toàn có thể xảy ra, đặc biệt
là những công ty làm việc về quân sự, cơ quan nhà nước… Như đã thống kê ở trên, rất nhiều
công ty bị lộ thông tin từ bên trong. Rất khó phát hiện kẻ tấn công từ bên trong. Việc lấy cắp
có thể được thực hiện dưới nhiều hình thức: lấy cắp văn bản in hay lấy cắp thông tin số, cung
cấp thông tin nội bộ cho bên ngoài.
Cách tốt nhất để phòng tránh nguy cơ này là: phải có những chính sách bảo mật được thiết kế
tốt. Những chính sách có thể giúp người quản lý bảo mật thông tin thu thập thông tin, từ đó
điều tra và đưa ra những kết luận chính xác, nhanh chóng. Khi đã có một chính sách tốt,
người quản trị có thể sử dụng các kỹ thuật điều tra số (forensics) để truy vết các hành động
tấn công.
Ví dụ như hình thức lấy cắp thông tin số, nếu một nhân viên truy cập vào khu vực đặt tài liệu
bí mật của công ty, hệ thống sẽ ghi lại được thời gian, IP, tài liệu bị lấy, sử dụng phần mềm gì
để truy cập, phần mềm bị cài đặt trái phép… từ đó, người quản trị sẽ chứng minh được ai đã
làm việc này.

7


Hacker (Tin tặc)
Có rất nhiều cách hacker tấn công hệ thống. Mỗi kẻ tấn công đều có những thủ thuật, công cụ,
kiến thức, hiểu biết về hệ thống. Và cũng có vô số các cuốn sách, diễn đàn đăng tải những nội
dung này.

Trước tiên, hacker thu thập thông tin về hệ thống, nhiều nhất có thể. Càng nhiều thông tin, thì
khả năng thành công của việc tấn công sẽ càng lớn. Những thông tin đó có thể là: tên ứng
dụng, phiên bản ứng dụng, hệ điều hành, email quản trị… Bước tiếp theo là quét hệ thống để
tìm lỗ hổng. Các lỗ hổng này có thể gây ra bởi ứng dụng xử lý thông tin hoặc do hệ điều hành,
hoặc bất kỳ thành phần nào có liên quan. Từ đó, họ sẽ lợi dụng các lỗ hổng tìm được, hoặc sử
dụng các tài khoản mặc định nhằm chiếm quyền truy cập vào ứng dụng. Khi đã thành công,
hacker sẽ cài đặt các phần mềm, mã độc để có thể xâm nhập vào hệ thống trong các lần sau.
Bước cuối cùng là xóa vết tấn công.
Các trang mạng nổi tiếng như: The World Street Jounals, The NewYork Times mới đây đều
công bố rằng mình đã bị hacker tấn công.Để phòng tránh nguy cơ này, các ứng dụng tương tác
với người dùng, dữ liệu cần phải giấu đi những thông tin quan trọng (nếu có thể) như phiên
bản, loại ứng dụng, các thành phần kèm theo… Sử dụng các phần mềm phát hiện truy cập trái
phép, rà soát hệ thống thường xuyên xem có phần mềm lạ không, cấu hình tường lửa hợp lý,
chính sách truy cập của từng nhóm người dùng, quản lý truy cập…
Lây lan mã độc
Có rất nhiều loại mã độc có thể kể đến như: virus, sâu máy tính, Trojan horse, logic bomb…
Nguy cơ do chúng gây ra là hoàn toàn rõ ràng, và vô cùng phong phú. Khi đã xâm nhập vào
máy nạn nhân, mã độc có thể: mở cổng hậu (back door) để kẻ tấn công có thể truy cập và làm
mọi việc trên máy nạn nhân; ghi lại thông tin sử dụng máy tính (thao tác bàn phím, sử dụng
mạng, thông tin đăng nhập…). Đã có rất nhiều công ty bị cài đặt mã độc. Mới đây, Facebook
cũng bị một nhóm hacker tấn công do máy tính của một số nhân viên bị cài mã độc.
Cài mã độc vào máy tính có thể qua nhiều con đường: lỗ hổng phần mềm (điển hình như
adobe Flash, rất nhiều lỗ hổng 0-days được phát hiện, hay Java Runtime Environment thời
gian gần đây cũng liên tục đưa ra bản vá bảo mật); hệ thống đã bị hacker điều khiển; sử dụng
phần mềm crack, không có giấy phép sử dụng.Cách tốt nhất để tránh nguy cơ này là luôn cập
nhật phần mềm xử lý dữ liệu, hệ điều hành và phần mềm an ninh mạng, diệt virus.

8



Tấn công từ chối dịch vụ
Nếu một hacker không thể cướp quyền truy cập vào một hệ thống, họ sẽ tìm cách tấn công từ
chối dịch vụ (làm hệ thống không thể phục vụ người dùng được trong một khoảng thời gian,
bằng cách truy cập đến hệ thống liên tục, số lượng lớn, có tổ chức). Có 2 kiểu tấn công từ chối
dịch vụ:
DoS (Denny of Service – tấn công từ chối dịch vụ): tấn công này có thể xảy ra với cả ứng
dụng trực tuyến và ứng dụng offline. Với ứng dụng trực tuyến, hacker sử dụng các công cụ
tấn công (tấn công Syn floods, Fin floods, Smurfs, Fraggles) trên một máy tính để tấn công
vào hệ thống, khiến nó không thể xử lý được yêu cầu, hoặc làm nghẽn băng thông khiến
người dùng khác khó mà truy cập được. Với ứng dụng offline, hacker tạo ra những dữ liệu
cực lớn, hoặc các dữ liệu xấu (làm cho quá trình xử lý của ứng dụng bị ngưng trệ, treo)
DDoS (Distributed Denny of Service – tấn công từ chối dịch vụ phân tán): một hình thức cao
cấp của DoS, các nguồn tấn công được điều khiển bởi một (một vài) server của hacker (gọi là
server điều khiển), cùng tấn công vào hệ thống. Loại tấn công này khó phát hiện ra hơn cho
các hệ thống phát hiện tự động, giúp hacker ẩn mình tốt hơn.Để chống lại nguy cơ này, hệ
thống cần có nhiều server phục vụ, server phân tải, cơ chế phát hiện tấn công DoS hiệu quả.

