TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN


BÁO CÁO THỰC TẬP TỐT NGHIỆP
Đề tài: Nghiên cứu tấn công từ chối dịch vụ (DDOS) các phương pháp tấn công và
phòng tấn công.

Giáo Viên Hướng Dẫn: Th.s Nguyễn Tuấn Tú
Sinh Viên Thực Tập

Lớp:

CNTT1-K16

Hà Nội, 2017

Mục lục



Chương 1: Tổng quan về DDos
1.1: DDos là gì:
DDoS (Distributed Denial of Service Attack) là nhiều máy tính hoặc nhiều hệ thống
máy tính cùng yêu cầu tài nguyên trên máy đích làm cho máy đích không đủ tài nguyên
để phục vụ, hậu quả là có thể treo (mất khả năng phục vụ) và khởi động lại.
Hacker thường tấn công từ chối dịch vụ thường nhắm vào các trang tin tức mạng hay
máy chủ của các ngân hàng, cổng thanh toán thẻ tín dụng v.v.

Hình 1.1: Cách thức DDos hoạt động
Cách thực hiện: Hacker có thể lợi dụng các máy chủ Free Proxy trên thể giới hoặc sử

dụng BOTNET để điều khiển của tấn công, hoặc viết các tools upload lên các diễn đàn để
rồi các tools tự động gửi các yêu cầu tới các máy chủ cần tấn công.
 Hệ thống chống DDOS

Đối với Cloud Server và Cloud Desktop được cấu hình trực tiếp trên windows và cài
soft chống DDOS lên.
Đối với Cloud Datacenter có hệ thống chống DDOS vật lý và của VMware.


Chạy HA (High Availability): dự phòng, khi một server này gặp vấn đề, server khác sẽ
được active, người dùng sẽ không nhận thấy bất cứ sự gián đoạn nào của dịch vụ.
1.2: Phân loại tấn công DDos
 Tấn công vào băng thông mạng

Trong phương pháp này kẻ tấn công điều khiển mạng lưới Agent đồng loạt gửi các gói
tin ICMP hay UDP đến nạn nhân làm cho băng thông mạng của nạn nhân bị quá tải và
không thể phục vụ được. Ví dụ như trong trường hợp ICMP flood, nạn nhân sẽ phải gửi
trả lại các gói tin ICMP_REPLY tương ứng. Do số lượng của Agent gửi đến nạn nhân rất
lớn nên việc gửi lại các gói ICMP_REPLY dẫn đến nghẽn mạng. Trong trường hợp UDP
flood cũng tương tự.
Phương pháp tấn công này đặc biệt nguy hiểm do không những băng thông mạng
của nạn nhân bị quá tải mà còn ảnh hưởng đến các mạng lân cận. Hiện nay, với sự phát
triển của các công cụDdos, hầu hết đều hỗ trợ giả mạo địa chỉ IP.
 Tấn công vào giao thức

Điển hình của phương pháp tấn công này là TCP SYN flood. Kẻ tấn công lợi dụng quá
trình bắt tay 3 bước trong giao thức TCP. Kẻ tấn công liên tục khởi tạo kết nối TCP. Nạn
nhân sẽ tiến hành gửi lại trả lời với SYN và ACK để chờ ACK từ phía máy khách.
Tuy nhiên, kẻ tấn công sẽ không gửi ACK đến nạn nhân hay nói cách khác là sẽ không
làm gì cả như quá trình bắt tay 3 bước. Cứ như vậy, nạn nhân sẽ tốn nhiều tài nguyên và

bộ nhớ để chờ các phiên TCP. Do vậy nạn nhân sẽ không thể phục vụ được do tốn bộ nhớ
đề chờ các kết nối ảo do kẻ tấn công khởi tạo.
 Tấn công bằng những gói tin khác thường

Trong phương pháp này, kẻ tấn công dựa vào các điểm yếu của giao thức mạng. Ví dụ
khi tấn công Ping of Death. Kẻ tấn công sẽ gửi một số gói tin ICMP có kích thước lớn
hơn kích thước giới hạn. Gói tin sẽ bị chia nhỏ, khi nạn nhân ghép lại nhận thấy rằng là
gói tin quá lớn để xử lý.
Kết quả là hệ thống không thể xử lý được tình trạng bất thường này và sẽ bị treo. Một
trường hợp khác như tấn công Lan Attack. Kẻ tấn công sẽ gửi các gói tin TCP SYN có


địa chỉ nguồn, địa chỉ đích và số cổng giống nhau. Nạn nhân sẽ liên tục khởi tạo và kết
nối với chính nó. Do vậy hệ thống sẽ bị treo hoặc bị chậm lại.
 Tấn công qua phần mềm trung gian

Trong phương pháp tấn công này, kẻ tấn công sẽ sử dụng một phần mềm hợp lệ trên
máy nạn nhân. Khai thác một số thuật toán và tiến hành đưa tham số trong trường hợp
xấu nhất. Do vậy, máynạn nhân sẽ phải xử lý quá trình này và có thể bị treo. Đây là
phương pháp tấn công khá đơn giản nhưng lại có hiệu quả rất cao. Nhưng nguy hiểm hơn
cả là kẻ tấn công đã đột nhập được vào máy nạn nhân để có thể ăn cắp các thông tin cá
nhân của nạn nhân
 Một số các công cụ tấn công dùng Proxy

