Tải bản đầy đủ (.doc) (19 trang)

Đề tài DDoS attacks

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (616.52 KB, 19 trang )

BÁO CÁO BÀI TẬP LỚN MÔN
BẢO MẬT MẠNG

ĐỀ TÀI :

DDoS attacks

Giảng viên hướng dẫn : Nguyễn Khánh Văn
NHÓM 3
Lớp : IS1 – Việt Nhật.

1


I.

Khái niệm bảo mật.

Với tốc độ phát triển internet hiện nay vấn đề an ninh mạng và bảo
mật dữ liệu đang trở lên rất cấp thiết. Cùng với sự phát triển về các dịch vụ
internet thì nạn tấn công qua mạng lại càng trở nên nguy hiểm hơn bao giờ
hết. Tội phạm càng ngày càng tinh vi hơn, sử dụng công nghệ cao hơn.
Chính vì vậy vấn đề bảo mật càng ngày càng được chú trọng.
Một doanh nghiệp muốn phát triển trước tiên hệ thống thông tin của
họ phải được bảo vệ an toàn, không để cho kẻ khác nghe trộm lấy cắp thông
tin. Giá trị thông tin của một doanh nghiệp là tài sản vô gía. Không chỉ thuần
túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ
với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị
đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau. Hacker,
attacker, virus…quá quen thuộc với mỗi chúng ta.Và chính vì vậy, tất cả
những hệ thống này cần trang bị những công cụ đủ mạnh để đối phó với


những phương thức tấn công vào hệ thống mạng của chúng ta. Ai tạo ra bức
tường lửa đủ mạnh này để có thể chống đỡ mọi ý đồ xâm nhập vào hệ
thống? không ai cả. an toàn bảo mật nằm trong chính chúng ta!

II.

Các hình thức tấn công trên mạng.
1. Tấn công trực tiếp.

Hacker sẽ sử dụng thông tin đã biết về user để dò tìm mật khẩu. Cách
này thì khá là đơn giản về dễ sử dụng. Ngoài ra hacker cũng có thề dùng
phần mềm để dò tìm mật khẩu người dùng trên mạng. Cách này tuy đơn giản
nhưng tỉ lệ thành công khá cao. Chính vì thế người dùng nên đề phòng với
cách này của hacker.

2. Nghe trộm trên mạng.
Khi gửi dữ liệu đi. Dữ liệu không đến trực tiếp máy tính đích mà
thông qua nhiều máy trung gian. Chính vì thế kẻ tấn công đã lợi dụng cơ hội
này đề kiểm soát quyền truy nhập vào hệ thống. Hacker sẽ đứng trung gian
để lấy cắp dữ liệu và có thể thay dữ liệu đó bằng dữ liệu khác nguy hiểm
hơn. Thông tin của chúng ta trước khi tới đích đã bị sai lệch hoàn toàn.
2


Điều này rất nguy hiểm nếu như đó là 1 giao dịch trực tuyến. chính vì thế
chúng ta đã nghĩ ra nhiều cách để hạn chế sự nghe trộm của kẻ thứ 3 ví dụ
như sử dụng chữ kí điện tử….

3. Giả mạo địa chỉ.
Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng dẫn

đường trực tiếp. Với cách tấn công này kẻ tấn công gửi các gói tin tới mạng
khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin
phải đi. Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi đi những
thông tin có thể làm ảnh hưởng xấu tới bạn.

4. Vô hiệu hoá các chức năng của hệ thống.
Đây là kiểu tấn công làm tê liệt hệ thống, từ chối dịch vụ (Denial of
Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó
được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những phương
tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm
việc và truy cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra
là một người trên mạng sử dụng chương trình đẩy ra những gói tin yêu cầu
về một trạm nào đó. Khi nhận được gói tin, trạm luôn luôn phải xử lý và tiếp
tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạng những
nhu cầu cung cấp dịch vụ của các máy khác đến trạm không được phục vụ.
Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài
nguyên giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và
phức tạp. Do vậy loại hình tấn công này còn được gọi là kiểu tấn công không
cân xứng (asymmetric attack). Chẳng hạn như kẻ tấn công chỉ cần một máy
tính PC thông thường với một modem tốc độ chậm vẫn có thể tấn công làm
ngưng trệ các máy tính mạnh hay những mạng có cấu hình phức tạp. Điều
này được thể hiện rõ qua các đợt tấn công vào các Website của Mỹ đầu
tháng 2/2000 vừa qua.

5. Tấn công vào các yếu tố con người.
Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những
tổn thất hết sức khó lường. Kẻ tấn công có thể liên lạc với người quản trị hệ
thống thay đổi một số thông tin nhằm tạo điều kiện cho các phương thức tấn
công khác.


