Tải bản đầy đủ (.docx) (51 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Tấn công SYN FLOOD và DDOS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.01 MB, 51 trang )

MỤC LỤC

1


DANH MỤC NHỮNG TỪ VIẾT TẮT
DOS

Denial of Service

DDOS

Distributed Denial of Service

DRDOS

Distributed Reflection Denial of Service

IRC

Internet Relay Chat

UDP

User Datagram Protocol

TCP

Transmission Control Protocol

2




LỜI NÓI ĐẦU
1. Tính cấp thiết
Ngày nay trong bất kỳ lĩnh vực nào cũng cần đến máy tính, máy tính rất
hữu ích với đời sống con người. Chính nhờ sự có mặt của máy tính và sự phát
triển của nó đã làm cho hầu hết các lĩnh vực trong xã hội phát triển vượt bậc,
nhanh chóng và thần kỳ.
Cùng với sự ra đời và phát triển của máy tính thì mạng máy tính cũng
không kém phần phát triển. Bên cạnh đó, các hình thức phá hoại mạng cũng trở
nên tinh vi và phức tạp hơn. Do đó đối với mỗi hệ thống, nhiệm vụ bảo mật
được đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết. Xuất
phát từ vấn đề đó, nhóm em đã tìm hiểu và nghiên cứu đề tài: “Tìm hiểu và thử
nghiệm tấn công SYN Flood”. Báo cáo trình bày những vấn đề về giới thiệu về
tấn công từ chối dịch vụ và thử nghiệm tấn công SYN Flood
Do còn thiếu kinh nghiệm thực tiễn nên báo cáo này không tránh khỏi
những thiếu sót. Rất mong được sự đóng góp ý kiến của quý thầy cô và bạn bè
để báo cáo này được hoàn thiện hơn.
2. Mục tiêu của Chuyên đề
- Tìm hiểu tổng quan tấn công từ chối dịch vụ
- Tìm hiểu về SYN Flood
- Nghiên cứu xây dựng mô phỏng tấn công SYN Flood
3. Đối tượng nghiên cứu
- Tấn công SYN Flood
4. Phạm vi nghiên cứu
- Tấn công từ chối dịch vụ
- Tấn công SYN Flood
5. Phương pháp nghiên cứu
* Phương pháp nghiên cứu tài liệu
- Phương pháp này được áp dụng để tìm hiểu, phân tích các tài liệu liên

quan đến đề tài nghiên cứu. Trong đó, chúng tôi áp dụng phương pháp này vào
các tài liệu về tấn công từ chối dịch vụ, tấn công SYN Flood...
- Nguồn tài liệu:
3


+ Từ các hệ thống giáo trình SYN Flood.
+ Từ các nghiên cứu của những người nghiên cứu trước đó, các sách, tạp
chí, các ngân hàng đề tài khoa học có liên quan đến đề tài...
+ Từ các thông tin trên mạng Internet...
* Phương pháp nghiên cứu thực nghiệm
- Thử nghiệm và đánh giá kết quả một số phương pháp đề xuất:
+ Thu thập các phương pháp tấn công SYN Flood
+ Đánh giá và phân tích kết quả.
6. Nội dung nghiên cứu
Chương 1. Tổng quan tấn công từ chối dịch vụ
Chương 2. Tổng quan về kỹ thuật tấn công SYN Flood
Chương 3. Thử nghiệm tấn công SYN Flood
7. Dự kiến sản phẩm đạt được
Gồm hai sản phẩm chính là:
- Báo cáo tổng hợp về đề tài “Tìm hiểu và thử nghiệm tấn công SYN
Flood.”
- Thử nghiệm tấn công SYN Flood

4


CHƯƠNG 1. TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ
1.1. Khái niệm tấn công từ chối dịch vụ
Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến

sự phát triển bùng nổ của công nghệ thông tin, truyền thông. Đặc biệt sự phát
triển của các trang mạng (websites) và các ứng dụng trên các trang mạng đã
cung cấp nhiều tiện ích cho người sử dụng từ tìm kiếm, tra cứu thông tin đến
thực hiện các giao dịch cá nhân, trao đổi kinh doanh, mua bán, thanh toán hàng
hoá, dịch vụ, thực hiện các dịch vụ công... Tuy nhiên, trong sự phát triển mạnh
mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề đảm
bảo an toàn, an ninh thông tin cũng trở thành một trong những thách thức lớn.
Một trong những nguy cơ tác động đến việc đảm bảo an toàn thông tin trong
nhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn công từ chối
dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hoặc gây rối loạn
hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số.

Hình 1.1.1.1.1. Tấn công từ chối dịch vụ

Tấn công từ chối dịch vụ (hay còn gọi là DoS - Denial of Service) là một
trong những thủ đoạn nhằm ngăn cản những người dùng hợp pháp khả năng truy
cập và sử dụng vào một dịch vụ nào đó. DoS có thể làm ngưng hoạt động của
một máy tính, một mạng nội bộ thậm chí cả một hệ thống mạng rất lớn. Về bản
chất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên
mạng như băng thông, bộ nhớ... và làm mất khả năng xử lý các yêu cầu dịch vụ
từ các khách hàng khác. Tấn công DoS nói chung không nguy hiểm như các
kiểu tấn công khác, vì kẻ tấn công ít có khả năng thâm nhập hay chiếm được
thông tin dữ liệu của hệ thống. Tuy nhiên, nếu máy chủ tồn tại mà không thể
cung cấp thông tin, dịch vụ cho người sử dụng thì sự tồn tại này là không có ý
nghĩa, đặc biệt là các hệ thống phục vụ các giao dịch điện tử thì thiệt hại là vô
cùng lớn. Đối với hệ thống máy chủ được bảo mật tốt, khó thâm nhập, việc tấn
công từ chối dịch vụ DoS được các hacker sử dụng như là “cú chót” để triệt hạ
hệ thống đó.
5