Trinoo
•

Trinoo cho phép kẻ tấn công kiểm soát một số máy để yêu cầu gửi đồng loạt các
gói tin UDP làm tê liệt mục tiêu. Master Trinoo có thể điều khiển các deamon
trinoo như:


•

Đồng loạt gửi các gói tin UDP

•

Dừng việc gửi gói tin

•

Thay đổi cấu hình của các deamon trinoo

Flood Network (TFN)


Hình 1.2: Công cụ tấn công Proxy bằng Flood Network (TFN)
TFN là công cụ tấn công vào băng thông. TFN hỗ trợ tấn công các kỹ thuật ICMP
flood, UD.2 Tribe P flood, TCP SYN flood. Hiên tại, TFN hỗ trợ việc giả mạo địa chỉ
IP. Hoạt động hầu hết trên các hệ điều hành DDos.
Trinity
Có thể nói Trinity là công cụ nguy hiểm nhất. Nó có khả năng tấn công với hầu hết các
kỹ thuật như UDP, SYN và một số dạng flood khác. Tuy nhiên nó còn có thể kết nối
internet thông qua mạng Relay Chat (IRC) hoặc AOL’s ICQ. Trinity thường sử dụng các
cổng 6667 và cũng có thể là 1 chương trình backdoor lắng nghe ở cổng 33270 qua kết nối
TCP.
Knight
Knight là một cộng cụ hoạt động trên hệ điều hành windows. Knight cung cấp các kỹ
thuật tấn công như UDP flood, SYN flood. Và nó có thể tự động update thông qua các
giao thức http hoặcftp. Knight được cài đặt sử dụng Trojan thông qua chương trình

backdoor được gọi là Back Oifice. Knight được sử dụng trong mô hình IRC-Based


Kaiten
Kaiten chính là biến thể của Knight. Kaiten hỗ trợ các kỹ thuật tấn công như UDP
flood, TCP flood, SYN. Có khả năng giả mạo địa chỉ IP. Kaiten cũng là công cụ được sử
dụng trong mô hình IRC-Based
 Và một số các công cụ khác

MASTER HTTP

Hình 1.3: Master Http
LOIC (sourceforge.net/projects/loic/)

Hình 1.4: LOIC
 Các cuộc tấn công từ chối dịch vụ


•

1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi
Phifli.

•

Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động vì cuộc tấn công bằng
(DDOS).

•


Tháng 6 – 1999 Mạng Trinoo đã được cài đặt và kiểm tra trên hơn 2000 hệ thống.

•

Cuối tháng 8 đầu tháng 9 năm 1999, Tribal Flood Network đầu tiên ra đời. Cuối
tháng 9 năm 1999.

•

Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington đã
làm những phân tích về công cụ tấn công từ chối dịch vụ .

•

Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000
( TFN2K ).

•

7 – 2 -2000 Yahoo! ( Một trung tâm nổi tiếng ) đã bị tấn công từ chối dịch vụ và
ngưng trệ hoạt động trong vòng 3 giờ đồng hồ. Web site Mail Yahoo và GeoCities
đã bị tấn công từ 50 địa chỉ IP khác nhau với nhửng yêu cầu chuyễn vận lên đến 1
gigabit/s.

•

8-2 nhiều Web site lớn như Buy.com, Amazon.com, eBay, Datek, MSN, và
CNN.com bị tấn công từ chối dịch vụ.

•


Lúc 7 giờ tối ngày 9-2/2000 Website Excite.com là cái đích của một vụ tấn công từ
chối dịch vụ, dữ liệu được luân chuyễn tới tấp trong vòng 1 giờ cho đến khi kết
thúc, và gói dữ liệu đó đã hư hỏng nặng.

Qua đó ta có thể thấy rõ những vụ tấn công từ chối dịch vụ (Denial Of Services
Attack ) và những cuộc tấn công về việc gửi nhửng gói dữ liệu tới máy chủ (Flood Data
Of Services Attack) tới tấp là những mối lo sợ cho nhiều mạng máy tính lớn và nhỏ hiện
nay.
Khi một mạng máy tính bị Hacker tấn công nó sẽ chiếm một lượng lớn tài nguyên trên
server như dung lượng ổ cứng, bộ nhớ, CPU, băng thông …. Lượng tài nguyên này tùy
thuộc vào khả năng huy động tấn công của mỗi Hacker. Khi đó Server sẽ không thể đáp


ứng hết những yêu cầu từ những client của những người sử dụng và từ đó server có thể sẽ
nhanh chóng bị ngừng hoạt động, crash hoặc reboot.
Tấn công từ chối dịch vụ có rất nhiều dạng như Ping of Death, Teardrop, Aland
Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS.
1.3 : Mục tiêu của các cuộc tấn công từ chối dịch vụ
•

Làm tiêu tốn tài nguyên của hệ thống,có thể làm hết băng thong,đầy dung lượng
lưu trữ trên đĩa hoặc tăng thời gian xử lý.