3


Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên mạng chính
là người sử dụng. Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ năng,
trình độ sử dụng máy tính, bảo mật dữ liệu không cao. Chính họ đã tạo điều
kiện cho những kẻ phá hoại xâm nhập được vào hệ thống thông qua nhiều
hình thức khác nhau như qua email hoặc sử dụng những chương trình không
rõ nguồn gốc, thiếu độ an toàn.
Với kiểu tấn công như vậy sẽ không có bất cứ một thiết bị nào có thể
ngăn chặn một cách hữu hiệu chỉ có phương pháp duy nhất là hướng dẫn
người sử dụng mạng về những yêu cầu bảo mật để nâng cao cảnh giác. Nói
chung yếu tố con người là một đIểm yếu trong bất kỳ một hệ thống bảo vệ
nào và chỉ có sự hướng dẫn của người quản trị mạng cùng với tinh thần hợp
tác từ phía người sử dụng mới có thể nâng cao độ an toàn của hệ thống bảo
vệ.

6. Một số kiểu tấn công khác.
Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một số
kiểu tấn công khác như tạo ra các virus đặt nằm tiềm ẩn trên các file khi
người sử dụng do vô tình trao đổi thông tin qua mạng mà người sử dụng đã
tự cài đặt nó lên trên máy của mình. Ngoài ra hiện nay còn rất nhiều kiểu tấn
công khác mà chúng ta còn chưa biết tới và chúng được đưa ra bởi những
hacker.

7. Phương pháp chung ngăn chặn các kiểu tấn công.
Để thực hiện viêc ngăn chặn các truy nhập bất hợp pháp đòi hỏi chúng
ta phải đưa ra những yêu cầu hoạch định chính sách như: xác định những ai
có quyền sử dụng tài nguyên của hệ thống, tài nguyên mà hệ thống cung cấp
sẽ được sử dụng như thế nào những ai có quyền xâm nhập hệ thống. Chỉ nên

đưa ra vừa đủ quyền cho mỗi người để thực hiện công việc của mình. Ngoài
ra cần xác định quyền lợi và trách nhiệm của người sử dụng cùng với quyền
lợi và nghĩa vụ của người quản trị hệ thống. Hiện nay, để quản lý thông tin
truy nhập từ ngoài vào trong hay từ trong ra ngoài người ta đã thiết lập một
bức tường lửa (Firewall) ngăn chặn những truy nhập bất hợp pháp từ bên
ngoài đồng thời những server thông tin cũng được tách khỏi các hệ thống
site bên trong là những nơi không đòi hỏi các cuộc xâm nhập từ bên ngoài.
Các cuộc tấn công của hacker gây nhiều thiệt hại nhất thường là nhằm
vào các server. Hệ điều hành mạng, các phần mềm server, các CGI script...
4


đều là những mục tiêu để các hacker khai thác các lỗ hỗng nhằm tấn công
server. Các hacker có thể lợi dụng những lỗ hổng đó trên server để đột kích
vào các trang web và thay đổi nội dung của trang web đó, hoặc tinh vi hơn
nữa là đột nhập vào mạng LAN và sử dụng server để tấn công vào bất kỳ
máy tính nào trong mạng LAN đó. Vì vậy, việc đảm an toàn tuyệt đối cho
phía server không phải là một nhiệm vụ đơn giản. Điều phải làm trước tiên
là phải lấp kín các lỗ hỗng có thể xuất hiện trong cài đặt hệ điều hành mạng,
đặt cấu hình các phần mềm server, các CGI script, cũng như phải quản lý
chặt chẽ các tài khoản của các user truy cập.
Việc bảo mật thông tin cá nhân của người sử dụng truyền đi trên mạng
cũng là một vấn đề cần xem xét nghiêm túc. Ta không thể biết rằng thông tin
của chúng ta gửi đi trên mạng có bị ai đó nghe trôm hoặc thay đổi nội dung
thông tin đó không hay sử dụng thông tin của chúng ta vào các mục đích
khác. Để có thể đảm bảo thông tin truyền đi trên mạng một cách an toàn, đòi
hỏi phải thiết lập một cơ chế bảo mật. Điều này có thể thực hiện được thông
qua việc mã hoá dữ liệu trước khi gửi đi hoặc thiết lập các kênh truyền tin
bảo mật. Việc bảo mật sẽ giúp cho thông tin được bảo vệ an toàn, không bị
kẻ khác lợi dụng. Ngày nay, trên Internet người ta đã sử dụng nhiều phương