Social engineering
Thuật ngữ này khá phổ biến trong công nghệ thông tin. Đây là một kỹ thuật khai thác nhằm
vào điểm yếu con người. Con người trực tiếp quản lý phần mềm, hệ thống. Do đó, họ nắm
được mọi thông tin quan trọng nhất.
Kỹ thuật này ngày càng hữu ích và có độ chính xác tương đối cao. Điển hình cho hình thức
này là hacker nổi tiếng: Kevin Mitnick. Trong một lần, anh chỉ cần vài thông tin quan trọng
của tổng thống Mỹ, đã gọi điện cho thư ký của ông và lấy được toàn bộ thông tin về thẻ tín
dụng của tổng thống.

1.4 Các giai đoạn tấn công

Hình 1.: Các


giai đoạn tấn công

9


1.4.1

Thăm dò (Reconnaissance)

Thăm dò mục tiêu là một trong những bước qua trọng để biết những thông tin trên hệ thống
mục tiêu. Hacker sử dụng kỹ thuật này để khám phá hệ thống mục tiêu đang chạy trên hệ điều
hành nào, có bao nhiêu dịch vụ đang chạy trên các dịch vụ đó, cổng dịch vụ nào đang đóng và
cổng nào đang mở, gồm hai loại:
Passive: Thu thập các thông tin chung như vị trí địa lý, điện thoại, email của các cá nhân,
người điều hành trong tổ chức.
Active: Thu thập các thông tin về địa chỉ IP, domain, DNS… của hệ thống.
1.4.2

Quét hệ thống (Scanning)

Quét thăm dò hệ thống là phương pháp quan trọng mà Attacker thường dùng để tìm hiểu hệ
thống và thu thập các thông tin như địa chỉ IP cụ thể, hệ điều hành hay các kiến trúc hệ thống
mạng. Một vài phương pháp quét thông dụng như: quét cổng, quét mạng và quét các điểm yếu
trên hệ thống.
1.4.3

Chiếm quyền điều khiển (Gainning access)

Đến đây hacker đã bắt đầu dần dần xâm nhập được hệ thống và tấn công nó, đã truy cập
được nó bằng các lệnh khai thác. Các lệnh khai thác luôn ở bất cứ không gian nào, từ mạng

LAN cho tới INTERNET và đã lan rộng ra mạng không dây.
Hacker có thể chiếm quyền điều khiển tại:
1.4.4

Mức hệ điều hành/ mức ứng dụng.
Mức mạng.
Từ chối dịch vụ.
Duy trì điều khiển hệ thống (Maitaining access)

Đến đây hacker bắt đầu phá hỏng làm hại, hoặc có thể cài trojan, rootkit, backdoor để lấy
thông tin thêm. Thường được thấy sử dụng để đánh cắp tài khoản tín dụng, ngân hàng...
1.4.5

Xoá dấu vết (Clearning tracks)

Được đề cập đến hoạt động được thực hiện bằng cách hacker cố tình che dấu hành động
xâm nhập của mình. Hacker phải tìm cách xóa đi dấu vết mỗi khi đột nhập bằng các phương
thức như Steganography, tunneling, and altering log file.

1.5 Các kiểu tấn công
1.5.1

Operating System Attacks

Tấn công vào hệ điều hành, hệ thống. Thường thì việc mặc định cài đặt một hệ thống có một
số lượng lớn các dịch vụ cùng chạy và các cổng kết nối. Điều này sẽ làm kẻ tấn công có nhiều
cơ hội tấn công hơn. Tìm ra các bản vá lỗi dường như khó khăn trong một hệ thống mạng

10



phức tạp như ngày nay. Hacker luôn tìm kiếm các hệ điều hành, nghiên cứu các lệnh khai thác
lổ hỏng để truy cập, xâm nhập hệ thống.
1.5.2

Application level Attacks

Tấn công dựa trên những phần mềm ứng dụng. Những kiểu tấn công như: tấn công tràn bộ
đệm, tấn công XSS, DoS, tấn công SQL injection,…
1.5.3

Shrink Wrap Code Attacks

Khi cài đặt một HĐH nào đó thì có một số lượng cực lớn các tập tin làm việc và sẽ hoàn
chỉnh một HĐH, khi đó việc quản trị HĐH đó là việc đơn giản. Nhưng vấn đề ở đây là bạn
không điều khiển hay tùy biến, chỉnh sửa tập lệnh này. Các tập tin độc này sẽ đè lên các tập
tin mặc định.
1.5.4

Misconfiguration Attacks

Tấn công dựa vào các lỗi cấu hình hệ thống:
-

Do hệ thống cấu hình không chính xác ít được bảo mật.
Hệ thống phức tạp nên admin không có đủ hết kỹ năng để fix hết lỗi.
Đa số admin chọn cấu hình default để dễ làm điều này dễ dẫn đến việc
hacker khai thác.

Do đó phải config hệ thống chính xác, bỏ những dịch vụ và các phần mềm không cần thiết


1.6 Tổng quan thông tin bảo mật
1.6.1

Sự kiện bảo mật của năm 2011

VietNamNet bị tấn công DDoS lớn chưa từng có:
Trong vài ngày qua, báo VietNamNet đã phải hứng chịu một cuộc tấn công từ chối dịch vụ
phân tán (DDoS) ở quy mô lớn chưa từng có tại Việt Nam, xuất phát từ một mạng lưới khổng
lồ gồm hàng chục ngàn máy tính bị nhiễm vi rút.
Bắt đầu từ cuối ngày 4/1/2011, lưu lượng truy cập vào trang chủ báo VietNamNet tại địa chỉ
tăng nhanh một cách bất thường, lên tới hàng trăm ngàn kết nối tại một
thời điểm.
Với lượng độc giả truy cập hàng ngày, số lượng kết nối tại một thời điểm chỉ ở mức dưới một
trăm ngàn. Nên việc tại một thời điểm có tới hàng trăm ngàn kết nối liên tục (bao gồm cả của
các độc giả thông thường) tới máy chủ web đã khiến băng thông đường truyền mạng bị quá
tải. Do vậy, độc giả truy cập vào báo VietNamNet sẽ bị tắc nghẽn ngay từ đường truyền và
báo lỗi không tìm thấy máy chủ, phải truy cập vài lần mới mở được trang web.
Trên thực tế, báo VietNamNet đã từng bị tấn công DDoS nhiều lần nhưng ở quy mô vài chục
ngàn kết nối tại một thời điểm nên băng thông hệ thống và công suất các máy chủ vẫn có thể
chịu đựng được. Trong cuộc tấn công DDoS đang diễn ra, kẻ thủ ác đã thể hiện khả năng rất

