Tải bản đầy đủ (.doc) (37 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Ứng dụng DDos để khai thác thông tin

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.19 MB, 37 trang )

TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN
KHOA CÔNG NGHỆ THÔNG TIN
CHUYÊN NGÀNH: CÔNG NGHỆ MẠNG VÀ TRUYỀN THÔNG
----------  ----------

ĐỀ TÀI: ỨNG DỤNG DDOS ĐỂ KHAI THÁC THÔNG TIN

GVHD

: DƯƠNG QUỐC HOÀNG TÚ

SVTH

: TRỊNH VĂN SƠN

LỚP

: 14NTC

MSV

: 141C920022

Đà Nẵng, tháng 11 năm 2016


Ứng dụng DDos để khai thác thông tin
1..1. LỜI MỞ ĐẦU
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và sự
phát triển của mạng internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ
trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội. Các thông tin


trên Internet cũng đa dạng về nội dung và hình thức, trong đó có rất nhiều thông tin
cần được bảo mật cao hơn bởi tính kinh tế, tính chính xác và tính tin cậy của nó.
Sự ra đời của công nghệ An ninh Mạng bảo vệ mạng của bạn trước việc đánh cắp
và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã
độc từ vi rút và sâu máy tính trên mạng Internet. Nếu không có An ninh Mạng được
triển khai, công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng trệ hoạt
động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là các
hành động phạm pháp.
Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn.
Do đó đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng là
hết sức quan trọng và cần thiết. Xuất phát từ những thực tế đó, em đã tìm hiểu về đề tài
“Ứng dụng DDos để khai thác thông tin”.
Với sự hướng dẫn tận tình của thầy Dương Quốc Hoàng Tú – Khoa khoa học
máy tính nhóm em đã hoàn thành bản báo cáo này. Tuy đã cố gắng tìm hiểu, phân tích
nhưng chắc rằng không tránh khỏi những thiếu sót. Em rất mong nhận được sự thông
cảm và góp ý của quí Thầy cô.
Em xin chân thành cảm ơn!

SVTH: Trịnh Văn Sơn

ii


Ứng dụng DDos để khai thác thông tin
MỤC LỤC
MỤC LỤC................................................................................................................... iii
DANH MỤC VIẾT TẮT............................................................................................iv
DANH MỤC HÌNH ẢNH............................................................................................v
MỞ ĐẦU..................................................................................................................... vi
CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG..................................................1

CHƯƠNG II: TỪ CHỐI DỊCH VỤ...........................................................................5
3. MỘT SỐ VÍ DỤ ĐIỂN HÌNH...............................................................................26
TÀI LIỆU THAM KHẢO.........................................................................................30
NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN.............................................................31

SVTH: Trịnh Văn Sơn

iii


Ứng dụng DDos để khai thác thông tin

DANH MỤC VIẾT TẮT
DoS
SQL
XSS
HĐH
DDoS
ICQ
IRC
ICMP
PDoS
LOIC
HTTP
WMN
CNTT

SVTH: Trịnh Văn Sơn

Denial of Service

Structured Query Language - ngôn ngữ truy vấn mang
tính cấu trúc
Cross-site scripting
Hệ điều hành
Distribute Denial of Service
Internet Chat Query
Internet Relay Chat
Internet control message protocol
Permanent Denial of Service
Low Orbit Ion Cannon
Hyper Text Transfer Protocol
Wireless Mesh Network
Công Nghệ Thông Tin

iv


Ứng dụng DDos để khai thác thông tin

DANH MỤC HÌNH ẢNH
Hình 1-1 Các giai đoạn tấn công.................................................................................2
Hình 2-2 Sơ đồ tổ chức tội phạm mạng......................................................................6
Hình 2-3 Tấn công tràn ngập SYN.............................................................................9
Hình 2-4 Tấn công tràn ngập ICMP..........................................................................9
Hình 2-5 Hoạt động botnet........................................................................................11
Hình 2-6 Cách thức một botnet được tạo và gửi spam............................................12
Hình 2-7 Công cụ LOIC............................................................................................13
Hình 2-8 Dùng LOIC tấn công DDoS.......................................................................13
Hình 2-9 Công cụ DoSHTTP....................................................................................14
Hình 2-10 Cấu hình kích hoạt ngắt TCP trên phần mềm IOS Cisco.....................21

