MỤC LỤC
LỜI CẢM ƠN .............................................................................................................4
LỜI CAM ĐOAN .......................................................................................................5
DANH MỤC CÁC TỪ VIẾT TẮT ............................................................................7
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ .....................................................................8
PHẦN MỞ ĐẦU .......................................................................................................10
PHẦN NỘI DUNG ...................................................................................................14
CHƢƠNG I : TỔNG QUAN VỀ TẤN CÔNG DoS VÀ DDoS ..............................14
1.1. Định nghĩa tấn công DoS: ..................................................................................14
1.2. Mục đích của tấn công và hiểm họa ...................................................................14
1.2.1. Các mục đích của tấn công DoS .................................................................14
1.2.2. Mục tiêu mà kẻ tấn công thƣờng sử dụng tấn công DoS ............................15
1.3. Các hình thức tấn công DoS cơ bản: ..................................................................15
1.3.1. Tấn công Smurf ..........................................................................................15
1.3.3. Tấn công Ping of Death ..............................................................................16
1.3.4. Tấn công Teardrop ......................................................................................16
1.3.5. Tấn công SYN ............................................................................................17
1.4. Các công cụ tấn công DoS .................................................................................18
1.4.1. Tools DoS: Jolt2 .........................................................................................18
1.4.2. Tools DoS: Bubonic.c .................................................................................18
1.4.3. Tools DoS: Land and LaTierra ...................................................................19
1.4.4. Tools DoS: Targa ........................................................................................19
1.4.5. Tools DoS: Blast 2.0 ...................................................................................20
1.4.6. Tools DoS: Nemesys ..................................................................................20
1.4.7. Tool DoS: Panther2. ...................................................................................20
1.4.8. Tool DoS: Crazy Pinger

. ...................................................................20

1.4.9. Tool DoS: Some Trouble ............................................................................21
1.4.10. Tools DoS: UDP Flooder ..........................................................................21

1.4.11. Tools DoS – FSMAX ...............................................................................21

1


1.5. Định nghĩa tấn công DDoS ................................................................................22
1.6. Các đặc tính của tấn công DDoS. ......................................................................23
1.7. Tấn công DDoS không thể ngăn chặn hoàn toàn. ..............................................23
1.8. Kiến trúc tổng quan của DDoS attack-network. ................................................24
1.8.1. Mô hình Agent – Handler .......................................................................25
1.8.2. Mô hình IRC – Based .............................................................................26
1.9. Phân loại tấn công DDoS ...................................................................................27
1.9.1. Những kiểu tấn công làm cạn kiệt băng thông của mạng (BandWith
Depletion Attack) .............................................................................................28
1.9.2. Kiểu tấn công làm cạn kiệt tài nguyên ...................................................30
1.10. Kết luận chƣơng I. ............................................................................................32
CHƢƠNG II: .............................................................................................................33
CÁC PHƢƠNG THỨC TẤN CÔNG VÀ PHÒNG CHỐNG DDOS ......................33
2.1. Ý nghĩa của mạng BOT......................................................................................33
2.2. Mạng BOT. ........................................................................................................34
2.3. Mạng BOTNET. .................................................................................................34
2.4. Mục đích sử dụng mạng BOTNETs...................................................................34
2.5. Các dạng của mạng BOTNET: ..........................................................................35
2.6. Các bƣớc xây dựng mạng BotNet? ....................................................................35
Bƣớc 1: Cách lây nhiễm vào máy tính..................................................................36
Bƣớc 2: Cách lây lan và xây dựng tạo mạng BOTNET .......................................36
Bƣớc 3: Kết nối vào IRC. .....................................................................................36
Bƣớc 4: Điều khiển tấn công từ mạng BotNet. ....................................................36
2.7. Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot.......................................37
2.8. Sơ đồ mạng Botnet .............................................................................................38