•

Phá vỡ các thành phần vật lý của mạng máy tính.

•


Làm tắc nghẽn thông tin liên lạc bên ra bên ngoài.

•

Phá vỡ các thông tin cấu hình như thông tin định tuyến

•

Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP.

•

Làm quá tải năng lực xử lý,dẫn đến hệ thống không thể thực thi bất kỳ một công
việc nào khác.

•

Những lỗi gọi tức thì trong microcode của máy tính.

•

Những lỗi gọi tức thì trong chuỗi chỉ thị,dẫn đến máy tính rơi vào tình trạng hoạt
động không ổn định hoặc bị đơ

•

Những lỗi có thể khai thác được ở hệ điều hành dẫn đến việc thiếu thốn tài nguyên
hoặc bị tharshing.Ví dụ như sử dụng tất cả các năng lực có sẵn dẫn đến không một
công việc thực tế nào có thể hoàn thành được.


•

Gây crash hệ thống

Tấn công từ chối dịch vụ IFrame:Trong một trang HTML, có thể gọi đến một trang
web nào đó với rất nhiều yêu cầu và trong rất nhiều lần cho đến khi băng thông của trang
web đó bị quá hạn.
Nói tóm lại DDos là một cuộc tấn công,làm quá tải tài nguyên hệ thống làm nghẽn
đường truyền…dẫn tới việc gián đoạn hoặc là hệ thống đó bị treo luôn và không thể sử
dụng được.


Chương 2:Các phương pháp tấn công DDos
2.1: Botnets là gì
Botnet là các mạng máy tính được tạo lập từ các máy tính mà hacker có thể điều khiển
từ xa. Các máy tính trong mạng botnet là máy đã bị nhiễm malware và bị hacker điều
khiển. Một mạng botnet có thể có tới hàng trăm ngàn, thậm chí là hàng triệu máy tính.
Nếu máy tính của bạn là 1 thành phần trong mạng botnet, có nghĩa là nó đã bị nhiễm 1
trong số các loại malware (như virus, sâu máy tính...). Hacker tạo ra mạng này sẽ sử
dụng, điều khiển hàng trăm ngàn máy tính của nạn nhân để phục vụ cho mục đích riêng
của chúng.
2.2: Mục đích sử dụng mạng Botnets
Botnet có thể được dùng cho nhiều mục đích khác nhau, do mạng botnet là một mạng
tập hợp của rất rất nhiều máy tính, nên hacker có thể dùng bonet để thực hiện các cuộc
tấn công từ chối dịch vụ (DDoS) vào một máy chủ web nào đó. Theo đó, hàng trăm ngàn
máy tính sẽ "dội bom", truy cập vào một website mục tiêu tại cùng 1 thời điểm, khiến cho
lưu lượng truy cập vào site đó bị quá tải. Hậu quả là nhiều người dùng khi truy cập vào
website đó thì bị nghẽn mạng dẫn tới không truy cập được.



Hình 2.1: Hacker sử dụng mạng botnet vào mục đích bất chính và làm giàu
Botnet cũng có thể được dùng để gửi mail spam. Lợi dụng vào mạng các máy tính
"ma" này, spammer có thể tiết kiệm được khá nhiều chi phí cho hoạt động spam kiếm tiền
của mình. Ngoài ra, botnet cũng được dùng để tạo các "click gian lận" - hành vi tải ngầm
1 website nào đó mà kẻ tấn công đã chuẩn bị sẵn, và click và các link quảng cáo từ đó
đem lại lợi nhuận về quảng cáo cho hacker.
Botnet cũng được dùng để đào Bitcoin nhằm đem lại tiền bán bitcoin cho kẻ tấn công.
Thông thường một máy tính của người dùng cá nhân khó có thể được dùng để đào
Bitcoin, bởi lợi nhuận mang lại sẽ không đủ để bạn trả tiền điện mà quá trình đào tiền ảo
này tiêu tốn. Tuy nhiên, bằng cách lợi dụng 1 mạng máy tính quy mô lớn, hacker có thể


khai thác và bắt máy tính của bạn đào bitcoin cho chúng. Số bitcoin sẽ được chúng thu
về, còn tiền điện thì bạn sẽ phải trả.
Botnet còn được dùng để phát tán malware. Khi đã điều khiển được máy tính của bạn,
hacker có thể dùng chúng để phát tán các phần mềm độc hại nhằm lây nhiễm cho các
máy tính khác. Từ đó, danh sách nạn nhân sẽ được kéo dài, mạng botnet ngày càng được
mở rộng, và lợi nhuận mà hacker thu được sẽ ngày càng lớn.
Hãng bảo mật Symantec từng công bố một sơ đồ về cách hoạt động của mạng botnet
nổi tiếng có tên ZeroAccess. Trong mạng botnet này, 1,9 triệu máy tính trên thế giới đã bị
lây nhiễm để làm công cụ đào bitcoin và click gian lận. Hacker đã kiếm được hàng triệu
USD mỗi năm từ mạng ZeroAccess, còn các nạn nhân phải chịu hơn nửa triệu USD tiền
điện mỗi ngày để phục vụ chúng.
 Ngoài ra Botnets còn được sử dụng