Hình 2-11 Công cụ NetFlow Analyzer......................................................................22
Hình 2-12 Công cụ D-Guard Anti-DDoS Firewall..................................................23
Hình 2-13 Công cụ FortGuard Firewall...................................................................24
Hình 3-14 Ping of death.............................................................................................26
Hình 3-15 Bắt wireshark khi bị tấn công tràn ngập ICMP....................................26
Hình 3-16 Tấn công bằng nhiểu kiểu với LOIC......................................................27
Hình 3-17 Bắt gói tin trong khi tấn công dùng LOIC.............................................27
Hình 3-18 Giả lập botnet tấn công udp....................................................................28
Hình 3-19 Gửi gói UDP tới Server từ nhiều địa chỉ khác nhau..............................28
Hình 3-20 Kết nối SYN tới Server từ địa chỉ khác nhau.........................................28
Hình 3-21 Giả lập botnet tấn công tcp vào site........................................................29

SVTH: Trịnh Văn Sơn

v


Ứng dụng DDos để khai thác thông tin
MỞ ĐẦU
Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào có
hệ thống mạng dù lớn hay nhỏ. Hiện nay, các hacker trong và ngoài nước luôn tìm
cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ. Những thông tin nhạy
cảm thường ảnh hưởng tới sống còn của công ty. Chính vì vậy, các nhà quản trị mạng
luôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và cố gắng hoàn thiện hệ thống
mình để bớt lỗ hổng.
Tuy nhiên, một kiểu tấn công rất cổ điển là tấn công từ chối dịch vụ chưa bao giờ
mất đi tính nguy hiểm đối với hệ thống mạng. Hậu quả mà DoS gây ra không chỉ tiêu
tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục. DoS và
DDoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàn cuộc
tấn công.

Với yêu cầu cấp thiết như vậy, em chọn đề tài “Ứng dụng DDos để khai thác
thông tin” làm đồ án An Ninh Mạng. Mục đích đưa ra khi làm đề tài là hiểu được các
kiểu tấn công và cách phòng chống DoS/ DDoS. Đồ án được viết dựa trên slide CEH
v7 và được chia làm 3 chương:
CHƯƠNG I: TỔNG QUAN AN NINH MẠNG
CHƯƠNG II: TẤN CÔNG TỪ CHỐI DỊCH VỤ
CHƯƠNG III: MỘT SỐ VÍ DỤ ĐIỂN HÌNH
Sinh viên thực hiện:
Trịnh Văn Sơn

SVTH: Trịnh Văn Sơn

vi


Ứng dụng DDos để khai thác thông tin
CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG
1. AN NINH MẠNG – NETWORK SECURITY
An ninh Mạng – Network Security là gì?
Có những lúc, ví dụ như khi bạn rời văn phòng về nhà khi kết thúc ngày làm
việc, bạn sẽ bật hệ thống cảnh báo an ninh và đóng cửa để bảo vệ văn phòng và thiết
bị. Dường như bạn cũng sẽ có một ngăn chứa an toàn hoặc khóa tủ lưu trữ các tài liệu
kinh doanh mật.
Mạng máy tính của bạn cũng đỏi hỏi cùng một mức độ bảo vệ như vậy.
Các công nghệ An ninh Mạng – Network Security bảo vệ mạng của bạn trước
việc đánh cắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn
công bằng mã độc từ vi rút và sâu máy tính trên mạng Internet. Nếu không có An ninh
Mạng được triển khai, công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự
ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và
thậm chí là các hành động phạm pháp nữa.

An ninh hoạt động như thế nào?
An ninh Mạng không chỉ dựa vào một phương pháp mà sử dụng một tập hợp các
rào cản để bảo vệ doanh nghiệp của bạn theo những cách khác nhau. Ngay cả khi một
giải pháp gặp sự cố thì giải pháp khác vẫn bảo vệ được công ty và dữ liệu của bạn
trước đa dạng các loại tấn công mạng.
Các lớp an ninh trên mạng của bạn có nghĩa là thông tin có giá trị mà bạn dựa
vào để tiến hành kinh doanh là luôn sẵn có đối với bạn và được bảo vệ trước các tấn
công. Cụ thể là, An ninh Mạng:
Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngoài . Các tấn công
có thể xuất phát từ cả hai phía, từ bên trong và từ bên ngoài tường lửa của doanh
nghiệp của bạn. Một hệ thống an ninh hiệu quả sẽ giám sát tất cả các hoạt động mạng,
cảnh báo về những hành động vi phạm và thực hiện những phản ứng thích hợp.
Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và vào bất cứ lúc
nào .Nhân viên có thể truy cập vào mạng từ nhà hoặc trên đường đi với sự đảm bảo
rằng hoạt động truyền thông của họ vẫn được riêng tư và được bảo vệ.
Kiểm soát truy cập thông tin bằng cách xác định chính xác người dùng và hệ
thống của họ.Các doanh nghiệp có thể đặt ra các quy tắc của riêng họ về truy cập dữ
liệu. Phê duyệt hoặc từ chối có thể được cấp trên cơ sở danh tính người dùng, chức
SVTH: Trịnh Văn Sơn