11


chuyên nghiệp khi huy động một mạng lưới botnet với lượng máy lên tới hàng chục ngàn máy
tính.
"Hacktivism" nổi dậy
Hacktivism là thuật ngữ diễn tả hành động tấn công, đột nhập vào một hệ thống máy tính
nhằm mục đích chính trị. Trên thế giới hiện nay, những nhóm hacker mang "mác" hacktivism

nổi tiếng có thể kể đến bao gồm Anonymous, LulzSec (đã gác kiếm), hay TeaMp0isoN. Trong
suốt năm 2011 qua, các nhóm hacktivism đã tiến hành nhiều hoạt động khác nhau chống lại
các cơ quan luật pháp, ngân hàng, chính phủ, các công ty bảo mật và những nhà cung cấp
phần mềm như tấn công lỗ thủng an ninh các hệ thống của Tổ chức Liên hiệp quốc (UN), cơ
quan tình báo bảo mật Straffor, CIA…
Đáng lưu ý hơn nữa, trong số những sự việc này, như cuộc tấn công Straffor, đã tiết lộ những
lỗ hổng về mặt an ninh như việc lưu trữ các số thẻ tín dụng dưới hình thức chưa được mã hóa,
hay những mật khẩu vô cùng thiếu an toàn được các nhà quản lý sử dụng.
Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kỳ bị tấn công
Vào tháng 1-2011, những hacker thuộc Anonymous đã đột nhập máy chủ web của HBGary
Federal – hbgaryfederal.com – thông qua việc sử dụng những đoạn mã SQL bất hợp pháp
nhằm khai thác một lỗ hổng bảo mật tồn tại trong cơ sở dữ liệu của một ứng dụng. Sau đó
trích xuất mã MD5 cho các mật khẩu thuộc sở hữu của giám đốc điều hành (CEO), Aaron
Barr, và COO, Ted Vera. Cả hai đều dùng mật khẩu rất đơn giản: 6 kí tự thường và 2 con số.
Những mật khẩu như thế này cho phép những kẻ tấn công tiếp cận vào những tài liệu nghiên
cứu của công ty và hàng chục ngàn email được lưu trữ trong Google Apps. Như vậy, việc sử
dụng những mật khẩu thiếu an toàn cho hệ thống phần mềm cũ cộng với việc sử dụng điện
toán đám mây đã gây ra cơn ác mộng đối với an ninh bảo mật.
1.6.2

Tình hình an ninh mạng Việt Nam hiện nay

Tình hình an ninh mạng tại Việt Nam tiếp tục diễn biến phức tạp, tồn tại nhiều cơ sở gây
nguy cơ bị tấn công, phá hoại hạ tầng mạng thông tin, ảnh hưởng tới an ninh quốc gia.
Báo cáo của hãng bảo mật Kaspersky và Symantec cho thấy, Việt Nam đứng thứ 3 (3,96%)
sau Nga (40%) và Ấn Độ (8%) về số dùng di động bị mã độc tấn công nhiều nhất trên thế
giới, thứ 6 trên thế giới về số lượng địa chỉ IP trong nước được dùng trong các mạng máy tính
ma tấn công nước khác; thứ 7 trên thế giới về phát tán tin nhắn rác (giảm 1 bậc so tháng
11/2013) và đứng thứ 12 trên thế giới về các hoạt động tấn công mạng.
Đáng chú ý là hoạt động tấn công mạng nhằm vào Việt Nam gia tăng về số lượng, gây nguy

cơ bị kiểm soát, khống chế hệ thống thông tin. Tin tặc nước ngoài thường xuyên lợi dụng các
điểm yếu về an ninh mạng của hệ thống thông tin điện tử, trang thông tin điện tử của Việt
Nam để tấn công, xâm nhập, chiếm quyền điều khiển, chỉnh sửa nội dung.

12


Tin tặc nước ngoài đã phát động nhiều chiến dịch tấn công mạng Việt Nam, điển hình như
năm 2011 có trên 1.500 cổng thông tin Việt Nam bị tin tặc sử dụng virus gián điệp dưới hình
thức tập tin hình ảnh xâm nhập, kiểm soát, cài mã độc thay đổi giao diện trang chủ.
Trong năm 2012-2013, Bộ Công an đã phát hiện gần 6.000 lượt cổng thông tin, trang tin điện
tử của Việt Nam (trong đó có hơn 300 trang của cơ quan nhà nước) bị tấn công, chỉnh sửa nội
dung và cài mã độc.
Riêng năm 2014, Bộ Công an phát hiện gần 6.000 trang bị tấn công, chiếm quyền quản trị,
chỉnh sửa nội dung (có 246 trang tên miền gov.vn). Đặc biệt, sau sự kiện giàn khoan HD 981
hạ đặt trái phép trong vùng đặc quyền kinh tế Việt Nam, tin tặc nước ngoài đã tấn công hơn
700 trang mạng Việt Nam và hơn 400 trang trong dịp Quốc khánh (2/9) để chèn các nội dung
xuyên tạc chủ quyền của Việt Nam với quần đảo Hoàng Sa.
Vào cuối năm 2014, tin tặc cũng đã mở đợt tấn công vào trung tâm dữ liệu của VCCorp khiến
nhiều tờ báo mà công ty này đang vận hành kỹ thuật như Dân trí, Người lao động, Soha,
VNEconomy, Kenh14… bị tê liệt.

13


CHƯƠNG 2:

KỸ THUẬT TẤN CÔNG DOS - DDOS

1.7 Nguồn gốc

Cuối thế kỉ 19 cũng như đầu thiên niên kỉ mới đánh dấu bước phát triển nhanh mạnh
của một số chiến lực tấn công khác biệt nhằm vào hệ thống mạng. DDoS – Distributed
Denial of Services hình thức tấn công từ chối dịch vụ phân tán khét tiếng ra đời .Nó là một
dạng phát triển ở mức độ cao của tấn công DoS được phát hiện lần đầu tiên vào năm
1999.Tương tự với người anh em DoS (tấn công từ chối dịch vụ), DDoS được phát tán rất
rộng chủ yếu nhờ tính đơn giản nhưng rất khó bị dò tìm. Đã có nhiều kinh nghiệm đối phó
cũng như biện pháp được chia sẻ với khối lượng kiên thức không nhỏ về nó nhưng ngày nay
DDoS vẫn đang là một mối đe dọa nghiêm trọng, một công cụ nguy hiểm của hacker. Chúng
ta hãy tìm hiểu về DDoS và sản phẩm kế thừa từ nó các cuộc tấn công botnet .
1.7.1