pháp bảo mật khác nhau như sử dụng thuật toán mã đối xứng và mã không
đối xứng (thuật toán mã công khai) để mã hoá thông tin trước khi truyền trên
internet. Tuy nhiên ngoài các giải pháp phần mềm hiện nay người ta còn áp
dụng cả các giải pháp phần cứng.
Một yếu tố chủ chốt để chống lại truy nhập bất hợp pháp là yếu tố con
người, chúng ta phải luôn luôn nhắc nhở mọi người có ý thức trong việc sử
dụng tài nguyên chung, tránh những sự cố làm ảnh hưởng tới nhiều người.
Công tác bảo mật thường được bắt đầu bằng những cách thiết lập ngay
trên hệ thống, cũng như chính sách của công ty (các Group Policy triển
khai):

a. Đối với các tài khoản trên hệ thống:
Đổi password theo định kỳ với các password phức tạp với độ dài ít
nhất là 6 ký tự trong đó phải có ký tự phức tạp.
1
Xác định thời gian có thể đăng nhập vào hệ thống, thoát khỏi hệ thống
khi hết thời điểm sử dụng mạng.
2
Users chỉ được phép sử dụng ở một máy cố định nào đó và máy đó
phải gia nhập vào Domain.
5


3

b. Đối với nơi lưu trữ:
4
Đảm bảo phân quyền một cách hợp lý, hạn chế những phân quyền
mặc định.
5

Cấp quyền phù hợp cho từng nhóm người có trách nhiệm về tương tác
với dữ liệu.
6
Đảm bảo luôn luôn có backup để phục hồi khi có sự cố.
7
An toàn về mặt vậy lý: giải pháp chống cháy, sự cố về điện….
8
Dữ liệu truyền tải phải đảm bảo an toàn, không có sự thay đổi hoặc
đánh cắp thông tin.

c. Đối với hệ thống:
9
Đảm bảo hệ thống luôn luôn được cập nhật, không chỉ các hệ điều
hành mà còn cả những ứng dụng của người dùng.
10
Sử dụng các chương trình Antivirus, AntiSpyware…. một cách hợp lý
và phù hợp.
11
Triển khai các chính sách phù hợp cho việc theo dõi, bảo trì cũng như
nâng cấp hệ thống.
12
Ghi nhận các sự kiện.

III.

DDoS attack.

Đây là kiểu tấn công làm tê liệt hệ thống, từ chối dịch vụ (Denial of
Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó
được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những phương

tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm
việc và truy cập thông tin trên mạng

1. Lịch sử của DDoS attacks.
- Với vụ việc liên quan đến việc tấn công các trang web của Mĩ
và Hàn quốc gần đây của DDoS attacks đã chứng minh rằng DDoS
attacks vẫn đang là một mối đe doạ nghiêm trọng đối với internet, một
công cụ nguy hiểm của hacker.
6


- Việc tìm hiểu và từ đó có biện để phòng ngừa là rất cần thiết cho
các công ty, doanh nghiệp và mỗi cá nhân sử dụng Internet.
- Lịch sử của DDoS attacks:
+ 1998 Chương trình Trinoo Distributed Denial of Service
(DDoS) được viết bởi Phifli.
+ Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động vì
cuộc tấn công bằng (DDOS).
+ Tháng 6 – 1999 Mạng Trinoo đã được cài đặt và kiểm tra
trên hơn 2000 hệ thống.
+ Cuối tháng 8 đầu tháng 9 năm 1999, Tribal Flood Network
đầu tiiên ra đời, Chương trình được Mixter Phát triển.
+ Cuối tháng 9 năm 1999, Công cụ Stacheldraht đã bắt đầu
xuất hiện trên những hệ thống của Châu âu và Hoa kỳ.
+ Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại
học Washington đã làm những phân tích về công cụ tấn công từ chối
dịch vụ.
+ Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood
Network 2000 ( TFN2K ).
+ 10 : 30 / 7 – 2 -2000 Yahoo! ( Một trung tâm nổi tiếng ) đã bị

tấn công từ chối dịch vụ và ngưng trệ hoạt động trong vòng 3 giờ
đồng hồ. Web site Mail Yahoo và GeoCities đã bị tấn công từ 50 địa
chỉ IP khác nhau với nhửng yêu cầu chuyễn vận lên đến 1 gigabit /s.
+ 8 -2 nhiều Web site lớn như Buy.com, Amazon.com, eBay,
Datek, MSN, và CNN.com bị tấn công từ chối dịch vụ.
+ Lúc 7 giờ tối ngày 9-2/2000 Website Excite.com là cái đích
của một vụ tấn công từ chối dịch vụ, dữ liệu được luân chuyễn tới tấp
trong vòng 1 giờ cho đến khi kết thúc, và gói dữ liệu đó đã hư hỏng
nặng.
- Và mới gần đây thôi. DDoS attacks đã làm xôn xao cư dân
mạng thế giới khi tấn công vào các trang web lớn của Mĩ và Hàn
Quốc

7


2. Định nghĩa DDoS attacks.