1


Ứng dụng DDos để khai thác thông tin
năng công việc hoặc các tiêu chí kinh doanh cụ thể khác.
Giúp bạn trở nên tin cậy hơn. Bởi vì các công nghệ an ninh cho phép hệ thống
của bạn ngăn chặn những dạng tấn công đã biết và thích ứng với những dạng tấn công
mới, nhân viên, khách hàng và các doanh nghiệp có thể an tâm rằng dữ liệu của họ
được an toàn.
2. CÁC GIAI ĐOẠN TẤN CÔNG


Hình 1-1 Các giai đoạn tấn công
2.1 Thăm dò (Reconnaissace)
Thăm dò mục tiêu là một trong những bước qua trọng để biết những thông tin
trên hệ thống mục tiêu. Hacker sử dụng kỹ thuật này để khám phá hệ thống mục tiêu
đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ đang chạy trên các dịch vụ đó,
cổng dịch vụ nào đang đóng và cổng nào đang mở, gồm hai loại:
Passive: Thu thập các thông tin chung như vị trí địa lý, điện thoại, email của các
cá nhân, người điều hành trong tổ chức.
Active: Thu thập các thông tin về địa chỉ IP, domain, DNS… của hệ thống.
Ví dụ: ♣ Sniffing
♣ Ping Sweep
♣ Ports Scanning
2.2 Quét hệ thống (Scanning)
Quét thăm dò hệ thống là phương pháp quan trọng mà Attacker thường dùng để
tìm hiểu hệ thống và thu thập các thông tin như địa chỉ IP cụ thể, hệ điều hành hay các
kiến trúc hệ thống mạng. Một vài phương pháp quét thông dụng như: quét cổng, quét
mạng và quét các điểm yếu trên hệ thống.
Ví dụ: ♣ Nmap
♣ Acunetix Web Vulnerability Scanner
SVTH: Trịnh Văn Sơn

2


Ứng dụng DDos để khai thác thông tin
♣ Angry Ip Scan.
2.3 Chiếm quyền điều khiển (Gainning access)
Đến đây hacker đã bắt đầu dần dần xâm nhập được hệ thống và tấn công nó ,đã
truy cập được nó bằng các lệnh khai thác. Các lệnh khai thác luôn ở bất cứ không gian

nào, từ mạng LAN cho tới INTERNET và đã lan rộng ra mạng không dây.
Hacker có thể chiếm quyền điều khiển tại:
♣ Mức hệ điều hành/ mức ứng dụng.
♣ Mức mạng.
♣ Từ chối dịch vụ.
2.4 Duy trì điều khiển hệ thống (Maitaining access)
Đến đây hacker bắt đầu phá hỏng làm hại, hoặc có thể cài trojan, rootkit,
backdoor để lấy thông tin thêm. Thường được thấy sử dụng để đánh cắp tài khoản:
♣Tín dụng
♣Ngân hàng...
2.5 Xoá dấu vết (Clearning tracks)
Được đề cập đến hoạt động được thực hiện bằng cách hacker cố tình che dấu
hành động xâm nhập của mình. Hacker phải tìm cách xóa đi dấu vết mỗi khi đột nhập
bằng các phương thức như:
♣ Steganography
♣ Tunneling
♣ Altering log file.
3. CÁC KIỂU TẤN CÔNG
3.1 Operating System Attacks
Tấn công vào hệ điều hành, hệ thống. Thường thì việc mặc định cài đặt một hệ
thống có một số lượng lớn các dịch vụ cùng chạy và các cổng kết nối. Điều này sẽ làm
kẻ tấn công có nhiều cơ hội tấn công hơn. Tìm ra các bản vá lỗi dường như khó khăn
trong một hệ thống mạng phức tạp như ngày nay. Hacker luôn tìm kiếm các hệ điều
hành, nghiên cứu các lệnh khai thác lổ hỏng để truy cập, xâm nhập hệ thống.
3.2 Application level Attacks
Tấn công dựa trên những phần mềm ứng dụng. Những kiểu tấn công như: tấn
công tràn bộ đệm, tấn công XSS, DoS, tấn công SQL injection,…

SVTH: Trịnh Văn Sơn


3


Ứng dụng DDos để khai thác thông tin
3.3 Shrink Wrap Code Attacks
Khi cài đặt một HĐH nào đó thì có một số lượng cực lớn các tập tin làm việc và
sẽ hoàn chỉnh một HĐH, khi đó việc quản trị HĐH đó là việc đơn giản. Nhưng vấn đề
ở đây là bạn không điều khiển hay tùy biến, chỉnh sửa tập lệnh này. Các tập tin độc
này sẽ đè lên các tập tin mặc định.
3.4 Misconfiguration Attacks
Tấn công dựa vào các lỗi cấu hình hệ thống
Do hệ thống cấu hình không chính xác ít được bảo mật.
Hệ thống phức tạp nên admin không có đủ hết kỹ năng để fix hết lỗi.
Đa số admin chọn cấu hình default để dễ làm điều này dễ dẫn đến việc hacker
khai thác.
Do đó phải config hệ thống chính xác, bỏ những dịch vụ và các phần mềm không
cần thiết