2.8.1 Sơ đồ Handler-Agent ...............................................................................38
2.8.2 Sơ đồ IRC Base ......................................................................................39
2.9. Các phƣơng pháp xây dựng tài nguyên tấn công ...............................................40
2.9.1 Cách thức cài đặt DDoS Agent ...............................................................41

2


2.9.2 Giao tiếp trên mạng Botnet......................................................................42
2.9.3. Các chức năng của công cụ DDoS: ........................................................43
2.10. Một số kiểu tấn công DDoS và các công cụ tấn công DDoS ..........................44
2.10.1 Một số kiểu tấn công DDoS ..................................................................44
2.10.2 Một số công cụ tấn công DDoS .............................................................44
2.11. Phòng chống giảm thiểu tấn công DDoS .........................................................48
2.11.1 Phòng chống giảm thiểu tấn công DDoS ..............................................48
2.11.2 Những vấn đề có liên quan ....................................................................52
2.12. Hệ thống phát hiện và giảm thiểu DDos hiện nay ...........................................54
2.12.1. Các yêu cầu đối với môt hệ thống phát hiện DDos ..............................55
2.12.2. Phân tích phát hiện các cuộc tấn công DDos .......................................55
2.12.3 Một số thuật toán phát hiện DDos ........................................................56
2.13. Hệ thống phát hiện giảm thiểu DDoS tự động .................................................58
2.13.1. Cơ chế kiểm tra địa chỉ nguồn ..............................................................58
2.13.2 Kỹ thuật phát hiện giảm thiểu theo thuật toán CUSUM .......................60
2.14. Kết luận chƣơng II: ..........................................................................................63
CHƢƠNG III: DEMO TẤN CÔNG DDoS ..............................................................64
3.1. Kịch bản DeMo tấn công DDoS ........................................................................64
3.2. Hƣớng dẫn tạo cuộc tấn công DDoS:.................................................................68
3.2.1. Cài đặt Clone máy trạm ..........................................................................68
3.3.2. Khởi động máy chủ Webserver và thiết lập cấu hình ............................69
3.3.3 Khởi động máy chủ Botnet ......................................................................72

3.3.4. Khởi động máy chủ C&C Server và thực hiện tấn công. .......................77
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ................................................................83
TÀI LIỆU THAM KHẢO .......................................................................................833

3


LỜI CẢM ƠN
Tôi xin gửi lời cảm ơn trân trọng nhất tới Tiến Sĩ Nguyễn Tài Hƣng, ngƣời
đã cho tôi những định hƣớng và những ý kiến rất quý báu để tôi hoàn thành đƣợc
khóa luận tốt nghiệp này.
Tôi xin tỏ lòng biết ơn sâu sắc tới các thầy cô, bạn bè đã dìu dắt, giúp đỡ tôi
tiến bộ trong suốt quá trình làm khóa luận tốt nghiệp. Xin cảm ơn gia đình và bè
bạn, những ngƣời luôn khuyến khích và giúp đỡ tôi trong mọi hoàn cảnh khó khăn.
Tôi xin cảm ơn Viện Điện tử viễn thông, Viện Đào tạo Sau đại học – Trƣờng Đại
học Bách khoa Hà Nội đã hết sức tạo điều kiện cho tôi trong quá trình học, làm và
hoàn thành khóa luận này.
Hà Nội, ngày … tháng …năm 2016
Người thực hiện

4


LỜI CAM ĐOAN
Tôi xin cam đoan, những gì mà tôi viết trong luận văn này là do sự tìm hiểu,
nghiên cứu của bản thân và sự hƣớng dẫn của Tiến Sĩ Nguyễn Tài Hƣng. Mọi kết
quả nghiên cứu cũng nhƣ ý tƣởng của các tác giả khác nếu có đều đƣợc trích dẫn
nguồn gốc cụ thể.
Tôi xin hoàn toàn chịu trách nhiệm về những gì mà tôi đã cam đoan ở trên.