DDoS attacks (tấn công DDoS) là sự cố gắng làm cho tài nguyên
của một máy tính không thể sử dụng được nhằm vào những người dùng
của nó. Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công
từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự
cố gắng ác ý của một người hay nhiều người để chống lại Internet site
hoặc service (dịch vụ Web) vận hành hiệu quả hoặc trong tất cả, tạm thời
hay một cách không xác định. Thủ phạm tẩn công từ chối dịch vụ nhằm
vào các mục tiêu site hay server tiêu biểu như ngân hàng, cổng thanh toán
thẻ tín dụng và thậm chí DNS root servers.
Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục
tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đáp ứng
giao thông hợp pháp, hoặc đáp ứng quá chậm. Trong điều kiện chung,

các cuộc tấn công DoS được bổ sung bởi ép máy mục tiêu khởi động lại
hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ,
hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân.
DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội
bộ, thậm chí cả một hệ thống mạng rất lớn. Về bản chất thực sự của
DoS, kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như
băng thông, bộ nhớ… và làm mất khả năng xử lý các yêu cầu dịch vụ từ
các client khác.
Tại sao DDoS - Một hình thái tấn công từ chối dịch vụ đã được các
hacker chân chính không còn thừa nhận nữa - lại đang phổ biến và trở
8


thành thứ vũ khí nguy hiểm đến mức không thể chống đỡ? Trong nhiều
nguyên nhân, có một điều đau lòng là DDoS phát sinh từ chính những
tham vọng xấu khi làm chủ và điều khiển được thông tin của những cá
nhân.

3. Kiến trúc tổng quan của DDoS attacks
a. Mô hình Agent – Handler

TrinOO: là một trong các công cụ DDoS đầu tiên được phát tán rộng
rãi.
TrinOO có kiến trúc Agent – Handler, là công cụ DDoS kiểu
Bandwidth Depletion Attack, sử dụng kỹ thuật UDP flood. Các version
đầu tiên của TrinOO không hỗ trợ giả mạo địa chỉ IP. TrinOO Agent
được cài đặt lợi dụng lỗi remote buffer overrun. Hoạt động trên hệ điều
hành Solaris 2.5.1 à Red Hat Linux 6.0. Attack – network giao tiếp dùng
TCP (attacker client và handler) và UDP (Handler và Agent). Mã hóa
giao tiếp dùng phương pháp mã hóa đối xứng giữa Client, handler và

Agent.
Tribe Flood Network (TFN): Kiểu kiến trúc Agent – Handler, công
cụ DDoS hoễ trợ kiểu Bandwidth Deleption Attack và Resourse Deleption
Attack. Sử dụng kỹ thuật UDP flood, ICMP Flood, TCP SYN và Smurf
9


Attack. Các version đầu tiên không hỗ trợ giả mạo địa chỉ IP, TFN Agent
được cài đặt lợi dụng lỗi buffer overflow. Hoạt động trên hệ điều hành
Solaris 2.x và Red Hat Linux 6.0. Attack – Network giao tiếp dùng ICMP
ECHO REPLY packet (TFN2K hỗ trợ thêm TCP/UDP với tính năng chọn
protocol tùy ý), không mã hóa giao tiếp ( TFN2K hỗ trợ mã hóa)
Stacheldraht: là biến thể của TFN có thêm khả năng updat Agent tự
động. Giao tiếp telnet mã hóa đối xứng giữa Attacker và Handler.
Shaft: là biến thể của TrinOO, giao tiếp Handler – Agent trên UDP,
Attacker – Hendle trên Internet. Tấn công dùng kỹ thuật UDP, ICMP và
TCP flood. Có thể tấn công phối hợp nhiều kiểu cùng lúc. Có thống kê
chi tiết cho phép attacker biết tình trạng tổn thất của nạn nhân, mức độ
quy mô của cuộc tấn công để điều chỉnh số lượng Agent.

b. Mô hình IRC – Based

Công cụ DDoS dạng IRC-based được phát triển sau các công cụ dạng
Agent – Handler. Tuy nhiên, công cụ DDoS dạng IRC phức tạp hơn rất
nhiều, do tích hợp rất nhiều đặc tính của các công cụ DDoS dạng Agent –
10