SVTH: Trịnh Văn Sơn

4


Ứng dụng DDos để khai thác thông tin
CHƯƠNG II: TỪ CHỐI DỊCH VỤ
1. KHÁI NIỆM DOS - DDOS
1.1 Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ là kiểu tấn công vào máy tính hoặc một mạng để ngăn
chặn sự truy cập hợp pháp.
Trên kiểu tấn công DoS, attackers làm tràn ngập hệ thống của victim với luồng

yêu cầu dịch vụ không hợp pháp làm quá tải nguồn (Server), ngăn chặn server thực
hiện nhiệm vụ hợp lệ.
1.2 Tấn công từ chối dịch vụ phân tán
Tấn công từ chối dịch vụ phân tán hay DDoS bao gồm các thỏa hiệp của hệ
thống để tấn công mục tiêu duy nhất, là nguyên nhân người sử dụng bị từ chối dịch vụ
của hệ thống.
Để khởi động một cuộc tấn công DDoS, một kẻ tấn công sử dụng botnet và tấn
công một hệ thống duy nhất.
1.3 Dấu hiệu khi bị tấn công DoS - DDos
Thông thường thì hiệu suất mạng sẽ rất chậm.
Không thể sử dụng website.
Không truy cập được bất kỳ website nào.
Tăng lượng thư rác nhanh chóng.
1.4 Các mục đích của tấn công DoS - DDos
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó
hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng
bình thường.
- Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào
dịch vụ.
- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó.
- Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập
vào.
- Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó
như bị:
+ Tắt mạng .
+ Tổ chức không hoạt động.
+ Tài chính bị mất.
SVTH: Trịnh Văn Sơn

5



Ứng dụng DDos để khai thác thông tin
1.5 Tội phạm mạng
Tội phạm mạng ngày càng được liên kết với các tập đoàn tội phạm có tổ chức để
tận dụng lợi thế của các kỹ thuật tinh vi của họ. Những nhóm có tổ chức tội phạm
mạng làm việc trên hệ thống thiết lập thứ bậc với một mô hình chia sẻ doanh thu,
giống như một tập đoàn lớn cung cấp các dịch vụ phạm tội .
Nhóm tổ chức tạo ra và thuê botnet để cung cấp các dịch vụ khác nhau, từ việc
viết phần mềm độc hại, tấn công các tài khoản ngân hàng, để tạo ra tấn công DoS lớn
đối với bất kỳ mục tiêu với một mức giá.
Theo Verizon 2010 dữ liệu báo cáo điều tra vi phạm, phần lớn các vi phạm đã
điều khiển bởi các nhóm có tổ chức và hầu như tất cả các dữ liệu bị đánh cắp (70%) là
công việc của bọn tội phạm tổ chức bên ngoài.
Sự tham gia ngày càng tăng của tổ chức tội phạm chiến tranh mạng với động cơ
chính trị (hacktivism) là một vấn đề quan tâm cho các cơ quan an ninh quốc gia.
1.6 Sơ đồ tổ chức của tổ chức tội phạm mạng

Hình 2-2 Sơ đồ tổ chức tội phạm mạng

1.7 Internet Chat Query
ICQ là chat client được dùng để chat với mọi người
SVTH: Trịnh Văn Sơn

6


Ứng dụng DDos để khai thác thông tin
Hoạt động:
Nó gán một số định danh phổ cập xác định người dùng duy nhất giữa những