Giới thiệu Bot và Botnet

1.7.1.1 Khái niệm Bot và Botnet
Bot là viết tắt của từ RoBot, tức là chương trình tự động hóa (không phải là người máy như
chúng ta thường vẫn gọi) thường xuyên được sử dụng trong thế giới internet. Người ta định
nghĩa spider được dùng bởi các công cụ tìm kiếm trực tuyến ánh xạ website và phần mềm đáp
ứng theo yêu cầu trên IRC là robot .Chúng ta sẽ quan tâm đến một robot cụ thể (hay Bot như
tên vẫn thường gọi) là IRC Bot. IRC Bot còn được gọi là Zombie hay drone. IRC – Internet
Relay Chat là một dạng truyền dữ liệu thời gian thực trên Internet. Nó thường được thiết kế
sao cho một người có thể nhắn vào được một group và mỗi người có thể giao tiếp với nhau
với một kênh khác nhau gọi là Channels. Đầu tiên Bot kết nối kênh IRC với IRC sever và đợi
giao tiếp giữa những người với nhau. Ví dụ cụ thể như kẻ tấn công có thể điều khiển mạng
Bot và sử dụng mạng Bot cũng như sử dụng nhằm mục đích nào đó. Nhiều mạng Bot kết nối
với nhau được gọi là Botnet.
Botnet định nghĩa là hệ thống zombie chịu sự điều khiển của Attacker hay còn gọi là mạng
máy tính ma. Mạng Botnet bao gồm nhiều máy tính và nó được sử dụng tấn công DDoS. Một
mạng Botnet nhỏ có thể chỉ gồm 1000 máy tính nhưng mỗi máy tính này kết nối với Internet
tốc độ chỉ là 128Kbps thì mạng Botnet có khả năng tạo băng thông là 1000*128~ 100Mbps .
Đây là một con số thể hiện băng thông mak khó một nhà Hosting nào có thể share cho mỗi

trang web của mình.

2.1.1.2 Hoạt động
Tuy từ "botnet" có thể dùng để chỉ một nhóm bot bất kỳ, chẳng hạn IRC bot, từ này thường
được dùng để chỉ một tập hợp các máy tính đã bị tấn công và thỏa hiệp và đang chạy các
chương trình độc hại, thường là sâu máy tính, trojan horse hay backdoor, dưới cùng một hạ

14


tầng cơ sở lệnh và điều khiển. Một chương trình chỉ huy botnet có thể điều khiển cả nhóm bot
từ xa, thường là qua một phương tiện chẳng hạn như IRC, và thường là nhằm các mục đích
bất chính. Mỗi con bot thường chạy ẩn và tuân theo chuẩn RFC 1459 (IRC). Thông thường,
kẻ tạo botnet trước đó đã thỏa hiệp một loạt hệ thống bằng nhiều công cụ đa dạng (tràn bộ
nhớ đệm, ...). Các bot mới hơn có thể tự động quét môi trường của chúng và tự lan truyền bản
thân bằng cách sử dụng các lỗ hổng an ninh và mật khẩu yếu. Nếu một con bot có thể quét và
tự lan truyền qua càng nhiều lỗ hổng an ninh, thì nó càng trở nên giá trị đối với một cộng
đồng điều khiển botnet.

Hình 2.: Hoạt

động botnet

Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngày càng ẩn kĩ. Do
đa số các mạng IRC truyền thống thực hiện các biện pháp cấm truy nhập đối với các botnet
đã từng ngụ tại đó, những người điều khiển botnet phải tự tìm các server cho mình. Một
botnet thường bao gồm nhiều kết nối, chẳng hạn quay số, ADSL và cáp, và nhiều loại mạng
máy tính, chẳng hạn mạng giáo dục, công ty, chính phủ và thậm chí quân sự. Đôi khi, một
người điều khiển giấu một cài đặt IRC server trên một site công ty hoặc giáo dục, nơi các
đường kết nối tốc độ cao có thể hỗ trợ một số lớn các bot khác. Chỉ đến gần đây, phương


pháp sử dụng bot để chỉ huy các bot khác mới phát triển mạnh, do đa số hacker không
chuyên không đủ kiến thức để sử dụng phương pháp này.

1.7.1.2 Tổ chức
Các server botnet thường liên kết với nhau, sao cho một nhóm có thể chứa từ 20 máy riêng
biệt tốc độ cao đã bị phá hoại, các máy này nối với nhau với vai trò các server nhằm mục tiêu
tạo môi trường dư thừa lớn hơn. Các cộng đồng botnet thực tế thường bao gồm một hoặc
15


nhiều người điều khiển - những người tự coi là có quyền truy nhập hợp lệ tới một nhóm bot.
Những điều khiển viên này hiếm khi có các hệ thống chỉ huy phân cấp phức tạp trong họ; họ
dựa vào các quan hệ thân hữu cá nhân. Mâu thuẫn thường xảy ra giữa những điều khiển viên
về chuyện ai có quyền đối với máy nào và những loại hành động nào là được phép hay không
được phép làm.
2.1.1.4 Xây dựng và khai thác
Ví dụ này minh họa cách thức một botnet được tạo và dùng để gửi thư rác (spam).
-

-

Một điều phối viên botnet phát tán virus hoặc sâu máy tính, làm nhiễm các máy tính
cá nhân chạy Windows của những người dùng bình thường, dữ liệu của virus hay sâu
đó là một ứng dụng trojan -- con bot.
Tại máy tính bị nhiễm, con bot đăng nhập vào một server IRC nào đó (hay là một
web server). Server đó được coi là command-and-control server (C&C).
Một người phát tán spam mua quyền truy nhập botnet từ điều phối viên.
Người phát tán spam gửi các lệnh qua IRC server tới các máy tính bị nhiễm, làm cho
các máy tính này gửi các thông điệp rác tới các máy chủ thư điện tử.


Hình 2.: Cách

thức một botnet được tạo và gửi spam

Các botnet được khai thác với nhiều mục đích khác nhau, trong đó có các tấn công từ chối
dịch vụ, tạo và lạm dụng việc gửi thư điện tử để phát tán thư rác (xem Spambot), click fraud,
và ăn trộm các số serial của ứng dụng, tên đăng nhập, và các thông tin tài chính quan trọng
chẳng hạn như số thẻ tín dụng.
Cộng đồng điều khiển botnet luôn có một cuộc đấu tranh liên tục về việc ai có được nhiều bot
nhất, nhiều băng thông nhất, và số lượng lớn nhất các máy tính "chất lượng cao" bị nhiễm,
chẳng hạn như máy tính tại trường đại học, các công ty, hay thậm chí cả trong các cơ quan
chính phủ.