Tất cả các hệ thống máy tính đều chỉ có một giới hạn nhất định nên nó chỉ
có thể đáp ứng một yêu cầu dịch vụ giới hạn nào đó mà thôi. Như vậy, hầu hết
các máy chủ đều có thể trở thành mục tiêu tấn công của DoS. Tùy cách thức
thực hiện mà DoS được biết dưới nhiều tên gọi khác nhau; tuy nhiên, phổ biến,
nguy hiểm nhất có thể kể đến một số dạng sau:
Tấn công từ chối dịch vụ cổ điển DoS
Tấn công từ chối dịch vụ cổ điển DoS là một phương pháp tấn công từ chối
dịch vụ xuất hiện đầu tiên với các kiểu tấn công như Smurf Attack, Tear Drop,
SYN Attack… Các kiểu tấn công này thường được áp dụng đối với đối tượng
tấn công là hệ thống máy chủ bảo mật kém, băng thông (bandwidth) yếu, thậm
chí trong nhiều trường hợp, đối tượng tin tặc có thể sử dụng đường truyền có tốc
độ vừa phải cũng có thể thực hiện thành công các kiểu tấn công này.
Trong tấn công từ chối dịch vụ, kẻ tấn công cố gắng ngăn cản người dùng
truy cập thông tin hoặc dịch vụ. Bằng cách nhằm vào các máy tính và sử dụng
mạng máy tính mà bạn đang dùng, kẻ tấn công có thể ngăn cản truy cập email,
website, tài khoản trực tuyến (ví dụ như ngân hàng) và các dịch vụ khác.
Một kiểu Dos rõ ràng và phổ biến nhất là một kẻ tấn công “làm lụt” mạng
bằng thông tin. Khi bạn nhập vào URL của một website vào trình duyệt, lúc đó
bạn đang gửi một yêu cầu đến máy chủ của trang này để xem. Máy chủ chỉ có
thể xử lý một số yêu cầu vì vậy nếu một kẻ tấn công làm quá tải máy chủ với
nhiều yêu cầu thì có thể yêu cầu của bạn không được xử lý. Đây là kiểu “từ chối
dịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó.
Kẻ tấn công có thể sử dụng thư rác để thực hiện các tấn công tương tự trên
tài khoản email của bạn. Dù bạn có một tài khoản email được cung cấp bởi nhân
viên của bạn hay có sẵn qua một dịch vụ miễn phí như Yahoo hay Hotmail thì
vẫn bị giới hạn số lượng dữ liệu trong tài khoản. Bằng cách gửi nhiều email đến
tài khoản của bạn, kẻ tấn công có thể tiêu thụ hết phần nhận mail và ngăn chặn
bạn nhận được các mail khác.
Tấn công từ chối dịch vụ phân tán DDoS

Tấn công từ chối dịch vụ phân tán DDoS, so với tấn công DoS cổ điển, sức
mạnh tăng gấp nhiều lần. Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm
dụng băng thông (bandwidth) gây nghẽn mạch hệ thống, dẫn đến ngưng hoạt
động hệ thống. Để thực hiện DDoS, kẻ tấn công tìm cách chiếm dụng và điều
khiển nhiều máy tính/mạng máy tính trung gian được gọi là botnet (đóng vai trò
là zombie) từ nhiều nơi để đồng loạt gửi ào ạt các gói tin (packet) với số lượng
rất lớn nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền của một
mục tiêu xác định nào đó.

6


Hình 1.1.1.1.2. Tấn công từ chối dịch vụ phân tán(DDoS)

Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS
Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS lại là kiểu tấn công
mới nhất, mạnh nhất trong các kiểu tấn công DoS. Trong suốt quá trình máy chủ
bị tấn công bằng DRDoS, không một máy khách nào có thể kết nối được vào
máy chủ đó. Tất cả các dịch vụ chạy trên nền TCP/IP như DNS, HTTP, FTP,
POP3... đều bị vô hiệu hóa. Về cơ bản, DRDoS là sự phối hợp giữa hai kiểu DoS
và DDoS. Nó có kiểu tấn công SYN với một máy tính đơn, vừa có sự kết hợp
giữa nhiều máy tính để chiếm dụng băng thông như kiểu DDoS. Kẻ tấn công
thực hiện bằng cách giả mạo địa chỉ của máy chủ mục tiêu rồi gửi yêu cầu SYN
đến các máy chủ lớn như Yahoo, Microsoft, Google... để các máy chủ này gửi
các gói tin SYN/ACK đến máy chủ mục tiêu. Quá trình cứ lặp lại liên tục với
nhiều máy chủ lớn tham gia nên máy chủ mục tiêu nhanh chóng bị quá tải, băng
thông (bandwitch) bị chiếm dụng bởi máy chủ lớn, dẫn đến máy chủ mục tiêu
không thể hoạt động bình thường
1.2. Lịch sử tấn công từ chối dịch vụ
Các tấn công DoS bắt đầu vào khoảng đầu những năm 90. Đầu tiên, chúng

hoàn toàn “nguyên thủy”, bao gồm chỉ một kẻ tấn công khai thác băng thông tối
đa từ nạn nhân, ngăn những người khác được phục vụ. Điều này được thực hiện
chủ yếu bằng cách dùng các phương pháp đơn giản như Ping Floods, SYN
Floods và UDP Floods. Sau đó, các cuộc tấn công trở nên phức tạp hơn, bằng
cách giả làm nạn nhân, gửi vài thông điệp và để các máy khác làm ngập máy
nạn nhân với các thông điệp trả lời. (Smurf attack, IP spoofing…).
Các tấn công này phải được đồng bộ hoá một cách thủ công bởi nhiều kẻ
tấn công để tạo ra một sự phá huỷ có hiệu quả. Sự dịch chuyển đến việc tự động
7


hoá sự đồng bộ, kết hợp này và tạo ra một tấn công song song lớn trở nên phổ
biến từ 1997, với sự ra đời của công cụ tấn công DDoS đầu tiên được công bố
rộng rãi, Trinoo. Nó dựa trên tấn công UDP Flood và các giao tiếp master-slave
(khiến các máy trung gian tham gia vào trong cuộc tấn công bằng cách đặt lên
chúng các chương trình được điều khiển từ xa). Trong những năm tiếp theo, vài
công cụ nữa được phổ biến – TFN (tribe Flood network), TFN2K, vaf
Stacheldraht.
Tuy nhiên, chỉ từ cuối năm 1999 mới có những báo cáo về những tấn công
như vậy, và đề tài này được công chúng biết đến chỉ sau khi một cuộc tấn công
lớn vào các site công cộng tháng 2/2000. Trong thời gian 3 ngày, các site
Yahoo.com, amazon.com, buy.com, cnn.com và eBay.com đã đặt dưới sự tấn
công (ví dụ như Yahoo bị ping với tốc độ 1 GB/s). Người ta phát hiện rằng
khoảng 50 máy tính ở Stanford University và cả các máy tính ở University of
California at Santa Barbara nằm trong số các máy tính “zombie” gửi ping trong
các tấn công DoS này.
Trong các tháng tiếp theo, các tấn công phổ biến khác được tổ chức chống
lại các site được sử dụng rộng rãi (thương mại và chính phủ):
Một nghiên cứu trong 3 tuần vào tháng 2/2001 cho thấy có khoảng 4000
tấn công DoS mỗi tuần. Hầu hết tấn công DoS không được công bố trên phương