Tấn công Distributed Denial-of-Service - DDoS
Botnet được sử dụng cho tấn công DDoS
Spamming
Mở một SOCKS v4/v5 proxy server cho việc Spamming
Sniffing traffic

Bot cũng có thể sử dụng các gói tin nó sniffer (tóm được các giao tiếp trên mạng) sau
khi tóm được các gói tin nó cố gắng giải mã gói tin để lấy được các nội dung có ý nghĩa
như tài khoản ngân hàng và nhiều thông tin có giá trị khác của người sử dụng.
Keylogging
Với sự trợ giúp của Keylogger rất nhiều thông tin nhạy cảm của người dùng có thể sẽ
bị kẻ tấn công khai thác như tài khoản trên e-banking, cũng như nhiều tài khoản khác.
Cài đặt và lây nhiễm chương trình độc hại
Botnet có thể sử dụng để tạo ra mạng những mạng BOT mới.
Cài đặt những quảng cáo Popup
Tự động bật ra những quảng cáo không mong muốn với người sử dụng.


Google Adsense abuse
Tự động thay đổi các kết quả tìm kiếm hiển thị mỗi khi người dùng sử dụng dịch vụ
tìm kiểm của Google, khi thay đổi kết quả nó sẽ lừa người dùng kích vào những trang
web nguy hiểm.
Tấn công vào IRC Chat Networks
Nó được gọi là clone attack
2.3: Botnet được điều khiển như thế nào?
Botnet có thể được điều khiển theo nhiều cách. Một số cách khá cơ bản và dễ dàng để
ngăn chặn, trong khi một số cách khác thì phức tạp hơn.
Cách cơ bản nhất trong điều khiển botnet đó là mỗi con bot (máy tính trong mạng) sẽ
kết nối tới máy chủ điều khiển từ xa. Hacker sẽ lập trình để sau mỗi một ít tiếng, mỗi bot
sẽ tự động download về 1 file từ 1 website nào đó, và file này sẽ giống như một file ra
lệnh, bắt máy tính của nạn nhân phải làm theo. Một cách khác là máy tính nạn nhân sẽ
kết nối tới 1 kênh IRC nằm trên 1 server nào đó và đợi lệnh từ kẻ điều khiển.


Hình 2.2: Botnet là mạng lưới máy tính bị nhiễm virus thuộc quản lý của hacker
Các botnet dùng 2 cách điều khiển này thường dễ dàng bị ngăn chặn. Chúng ta chỉ cần

theo các máy tính đang kết nối tới máy chủ web nào rồi đánh sập máy chủ là đã thành
công.
Tuy nhiên, cũng có những mạng botnet liên lạc với nhau theo phương pháp ngang
hàng, tương tự như mạng ngang hàng peer-to-peer. Theo đó, các con "bot" nạn nhân sẽ
kết nối với 1 nạn nhân khác ở gần nó, rồi từ đó tạo nên thành 1 mạng botnet. Cách này
khiến cho việc phát hiện và ngăn chặn trở nên khó khăn hơn bởi việc phát hiện ra nguồn
gốc "điều hành" mạng này nằm ở đâu. Tuy nhiên, bằng cách cô lập các bot, không cho
chúng giao tiếp với nhau, chúng ta cũng có thể ngăn chặn được mạng botnet dạng này.
Gần đây, một số botnet bắt đầu sử dụng phương pháp liên lạc qua mạng Tor. Tor là một
dạng mạng máy tính được mã hóa nhằm đem lại tính bảo mật cao nhất có thể. Theo đó, 1
con bot sẽ kết nối tới 1 dịch vụ ẩn trong mạng Tor và điều này khiến việc ngăn chặn trở
nên khó khăn. Trên lý thuyết chúng ta không thể tìm ra nơi "trú ngụ" của dịch vụ ẩn kia,


mặc dù các mạng tình báo như mạng của NSA có thể sử dụng 1 số phương pháp để phát
hiện.
Chúng ta hẳn đã từng nghe nói tới chợ ma túy Silk Road, một trang mua bán online
chuyên giao dịch ma túy lậu. Đây được xem là chợ ma túy lớn nhất toàn cầu, và trang
web này đã ẩn mình trong 1 dịch vụ của Tor nói trên. Và để khám phá ra chợ ma túy này,
FBI đã phải sử dụng tới các biện pháp nghiệp vụ thám tử như ngoài đời, thay vì sử dụng
các phương pháp kỹ thuật số như các mạng botnet khác.