16


1.7.2

IRC

IRC viết tắt của từ Internet Relay Chat. Là một giao thức được thiết kế cho hoạt động liên lạc
theo kiểu hình thức tán gẫu thời gian thực dựa trên kiến trúc client - sever Hầu hết mọi sever
IRC đều cho phép truy cập miễn phí , không kể đối tượng sử dụng IRC là một giao thức mạng
mở dựa trên nền tảng IPC ( Transmission Control Protocol –Giao thức điều khiển truyền vận )
, đôi khi được nâng cao với SSL (Sccure Sockets Layer – tầng sockets bảo mật ).
Một sever IRC kết nối sever IRC khác trong cùng một mạng. Người dùng IRC có thể liên lạc
với người dùng theo hai hình thức công cộng (trên các kênh) hoặc riêng tư (một đối một). Có
2 mức cơ bản truy cập vào kênh IRC: mức người dùng (user) và mức điều hành (operator).
Nguời dùng nào tạo một kênh liên lạc riêng sẽ trở thành người điều hành. Một điều hành viên

có nhiều quyền hơn (tùy thuộc vào từng kiểu chế độ do người điều hành ban đầu thiết lập) so
với người dùng thông thường.
Các bot IRC được coi như một người dùng hoặc điều hành viên thông thường .Quá trình điều
khiển các Bot này thông thường dựa trên việc gửi lệnh để thiết lập kênh liên lạc do hacker
thực hiện với mục đích là phá hoại. Việc quản trị Bot cũng đòi hỏi cơ chế thẩm định và cấp
phép nên chỉ có chủ sở hữu chúng mới sử dụng.
Thành phần quan trọng của các Bot này là những sự kiên mà chúng có thể dùng phát tán
nhanh chóng tới máy tính khác. Xây dựng kế hoạch cẩn thận cho chương trình tấn công sẽ
giúp thu được kết quả tốt hơn và thời gian ngắn hơn (ví dụ như xâm phạm được nhiều máy
tính).Một số n Bot được kết nối vào một kênh đơn để chờ lệnh từ kẻ tấn công thì được gọi là
một Botnet.
Các mạng zombie (một tên khác của máy tính bị tấn công theo kiểu Bot) thường được điều
khiển qua công cụ độc quyền, do chính những kẻ chuyên bẻ khóa cố tính phát triển .Trải qua
thời gian chúng hướng tới phương thức điều khiển từ xa. IRC được xem là công cụ phát động
các cuộc tấn công nhờ tính linh hoạt và dễ sử dụng và đặc biệt các sever chung có thể được
dùng như một phương tiện liên lạc. IRC cung cấp cách thức điều khiển đơn giản hàng trăm
thậm chí hàng nghìn Bot cùng một lúc linh hoạt. Nó cũng cho phép kẻ tấn công che đậy nhận
dạng thật của mình với một số thủ thuật đơn giản như sử dụng proxy nạp danh hay giả mạo
địa chỉ IP.Cũng chính vì vậy chúng để lại dấu vết cho người quản lý server lần theo.
Trong hầu hết các trường hợp tấn công của Bot, nạn nhân của yếu là người dùng máy tính đơn
lẻ sever của các trường đại học hay mạng doanh nghiệp nhỏ. Lý do vì máy tính ở nhưng nơi
không được giám sát mạnh mẽ và để hoàn toàn lớp bảo vệ mạng.Những đối tượng người dùng
này thường không xây dựng cho mình chính sách bảo mật hoặc nếu có thì không hoán chỉnh
chỉ cục bộ ở một số phần .Hầu hết người dùng máy tính cá nhân kết nối đường truyền ADSL
đều không nhận thức được mối nguy hiểm xung quanh và không sử dụng phần mềm bảo vệ
như các công cụ diệt virul hay tường lửa cá nhân.

17



1.7.3

Mục đích sử dụng mạng Botnet

Tấn công Distributed Denial-of-Sever-DDos
-

Botnet được sử dụng tấn công DDos
Spamming
Mở một SOCK v4/v5 proxy sever cho việc spamming.

Sniffing traffic
-

Bot cũng có thể sử dụng các gói tin nó sniffer(tóm được các giao thức trên
mạng)sau khi tóm được gói tin và giải mã những gói tin để lấy được các nội
dung có ý nghĩa như tài khoản ngân hàng hay nhiều thông tin có giá trị khác
của người sử dụng .

Keyloging
-

Với sự trợ giúp của keylogger rất nhiều thông tin nhậy cảm của người dùng
có thế bị kẻ tấn công khai thác như tài khoản trên e-banking, cũng như nhiều
tài khoản khác.

Cài đặt và lây nhiễm chương trình độc hại
-

Botnet có thể sử dụng để tạo ra mạng và những mạng Bot mới.

Cài đặt những quảng cáo Popup
Tự động bật ra những quảng cáo không mong muốn cho người dùng.

18


Google adsense abuse
-

-

1.8

Tự động thay đổi các kết quả tìm kiếm hiện thị mỗi người khi sử dụng dịch vụ tìm
kiếm Google, khi thay đổi kết quả nó sẽ lừa người dùng kích vào những trang web
nguy hiểm.
Tấn công vào IRC Chat Network
Nó được gọi là clone attack
Phishing
Mạng Botnet còn được sử dụng để phishing mail nhằm lấy thông tin nhạy cảm của
người dùng.

Lịch sử tấn công DDoS

1.8.1

Mục tiêu

Mục tiêu của cuộc tấn công thường vào các web lớn cũng như các tổ chức thương mại điện tử
trên Internet. Mục tiêu được thực hiện bởi những đối tượng:

-

-

1.8.2
-

-

Điển hình là cộng đông hacker kinh điển tốn không ít giấy mực của báo chí là
Anonymous (Nhóm hacker được biết đến nhiều nhưng thông tin định danh
cũng như hành tung của cộng đồng này ít được biết đến). Nhóm hacker thực
hiện hàng loạt vụ tấn công DDoS nhằm vào các website chính chủ, đánh cắp
thông tin cá nhân ….
Ngoài ra còn có những cá nhân khác, hoạt động không có tổ chức chỉ nhằm
mục đích kiếm tiền hoặc ăn cắp thông tin cá nhân để thực hiện gian
lận.Không đâu xa có thể tìm thấy tin rao vặt ở nhiều nơi điển hình .
Các cuộc tấn công DDoS nổi tiếng trong lịch sử

Vào ngày 15/8/2003, Microsoft đã chịu đợt tấn công DDoS cực mạnh và làm
gián đoạn websites trong vòng 2h.
Vào lúc 15:09 h GMT ngày 27/03/2003 toàn bộ phiên bản tiếng anh của
websites Al-Jazeera bị tấn công làm gián đoạn nhiều giờ.
1998 Chương trình Trinoo Distributed Denial of Service (DDoS)được viết bởi
Phifli.
Tháng 5_1999 Trang chủ của FBI đã ngừng hoạt động vì cuộc tấn công bằng
(DDoS)
Tháng 6-1999 Mạng Trinoo đã được cài đặt và kiểm tra trên hơn 2000 hệ
thống
Lúc 7h tối ngày 9-2/2000 Website Excite.com là cái đích một vụ tấn công từ

chối dịch vụ, dữ liệu được luyên chuyển tới tấp trong vòng 1 giờ cho đến khi
kết thúc và gói dữ liệu đó đã hư hỏng nặng.
7/2/2000 Yahoo! Đã bị tấn công từ chối dịch vụ và ngừng trệ hoạt động trong
vòng ba giờ đồng hồ.