tiện thông tin và cũng không bị truy tố.
Tháng 5/2001, các hacker đã làm quá tải các router của Weather.com và của
công ty Web hosting của nó với các lưu thông giả. Để chống lại cuộc tấn công,
weather.com đã chuyển đến một router riêng và đã cài đặt phần mềm lọc để bảo
vệ các switch và server, cũng như phần mềm phát hiện xâm nhập để ghi lại tất cả
các hoạt động đang diễn ra. Công ty này phải mất 7 giờ để đưa site hoạt động trở
lại.
5/2001 và 1/2002, Hai tấn công lớn vào website grc.com. Các tấn công này
là duy nhất do các phân tích kỹ càng đã được thực hiện về chúng bởi Steve
Gibson, một trong những người chủ của site này. Ông đã xuất bản hai bài báo
chi tiết, mô tả sự tiến hóa của các tấn công này, cách mà đội ngũ của ông phân
tích chúng và cách họ vượt qua chúng.
4/2002, Hàng ngàn máy tính trên toàn thế giới đã làm ngập mọi website tin
tức gaming nổi tiếng với hàng trăm yêu cầu cho một file không xác định
11081109.exe. Tấn công đáng ngạc nhiên này đã làm down hầu hết các site tin
tức phổ biến, bao gồm Shacknews, Bluesnews, Gamespy và nhiều site khác.
Ngay cả các site không phải gaming cũng bị ảnh hưởng, do hầu hết các điểm
routing lớn bị ngập hoặc shut down do lưu thông lớn.
Vài tấn công này còn được thúc đẩy bởi động cơ chính trị - các ví dụ điển
hình có thể tìm thấy ở Trung Đông, những người ủng hộ Israel đã tiến hành một
tấn công DDoS lên site của Hezbollah vào 9/2000, ngược lại, những người ủng
hộ Palestin đã thành công trong việc làm “crashing” site của Bộ Ngoại giao
Israel trong vài ngày, và làm tràn ngập lưu thông trong các ISP chính.
8


21/10/2016, Hacker vừa thực hiện vụ tấn công DDoS vào Dyn, công ty có
chức năng giúp người dùng kết nối tới các website, khiến người dùng không thể
truy cập các dịch vụ lớn như Twitter, Spotify và Airbnb.
1.3. Mục đích và động cơ tấn công DDoS

1.3.1. Mục đích tấn công DDoS
Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (Flood),
khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho
người dùng bình thường.
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào
dịch vụ.
Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó.
Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập
vào.
Khi tấn công DoS xảy ra, người dùng có cảm giác khi truy cập vào dịch vụ
đó như bị:
+ Tắt mạng.
+ Tổ chức không hoạt động.
+ Tài chính bị mất.
1.3.2. Động cơ tấn công DDoS
Động cơ của tin tặc tấn công DDoS khá đa dạng. Tuy nhiên, có thể chia các
dạng tấn công DDoS dựa trên động cơ của tin tặc thành 5 loại chính:
Nhằm giành được các lợi ích tài chính, kinh tế: Tin tặc tấn công DDoS
thuộc loại này thường có kỹ thuật tinh vi và nhiều kinh nghiệm tấn công và
chúng luôn là mối đe dọa thường trực đối với các công ty, tập đoàn lớn. Các tấn
công DDoS nhằm giành được các lợi ích tài chính là những tấn công nguy hiểm
và khó phòng chống nhất.
Để trả thù: Tin tặc tấn công DDoS thuộc loại này thường là những cá nhân
bất mãn và họ thực hiện tấn công để trả đũa những sự việc mà họ cho là bất
công.
Gây chiến tranh trên không gian mạng: Tin tặc tấn công DDoS thuộc loại
này thường thuộc về các tổ chức quân sự hoặc khủng bố của một nước thực hiện
tấn công vào các hệ thống trọng yếu của một nước khác vì mục đích chính trị.
Các đích tấn công thường gặp là các hệ thống mạng của các cơ quan chính phủ,
các tổ chức tài chính ngân hàng, hệ thống cung cấp điện nước và các nhà cung

cấp dịch vụ viễn thông. Tin tặc loại này thường được đào tạo tốt và được sử
dụng nguồn lực mạnh phục vụ tấn công trong thời gian dài. Hậu quả của dạng
tấn công này thường rất lớn, gây ngưng trệ nhiều dịch vụ và có thể gây thiệt hại
lớn về kinh tế cho một quốc gia.
9


Do niềm tin ý thức hệ: Tin tặc tấn công DDoS thuộc loại này chiểm tỷ
trọng lớn các cuộc tấn công DDoS và thường thực hiện tấn công do niềm tin ý
thức hệ, bao gồm tấn công vì các mục đích chính trị, tôn giáo.
Để thử thách trí tuệ: Tin tặc tấn công DDoS thuộc loại này thường là những
người trẻ tuổi thích thể hiện bản thân, thực hiện tấn công để thử nghiệm và học
cách thực hiện các dạng tấn công khác nhau. Loại tin tặc này đang tăng nhanh
chóng do ngày nay có sẵn nhiều công cụ tấn công mạng rất dễ dùng và một
người nghiệp dư cũng có thể sử dụng để thực hiện thành công một tấn công
DDoS.
1.4. Phân loại tấn công từ chối dịch vụ
1.4.1. Kiến trúc tấn công
Mặc dù có nhiều dạng tấn công DDoS được ghi nhận, nhưng tựu trung có
thể chia kiến trúc tấn công DDoS thành 2 loại chính:[1]
1.4.1.1. Kiến trúc tấn công DDoS trực tiếp:

1 Kiến trúc tấn công DDoS trực tiếp

Theo đó tin tặc (Attacker) trước hết thực hiện chiếm quyền điều khiển hàng
ngàn máy tính có kết nối Internet, biến các máy tính này thành các Zombie –
những máy tính bị kiểm soát và điều khiển từ xa bởi tin tặc. Tin tặc thường điều
khiển các Zombie thông qua các máy trung gian (Handler). Hệ thống các
Zombie chịu sự điều khiển của tin tặc còn được gọi là mạng máy tính ma hay
botnet. Theo lệnh gửi từ tin tặc, các Zombie đồng loạt tạo và gửi các yêu cầu

truy nhập giả mạo đến hệ thống nạn nhân (Victim), gây ngập lụt đường truyền
mạng hoặc làm cạn kiệt tài nguyên của máy chủ, dẫn đến ngắt quãng hoặc
ngừng dịch vụ cung cấp cho người dùng
1.4.1.2. Kiến trúc tấn công DDoS gián tiếp hay phản chiếu:
Tương tự như kiến trúc tấn công DDoS trực tiếp, tin tặc (Attacker) trước
hết thực hiện chiếm quyền điều khiển một lượng rất lớn máy tính có kết nối
Internet, biến các máy tính này thành các Zombie, hay còn gọi la Slave. Tin tặc
điều khiển các Slave thông qua các máy trung gian (Master). Theo lệnh gửi từ
10


tin tặc, các Slave đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo với địa chỉ
nguồn của các gói tin là địa chỉ của máy nạn nhân (Victim) đến đến một số lớn
các máy khác (Reflectors) trên mạng Internet. Các Reflectors gửi phản hồi
(Reply) đến máy nạn nhân do địa chỉ của máy nạn nhân được đặt vào yêu cầu
giả mạo. Khi các Reflectors có số lượng lớn, số phản hồi sẽ rất lớn và gây ngập
lụt đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn đến
ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng. Các Reflectors bị lợi
dụng để tham gia tấn công thường là các hệ thống máy chủ có công suất lớn

1 Kiến trúc tấn công DDoS gián tiếp

1.4.2. Phân loại tấn công DDoS
Các cuộc tấn công DDoS thường được tin tặc thực hiện bằng cách huy
động một số lượng rất lớn các máy tính có kết nối Internet bị chiếm quyền điều
khiển, tập hợp các máy này được gọi là mạng máy tính ma hay mạng bot, hoặc
botnet. Các máy của botnet có khả năng gửi hàng ngàn yêu cầu giả mạo mỗi
giây đến hệ thống nạn nhân, gây ảnh hưởng nghiêm trọng đến chất lượng dịch
vụ cung cấp cho người dùng. Do các yêu cầu của tấn công DDoS được gửi rải
rác từ nhiều máy ở nhiều vị trí địa lý nên rất khó phân biệt với các yêu cầu của

người dùng hợp pháp. Một trong các khâu cần thiết trong việc đề ra các biện
pháp phòng chống tấn công DDoS hiệu quả là phân loại các dạng tấn công
DDoS và từ đó có biện pháp phòng chống thích hợp. Một cách khái quát, tấn
công DDoS có thể được phân loại dựa trên 6 tiêu chí chính:
11


1.4.2.1. Dựa trên phương pháp tấn công,
Dựa trên mức độ tự động,
Dựa trên giao thức mạng,
Dựa trên phương thức giao tiếp,
Dựa trên cường độ tấn công
Dựa trên việc khai thác các lỗ hổng an ninh.
1.4.2.2. Dựa trên phương pháp tấn công
Phân loại DDoS dựa trên phương pháp tấn công là một trong phương pháp
phân loại cơ bản nhất. Theo tiêu chí này, DDoS có thể được chia thành 2 dạng:
Tấn công gây ngập lụt (Flooding attacks): Trong tấn công gây ngập lụt, tin
tặc tạo một lượng lớn các gói tin tấn công giống như các gói tin hợp lệ và gửi
đến hệ thống nạn nhân làm cho hệ thống không thể phục vụ người dùng hợp
pháp. Đối tượng của tấn công dạng này là băng thông mạng, không gian đĩa,
thời gian của CPU,…
Tấn công logic (Logical attacks): Tấn công logic thường khai thác các tính
năng hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống nạn
nhân, nhằm làm cạn kiệt tài nguyên hệ thống. Ví dụ tấn công TCP SYN khai
thác quá trình bắt tay 3 bước trong khởi tạo kết nối TCP, trong đó mỗi yêu cầu
kết nối được cấp một phần không gian trong bảng lưu yêu cầu kết nối trong khi
chờ xác nhận kết nối. Tin tặc có thể gửi một lượng lớn yêu cầu kết nối giả mạo,
các kết nối không thể thực hiện, chiếm đầy không gian bảng kết nối và hệ thống
nạn nhân không thể tiếp nhận yêu cầu kết nối của người dùng hợp pháp.
1.4.2.3. Dựa trên mức độ tự động

Theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng:
Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống tìm lỗ hổng, đột
nhập vào hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công. Chỉ những
tấn công DDoS trong giai đoạn đầu mới được thực hiện thủ công.
Tấn công bán tự động: Trong dạng này, mạng lưới thực hiện tấn công
DDoS bao gồm các máy điều khiển (master/handler) và các máy agent (slave,
deamon, zombie, bot). Các giai đoạn tuyển chọn máy agent, khai thác lỗ hổng và
lây nhiễm được thực hiện tự động. Trong đoạn tấn công, tin tặc gửi các thông tin
bao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian duy trì tấn công và
đích tấn công đến các agent thông qua các handler. Các agent sẽ theo lệnh gửi
các gói tin tấn công đến hệ thống nạn nhân.
Tấn công tự động: Tất cả các giai đoạn trong quá trình tấn công DDoS, từ
tuyển chọn máy agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đều
được thực hiện tự động. Tất cả các tham số tấn công đều được lập trình sẵn và
đưa vào mã tấn công. Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin tặc
12


và mạng lưới tấn công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các máy
agent.
1.4.2.4. Dựa trên giao thức mạng
Dựa trên giao thức mạng, tấn công DDoS có thể chia thành 2 dạng:
Tấn công vào tầng mạng hoặc giao vận: Ở dạng này, các gói tin TCP, UDP
và ICMP được sử dụng để thực hiện tấn công.
Tấn công vào tầng ứng dụng: Ở dạng này, các tấn công thường hướng đến
các dịch vụ thông dụng ứng với các giao thức tầng ứng dụng như HTTP, DNS và
SMTP. Tấn công DdoS tầng ứng dụng cũng có thể gây ngập lụt đường truyền và
tiêu hao tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch vụ cho
người dùng hợp pháp. Dạng tấn công này rất khó phát hiện do các yêu cầu tấn
công tương tự yêu cầu từ người dùng hợp pháp.