Handler.
Trinity: là một điển hình của công cụ dạng này. Trinity có hầu hết

các kỹ thuật tấn công bao gồm: UDP, TCP SYS, TCP ACK, TCP
fragment, TCP NULL, TCP RST, TCP random flag, TCP
ESTABLISHED packet flood. Nó có sẵn khả năng ngẫu nhiên hóa địa
chỉ bên gởi. Trinity cũng hỗ trợ TCP flood packet với khả năng ngẫu
nhân tập CONTROL FLAG. Trinity có thể nói là một trong số các công
cụ
DDoS
nguy
hiểm
nhất.
Ngoài ra có thể nhắc thêm về một số công cụ DDoS khác như
Knight, được thiết kế chạy trên Windows, sử dụng kỹ thuật cài đặt của
troijan back Orifice. Knight dùng các kỹ thuật tấn công như SYV, UDP
Flood

Urgent
Pointer
Flooder.
Sau cùng là Kaiten, là biến thể của Knight, hỗ trợ rất nhiều kỹ thuật
tấn công như: UDP, TCP flood, SYN, PUSH + ACK attack. Kaiten cũng
thừa hưởng khả năng ngẫu nhiên hóa địa chỉ giả mạo của Trinity.

4. Phân loại kiểu tấn công DDoS

a. Những kiểu tấn công làm cạn kiệt băng thông của mạng (BandWith
Depletion Attack)
BandWith Depletion Attack được thiết kế nhằm làm tràng ngập
mạng mục tiêu với những traffic không cần thiết, với mục địch làm giảm
tối thiểu khả năng của các traffic hợp lệ đến được hệ thống cung cấp dịch
vụ của mục tiêu.

11


Có hai loại BandWith Depletion Attack:
- Flood attack: Điều khiển các Agent gởi một lượng lớn traffic đến
hệ thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng
thông.
- Amplification attack: Điều khiển các agent hay Client tự gửi
message đến một địa chỉ IP broadcast, làm cho tất cả các máy trong
subnet này gửi message đến hệ thống dịch vụ của mục tiêu. Phương pháp
này làm gia tăng traffic không cần thiết, làm suy giảm băng thông của
mục tiêu.
1/ Flood attack:
Trong phương pháp này, các Agent sẽ gửi một lượng lớn IP traffic làm hệ
thống dịch vụ của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng
thái hoạt động bão hòa. Làm cho các User thực sự của hệ thống không sử
dụng được dịch vụ.
Ta có thể chia Flood Attack thành hai loại:
+ UDP Flood Attack: do tính chất connectionless của UDP, hệ thống
nhận UDP message chỉ đơn giản nhận vào tất cả các packet mình cần
phải xử lý. Một lượng lớn các UDP packet được gởi đến hệ thống dịch vụ
của mục tiêu sẽ đẩy toàn bộ hệ thống đến ngưỡng tới hạn.
+ Các UDP packet này có thể được gửi đến nhiều port tùy ý hay chỉ duy
nhất một port. Thông thường là sẽ gửi đến nhiều port làm cho hệ thống
mục tiêu phải căng ra để xử lý phân hướng cho các packet này. Nếu port
bị tấn công không sẵn sàng thì hệ thống mục tiêu sẽ gửi ra một ICMP
packet loại “destination port unreachable”. Thông thường các Agent
software sẽ dùng địa chỉ IP giả để che giấu hành tung, cho nên các
message trả về do không có port xử lý sẽ dẫn đến một đại chỉ Ip khác.
UDP Flood attack cũng có thể làm ảnh hưởng đến các kết nối xung quanh

mục tiêu do sự hội tụ của packet diễn ra rất mạnh.
+ ICMP Flood Attack: được thiết kế nhằm mục đích quản lý mạng cũng
như định vị thiết bị mạng. Khi các Agent gởi một lượng lớn
ICMP_ECHO_REPLY đến hệ thống mục tiêu thì hệ thống này phải reply
một lượng tương ứng Packet để trả lời, sẽ dẫn đến nghẽn đường truyền.
Tương tự trường hợp trên, địa chỉ IP của cá Agent có thể bị giả mạo.
2/ Amplification Attack:
Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địa
chỉ IP broadcast của các router nhằm khuyếch đại và hồi chuyển cuộc tấn
công. Chức năng này cho phép bên gửi chỉ định một địa chỉ IP broadcast
cho toàn subnet bên nhận thay vì nhiều địa chỉ. Router sẽ có nhiệm vụ
gửi đến tất cả địa chỉ IP trong subnet đó packet broadcast mà nó nhận
được.
12


Attacker có thể gửi broadcast message trực tiếp hay thông qua một số
Agent nhằm làm gia tăng cường độ của cuộc tấn công. Nếu attacker trực
tiếp gửi message, thì có thể lợi dụng các hệ thống bên trong broadcast
network như một Agent.
Open DNS Servers