19


-

-

-

-

-

-

Tháng 2/2001, máy chủ của Cục tài chính Ireland bị một số sinh viên Đại học
Maynooth ở nước này tấn công DDoS
Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to Castle
Wolfenstein, Halo, Counter-Strike …bị nhóm RUS tấn công với hệ thống điều
khiển chủ yếu đặt tại Nga, Uzbekistan và Belarus
Trong suốt các tuần đầu của cuộc chiến Nam Ossetia 2008, các trang web của
chính phủ Georgia luôn trong tình trạng quá tải, gồm các trang web ngân hàng
quốc gia và của tổng thống Georgia Mikhail Saakashvili. Chính phủ Nga phủ
nhận mọi sự cáo buộc cho rằng họ đứng đằng sau vụ tấn công.
Ngày 25/6/2009 khi Michael Jackson qua đời, lượng truy cập tìm kiếm các từ

khóa có liên quan đến ca sĩ này quá lớn khiến Google News lầm tưởng đây là
một cuộc tấn công tự động.
Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đám
như Facebook, Twitter, LiveJournal và một số website của Google được thực
hiện chỉ để "khóa miệng" một blogger có tên Cyxymu ở Georgia.
Ngày 28/11/2010, WikiLeaks bị tê liệt vì DDoS ngay khi họ chuẩn bị tung ra
những tài liệu mật của chính phủ Mỹ.
Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com
sau khi tổ chức những cuộc tấn công tương tự vào Mastercard và PayPal để trả
đũa cho việc chủ WikiLeaks bị tạm giam ở Anh.
Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công.
Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt vì
DDoS.
Gần đây nhất là vụ tấn công của Website Bkav. Cụ thể chỉ là 2 ngày sau khi bị
tấn công Website nhánh webscan.bkav.com.vn , từ tối ngày 4/2/2012 , trang
chủ Bkav tại địa chỉ www.bakav.com.vn đã không thể truy cập .

Các khách hàng sử dụng phần mềm diệt virut Bkav bản mất phí Bkav Pro cũng không thể
kết nối tới máy chủ để cập nhật các virut mới.

20


Hình 2.: Website

Bkav bị tấn công

Đến rạng sáng (5/2) trang chủ Bkav tiếp tục chuyển hướng tới trang “/trang-chu3”, kết nối rất
ít khi thành công. Khi truy cập được, trang chủ Bkav không có dấu hiệu bị sửa đổi bởi hacker
và cũng không có bất cứ thông báo nào liên quan đến sự cố.

Trước đó vào tháng 10/2008 Website của Bkav cũng từng bị tấn công DDoS bởi một mạng
Botnet có quy mô lớn nhất ở Việt Nam tại thời điểm đó với khoảng 1000 máy tính khiến hệ
thống không thể hoạt động . Đối tượng đó đã bị bắt sau đó không lâu .
Những vụ tấn công DDoS nổi tiếng thế giới xem tại
/>
1.9

Định nghĩa khái quát về tấn công DoS - DDoS

1.9.1

Khái niệm Dos

Tấn công DoS – Denial of Service là một kiểu tấn công làm cho hệ thống không thể sử
dụng được hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường
bằng cách làm quá tải tài nguyên của hệ thống. Nếu kẻ tấn công không có khả năng thâm
nhập vào được hệ thống thì chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có
khả năng phục vụ người dùng bình thường.
Mặc dù tấn công DoS không có khả năng truy cập và dữ liệu thực của hệ thống nhưng nó có
thể làm gián đoạn các dịch vụ mà hệ thống cung cấp.
Các mục đích của tấn công DoS:
-

-

Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ
thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình
thường.
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ.
Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó

Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào.
21


-

Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị:
• Disable Network - Tắt mạng
• Disable Organization - Tổ chức không hoạt động
• Financial Loss – Tài chính bị mất

1.9.1.1 Phương thức tấn công từ chối dịch vụ -DoS
Tạo ra cuộc tấn công DoS là tất cả các cách có thể để phá hỏng hoặc làm cho hệ thống ngừng
hoạt động. Có nhiều cách để làm hệ thống ngừng hoạt động và thường tồn tai ở nhiều lỗ hổng
trong hệ thống để những kẻ tấn công sẽ có gắng khai thác hoặc định vị để tấn công vào trong
chúng cho đến khi kẻ tấn công nhận được mong muốn: mục tiêu phải bị chuyển sang trạng
thái offine.
Khai thác các điểm yếu của mục tiêu
Việc tấn công bằng khai thác các điểm yếu của mục tiêu bao gồm việc gửi các gói tin khai
thác các lỗ hổng tồn tại trong máy tính mục tiêu. Ví dụ có một lỗi trong Win 95 và NT và một
số phiên bản nhân Linux, trong việc xử lý không đúng các gói phân mảnh. Thông thường khi
một gói tin quá lớn cho một mạng nào đó, nó được chia thành hai hoặc các gói nhỏ hơn và
mỗi phần tử trong số họ được đánh số thứ tự phân mảnh. Việc đánh dấu chỉ ra thứ tự của byte
đầu tiên và byte cuối cùng trong gói tin đối với bản gốc. Tại máy nhận các gói tin, chúng sẽ
hợp lại thành các gói dữ liệu gốc thông qua việc nối các gói tin theo số thứ tư đã đánh. Tuy
vậy các lỗ hổng trong đã khiến cho máy trở nên không ổn định khi nhận các gói tin không
đúng số thứ tự phân mảnh, khiến nó có thể treo, sụp đổ, hoặc khởi động lại. Điểm dễ bị tổn
thương này có thể được khai thác bằng gói tin UDP với số thứ tự lặp cho nạn nhân. Có một số
biến thể của việc khai thác này – gửi các mảnh số có thứ tự chồng nhau, một gói tin offset
chồng lên gói tin thứ hai trước khi bắt đầu tiêu đề trong gói tin đầu tiên và như vậy. Chúng