Hà Nội, ngày … tháng …năm 2016
Người thực hiện

5


6


DANH MỤC CÁC TỪ VIẾT TẮT
DoS: Denial of Service: Tấn công từ chối dịch vụ.
DDoS: Distributed Denial of Service: Tấn công từ chối dịch vụ phân tán.
ICMP: Internet Control Message Protocol : Giao thức xử lý các thông báo trạng
thái cho IP. (Transport Layer).
DNS: Domain Name System : Hệ thống tên miền
SYN: The Synchronous Idle Character: Ký tự đồng bộ hoá.
LAN: Local Area Network: Hệ thống các máy tính và thiết bị ngoại vi đƣợc liên
kết với nhau.
ISP: Internet Service Provider: Nhà cung cấp dịch vụ Internet.
TCP/IP: Transmission Control Protocol and Internet Protocol. Gói tin TCP/IP
là một khối dữ liệu đã đƣợc nén, sau đó kèm thêm một header và gửi đến một máy
tính khác. Phần header trong một gói tin chứa địa chỉ IP của ngƣời gửi gói tin.
Security: Bảo mật
UDP: User Datagram Protocol : Những gói tin có điểm xuất phát và điểm đích
xác định.
Domain :Tên miền của một website nào đó.VD :
OS: Operation System : Hệ điều hành
IRC: Internet Relay Chat: Là một chƣơng trình độc lập nơi mà bạn có thể tham
gia vào các kênh chat.
Packet: Gói dữ liệu

Server: Máy chủ
Client: Máy con, dùng để kết nối với máy chủ (Server)
Info: Là chữ viết tắt của "Information", tức là thông tin
Firewall: Tƣờng lửa.
Exploit: Khai thác (một lỗi nào đó)
Fake IP: IP giả mạo
Local Exploit: Là khai thác cục bộ.

7


DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ

Hình 1.1: Tấn công Ping of Death .................................................................. 16
Hình 1.2:Tấn công SYN (mô hình bắt tay ba bƣớc) ...................................... 17
Hình 1.3:Tấn công kiểu Tools DoS: Jolt2 ...................................................... 18
Hình 1.4:Tấn công kiểu Tools DoS: Bubonic.c ............................................. 19
Hình 1.5: Tấn công kiểu Tools DoS: Nemesys .............................................. 20
Hình 1.6: Tấn công kiểu Tool DoS: Crazy Pinger ......................................... 20
Hình 1.7: Tấn công kiểu Tool DoS: Some Trouble ....................................... 21
Hình 1.8: Tấn công kiểu Tool DoS: FSMAX ................................................ 21
Hình 1.9: Mô hình tấn công DDoS................................................................. 22
Hình 1.10: Mô hình tổng quan DDoS attack-network ................................... 24
Hình 1.11: Mô hình Agent - Handler ............................................................. 25
Hình 1.12: Mô hình IRC - Based ................................................................... 26
Hình 1.13: Sơ đồ phân loại tấn công DDoS ................................................... 27
Hình 1.14:Amplifier Network System ........................................................... 29
Hình 1.15: Mô hình truyền – nhận dữ liệu (SYN REQEST packet).............. 30
Hình 1.16: Mô hình truyền – nhận dữ liệu (SYN/ACK REPLY) .................. 31
Hình 1.17: Mô hình Client/Server .................................................................. 31