1.4.2.5. Dựa trên phương thức giao tiếp
Thông thường, để thực hiện tấn công DDoS, tin tặc phải tuyển chọn và
chiếm quyền điều khiển một số lượng lớn các máy tính có kết nối Internet, và
các máy tính này sau khi bị cài phần mềm agent trở thành các bots - công cụ
giúp tin tặc thực hiện tấn công DDoS. Tin tặc thông qua các máy điều khiển
(master) giao tiếp với các bots để gửi thông tin và các lệnh điều khiển tấn công.
Theo phương thức giao tiếp giữa các master và bots, có thể chia tấn công DDoS
thành 4 dạng:
DDoS dựa trên agent-handler: Tấn công DDoS dựa trên dạng này bao gồm
các thành phần: clients, handlers và agents (bots/zombies). Tin tặc chỉ giao tiếp
trực tiếp với clients. Clients sẽ giao tiếp với agents thông qua handlers. Nhận
được lệnh và các thông tin thực hiện tấn công, agents trực tiếp thực hiện việc tấn
công.
DDoS dựa trên IRC: Internet Relay Chat (IRC) là một hệ thống truyền
thông điệp trực tuyến cho phép nhiều người dùng tạo kết nối và trao đổi các
thông điệp theo thời gian thực. Trong dạng tấn công DDoS này tin tặc sử dụng
IRC làm kênh giao tiếp với các agents, không sử dụng handlers.
DDoS dựa trên web: Trong dạng tấn công này, tin tặc sử dụng các trang
web làm phương tiện giao tiếp qua kênh HTTP thay cho kênh IRC. Các trang
web của tin tặc được sử dụng làm trung tâm điều khiển và lây nhiễm các phần
mềm độc hại, các công cụ khai thác các lỗ hổng an ninh, cài đặt các agents
chiếm quyền điều khiển hệ thống máy tính và biến chúng thành các bots. Các
bots có thể được xác lập cấu hình hoạt động từ đầu, hoặc chúng có thể gửi các
thông điệp đến trang web điều khiển thông qua các giao thức web phổ biến như
HTTP và HTTPS.
DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer –
một giao thức ở tầng ứng dụng làm kênh giao tiếp. Bản chất của các mạng P2P
là phân tán nên rất khó để phát hiện các bots giao tiếp với nhau thông qua kênh
này.
13



1.4.2.6. Dựa trên cường độ tấn công
Dựa trên cường độ hoặc tần suất gửi yêu cầu tấn công, có thể phân loại tấn
công DDOS thành 5 dạng:
Tấn công cường độ cao: Là dạng tấn công gây ngắt quãng dịch vụ bằng
cách gửi cùng một thời điểm một lượng rất lớn các yêu cầu từ các máy
agents/zombies nằm phân tán trên mạng.
Tấn công cường độ thấp: Các agents/zombies được phối hợp sử dụng để
gửi một lượng lớn các yêu cầu giả mạo, nhưng với tần suất thấp, làm suy giảm
dần dần hiệu năng mạng. Dạng tấn công này rất khó bị phát hiện do lưu lương
tấn công tương tự như lưu lượng đến từ người dùng hợp pháp.
Tấn công cường độ hỗn hợp: Là dạng kết hợp giữa tấn công cường độ cao
và tấn công cường độ thấp. Đây là dạng tấn công phức hợp, trong đó tin tặc
thường sử dụng các công cụ để sinh các gói tin tấn công gửi với tần suất cao và
thấp.
Tấn công cường độ liên tục: Là dạng tấn công được thực hiện liên tục với
cường độ tối đa trong suốt khoảng thời gian từ khi bắt đầu đến khi kết thúc.
Tấn công cường độ thay đổi: Đây là dạng tấn công có cường độ thay đổi
động nhằm tránh bị phát hiện và đáp trả.
1.4.2.7. Dựa trên các lỗ hổng an ninh
Dựa trên việc khai thác các điểm yếu và lỗ hổng an ninh, tấn công DDoS
có thể được phân loại thành 2 dạng:
Tấn công gây cạn kiệt băng thông: Các tấn công DDoS dạng này được thiết
kế để gây ngập lụt hệ thống mạng của nạn nhân bằng các yêu cầu truy nhập giả
mạo, làm người dùng hợp pháp không thể truy nhập dịch vụ. Tấn công dạng này
thường gây tắc nghẽn đường truyền bằng lượng yêu cầu giả mạo rất lớn gửi bởi
các máy tính ma (zombie) của các botnets. Dạng tấn công này cũng còn được
gọi là tấn công gây ngập lụt hoặc tấn công khuếch đại.
Tấn công gây cạn kiệt tài nguyên: Các tấn công DDoS dạng này được thiết

kế để tiêu dùng hết các tài nguyên trên hệ thống nạn nhân, làm cho nó không thể
phục vụ các yêu cầu củangười dùng hợp pháp. Dạng tấn công DDoS này có thể
được chia nhỏ thành 2 dạng:
+ Tấn công khai thác tính năng hoặc lỗi cài đặt của các giao thức: Tin tặc
khai thác các lỗi hoặc các tính năng đặc biệt của các giao thức trên hệ thống nạn
nhân để gây cạn kiệt tài nguyên.
+ Tấn công sử dụng các gói tin được tạo đặc biệt: Kẻ tấn công tạo ra các
gói tin đặc biệt, như các gói sai định dạng, gói có khiếm khuyết, gửi đến hệ
thống nạn nhân. Hệ thống nạn nhân có thể bị trục trặc khi cố gắng xử lý các gói
tin dạng này. Ví dụ, trong tấn công Ping of Death, tin tặc gửi các gói tin ICMP
có kích thước lớn hơn 64KB gây lỗi các máy chạy hệ điều hành Windows XP.
14


1.5. Nhận biết đang bị tấn công từ chối dịch vụ
Không phải sự sập đổ hoàn toàn nào của dịch vụ cũng là kết quả của một
tấn công từ chối dịch vụ. Có nhiều vấn đề kỹ thuật với một mạng hoặc với các
quản trị viên đang thực hiện việc bảo trì và quản lý. Mặc dù thế nhưng với các
triệu chứng dưới đây bạn có thể nhận ra tấn công DoS hoặc DDoS:
-

Thực thi mạng chậm một cách không bình thường (mở file hay truy cập website)
Không vào được website bạn vẫn xem
Không thể truy cập đến bất kỳ một website nào
Số lượng thư rác tăng một cách đột biến trong tài khoản của bạn.
1.6. Kỹ thuật tấn công DDoS
1.6.1. Tấn công băng thông
Tấn công băng thông nhằm làm tràn ngập mạng mục tiêu với những traffic
không cần thiết, với mục địch làm giảm tối thiểu khả năng của các traffic hợp lệ
đến được hệ thống cung cấp dịch vụ của mục tiêu.[2]