Hình 2.3: Máy tính cá nhân ngày càng có nguy cơ bị hacker chiếm quyền điều khiển
Như vậy tổng kết lại, botnet đơn giản là các nhóm máy tính bị hacker chiếm quyền
điều khiển nhằm phục vụ cho mục đích của chúng, từ đó toàn bộ mạng sẽ được sử dụng
cho các mục đích mà chúng muốn, như rao bán cho kẻ khác, hay bản thân chúng dùng
botnet để tấn công DDoS, đào bitcoin...rồi mang về tiền bạc cho mình.
2.4: Các bước xây dựng mạng Botnets
Bước 1: Cách lây nhiễm vào máy tính.
Đầu tiên kẻ tấn công lừa cho người dùng chạy file "chess.exe", một Agobot thường

copy chúng vào hệ thống và sẽ thêm các thông số trong Registry để đảm bảo sẽ chạy
cùng với hệ thống khi khởi động. Trong Registry có các vị trí cho các ứng dụng chạy lúc
khởi động tại.


HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Bước 2: Cách lây lan và xây dựng tạo mạng BOTNET
Sau khi trong hệ thống mạng có một máy tính bị nhiễm Agobot, nó sẽ tự động tìm
kiếm các máy tính khác trong hệ thống và lây nhiễm sử dụng các lỗ hổng trong tài
nguyên được chia sẻ trong hệ thống mạng.
Chúng thường cố gắng kết nối tới các dữ liệu share mặc định dành cho các ứng dụng
quản trị (administrator or administrative) ví dụ như: C$, D$, E$ và print$ bằng cách đoán
usernames và password để có thể truy cập được vào một hệ thống khác và lây nhiễm.
Agobot có thể lây lan rất nhanh bởi chúng có khả năng tận dụng các điểm yếu trong hệ
điều hành Windows, hay các ứng dụng, các dịch vụ chạy trên hệ thống.
Bước 3: Kết nối vào IRC
Bước tiếp theo của Agobot sẽ tạo ra một IRC-Controlled Backdoor để mở các yếu tố
cần thiết, và kết nối tới mạng Botnet thông qua IRC-Controll, sau khi kết nối nó sẽ mở
những dịch vụ cần thiết để khi có yêu cầu chúng sẽ được điều khiển bởi kẻ tấn công
thông qua kênh giao tiếp IRC.
Bước 4: Điều khiển tấn công từ mạng BotNet.
Kẻ tấn công điều khiển các máy trong mạng Agobot download những file .exe về chạy
trên máy.
Lấy toàn bộ thông tin liên quan và cần thiết trên hệ thống mà kẻ tấn công muốn.
Chạy những file khác trên hệ thống đáp ứng yêu cầu của kẻ tấn công.
Chạy những chương trình DDoS tấn công hệ thống khác.
2.5: Cách phân tích mạng Bot
Tấn công DDoS là cuộc tấn công từ một hệ thống các máy tính cực lớn trên Internet.
Thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng botnet. Chúng có các

đặc điểm chính như sau:
Các dịch vụ tấn công được điều khiển từ những máy nạn nhân sơ cấp ("primary
victim") là các máy lây nhiễm mã độc ban đầu, trong khi các máy tính bị chiếm quyền sử


dụng trong mạng Bot (máy bị lây lan khác) được sử dụng để tấn công thường được gọi là
máy nạn nhân thứ cấp ("secondary victims").
DDoS là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ
nhiều địa chỉ IP trên Internet.
Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall. Nếu nó
từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn.
2.6: Các dấu hiệu nhận biết máy tính bị nhiễm virus
Pop-up quảng cáo xuất hiện cả khi không bật trình duyệt và điều hướng trình duyệt bị
thay đổi.
Các phần mềm độc hại tấn công nạn nhân bằng các cửa sổ, trang pop-up quảng cáo.
Đôi khi chúng quảng cáo cho các sản phẩm hợp pháp nhưng nhiều lúc chúng lại chứa các
đường dẫn tới các trang web độc hại và hậu quả là máy tính của bạn sẽ bị lây nhiễm.
Không hẳn tất cả các trang web được điều hướng tới đều là các trang web độc hại.
Nhưng nếu bạn đang muốn truy cập vào Google mà lại bị chuyển hướng tới một trang
tìm kiếm lạ mắt thì gần như chắc chắn máy tính của bạn đang gặp vấn đề. Đôi khi các
phần mềm độc hại sử dụng phương thức chuyển hướng rất tinh vi.
Có nhiều trường hợp bạn nhận được những thông báo máy nhiễm virus nghiêm trọng
từ chương trình bảo mật mà bạn không hề thiết lập trên máy. Đó là chiêu lừa phổ biến vì
nó sinh lợi cao nhất. Những thủ phạm sử dụng phương thức tấn công từ phần mềm tải về
hoặc các kỹ thuật tấn công lén lút khác để cài đặt phần mềm chống virus giả mạo lên trên
máy của bạn.
Có thể bạn sẽ phải đăng ký và thanh toán một khoản tiền để công cụ này thực hiện
khắc phục các vấn đề cho bạn. Và tất nhiên quá trình quét virus với phần mềm chống
virus giả mạo này sẽ diễn ra rất nhanh vì thực sự nó chẳng làm bất cứ điều gì.
 Những dấu hiệu nhận biết khác