Hình 2.1: Mô hình DDoS Attack.................................................................... 33
Hình 2.2: Sơ đồ hệ thống bị lây nhiễm DDoS................................................ 37
Hình 2.3: Sơ đồ Handler-Agent...................................................................... 38
Hình 2.4: Sơ đồ IRC Base .............................................................................. 39
Hình 2.5: Các phƣơng pháp xây dựng tài nguyên tấn công ........................... 41
Hình 2.6: Mô hình mạng Classic DDoS ......................................................... 46
Hình 2.7: Mô hình mạng X-Flash DDoS ...................................................... 47
Hình 2.8: Các giai đoạn chi tiết trong phòng chống DDoS ........................... 49
Hình 2.9: Tỷ lệ phần trăm new IP với  n=10s............................................... 62
Hình 2.10: Thuật toán CUSUM khi lƣu lƣợng mạng bình thƣờng ................ 62
H nh : Mô hình Demo tấn công DDoS ...................................................... 64
H nh 3.2: cài đặt Clone máy trạm .................................................................. 68
H nh
Đặt tên cho các máy trạm ............................................................... 69
H nh
Cấu hình máy chủ WebServer ........................................................ 69
H nh
Thiết lập các cấu hình cho Webserver ........................................... 70
H nh
Cài đặt địa chỉ IP cho máy chủ ...................................................... 70
H nh
Thiết lập thông số cho XAMPP ..................................................... 71
H nh
Giao diện khi chạy Apache ............................................................ 71
H nh
Kiểm tra dịch vụ Webserver .......................................................... 72
H nh
Giao diện BOTNET01 ................................................................. 72
H nh
Đạt IP cho BOTNET01 ................................................................ 73


8


H nh
Giao diện thiết lập file Botnet.Bat ............................................... 73
H nh
Cách tạo file Botnet.Bat ............................................................... 74
H nh
Giao diện sau khi tạo file Botnet.Bat ........................................... 74
H nh
Giao diện sau khi tạo file Invisible.vbs ........................................ 75
H nh
Giao diện sau khi tạo file Botnetstartup.bat ................................. 75
H nh
Tạo shortcut cho file Botnetstartup.bat ........................................ 76
H nh
Đƣờng dẫn cho file Botnetstartup.bat .......................................... 76
H nh
Kiểm tra cấu hình file Hyenaed.exe trong cmd.exe ..................... 77
H nh
Địa chỉ MAC của C&C Server .................................................... 77
H nh 3.21: Giao diện máy C&C ..................................................................... 78
H nh
: Giao diện C&C khi đặt lệnh tấn công .......................................... 79
H nh
: Trƣớc khi tấn công DDDoS xảy ra .............................................. 79
H nh
: Wireshark bắt gói tin trong khi tấn công DDoS xảy ra ................ 80
H nh

: DU meter bắt lƣợng tin khi DDoS xảy ra .................................... 80
H nh
: Trang web bị mất kết nối.............................................................. 81
H nh
: DU Meter bắt đƣợc lƣợng tin khi DDoS ...................................... 81
H nh
Wireshark bắt đƣợc 10 gói SYN .................................................. 82
H nh
Web đã bị sập sau khi DDoS ....................................................... 82

9


PHẦN MỞ ĐẦU
Lý do chọn đề tài
“Từ năm 1997, với sự ra đời của công cụ tấn công DDoS đầu tiên đƣợc công
bố rộng rãi, Trinoo. Nó dựa trên tấn công UDP flood và các giao tiếp master-slave
(khiến các máy trung gian tham gia vào trong cuộc tấn công bằng cách đặt lên
chúng các chƣơng trình đƣợc điều khiển từ xa). Trong những năm tiếp theo, vài
công cụ nữa đƣợc phổ biến – TFN (tribe flood network), TFN2K, vaf Stacheldraht.
Ngày 7/3/2000, yahoo.com đã phải ngƣng phục vụ hàng trăm triệu user trên
toàn thế giới nhiều giờ liền. Vài giờ sau, Yahoo đã tìm ra nguyên nhân gây nên tình
trạng này, họ đang phải gánh chịu một đợt tấn công DDoS với quy mô vài ngàn
máy tính liên tục gửi hàng triệu request đến các server dịch vụ làm các server này
không thể phục vụ các user thông thƣờng khác.
Vài ngày sau, một sự kiện tƣơng tự diễn ra nhƣng có phần “ồn ào” hơn do một
trong các nạn nhân mới là hãng tin CNN, amazon.com, buy.com, Zdnet.com, Etrade.com, Ebay.com. Tất cả các nạn nhân là những gã khổng lồ trên Internet thuộc
nhiều lĩnh vực khác nhau. Theo Yankke Group, tổng thiệt hại do cuộc tấn công lên
đến 1.2 triệu USD, nhƣng không đáng kể bằng sự mất mát về lòng tin của khách
hàng, uy tín của các công ty là không thể tính đƣợc.