người sử dụng ICQ.
Khi một người sử dụng ICQ kết nối với Internet, ICQ khởi động và cố gắng để
kết nối với máy chủ Mirabilis (Mirabilis là công ty phát triển ICQ), là nơi cơ sở dữ
liệu chứa thông tin của tất cả người dùng ICQ.
Tại máy chủ Mirabilis, ICQ tìm kiếm yêu cầu số UIN bên trong cơ sở dữ liệu của
nó (một loại điện thoại của thư mục), và cập nhật thông tin.
Bây giờ người dùng có thể liên hệ với người bạn của mình bởi vì ICQ biết địa chỉ
IP.
1.8 Internet Relay Chat
IRC là hệ thống để trò chuyện bao gồm thiết lập nguyên tắc, quy ước và phần
mềm client/server. Nó cho phép chuyển hướng kết nối máy tính tới máy tính với mục
đích dễ dàng chia sẽ giữa clients.
Một vài website (như là Talk City) hoặc mạng IRC (như là Undernet) cung cấp
server và hỗ trợ người sử dụng tải IRC clients tới PC của họ. Sau khi người sử dụng tải
ứng dụng client, họ bắt đầu chat nhóm (gọi là kênh) hoặc gia nhập một nhóm có trước.
Kênh IRC đang được ưu chuộng là #hottub và #riskybus. Giao thức IRC dùng
giao thức điều khiển truyền vận (có thể dùng IRC qua telnet client), thông thường
dùng port 6667.
2. KỸ THUẬT TẤN CÔNG DOS
2.1 Tấn công băng thông
Tấn công băng thông nhằm làm tràn ngập mạng mục tiêu với những traffic không
cần thiết, với mục địch làm giảm tối thiểu khả năng của các traffic hợp lệ đến được hệ
thống cung cấp dịch vụ của mục tiêu.
Có hai loại BandWith Depletion Attack:
+ Flood attack: Điều khiển các Agent gởi một lượng lớn traffic đến hệ thống dịch
vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông.
+ Amplification attack: Điều khiển các agent hay client tự gửi message đến một
địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi message đến hệ
thống dịch vụ của mục tiêu. Phương pháp này làm gia tăng traffic không cần thiết, làm
suy giảm băng thông của mục tiêu.


SVTH: Trịnh Văn Sơn

7


Ứng dụng DDos để khai thác thông tin
2.2 Tấn công tràn ngập yêu cầu dịch vụ
Một kẻ tấn công hoặc nhóm zombie cố gắng làm cạn kiệt tài nguyên máy chủ
bằng cách thiết lập và phá hủy các kết nối TCP. Nó bắt đầu gửi yêu cầu trên tất cả kết
nối và nguồn gốc từ server kết nối tốc độ cao.
2.3 Tấn công tràn ngập SYN
Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng
phương thức bắt tay giữa bên gởi và bên nhận trước khi truyền dữ liệu. Bước đầu tiên,
bên gửi gởi một SYN REQUEST packet (Synchronize). Bên nhận nếu nhận được SYN
REQUEST sẽ trả lời bằng SYN/ACK REPLY packet. Bước cuối cùng, bên gửi sẽ
truyền packet cuối cùng ACK và bắt đầu truyền dữ liệu.
Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY nhưng
không nhận được ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽ
resend lại SYN/ACK REPLY cho đến hết thời gian timeout. Toàn bộ tài nguyên hệ
thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị
“phong tỏa” cho đến hết thời gian timeout.
Nắm được điểm yếu này, attacker gởi một SYN packet đến nạn nhân với địa chỉ
bên gửi là giả mạo, kết quả là nạn nhân gửi SYN/ACK REPLY đến một địa chỉ khác
và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết thời gian timeout
nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ thống. Tuy
nhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồn dập, hệ thống
của nạn nhân có thể bị hết tài nguyên.

SVTH: Trịnh Văn Sơn


8


Ứng dụng DDos để khai thác thông tin

Hình 2-3 Tấn công tràn ngập SYN
2.4 Tấn công tràn ngập ICMP
Kiểu tấn công ICMP là thủ phạm gửi số lượng lớn của gói tin giả mạo địa chỉ
nguồn tới server đích để phá hủy nó và gây ra ngừng đáp ứng yêu cầu TCP/IP.
Sau khi đến ngưỡng ICMP đạt đến, các router từ chối yêu cầu phản hồi ICMP từ
tất cả địa chỉ trên cùng vùng an toàn cho phần còn lại.

Hình 2-4 Tấn công tràn ngập ICMP
2.5 Tấn công điểm nối điểm
Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình điểm
nối điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website
SVTH: Trịnh Văn Sơn

9


Ứng dụng DDos để khai thác thông tin
giả mạo của victim.
Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kết nối
trực tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức.
Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại
website.
2.6 Tấn công cố định DoS
Tấn công cố định DoS hay PDoS còn được gọi như phlashing, là một cuộc tấn