được biết đến như là các khai thác bonk, boink, teardrop, và newtear.
Các cuộc tấn công đặc biệt này dễ gây tổn thương xấu bởi vì chúng có thể làm sụp đổ hay treo
máy bằng việc chỉ cần gửi lặp lại một hoặc hai gói tin được chọn lựa cẩn thận. Tuy nhiên một
khi lỗ hổng được vá các cuộc tấn công ban đầu trở nên không hiệu quả .
Tấn công vào giao thức
Một ví dụ lý tưởng của các cuộc tấn công giao thức đó là tấn công tràn ngập gói TCP
SYN.Một phiên kết nối TCP bắt đầu với việc bắt tay ba bước giữa một máy khách và máy
chủ. Khách hàng gửi một gói tin TCP SYN đến máy chủ yêu cầu một số dịch vụ. Trong phần
đầu gói SYN, khách hàng cung cấp số thứ tự - sequence number của mình, một uniqueper –
số kết nối sẽ được sử dụng để đếm dữ liệu được gửi đến máy chủ ( vì vậy các máy chủ có thể
nhận ra và xử lý mất tích, thủ tiêu dữ liệu không đúng, hoặc dữ liệu lặp đi lặp lại ) Khi nhận
được gói SYN máy chủ cấp phát một khối điều khiển truyền dẫn (TCB), lưu thông tin về
khách hàng. Sau đó trả lời bằng một SYN- ACK thông báo cho khách hàng có yêu cầu rằng
dịch vụ của nó sẽ được cấp, ghi nhận số thứ tự của khách hàng và gửi thông tin về số thứ tự
22


ban đầu của máy chủ. Các khách hàng, khi nhân gói SYN- ACK cũng cấp phát một khối điều
khiên truyền dẫn sau đó trả lời với một gói ACK đến máy chủ để hoàn thành việc mở kết nối.
Tiềm năng lạm dụng nằm trọng việc cấp phát nguồn tài nguyên của máy chủ ngay từ khi nhận
được gói SYN. Khi máy chủ giao TCB của mình và trả lời bằng một SYN –ACK, kết nối
được cho là nửa mở. Nghĩa là tài nguyên máy chủ cấp phát sẽ được giữ để dành cho kết nối
của khách hàng, cho đến khi khách hàng gửi một gói tin ACK, đóng kết nối (bằng cách gửi
gói tin RST) hoặc cho đến khi hết hạn chờ và sever ngắt kết nối, giải phóng không gian đệm.
Và cho dù khách hàng có gửi lại gói tin khác, hay không, thì tài nguyên đó sẽ được cấp phát
giữ trong một khoảng thời gian nhất định. Trong một cuộc tấn công tràn gói tin TCP SYN, kẻ
tấn công tạo ra vô số kẻ kết nối nửa mở bằng cách sử dụng giả mạo IP nguồn.Những yêu cầu
nhanh chóng vắt kiệt bộ nhớ TBC của máy chủ và khi đó máy chủ sẽ không còn có thể chấp
nhận yêu cầu kết nối nữa.Để có thể giữ cho tình trạng này được kéo dài như mong muốn, kẻ
tấn công cần phải tạo ra một dòng đều đặn các gói SYN đối với nạn nhân (để dành lấy những

tài nguyên đã được giải phóng bởi thời gian tạm ngừng hoặc hoàn thành các phiên TCP)
Đây là cuộc tấn công đặc biệt nguy hiểm, khi mà máy chủ nhận được một số lượng các gói
SYN hợp pháp và không dễ dàng phân biệt các gói từ khách hàng hợp pháp với các gói từ
giao thông tấn công.
Để thực hiện thành công một cuộc tấn công tràn ngập gói SYN, kẻ tấn công cần xác định vị trí
cổng mở trên máy nạn nhân. Sau đó chỉ cần gửi một lưu lượng gói tin nhỏ, tầm 10 gói SYN/
phút là có thể dần dần vắt kiệt tài nguyên của nạn nhân. Một kiểu tấn công SYN ít phổ biến
hơn đó là tấn công tràn gói SYN với cổng ngẫu nhiên. Trong đó, kẻ tấn công tạo ra một khối
lượng lớn các gói tin TCP SYN nhắm mục tiêu cổng ngẫu nhiên của nạn nhân, với mục tiêu
áp đảo tài nguyên mạng của nạn nhân hơn là làm đầy bộ nhớ đệm của nạn nhân.
Tấn công vào giao thức rất khó để có thể chống lại bằng phương pháp sửa chữa, tạo bản vá.
Bởi tạo bản vá yêu cầu phải thay đổi giao thức, trong khi thực tế cho thấy việc thay đổi giao
thức internet gần như là bất khả thi. Trong một số trường hợp việc sử dụng giao thức hiện tại
một cách thông minh có thể giải quyết vấn đề. Như việc sử dụng TCP SYN cookies có thể
giải quyết được tấn công tràn gói SYN mà chỉ cần thay đổi cách sever xử lý kết nối đến.
Tấn công vào Middleware
Các cuộc tấn công có thể thực hiện trên các thuật toán, chẳng hạn như hàm băm thông thường
sẽ thực hiện các hoạt động của mình trong thời gian tuyến tính cho mỗi mục tiếp theo. Bằng
cách chèn các giá trị mà tạo ra các trường hơp xấu nhất, kẻ tấn công có thể khiên các ứng
dụng thực hiện chức năng của mình trong thời gian tiếp theo hàm mũ đối với tham số nhập
vào.
Khi kẻ tấn công có thể tự do gửi dữ liệu được xử lý bằng cách sử dụng hàng băm dễ bị tổn
thương, hẳn có thể gây ra việc CPU của máy chủ bị sử dụng quá năng lực khiến cho nhưng

23


hoạt động bình thường chỉ tốn vài phần của giây để xử lý, giờ phải mất vài phút để hoàn
thành. Và nó cũng không cần đến một lượng lớn request để thực hiện cũng có thể làm quá tải
các ứng dụng, khiến nó không còn năng lực để phục vụ được người dùng hợp pháp.