Có hai loại BandWith Depletion Attack:
- Flood Attack: Điều khiển các Agent gởi một lượng lớn traffic đến hệ
thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông.
- Amplification Attack: Điều khiển các Agent hay client tự gửi message đến
một địa chỉ IP Broadcast, làm cho tất cả các máy trong Subnet này gửi message
đến hệ thống dịch vụ của mục tiêu. Phương pháp này làm gia tăng traffic không
cần thiết, làm suy giảm băng thông của mục tiêu.
1.6.2. Tấn công tràn ngập yêu cầu dịch vụ
Một kẻ tấn công hoặc nhóm zombie cố gắng làm cạn kiệt tài nguyên máy
chủ bằng cách thiết lập và phá hủy các kết nối TCP. Nó bắt đầu gửi yêu cầu trên
tất cả kết nối và nguồn gốc từ server kết nối tốc độ cao.
1.6.3. Tấn công tràn ngập SYN
Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử
dụng phương thức bắt tay giữa bên gởi và bên nhận trước khi truyền dữ liệu.
Bước đầu tiên, bên gửi gởi một SYN REQUEST packet (Synchronize). Bên
nhận nếu nhận được SYN REQUEST sẽ trả lời bằng SYN/ACK REPLY packet.
Bước cuối cùng, bên gửi sẽ truyền packet cuối cùng ACK và bắt đầu truyền dữ
liệu.
Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY
nhưng không nhận được ACK packet cuối cùng sau một khoảng thời gian quy
định thì nó sẽ resend lại SYN/ACK REPLY cho đến hết thời gian timeout. Toàn
bộ tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACK
packet cuối cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout.
Nắm được điểm yếu này, attacker gởi một SYN packet đến nạn nhân với
địa chỉ bên gởi là giả mạo, kết quả là nạn nhân gởi SYN/ACK REPLY đến một
15


địa chỉ khác và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết
thời gian timeout nạn nhân mới nhận ra được điều này và giải phóng các tài

nguyên hệ thống. Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượng
nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài nguyên.

1 Tấn công tràn ngập SYN

1.6.4. Tấn công tràn ngập ICMP
Kiểu tấn công ICMP là thủ phạm gửi số lượng lớn của gói tin giả mạo địa
chỉ nguồn tới server đích để phá hủy nó và gây ra ngừng đáp ứng yêu cầu
TCP/IP.
Sau khi đến ngưỡng ICMP đạt đến, các router từ chối yêu cầu phản hồi
ICMP từ tất cả địa chỉ trên cùng vùng an toàn cho phần còn lại.

1 Tấn công tràn ngập ICMP

16


1.6.5. Tấn công điểm nối điểm
Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình
điểm nối điểm chia sẻ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối
tới website giả mạo của victim.
Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++
(kết nối trực tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức.
Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại
website.
1.6.6. Tấn công cố định DoS
Tấn công cố định DoS hay PDoS còn được gọi như phlashing, là một cuộc
tấn công gây tổn thương một hệ thống nhiều đến nổi nó đòi hỏi phải thay thế
hoặc cài đặt lại phần cứng, Không giống như các cuộc tấn công DDoS, PDoS
một cuộc tấn công khai thác lỗ hổng bảo mật cho phép quản trị từ xa trên các

giao diện quản lý phần cứng của nạn nhân, chẳng hạn như router, máy in, hoặc
phần cứng mạng khác.
Tấn công thực hiện dùng phương pháp như "xây dựng hệ thống”. Dùng
phương pháp này, kẻ tấn công gửi cập nhập phần cứng lừa đảo tới victim.
1.6.7. Tấn công tràn ngập ở cấp độ dịch vụ
Tấn công làm tràn ở cấp độ ứng dụng là kết quả mất dịch vụ của mạng đặc
biệt như là: email, tài nguyên mạng, tạm thời ngừng ứng dụng và dịch vụ...
Dùng kiểu tấn công này, kẻ tấn công phá hủy mã nguồn chương trình và file làm
ảnh hưởng tới hệ thống máy tính.
Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:
Tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ.
Ngắt dịch vụ cụ thể của hệ thống hoặc con người.
Làm tắc nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ công
nguy hiểm SQL.
1.7. Mô hình mạng botnet
1.7.1. Khái niệm mạng Botnet
Botnet là từ chỉ một tập hợp các rô bôt phần mềm hoặc các con bot hoạt
động một cách tự chủ. Từ này còn được dùng để chỉ một mạng các máy tính sử
dụng phần mềm tính toán phân tán.
1.7.2. Hoạt động
Tuy từ "botnet" có thể dùng để chỉ một nhóm bot bất kỳ, chẳng hạn IRC
bot, từ này thường được dùng để chỉ một tập hợp các máy tính đã bị tấn công và
thỏa hiệp và đang chạy các chương trình độc hại, thường là sâu máy tính, trojan
horse hay backdoor, dưới cùng một hạ tầng cơ sở lệnh và điều khiển. Một
chương trình chỉ huy botnet có thể điều khiển cả nhóm bot từ xa, thường là qua
17


một phương tiện chẳng hạn như IRC, và thường là nhằm các mục đích bất chính.
Mỗi con bot thường chạy ẩn và tuân theo chuẩn RFC 1459 (IRC). Thông

thường, kẻ tạo botnet trước đó đã thỏa hiệp một loạt hệ thống bằng nhiều công
cụ đa dạng (tràn bộ nhớ đệm...). Các bot mới hơn có thể tự động quét môi
trường của chúng và tự lan truyền bản thân bằng cách sử dụng các lỗ hổng an
ninh và mật khẩu yếu. Nếu một con bot có thể quét và tự lan truyền qua càng
nhiều lỗ hổng an ninh, thì nó càng trở nên giá trị đối với một cộng đồng điều
khiển botnet.

1 Hoạt động Botnet

Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngày
càng ẩn kĩ. Do đa số các mạng IRC truyền thống thực hiện các biện pháp cấm
truy nhập đối với các botnet đã từng ngụ tại đó, những người điều khiển botnet
phải tự tìm các server cho mình. Một botnet thường bao gồm nhiều kết nối,
chẳng hạn quay số, ADSL và cáp, và nhiều loại mạng máy tính, chẳng hạn mạng
giáo dục, công ty, chính phủ và thậm chí quân sự. Đôi khi, một người điều khiển
giấu một cài đặt IRC server trên một site công ty hoặc giáo dục, nơi các đường
kết nối tốc độ cao có thể hỗ trợ một số lớn các bot khác. Chỉ đến gần đây,
phương pháp sử dụng bot để chỉ huy các bot khác mới phát triển mạnh, do đa số
hacker không chuyên không đủ kiến thức để sử dụng phương pháp này.
1.7.3. Tổ chức mạng Botnet
Các server botnet thường liên kết với nhau, sao cho một nhóm có thể chứa
từ 20 máy riêng biệt tốc độ cao đã bị phá hoại, các máy này nối với nhau với vai
trò các server nhằm mục tiêu tạo môi trường dư thừa lớn hơn. Các cộng đồng
botnet thực tế thường bao gồm một hoặc nhiều người điều khiển - những người
tự coi là có quyền truy nhập hợp lệ tới một nhóm bot. Những điều khiển viên
này hiếm khi có các hệ thống chỉ huy phân cấp phức tạp trong họ; họ dựa vào
các quan hệ thân hữu cá nhân. Mâu thuẫn thường xảy ra giữa những điều khiển
viên về chuyện ai có quyền đối với máy nào, và những loại hành động nào là
được phép hay không được phép làm.
18