công gây tổn thương một hệ thống nhiều đến nỗi nó đòi hỏi phải thay thế hoặc cài đặt
lại phần cứng, Không giống như các cuộc tấn công DDoS, PDoS một cuộc tấn công
khai thác lỗ hổng bảo mật cho phép quản trị từ xa trên các giao diện quản lý phần cứng
của nạn nhân, chẳng hạn như router, máy in, hoặc phần cứng mạng khác.
Tấn công thực hiện dùng phương pháp như "xây dựng hệ thống”. Dùng phương
pháp này, kẻ tấn công gửi cập nhật phần cứng lừa đảo tới victim.
2.7 Tấn công tràn ngập ở cấp độ dịch vụ
Tấn công làm tràn ở cấp độ ứng dụng là kết quả mất dịch vụ của mạng đặc biệt
như là: email, tài nguyên mạng, tạm thời ngừng ứng dụng và dịch vụ,... Dùng kiểu tấn
công này, kẻ tấn công phá hủy mã nguồn chương trình và file làm ảnh hưởng tới hệ
thống máy tính.
Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:
Tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ.
Ngắt dịch vụ cụ thể của hệ thống hoặc con người.
Làm tắt nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ công nguy
hiểm SQL.
3. MẠNG BOTNET
3.1 Khái niệm botnet
Botnet là từ chỉ một tập hợp các rô bôt phần mềm hoặc các con bot hoạt động
một cách tự chủ. Từ này còn được dùng để chỉ một mạng các máy tính sử dụng phần
mềm tính toán phân tán.
3.2 Hoạt động
Tuy từ "botnet" có thể dùng để chỉ một nhóm bot bất kỳ, chẳng hạn IRC bot, từ
này thường được dùng để chỉ một tập hợp các máy tính đã bị tấn công và thỏa hiệp và
đang chạy các chương trình độc hại, thường là sâu máy tính, trojan horse hay
backdoor, dưới cùng một hạ tầng cơ sở lệnh và điều khiển. Một chương trình chỉ huy
SVTH: Trịnh Văn Sơn

10



Ứng dụng DDos để khai thác thông tin
botnet có thể điều khiển cả nhóm bot từ xa, thường là qua một phương tiện chẳng hạn
như IRC, và thường là nhằm các mục đích bất chính. Mỗi con bot thường chạy ẩn và
tuân theo chuẩn RFC 1459 (IRC). Thông thường, kẻ tạo botnet trước đó đã thỏa hiệp
một loạt hệ thống bằng nhiều công cụ đa dạng (tràn bộ nhớ đệm, ...). Các bot mới hơn
có thể tự động quét môi trường của chúng và tự lan truyền bản thân bằng cách sử dụng
các lỗ hổng an ninh và mật khẩu yếu. Nếu một con bot có thể quét và tự lan truyền qua
càng nhiều lỗ hổng an ninh, thì nó càng trở nên giá trị đối với một cộng đồng điều
khiển botnet.

Hình 2-5 Hoạt động botnet
Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngày càng ẩn
kĩ. Do đa số các mạng IRC truyền thống thực hiện các biện pháp cấm truy nhập đối
với các botnet đã từng ngụ tại đó, những người điều khiển botnet phải tự tìm các
server cho mình. Một botnet thường bao gồm nhiều kết nối, chẳng hạn quay số, ADSL
và cáp, và nhiều loại mạng máy tính, chẳng hạn mạng giáo dục, công ty, chính phủ và
thậm chí quân sự. Đôi khi, một người điều khiển giấu một cài đặt IRC server trên một
site công ty hoặc giáo dục, nơi các đường kết nối tốc độ cao có thể hỗ trợ một số lớn
các bot khác. Chỉ đến gần đây, phương pháp sử dụng bot để chỉ huy các bot khác mới
phát triển mạnh, do đa số hacker không chuyên không đủ kiến thức để sử dụng phương
pháp này.
3.3 Tổ chức
Các server botnet thường liên kết với nhau, sao cho một nhóm có thể chứa từ 20
máy riêng biệt tốc độ cao đã bị phá hoại, các máy này nối với nhau với vai trò các
server nhằm mục tiêu tạo môi trường dư thừa lớn hơn. Các cộng đồng botnet thực tế
SVTH: Trịnh Văn Sơn

11



Ứng dụng DDos để khai thác thông tin
thường bao gồm một hoặc nhiều người điều khiển - những người tự coi là có quyền
truy nhập hợp lệ tới một nhóm bot. Những điều khiển viên này hiếm khi có các hệ
thống chỉ huy phân cấp phức tạp trong họ; họ dựa vào các quan hệ thân hữu cá nhân.
Mâu thuẫn thường xảy ra giữa những điều khiển viên về chuyện ai có quyền đối với
máy nào và những loại hành động nào là được phép hay không được phép làm.
3.4 Xây dựng và khai thác
Ví dụ này minh họa cách thức một botnet được tạo và dùng để gửi thư rác
(spam).
Một điều phối viên botnet phát tán virus hoặc sâu máy tính, làm nhiễm các máy
tính cá nhân chạy Windows của những người dùng bình thường, dữ liệu của virus hay
sâu đó là một ứng dụng trojan -- con bot.
Tại máy tính bị nhiễm, con bot đăng nhập vào một server IRC nào đó (hay là một
web server). Server đó được coi là command-and-control server (C&C).
Một người phát tán spam mua quyền truy nhập botnet từ điều phối viên.
Người phát tán spam gửi các lệnh qua IRC server tới các máy tính bị nhiễm, làm
cho các máy tính này gửi các thông điệp rác tới các máy chủ thư điện tử.