The Internet

Zombie

Attacker
192.168.3.4

Zombie


Có thể chia amplification attack thành hai
loại, Smuft va Fraggle attack:
Victim
Zombie
1.1.1.1
+ Smuft attack: trong kiểu tấn công này attacker gởi
packet đến network
amplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa chỉ của
nạn nhân. Thông thường những packet được dùng là ICMP ECHO
REQUEST, các packet này yêu cầu yêu cầu bên nhận phải trả lời bằng
một ICMP ECHO REPLY packet. Network amplifier sẽ gửi đến ICMP
ECHO REQUEST packet đến tất cả các hệ thống thuộc địa chỉ broadcast
và tất cả các hệ thống này sẽ REPLY packet về địa chỉ IP của mục tiêu
tấn công Smuft Attack.

13


+ Fraggle Attack: tương tự như Smuft attack nhưng thay vì dùng ICMP
ECHO REQUEST packet thì sẽ dùng UDP ECHO packet gởi đếm mục
tiêu. Thật ra còn một biến thể khác của Fraggle attack sẽ gửi đến UDP
ECHO packet đến chargen port (port 19/UNIX) của mục tiêu, với địa chỉ
bên gửi là echo port (port 7/UNIX) của mục tiêu, tạo nên một vòng lặp
vô hạn. Attacker phát động cuộc tấn công bằng một ECHO REQUEST
với địa chỉ bên nhận là một địa chỉ broadcast, toàn bộ hệ thống thuộc địa
chỉ này lập tức gửi REPLY đến port echo của nạn nhân, sau đó từ nạn
nhân một ECHO REPLY lại gửi trở về địa chỉ broadcast, quá trình cứ thế
tiếp diễn. Đây chính là nguyên nhân Flaggle Attack nguy hiểm hơn
Smuft Attack rất nhiều.

b. Những kiểu tấn công làm cạn kiệt tài nguyên: (Resource Deleption
Attack)
Theo định nghĩa: Resource Deleption Attack là kiểu tấn công trong đó
Attacker gởi những packet dùng các protocol sai chức năng thiết kế, hay
gửi những packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các
tài nguyên này không phục vụ user thông thường khác được.
14


1/ Protocol Exploit Attack:
+ TCP SYN Attack: Transfer Control Protocol hỗ trợ truyền nhận với độ
tin cậy cao nên sử dụng phương thức bắt tay giữa bên gởi và bên nhận
trước khi truyền dữ liệu. Bước đầu tiên, bên gửi gởi một SYN REQUEST
packet (Synchronize). Bên nhận nếu nhận được SYN REQUEST sẽ trả
lời bằng SYN/ACK REPLY packet. Bước cuối cùng, bên gửi sẽ truyên
packet cuối cùng ACK và bắt đầu truyền dữ liệu.
Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY
nhưng không nhận được ACK packet cuối cùng sau một khoảng thời gian
quy định thì nó sẽ resend lại SYN/ACK REPLY cho đến hết thời gian
timeout. Toàn bộ tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp
nếu nhận được ACK packet cuối cùng sẽ bị “phong tỏa” cho đến hết thời
gian timeout.
Nắm được điểm yếu này, attacker gởi một SYN packet đến nạn nhân với
địa chỉ bên gởi là giả mạo, kết quả là nạn nhân gởi SYN/ACK REPLY
đến một địa chỉ khá và sẽ không bao giờ nhận được ACK packet cuối
cùng, cho đến hết thời gian timeout nạn nhân mới nhận ra được điều này
và giải phóng các tài nguyên hệ thống. Tuy nhiên, nếu lượng SYN packet
giả mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể
bị hết tài nguyên.
Mô tả đơn giản như sau:

Bước 1: Khách hàng gửi một TCP SYN packet đến cổng dịch vụ của máy
chủ
Khách hàng -> SYN Packet -> Máy chủ
Bước 2 : Máy chủ sẽ phản hồi lại khách hàng bằng 1 SYN/ACK Packet
và chờ nhận một 1 ACK packet từ khách hàng
Máy chủ -> SYN/ACK Packet -> Khách hàng
Bước 3: Khách hàng phản hồi lại Máy chủ bằng một ACK Packet và việc
kết nối hòan tất Khách hàng và máy chủ thực hiện công việc trao đổi dữ
liệu với nhau.
Khách hàng -> ACK Packet -> Máy chủ
+ PUSH = ACK Attack: Trong TCP protocol, các packet được chứa
trong buffer, khi buffer đầy thì các packet này sẽ được chuyển đến nơi
cần thiết. Tuy nhiên, bên gởi có thể yêu cầu hệ thống unload buffer trước
khi buffer đầy bằng cách gởi một packet với PUSH và ACK mang giá trị
15