1.7.4. Xây dựng và khai thác
Ví dụ này minh họa cách thức một botnet được tạo và dùng để gửi thư rác
(spam).

1 Cách thức một Botnet được tạo và spam

Một điều phối viên botnet phát tán virus hoặc sâu máy tính, làm nhiễm các
máy tính cá nhân chạy Windows của những người dùng bình thường, dữ liệu của
virus hay sâu đó là một ứng dụng trojan - con bot.
Tại máy tính bị nhiễm, con bot đăng nhập vào một server IRC nào đó (hay
là một web server). Server đó được coi là command – and – control server
(C&C).
Một người phát tán spam mua quyền truy nhập botnet từ điều phối viên.
- Người phát tán spam gửi các lệnh qua IRC server tới các máy tính bị
nhiễm, làm cho các máy tính này gửi các thông điệp rác tới các máy chủ thư
điện tử.
Các botnet được khai thác với nhiều mục đích khác nhau, trong đó có các
tấn công từ chối dịch vụ, tạo và lạm dụng việc gửi thư điện tử để phát tán thư rác
(xem Spambot), click fraud, và ăn trộm các số serial của ứng dụng, tên đăng
nhập, và các thông tin tài chính quan trọng chẳng hạn như số thẻ tín dụng. Cộng
đồng điều khiển botnet luôn có một cuộc đấu tranh liên tục về việc ai có được
nhiều bot nhất, nhiều băng thông nhất, và số lượng lớn nhất các máy tính "chất
lượng cao" bị nhiễm, chẳng hạn như máy tính tại trường đại học, các công ty,
hay thậm chí cả trong các cơ quan chính phủ.
1.8. Giải pháp phòng chống tấn công DDoS
Tấn công từ chối dịch vụ (DoS) là các cuộc tấn công trên hệ thống mạng
nhằm ngăn cản những truy xuất tới một dịch vụ. Tấn công DoS phá hủy dịch vụ
mạng bằng cách làm tràn ngập số lượng kết nối, quá tải server hoặc chương

trình chạy trên server, tiêu tốn tài nguyên của server, hoặc ngăn chặn người dùng
hợp lệ truy nhập tới dịch vụ mạng.[2]
Có rất nhiều các phương cách để thực hiện các cuộc tấn công từ chối dịch
vụ, vì thế cũng có rất nhiều cách phân loại DoS. Cách phân loại phổ biến thường
dùng dựa vào giao thức trong hình thức tấn công của DoS, ví dụ như tràn ngập
19


ICMP với Smurf, Ping of Death, khai thác điểm yếu của TCP trong hoạt động
của giao thức và phân mảnh gói tin với SYN Flood, LanD attacks, TearDrop hay
trên mức dịch vụ như với Flash Crowds (ở Việt Nam thường biết đến với tên Xflash).
Phân loại theo phương thức tấn công, DoS có thể được thực hiện bằng một
vài gói tin đơn lẻ gửi thẳng tới server gây rối loạn hoạt động (như slammer
worm), hoặc kích hoạt để gửi từ nhiều nguồn (từ chối dịch vụ phân tán – DdoS).
Tấn công có thể thực hiện trên mạng Internet (sử dụng ngay các web server),
hoặc broadcast trong mạng bên trong (insider attacks – như với Blaster worm),
trên mạng P2P (P2P index poinsioning) hay Wireless (WLAN authentication
rejection attack-spoof sender). Tuy nhiên, có thể thấy các cách phân loại trên
dựa chủ yếu vào cách nhìn từ sự phát sinh tấn công, và vì thế, không hệ thống
hóa được phương thức phòng tránh.
Một cách chung nhất, có 7 phạm trù các tổ chức cần xem xét khi đối phó
với các mối đe dọa về DoS như sau:
1.8.1. Phòng ngừa các điểm yếu của ứng dụng mạng.
Các điểm yếu trong tầng ứng dụng có thể bị khai thác gây lỗi tràn bộ đệm
dẫn đến dịch vụ bị chấm đứt. Lỗi chủ yếu được tìm thấy trên các ứng dụng mạng
nội bộ của Windows, trên các chương trình webserver, DNS, hay SQL database.
Cập nhật bản vá (patching) là một trong những yêu cầu quan trọng cho việc
phòng ngừa. Trong thời gian chưa thể cập nhật toàn bộ mạng, hệ thống phải
được bảo vệ bằng bản vá ảo (virtual patch). Ngoài ra, hệ thống cần đặc biệt xem
xét những yêu cầu trao đổi nội dung giữa client và server, nhằm tránh cho server

chịu tấn công qua các thành phần gián tiếp (ví dụ SQL injection)
1.8.2. Phòng ngừa việc tuyển mộ Zoombie.
Zombie là các đối tượng được lợi dụng trở thành thành phần phát sinh tấn
công. Một số trường hợp điển hình như thông qua rootkit (Sony hay Symantec),
hay các thành phần hoạt động đính kèm trong mail, hoặc trang web, ví dụ như
sử dụng các file jpeg khai thác lỗi của phần mềm xử lý ảnh, các đoạn mã đính
kèm theo file flash, hoặc trojan cài đặt theo phishing, hay thông qua việc lây lan
worm (Netsky, MyDoom, Sophos). Để phòng chống, hệ thống mạng cần có
những công cụ theo dõi và lọc bỏ nội dung (content filtering) nhằm ngăn ngừa
việc tuyển mộ zombie của hacker.
1.8.3. Ngăn ngừa kênh phát động tấn công sử dụng công cụ.
Có rất nhiều các công cụ tự động tấn công DoS, chủ yếu là tấn công phân
tán DDoS như TFN, TFN2000 (Tribe Flood Network) tấn công dựa trên nguyên
lý Smurf, UDP, SYN, hay ICMP; Trinoo cho UDP Flood; Stacheldraht cho TCP
ACK, TCP NULL, HAVOC, DNS Flood, hoặc tràn ngập TCP với packets
headers ngẫu nhiên. Các công cụ này có đặc điểm cần phải có các kênh phát
động để zombie thực hiện tấn công tới một đích cụ thể. Hệ thống cần phải có sự
giám sát và ngăn ngừa các kênh phát động đó.
20