Một số loại virus làm tất cả mọi cách để ẩn đi tất cả các hoạt động và không để lại
những dấu vết có thể nhìn thấy được. Ngay cả khi người dùng không nhận thấy bất cứ
điều gì bất thường, máy tính của vẫn có thể là nơi trú ngụ của một con bot, nó lặng lẽ chờ


đợi hướng dẫn từ hệ thống điều khiển, hay những trojan được điều khiển từ xa nhằm ăn
cắp những thông tin cá nhân. Vì vậy, để đảm bảo an toàn cho máy tính, người dùng nên
chọn một phần mềm diệt virus tốt để cài đặt và sử dụng thường xuyên, lâu dài.
Bạn có thể dùng chương trình Microsoft Windown software removal để tìm và diệt các
spyware, malware. Nếu đang sài win7 thì có thể tận dụng ngay chương trình tích hợp là
Windown Defender (hãy update nó trước khi sử dụng). Nếu chương trình diệt virus trên
máy không diệt được kể cả khi bạn đã update phiên bản mới thì nên thử dùng 1 chương
trình diệt virus khác. (có thể sử dụng một số phần mềm bảo mật chuyên nghiệp AVG,
Malwarebytes Anti-Malware Free, Avast).
Khi 2 cách trên không diệt được virus ta dùng đĩa Hirientboot để diệt virus ngay trong
Dos (trường hợp này rất nguy hiểm nó sẽ làm máy bạn bị xóa các file hệ thống đã bị
nhiễm). Nếu bạn chưa có phần mềm diệt virus, hãy đến các trung tâm máy tính cài đặt
giúp.
2.7: Mô hình tấn công

Hình 2.4: Sơ đồ chính phân loạn các kiểu tấn công DDos

Mô hình tấn công Agent Handler Model


Hình 2.5: Mô hình tấn công Agent Handler Model

Theo mô hình này mạng tấn công (attack-network) gồm 3 thành phần: Agent, Client và
Handler Client: Là software cơ sở để hacker điều khiển mọi hoạt động tấn công.

Handler: Là một thành phần software trung gian giữa Agent và Client.
Agent: Là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ
Client thông qua các Handler.
Attacker sẽ từ Client giao tiếp với Handler để xác định số lượng agent đang online,
điều chỉnh thời điểm tấn công và cập nhật các Agent. Tùy theo cách attacker cấu hình
attack-network, agent sẽ chịu sự quản lý của một hay nhiều Handler.
Thông thường Attacker sẽ đặt Handler software trên một Router hay một server có
lượng traffic lưu thông nhiều. Việc này nhằm làm cho các giao tiếp giữa Client, handler
và Agent khó bị phát hiện. Chủ nhân thực sự của các Agent thông thường không hề hay
biết họ bị lợi dụng vào cuộc tấn công kiểu DDOS, do họ không đủ kiến thức hoặc các
chương trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như
không thể thấy ảnh hưởng gì đến hiệu năng của hệ thống.
Mô hình tấn công DDoS dựa trên nền tảng IRC.


Hình 2.6: Mô hình tấn công dựa trên nền tảng IRC
IRC là một hệ thống online chat multiuser, IRC cho phép User tạo một kết nối đến
multipoint đến user khác và chat thời gian thực. Kiến trúc của IRC network bao gồm
nhiều.
IRC server trên khắp internet giao tiếp với nhau trên nhiều kênh. IRC network cho
phép
User tao ba loại kênh: Public, private, serect.
Public channel: Cho phép user của channel đó thấy IRC name và nhận được mesage
của mọi user khác trên cùng channel.
Private channel: Được thiết kế để giao tiếp với các đối tượng cho phép. Không cho
phép các user không cùng channel thấy IRC name và message.Tuy nhiên, nếu user ngoài
channel dùng một số lệnh locator thì có thể biết được sự tồn tại của private channel đó.
Secret channel: Tương tự như private channel nhưng không thể xác định bằng channel
locator.



IRC -Based network cũng tương tự như Agent -Handler network nhưng mô hình này
sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent. Sử dụng
mô hình này, kẻ tấn công còn có thêm một số lợi thế khác như:
Các giao tiếp dưới gạnh chat message làm cho việc phát hiện chúng vô cùng khó khăn.
Các IRC traffic có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ.
Không cần phải duy trì danh sách các Agent, tin tặc chỉ cần logon vào IRC sever là đã
có thể nhận được thông báo về trạng thái các Agent do các channel gửi về.
Sau cùng: IRC cũng là một môi trường chỉa sẻ tệp tại điều kiện phát tán các Agent
code lên nhiều máy khác. Kẻ tấn công sử dụng các mạng IRC để điều khiển, khuyếch đại
và quản lý kết nối với các máy tính trong mạng Botnet.
2.8: Kỹ thuật tìm kiếm lỗ hổng
 Khái niệm kiểm định an ninh hệ thống