là 1. Những packet này làm cho hệ thống của nạn nhân unload tất cả dữ
liệu trong TCP buffer ngay lập tức và gửi một ACK packet trở về khi
thực hiện xong điều này, nếu quá trình được diễn ra liên tục với nhiều
Agent, hệ thống sẽ không thể xử lý được lượng lớn packet gửi đến và sẽ
bị treo.
2/ Malformed Packet Attack:
Malformed Packet Attack là cách tấn công dùng các Agent để gởi các
packet có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn
nhân bị treo.
Có hai loại Malformed Packet Attack:
+ IP address attack: dùng packet có địa chỉ gởi và nhận giống nhau làm
cho hệ điều hành của nạn nhân không xử lý nổi và bị treo.
+ IP packet options attack ngẫu nhiên hóa vùng OPTION trong IP packet

và thiết lập tất cả các bit QoS lên 1, điều này làm cho hệ thống của nạn
nhân phải tốn thời gian phân tích, nếu sử dụng số lượng lớn Agent có thể
làm hệ thống nạn nhân hết khả năng xử lý.
5. Các phương thức đề phòng
1/ Tối thiểu hóa số lượng Agent:
- Từ phía User: một phương pháp rất tốt để năng ngừa tấn công DDoS
là từng internet user sẽ tự đề phòng không để bị lợi dụng tấn công hệ thống
khác. Muốn đạt được điều này thì ý thức và kỹ thuật phòng chống phải được
phổ biến rộng rãi cho các internet user. Attack-Network sẽ không bao giờ
hình thành nếu không có user nào bị lợi dụng trở thành Agent. Các user phải
liên tục thực hiện các quá trình bảo mật trên máy vi tính của mình. Họ phải
tự kiểm tra sự hiện diện của Agent trên máy của mình, điều này là rất khó
khăn đối với user thông thường.
Một số giải pháp tích hợp sẵn khả năng ngăn ngừa việc cài đặt code
nguy hiểm thông ào hardware và software của từng hệ thống. Về phía user
họ nên cài đặt và updat liên tục các software như antivirus, anti_trojan và
server patch của hệ điều hành.
- Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ
truy cập theo dung lượng sẽ làm cho user lưu ý đến những gì họ gửi, như
vậy về mặt ý thức tăng cường phát hiện DDoS Agent sẽ tự nâng cao ở mỗi
User. :D
2/ Tìm và vô hiệu hóa các Handler:
Một nhân tố vô cùng quan trọng trong attack-network là Handler, nếu
có thể phát hiện và vô hiệu hóa Handler thì khả năng Anti-DDoS thành công
là rất cao. Bằng cách theo dõi các giao tiếp giữa Handler và Client hay
handler va Agent ta có thể phát hiện ra vị trí của Handler. Do một Handler
16


quản lý nhiều, nên triệt tiêu được một Handler cũng có nghĩa là loại bỏ một

lượng đáng kể các Agent trong Attack – Network.
3/ Phát hiện dấu hiệu của một cuộc tấn công:
Có nhiều kỹ thuật được áp dụng:
- Agress Filtering: Kỹ thuật này kiểm tra xem một packet có đủ tiêu
chuẩn ra khỏi một subnet hay không dựa trên cơ sở gateway của một subnet
luôn biết được địa chỉ IP của các máy thuộc subnet. Các packet từ bên trong
subnet gửi ra ngoài với địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra
nguyên nhân. Nếu kỹ thuật này được áp dụng trên tất cả các subnet của
internet thì khái nhiệm giả mạo địa chỉ IP sẽ không còn tồn tại.
- MIB statistics: trong Management Information Base (SNMP) của
route luôn có thông tin thống kể về sự biến thiên trạng thái của mạng. Nếu ta
giám sát chặt chẽ các thống kê của protocol mạng. Nếu ta giám sát chặt chẽ
các thống kê của Protocol ICMP, UDP và TCP ta sẽ có khả năng phát hiện
được thời điểm bắt đầu của cuộc tấn công để tạo “quỹ thời gian vàng” cho
việc xử lý tình huống.
4/ Làm suy giàm hay dừng cuộc tấn công:
Dùng các kỹ thuật sau:
- Load balancing: Thiết lập kiến trúc cân bằng tải cho các server trọng
điểm sẽ làm gia tăng thời gian chống chọi của hệ thống với cuộc tấn công
DDoS. Tuy nhiên, điều này không có ý nghĩa lắm về mặt thực tiễn vì quy
mô của cuộc tấn công là không có giới hạn.
- Throttling: Thiết lập cơ chế điều tiết trên router, quy định một
khoảng tải hợp lý mà server bên trong có thể xử lý được. Phương pháp này
cũng có thể được dùng để ngăn chặn khả năng DDoS traffic không cho user
truy cập dịch vụ. Hạn chế của kỹ thuật này là không phân biệt được giữa các
loại traffic, đôi khi làm dịch vụ bị gián đoạn với user, DDoS traffic vẫn có
thể xâm nhập vào mạng dịch vụ nhưng với số lượng hữu hạn.
- Drop request: Thiết lập cơ chế drop request nếu nó vi phạm một số
quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây
deadlock. Kỹ thuật này triệt tiêu khả năng làm cạn kiệt năng lực hệ thống,