1.8.4. Ngăn chặn tấn công trên băng thông.
Khi một cuộc tấn công DdoS được phát động, nó thường được phát hiện
dựa trên sự thay đổi đáng kể trong thành phần của lưu lượng hệ thống mạng. Ví
dụ một hệ thống mạng điển hình có thể có 80% TCP và 20% UDP và ICMP.
Thống kê này nếu có thay đổi rõ rệt có thể là dấu hiệu của một cuộc tấn công.
Slammer worm sẽ làm tăng lưu lượng UDP, trong khi Welchi worm sẽ tạo ra
ICMP Flood. Việc phân tán lưu lượng gây ra bởi các worm đó gây tác hại lên
router, firewall, hoặc cơ sở hạ tầng mạng. Hệ thống cần có những công cụ giám
sát và điều phối băng thông nhằm giảm thiểu tác hại của tấn công dạng này.

1.8.5. Ngăn chặn tấn công trên SYN.
SYN Flood là một trong những tấn công cổ nhất còn tồn tại được đến hiện
tại, dù tác hại của nó không giảm. Điểm căn bản để phòng ngừa việc tấn công
này là khả năng kiểm soát được số lượng yêu cầu SYN-ACK tới hệ thống mạng.
1.8.6. Phát hiện và ngăn chặn tấn công tới hạn số kết nối.
Bản thân các server có một số lượng tới hạn đáp ứng các kết nối tới nó.
Ngay bản thân firewall (đặc biệt với các firewall có tính năng stateful
inspection), các kết nối luôn được gắn liền với bảng trạng thái có giới hạn dung
lượng. Đa phần các cuộc tấn công đều sinh số lượng kết nối ảo thông qua việc
giả mạo. Để phòng ngừa tấn công dạng này, hệ thống cần phân tích và chống
được spoofing. Giới hạn số lượng kết nối từ một nguồn cụ thể tới server
(Quota).
1.8.7. Phát hiện và ngăn chặn tấn công tới hạn tốc độ thiết lập kết nối.
Một trong những điểm các server thường bị lợi dụng là khả năng các bộ
đệm giới hạn giành cho tốc độ thiết lập kết nối, dẫn đến quá tải khi phải chịu sự
thay đổi đột ngột về số lượng sinh kết nối. Ở đây việc áp dụng bộ lọc để giới
hạn số lượng kết nối trung bình rất quan trọng. Một bộ lọc sẽ xác định ngưỡng
tốc độ kết nối cho từng đối tượng mạng. Thông thường, việc này được bằng số
lượng kết nối trong thời gian nhất định để cho phép sự dao động trong lưu
lượng.
1.9. Một số công cụ tấn công DoS điển hình
1.9.1. Tools DoS: Jolt2
Công cụ Jolt2 cho phép kẻ tấn từ chối dịch vụ (DoS) lên các hệ thống trên
nền tảng Windows
Nó là nguyên nhân khiến máy chủ bị tấn công có CPU luôn hoạt động ở
mức độ 100%, CPU không thể xử lý các dịch vụ khác. Không phải trên nền tảng
Windows như Cisco Router và một số loại Router khác cũng có thể bị lỗ hổng
bảo mật này và bị tools này tấn công.

21



1 Tools DoS: Bubonic.c

1.9.2. Công cụ Bubonic.c
Công cụ Bubonic.c là một tools DoS dựa vào các lỗ hổng bảo mật trên
Windows 2000
Nó hoạt động bằng cách ngẫu nhiên gửi các gói tin TCP với các thiết lập
ngẫu nhiên làm cho máy chủ tốn rất nhiều tài nguyên để xử lý vấn đề này, và từ
đó sẽ xuất hiện những lỗ hổng bảo mật. Sử dụng bubonic.c bằng cách gõ câu
lệnh: bubonic 12.23.23.2 10.0.0.1 100
1.9.3. Tools DoS: Nemesys

1 Công cụ Nemesys

Đây là một chương trình sinh ra những gói tin ngẫu nhiên như (protocol,
port, etc. size, …). Dựa vào chương trình này kẻ tấn công có thể chạy các đoạn
mã nguy hiểm vào máy tính không được bảo mật.

22


1.9.4. Tool DoS: Panther2

1 Công cụ Panther2

Tấn công từ chối dịch vụ dựa trên nền tảng UDP Attack được thiết kế dành
riêng cho kết nối 28.8 – 56 Kbps. Nó có khả năng chiếm toàn bộ băng thông của
kết nối này.
Nó có khả năng chiếm băng thông mạng bằng nhiều phương pháp ví như

thực hiện quá trình Ping cực nhanh và có thể gây ra tấn công DoS
1.9.5. Tool DoS: Crazy Pinger
Công cụ này có khả năng gửi những gói ICPM lớn tới một hệ thống mạng
từ xa.

23


1 Công cụ Crazy Pinger

1.9.6. Tools DoS: FSMAX
Kiểm tra hiệu năng đáp ứng của máy chủ. Nó tạo ra một file sau đó chạy
trên Server nhiều lần lặp đi lặp lại một lúc.
Tác dụng của tools này là tìm cách tấn công làm chàn bộ nhớ đệm và tấn
công DoS tới máy chủ.

1 Công cụ FSMAX
24


1.10. Một số công cụ tấn công DDoS điển hình.
1.10.1. LOIC
LOIC là ứng dụng tấn công từ chối dịch vụ, được viết bằng C#. LOIC thực
hiện tấn công từ chối dịch vụ tấn công (hoặc khi được sử dụng bởi nhiều cá
nhân, một cuộc tấn công DDoS) trên một trang web mục tiêu làm lũ lụt các máy
chủ với các gói tin TCP hoặc UDP với ý định làm gián đoạn dịch vụ của một
máy chủ cụ thể. Công cụ LOIC là một botnet tình nguyện kết nối đến một máy
chủ từ xa mà chỉ đạo các cuộc tấn công. Hiện nay, có 40.000 người kết nối với
botnet.


1 Công cụ LOIC

Hình 1.10.1.1.1. Dùng LOIC tấn công DDoS

1.10.2. DoSHTTP
DoSHTTP là một phần mềm sử dụng dễ dàng, mạnh mẽ để tấn công tràn
ngập HTTP nhằm mục địch kiểm thử trên Windows. DoSHTTP bao gồm xác
nhận URL, chuyển hướng HTTP và giám sát hiệu suất. Công cụ DoSHTTP có
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×