Hình 2-6 Cách thức một botnet được tạo và gửi spam
Các botnet được khai thác với nhiều mục đích khác nhau, trong đó có các tấn
công từ chối dịch vụ, tạo và lạm dụng việc gửi thư điện tử để phát tán thư rác (xem
Spambot), click fraud, và ăn trộm các số serial của ứng dụng, tên đăng nhập, và các
thông tin tài chính quan trọng chẳng hạn như số thẻ tín dụng.
Cộng đồng điều khiển botnet luôn có một cuộc đấu tranh liên tục về việc ai có
được nhiều bot nhất, nhiều băng thông nhất, và số lượng lớn nhất các máy tính "chất
lượng cao" bị nhiễm, chẳng hạn như máy tính tại trường đại học, các công ty, hay
thậm chí cả trong các cơ quan chính phủ.

SVTH: Trịnh Văn Sơn


12


Ứng dụng DDos để khai thác thông tin
CHƯƠNG III. MỘT SỐ CÔNG CỤ TẤN CÔNG
1. LOIC
LOIC là ứng dụng tấn công từ chối dịch vụ, được viết bằng C#. Loic thực hiện
tấn công từ chối dịch vụ tấn công (hoặc khi được sử dụng bởi nhiều cá nhân, một cuộc
tấn công DDoS) trên một trang web mục tiêu làm lũ lụt các máy chủ với các gói tin
TCP hoặc UDP với ý định làm gián đoạn dịch vụ của một máy chủ cụ thể. Công cụ
LOIC là một botnet tình nguyện kết nối đến một máy chủ từ xa mà chỉ đạo các cuộc
tấn công. Hiện nay, có 40.000 người kết nối với botnet.

Hình 2-7 Công cụ LOIC

Hình 2-8 Dùng LOIC tấn công DDoS

SVTH: Trịnh Văn Sơn

13


Ứng dụng DDos để khai thác thông tin
2. DoSHTTP
DoSHTTP là một phần mềm sử dụng dễ dàng, mạnh mẽ để tấn công tràn ngập
HTTP nhằm mục đích kiểm thử trên Windows. DoSHTTP bao gồm xác nhận URL,
chuyển hướng HTTP và giám sát hiệu suất. Công cụ DoSHTTP có thể giúp các
chuyên gia CNTT thử nghiệm hiệu năng máy chủ web và đánh giá độ bảo mật.


Hình 2-9 Công cụ DoSHTTP
3. DEMO
- Công cụ: Python 2.1.7 trên window 10
- Code DDos Destroy

SVTH: Trịnh Văn Sơn

14


Ứng dụng DDos để khai thác thông tin

- Website cần DDos: />
SVTH: Trịnh Văn Sơn

15


Ứng dụng DDos để khai thác thông tin
- Website check host: />
Cách thức tấn công:
Cmd -> Desktroy.py -r 9999
Quá trình tấn công:

SVTH: Trịnh Văn Sơn

16


Ứng dụng DDos để khai thác thông tin


Demo clip: />4. BIỆN PHÁP ĐỐI PHÓ
4.1 Kỹ thuật phát hiện
Kỹ thuật phát hiện dựa trên nhận biết, phân biệt nhờ tăng lên dòng dữ liệu không
hợp lệ và trường hợp flask từ lưu lượng gói tin hợp lệ. Tất cả kỹ thuật phát hiện định
nghĩa tấn công không bình thường và đáng chú ý độ lệch từ khoảng thời gian lưu
lượng mạng trạng thái thống kê bình thường
SVTH: Trịnh Văn Sơn

17


Ứng dụng DDos để khai thác thông tin
4.1.1Hoạt động định hình
Một tấn công được nhận biết bằng:
Tăng hoạt động giữa các clusters.
Tăng toàn bộ số lượng rõ ràng clusters (tấn công DDoS).
Hoạt động định hình thu được bằng cách giám sát thông tin header của gói tin
trong mạng. Nó là tốc độ trung bình lưu lượng mạng bao gồm gói tin liên tiếp với
trường gói tin giống nhau.
4.1.2 Phân tích wavelet
Phân tích wavelet được mô tả là tín hiệu vào đầu cuối bao gồm quang phổ. Phân
tích mỗi quang phổ năng lượng xác định hiện tượng bất thường.
Wavelets cung cấp đồng bộ thời gian và mô tả tần số. Họ xác định thời gian
chính xác gồm các tần số hiện diện.
4.1.3 Phát hiện thay đổi điểm theo trình tự
Thuật toán phát hiện thay đổi điểm mô tả lưu lượng thống kê nguyên nhân thay
đổi bởi cuộc tấn công. Họ bắt đầu lọc lưu lượng dữ liệu tới đích bằng địa chỉ, cổng
hoặc giao thức và lưu trữ kết quả thành chuỗi thời gian. Để nhận diện và định vị cuộc
tấn công DoS các thuật toán cusum xác định độ lệch trong mức trung bình thực tế cục