Kiểm thử hệ thống thông tin là một loại kiểm thử nhắm mục đích kiểm tra xem hệ
thống đó có đảm bảo: về tính bí mật, tính toàn vẹn, tính sẵn sàng của thông tin hay
không.
Một hệ thống thông tin được cấu tạo từ nhiều thành phần: con người, phần mềm, máy
tính, thông tin, dữ liệu, mạng truyền thông, các chính sách liên quan,… nên việc kiểm thử
an toàn hệ thống luôn phải xét đến các yếu tố liên quan đến các thành phần trên tùy theo
mục đích đánh giá của người kiểm thử.
 Mục đích của quét lỗ hổng hệ thống

Phát hiện lỗ hổng bảo mật của hệ thống.Phát hiện các nghi vấn về bảo mật để ngăn
chặn.Ngăn ngừa các mối nguy hại tiềm ẩn.
 Các phương pháp kỹ thuật quét lỗ hổng bảo mật

Quét mạng
Kiểm tra sự tồn tại của hệ thống đích
+ Quét ping để kiểm tra xem hệ thống có hoạt động hay không.

+ Phát hiện bằng IDS hoặc một số trình tiện ích.
+ Cấu hình hệ thống, hạn chế lưu lượng các gói ICMP để ngăn ngừa.


+ Quét cổng.
+ Nhằm nhân diện dịch vụ, ứng dụng.
+ Sử dụng các kỹ thuật quét nối TCP, TCP FIN …, xét số cổng để suy ra dịch vụ, ứng
dụng.
+ Phát hiện quét dựa vào IDS hoặc cơ chế bảo mật của máy chủ.
+ Vô hiệu hóa các dịch vụ không cần thiết để dấu mình.
Dò hệ điều hành
+ Dò dựa vào đặc trưng giao thức.
+ Phát hiện bằng các phần mền phát hiện quét cổng, phòng ngừa, sử dụng firewall, IDS.
Liệt kê thông tin
+ Xâm nhập hệ thống, tạo các vẫn tin trực tiếp.
+ Thu nhập thông tin về: Dùng chung tài khoản, tài nguyên mạng. Tài khoản người dùng
và nhóm người dùng. Ứng dụng và banner.
+ Liệt kê các thông tin trong windows.
Quét điểm yếu dịch vụ
+ Quét tài khoản yếu: tài các tài khoản với từ điển khi tài khoản yếu.
+ Quét dịch vụ yếu: dựa trên xác định nhà cung cấp và phiên bản.
+ Biện pháp đối phó: cấu hình dịch vụ hợp lý, nâng cấp, vá lỗi kịp thời.
Bẻ khóa mật khẩu
+ Nhanh chóng tìm ra mật khẩu yếu.
+ Cung cấp các thông tin cụ thể về độ an toàn của mật khẩu.
+ Dễ thực hiện.
+ Giá thành thấp.
Kiểm soát log file
+ Ghi lại xác định các thao tác trong hệ thống.
+ Dùng để xác định các sự sai lệch trong chính sách bảo mật.

+ Có thể thay bằng tay hoặc tự động.
+ Nên được thực hiện thường xuyên trên các thiết bị chính.


+ Cung cấp các thông tin có ý nghĩa cao.
+ Áp dụng cho tất cả các nguồn cho phép ghi lại hoạt động trên nó.
Kiểm tra tính toàn vẹn file
+ Các thông tin về thao tác file được lưu trữ trong cơ sở dữ liệu tham chiếu.
+ Một phần mềm đối chiều file và dữ liệu trong cơ sở dữ liệu để phát hiện trùy nhập trái
phép.
+ Tự động hóa cao.
+ Giá thành hạ.
+ Không phát hiện khoảng thời gian.
+ Luôn phải cập nhật cơ sở dữ liệu tham chiếu.
Quét LAN không dây
+ Liên kết bằng tín hiệu không dùng dây dẫn thuận tiện cho kết nối đồng thời tạo ra nhiều
lỗ hổng mới.
+ Hacker có thể tấn công vào mạng với máy tính xách tay có chuẩn không dây.
+ Chính sách bảo đảm an toàn:
– Dựa trên các nền phần cứng và các chuẩn cụ thể.
– Việc cấu hình mạng phải chặt chẽ và bí mật.
– Gỡ bỏ các cổng vào không cần thiết
 Các dạng tấn công DDos

Thông thường, để thực hiện tấn công DDoS, tin tặc phải tuyển chọn và chiếm quyền
điều khiển một số lượng lớn các máy tính có kết nối Internet, và các máy tính này sau khi
bị cài phần mềm agent trở thành các bots - công cụ giúp tin tặc thực hiện tấn công DDoS.
Tin tặc thông qua các máy điều khiển (master) giao tiếp với các bots để gửi thông tin
và các lệnh điều khiển tấn công. Theo phương thức giao tiếp giữa các master và bots, có
thể chia tấn công DDoS thành 4 dạng

DDoS dựa trên agent-handler: Tấn công DDoS dựa trên dạng này bao gồm các thành
phần: clients, handlers và agents (bots/zombies). Tin tặc chỉ giao tiếp trực tiếp với clients.