Tấn công vào ứng dụng
Những kẻ tấn công có thể nhắm mục tiêu một ứng dụng cụ thể và gói tin để đạt tới giới
hạn của yêu cầu dịch vụ ứng dụng này có thể xử lý. Ví dụ các máy chủ web phải mất một thời
gian nhất định để phục vụ yêu cầu trang web bình thường, và do đó sẽ tồn tại một số hữu hạn
các yêu cầu tối đa cho mỗi giây mà họ có thể duy trì. Nếu chúng ta giả định rằng các máy

chủ web có thể xử lý 1.000 yêu cầu mỗi giây để tải các file tạo nên trang chủ của một
công ty, do đó nhiều nhất là 1.000 yêu cầu của khách hàng có thể được xử lý đồng
thời. Chúng ta giả định là máy chủ web này bình thường xử lý hằng ngày là 100 yêu
cầu / giây (một phần mười công suất)
Nhưng kẻ tấn công điều khiển 10.000 máy agent và có khả năng mỗi một máy trong số đó
thực hiện một yêu cầu trong 10 giây đến máy chủ web. Đó là tần suất 1000 yêu cầu / giây,
cộng thêm vào giả định giao thông bình thường nữa trở thành 110% công suất máy chủ. Bây
giờ một phần lớn các yêu cầu hợp pháp sẽ không thể thông qua bởi vì máy chủ bị bão hòa.
Cũng như các cuộc tấn công vào middleware, một cuộc tấn công ứng dụng có thể không làm
tê liệt toàn bộ máy chủ lưu trữ hoặc xuất hiện như một số lượng lớn các gói tin gửi đến sever.
Vì vậy, một lần nữa, nhiều cách phòng thủ khonng thể giúp bảo vệ chống lại loại hình tấn
công này.
Pure Flooding
Với 1 lượng đủ lớn các agent, kẻ tấn công chỉ cần gửi bất kì loại gói tin nào đến mục tiieu,
càng nhanh càng tốt từ mỗi máy là đủ tiêu thụ hết băng thông mạng của mục tiêu. Đây được
gọi là cuộc tấn công tiêu thụ băng thông. Nạn nhân không thể một mình chống đỡ lại cuộc tấn
công này, vì các gói tin hợp pháp được gửi vào liên kết giữa nhà cũng cấp dịch vụ và mạng
của nạn nhân. Vì vậy, nạn nhân thường phải yêu cầu sự giúp đỡ của các ISP để lọc ra các gói
tin tấn công gửi tới.
Trong các trường hợp đó, thường các ISP cũng bị ảnh hưởng bởi cuộc tấn công, ít nhất là trên
router kết nối giữa mạng ISP và của nạn nhân. Thường chính họ cũng cần phải lọc lại trên
router và thậm chí còn phải yêu cầu nhà cũng cấp đường truyền upstream lọc các giao thông
đến mạng của họ. Trong vài trường hợp, các gói tin tấn công là đơn giản để lọc như các gói
tin UDP đến các cổng không được sử dụng, các gói tin với giá trị IP 255. Ở trường hợp khác ,

các gói tin rất khó để lọc , như gói DNS query, HTTP request…thì việc lọc sẽ loại cả các gói
tin hợp lệ, do đó sau khi lọc thì giao thông gửi tới khách hàng của nạn nhân sẽ trở về không,
kể tấn công đạt được kết quả của tấn công DoS.

IP Spoofing
24


Một chiến thuật được sử dụng trong các cuộc tấn công nguy hiểm, đặc biệt ở DDoS đó
là IP Spoofing, hay IP giả mạo. Trong các gói tin mạng bình thường, trường tiêu đề sẽ là nơi
chứa địa chỉ IP của máy nguồn, địa chỉ máy đích. Giả mạo IP diễn ra khi một phần mềm độc

hại tạo ra các gói tin riêng và thay thế địa chỉ IP nguồn bằng địa chỉ IP nào khác, thông
qua việc và thiết lập các raw socket, socket do người dùng định nghĩa.
Có một vài mức giả mạo IP khác nhau:
Giả mạo IP một cách ngẫu nhiên: phần mềm sẽ tạo ra một địa chỉ IPv4 ngẫu nhiên trong
khoảng từ 0.0.0.0 đến 255.255.255.255. Trong một số trường hợp , nó sẽ tạo ra các địa chỉ
IPv4 sai, như địa chỉ thuộc miền 192.168.0.0 là miền dùng cho mạng cá nhân, hoặc địa chỉ
multicast, broastcast, địa chỉ không tồn tại ( như 0.1.2.3) . Tuy vậy trong hầu hết trường hợp
thì nó đều được địa chỉ IP hợp lệ và có thể định tuyến được.
Giả mạo mặt nạ mạng: Nếu một máy thuộc mạng 192.168.1.0/24 thì nó dễ dàng giả mạo một
máy nào khác ở trong cùng một mạng, ví dụ như máy 192.168.1.34 có thể giả mạo dễ dàng
máy 192.168.1.35 hoặc 192.168.1.99.

Giả mạo chính địa chỉ của nạn nhân: Đây là một kiểu giả mạo rất nguy hiểm nếu như
máy chủ của nạn nhân không có được những thiết lập phòng chống. Kẻ tấn công chỉ
cần đơn giản giả mạo máy chủ của máy nạn nhân, gửi một gói tin request, ví dụ như
gói tin TCP SYN, và nếu máy nạn nhân không có một cơ chế lọc tốt, nó sẽ nhận gói
tin, cấp phát tài nguyên cho request và gửi trả lời lại cho chính nó. Điều này dẫn tới
một vòng lặp vô tận trong chính máy nạn nhân, giữa một bên cần nhận thông tin phản

hồi còn một bên thì không bao giờ gửi thông tin phản hồi đó cả.
Trong thực tế, giả mạo địa chỉ IP không phải là cần thiết cho cuộc tấn công DDoS thành
công , bơi vì kẻ tấn công có thể vắt kiệt tài nguyên và khả năng xủ lý của nạn nhân với một
lượng lớn các gói tin mà không cần liên quan gì đến địa chỉ nguồn. Tuy vậy một số kẻ tấn
công sử dụng IP Spoofing cho một vài lí do, như để che giấu địa chỉ của các agent, từ đó che
giấu được địa chỉ của handler và của kể tấn công tốt hơn, hoặc sử dụng cho tấn công phản xạ
nhiều vùng DRDoS là hình thức tấn công mạnh nhất hiện nay giả mạo địa chỉ IP của nạn
nhân để yêu cầu một số server lớn gửi các truy vấn hợp pháp đến server nạn nhất, kết quả là
nạn nhân bị tấn công các server lớn trên thế giới, và không thể chống đỡ nổi. IP Spoofing
cũng giúp kẻ tấn công vượt qua cơ chế bảo vệ của một số máy chủ khi họ lưu địa chỉ các
khách hàng thường xuyên và dùng nó làm danh sách địa chỉ tin cậy ưu tiên truy cập trong
trường hợp bọi tấn công.

1.9.1.2 Tìm hiểu một số dạng tấn công từ chối dịch vụ DoS
Tùy phương thức thực hiện mà tấn công DoS được biết dưới nhiều tên gọi khác nhau. Các
kiểu tấn công thuộc phương thức này rất đa dạng:

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×