bộ so với dự kiến trong chuỗi thời gian giao thông. Bạn cũng có thể dùng nhận biết
worm thông thường bằng hoạt động scanning.
4.2 Biện pháp đối phó chiến lược DoS/ DdoS
4.2.1 Hấp thụ cuộc tấn công: Dùng khả năng phụ để hấp thụ tấn công, yêu cầu kế
hoạch trước.
4.2.2 Làm giảm dịch vụ: Nhận biết dịch vụ nguy hiểm và dừng dịch vụ không
nguy hiểm.
4.2.3 Tắt dịch vụ: Tắt tất cả dịch vụ cho tới khi cuộc tấn công giảm bớt.
4.3. Biện pháp đối phó tấn công DoS/ DdoS
4.3.1 Bảo vệ thứ cấp victims
Cài đặt phần mềm anti-virus, anti-Trojan và cập nhập bản mới.
Tăng nhận thức về vấn đề bảo mật và kỹ thuật ngăn chặn người sử dụng từ tất cả
nguồn trên internet.
Tắt dịch vụ không cần thiết, gỡ bỏ ứng dụng không sử dụng, và quét tất cả files
nhận từ nguồn bên ngoài.
Cấu hình và thường xuyên cập nhập xây dựng cơ cấu phòng thủ trên lõi phần
cứng và phần mềm hệ thống.
SVTH: Trịnh Văn Sơn

18


Ứng dụng DDos để khai thác thông tin
4.3.2 Phát hiện và vô hiệu hóa handers
Phân tích lưu lượng mạng: Nghiên cứu giao tiếp giao thức và mô hình giữa
handlers và client hoặc handlers và agents để nhận biết node mạng có thể lây với các
handler.
Vô hiệu hóa botnet handler: Thông thường vài DDoS handler được triển khai
gần bằng so với số lượng agent. Vô hiệu hóa một vài handler có thể làm cho nhiều
agent không hữu dụng, để cản trở cuộc tấn công DDoS.

Giả mạo địa chỉ nguồn: Có một xác suất lớn giả mạo địa chỉ nguồn gói tin tấn
công DDoS sẽ không hiện giá trị địa chỉ nguồn của mạng cụ thể.
4.3.3 Phát hiện tiềm năng tấn công
Bộ lọc xâm nhâp: Bảo vệ từ tấn công tràn ngập có nguồn gốc từ các tiền tố hợp
lệ. Nó cho phép người khởi tạo truy tìm nguồn gốc thực sự.
Bộ lọc đi ra: Quét header gói tin của gói tin IP ra một mạng. Bộ lọc đi ra không
chứng thực hoặc lưu lượng nguy hiểm không được ra khỏi mạng bên ngoài.
Ngắt TCP: Cấu hình ngắt TCP ngăn ngừa tấn công bằng cách ngắt và yêu cầu
kết nối TCP hợp lệ.
4.3.4 Làm lệch hướng tấn công
Hệ thống thiết lập với giới hạn bảo mật, cũng biết như là honeypot, hoạt động
cám dỗ đối với kẻ tấn công.
Phục vụ có nghĩa là giành thông tin từ kẻ tấn công bằng cách lưu trữ một bản ghi
các hoạt động, học kiểu tấn công và công cụ phần mềm kẻ tấn công sử dụng.
Dùng phòng thủ chiều sâu tiếp cận với IPSec tại điểm mạng khác nhau chuyển
hướng đáng ngờ luồng DoS đến vài honeypot.
Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả
dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của
chúng, ngăn không cho chúng tiếp xúc với hệ thống thật.
4.3.5 Làm dịu cuộc tấn công
Cân bằng tải:
Nhà cung cấp tăng băng thông trên kết nối quan trọng để ngăn ngừa và giảm
xuống tấn công.
Nhân bản máy chủ có thể cung cấp thêm bảo vệ an toàn.
Cân bằng tải cho mỗi server trên cấu trúc nhiều server có thể cải tiến hiệu suất
bình thường như là giảm ảnh hưởng của cuộc tấn công DoS.
Hoạt động điều chỉnh:
Thiết lập cách thức router truy cập một server với điều chỉnh logic lưu lượng đi
vào tới mức độ sẽ an toàn để server xử lý.
SVTH: Trịnh Văn Sơn


19


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×