Clients sẽ giao tiếp với agents thông qua handlers. Nhận được lệnh và các thông tin thực
hiện tấn công, agents trực tiếp thực hiện việc tấn công.
DDoS dựa trên IRC: Internet Relay Chat (IRC) là một hệ thống truyền thông điệp trực
tuyến cho phép nhiều người dùng tạo kết nối và trao đổi các thông điệp theo thời gian
thực.
Trong dạng tấn công DDoS này tin tặc sử dụng IRC làm kênh giao tiếp với các agents,
không sử dụng handlers.
DDoS dựa trên web: Trong dạng tấn công này, tin tặc sử dụng các trang web làm
phương tiện giao tiếp qua kênh HTTP thay cho kênh IRC. Các trang web của tin tặc được
sử dụng làm trung tâm điều khiển và lây nhiễm các phần mềm độc hại, các công cụ khai
thác các lỗ hổng an ninh, cài đặt các agents chiếm quyền điều khiển hệ thống máy tính và
biến chúng thành các bots. Các bots có thể được xác lập cấu hình hoạt động từ đầu, hoặc
chúng có thể gửi các thông điệp đến trang web điều khiển thông qua các giao thức web
phổ biến như HTTP và HTTPS.
DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer – một giao
thức ở tầng ứng dụng làm kênh giao tiếp. Bản chất của các mạng P2P là phân tán nên rất
khó để phát hiện các bots giao tiếp với nhau thông qua kênh này.
 Dựa trên cường độ tấn công

Dựa trên cường độ hoặc tần suất gửi yêu cầu tấn công, có thể phân loại tấn công DDoS
thành 5 dạng.
Tấn công cường độ cao: Là dạng tấn công gây ngắt quãng dịch vụ bằng cách gửi cùng
một thời điểm một lượng rất lớn các yêu cầu từ các máy agents/zombies nằm phân tán
trên mạng.
Tấn công cường độ thấp: Các agents/zombies được phối hợp sử dụng để gửi một
lượng

lớn các yêu cầu giả mạo, nhưng với tần suất thấp, làm suy giảm dần dần hiệu năng mạng.
Dạng tấn công này rất khó bị phát hiện do lưu lương tấn công tương tự như lưu lượng
đến từ người dùng hợp pháp.


Tấn công cường độ hỗn hợp: Là dạng kết hợp giữa tấn công cường độ cao và tấn công
cường độ thấp. Đây là dạng tấn công phức hợp, trong đó tin tặc thường sử dụng các công
cụ để sinh các gói tin tấn công gửi với tần suất cao và thấp.
Tấn công cường độ liên tục: Là dạng tấn công được thực hiện liên tục với cường độ tối
đa trong suốt khoảng thời gian từ khi bắt đầu đến khi kết thúc.
Tấn công cường độ thay đổi: Đây là dạng tấn công có cường độ thay đổi động nhằm
tránh bị phát hiện và đáp trả.
 Dựa trên việc khai thác các lỗ hổng an ninh

Dựa trên việc khai thác các điểm yếu và lỗ hổng an ninh, tấn công DDoS có thể được
phân loại thành 2 dạng:
+ Tấn công gây cạn kiệt băng thông: Các tấn công DDoS dạng này được thiết kế để
gây
ngập lụt hệ thống mạng của nạn nhân bằng các yêu cầu truy nhập giả mạo, làm người
dùng hợp pháp không thể truy nhập dịch vụ. Tấn công dạng này thường gây tắc nghẽn
đường truyền bằng lượng yêu cầu giả mạo rất lớn gửi bởi các máy tính ma (zombie) của
các botnets. Dạng tấn công này cũng còn được gọi là tấn công gây ngập lụt hoặc tấn công
khuếch đại.
+ Tấn công gây cạn kiệt tài nguyên: Các tấn công DDoS dạng này được thiết kế để tiêu
dùng hết các tài nguyên trên hệ thống nạn nhân, làm cho nó không thể phục vụ các yêu
cầu của người dùng hợp pháp. Dạng tấn công DDoS này có thể được chia nhỏ thành 2
dạng (i) tấn công khai thác tính năng hoặc lỗi cài đặt của các giao thức và (ii) tấn công sử
dụng các gói tin được tạo đặc biệt. Trong dạng thứ nhất, tin tặc khai thác các lỗi hoặc các
tính năng đặc biệt của các giao thức trên hệ thống nạn nhân để gây cạn kiệt tài nguyên.
Trong dạng thứ hai, kẻ tấn công tạo ra các gói tin đặc biệt, như các gói sai định dạng,

gói có khiếm khuyết, gửi đến hệ thống nạn nhân. Hệ thống nạn nhân có thể bị trục trặc
khi cố gắng xử lý các gói tin dạng này.
Ví dụ, trong tấn công Ping of Death, tin tặc gửi các gói tin ICMP có kích thước lớn
hơn 64KB gây lỗi các máy chạy hệ điều hành Windows XP.