tuy nhiên nó cũng giới hạn một số hoạt động thông thường của hệ thống, cần
cân nhắc khi sử dụng.
5/ Chuyển hướng của cuộc tấn công:
Honeyspots: Một kỹ thuật đang được nghiên cứu là Honeyspots.
Honeyspots là một hệ thống được thiết kế nhằm đánh lừa attacker tấn công
vào khi xâm nhập hệ thống mà không chú ý đến hệ thống quan trọng thực
sự.

17


Honeyspots không chỉ đóng vai trò “Lê Lai cứu chúa” mà còn rất hiệu
quả trong việc phát hiện và xử lý xâm nhập, vì trên Honeyspots đã thiết lập
sẵn các cơ chế giám sát và báo động.
Ngoài ra Honeyspots còn có giá trị trong việc học hỏi và rút kinh
nghiệm từ Attacker, do Honeyspots ghi nhận khá chi tiết mọi động thái của
attacker trên hệ thống. Nếu attacker bị đánh lừa và cài đặt Agent hay
Handler lên Honeyspots thì khả năng bị triệt tiêu toàn bộ attack-network là
rất cao.
6/ Giai đoạn sau tấn công:
Trong giai đoạn này thông thường thực hiện các công việc sau:
-Traffic Pattern Analysis: Nếu dữ liệu về thống kê biến thiên lượng
traffic theo thời gian đã được lưu lại thì sẽ được đưa ra phân tích. Quá trình
phân tích này rất có ích cho việc tinh chỉnh lại các hệ thống Load Balancing
và Throttling. Ngoài ra các dữ liệu này còn giúp Quản trị mạng điều chỉnh
lại các quy tắc kiểm soát traffic ra vào mạng của mình.
- Packet Traceback: bằng cách dùng kỹ thuật Traceback ta có thể truy
ngược lại vị trí của Attacker (ít nhất là subnet của attacker). Từ kỹ thuật
Traceback ta phát triển thêm khả năng Block Traceback từ attacker khá hữu
hiệu. gần đây đã có một kỹ thuật Traceback khá hiệu quả có thể truy tìm

nguồn gốc của cuộc tấn công dưới 15 phút, đó là kỹ thuật XXX.
- Bevent Logs: Bằng cách phân tích file log sau cuộc tấn công, quản trị
mạng có thể tìm ra nhiều manh mối và chứng cứ quan trọng.
Những vấn đề có liên quan đến DDoS
- Khi bạn phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm
địa chỉ IP đó và cấm không cho gửi dữ liệu đến máy chủ.
- Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet
không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ.
- Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn
chế số lượng packet vào hệ thống.
- Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập
nhật các bản sửa lỗi cho hệ thống đó hoặc thay thế.
- Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN
Flooding.
- Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứng
tốt hơn. Nếu được có thể nâng cấp các thiết bị phần cứng để nâng cao khả
năng đáp ứng của hệ thống hay sử dụng thêm các máy chủ cùng tính
năng khác để phân chia tải.
- Tạm thời chuyển máy chủ sang một địa chỉ khác.
IV. Kết luận
18


- Qua quá trình tìm hiểu đề tài này chúng em cũng đã biết và nắm được
một số loại hình tấn công của DDOS. Một công cụ tấn công hết sức nguy
hiểm, từ đó cũng rút ra nhiều kinh nghệm và có hướng đi về bảo mật
mạng, biết được cơ chế tấn công, và các lỗ hổng gây hại cho hệ thống
HƯỚNG MỞ: Áp dụng một số biện pháp phòng ngừa việc tấn công
DDOS


Tài liệu tham khảo
1.DDoS-Attacks-A-Complete-Guide( />2.Tìm hiểu về tấn công từ chối dịch vụ DoS
- />- />- />19



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×