Làm đảo lộn mọi dự tính, thủ phạm là một cậu bé 15 tuổi ngƣời Canada, với
nickname “mafiaboy”. Lại là một thiên tài bẩm sinh nhƣ Kevin Mitnick xuất hiện?
Không. Mafiaboy chỉ tìm tòi và download về một số chƣơng trình công cụ của các
hacker. Cậu đã dùng một công cụ DDoS có tên là TrinOO để gây nên các cuộc tấn
công kiểu DDoS khủng khiếp trên. Một điểm đáng lƣu ý khác là Mafiaboy bị bắt do
tự khoe khoang trên các chatroom công cộng, không ai truy tìm đƣợc dấu vết của
cậu bé này.
Vào ngày 15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công DoS cực mạnh
và làm gián đoạn websites trong vòng 2 giờ.

10


Vào lúc 15:09 giờ GMT ngày 27 tháng 3 năm 2003: toàn bộ phiên bản tiếng
anh của website Al-Jazeera bị tấn công làm gián đoạn trong nhiều giờ.
Các trang web của chính phủ, ngân hàng, trƣờng học tại Estonia bị tê liệt do
tấn công DDos vào tháng 5/2007. Tuy nhiên, các trang web bị tấn công này đã khôi
phục nhanh chóng sau đó.
Năm 2007, sâu Storm xuất hiện và lây lan nhanh chóng. Một khi đã lây nhiễm
vào máy tính ngƣời dùng, sâu sẽ gửi đi hàng triệu thƣ rác. Sâu Storm có thể phát
hiện những ai đang thực hiện truy tìm các máy chủ phát lệnh tấn công, và tiến hành
trả đũa bằng cách phát động tấn công DDos nhắm vào ngƣời đó, nhằm đánh sập kết
nối Internet của họ.
Tháng 8/2009, tấn công DDoS vào các trang mạng xã hội nhƣ Twitter,
Facebbok, LiveJournal và một số trang của Google, chỉ nhằm “đánh phá” các trang
blog, bài viết của blogger Cyxymu ở Georgia.
Nhà cung cấp dịch vụ phân giải tên miền cho Amazon bị tấn công DDoS,
khiến ngƣời dùng không thể truy cập vào máy chủ Amazon.com và Amazon Web
Services vào ngày 23/12/2009, đây là thời điểm mua sắm sôi động nhất trong năm
tại các nƣớc khu vực Bắc Mỹ.

Ngày 7/12/2010, trang Visa.com bị nhóm tin tặc Anonymous tấn công DDoS.
Theo nhóm tin tặc, họ thực hiện cuộc tấn công này nhằm phản đối việc các hãng tài
chính khóa tài khoản của WikiLeaks, sau khi trang này dự kiến công bố các tài liệu
mật của Bộ ngoại giao Mỹ. Trƣớc đó nhóm tin tặc này đã thực hiện các cuộc tấn
công các trang web Mastercard và PayPal.
Ngày 4/3/2011, 40 trang web thuộc chính phủ Hàn Quốc tê liệt vì tấn công
DDoS
Trên đây là những cuộc tấn công trên là điển hình nhất về DDoS, nó nói lên
một đặc điểm chết ngƣời của DDoS: Rất dễ thực hiện, hầu nhƣ không thể tránh, hậu
quả rất nặng nề.”
Đây chỉ là một trong số rất nhiều bài báo viết về DDoS, tuy khá ngắn gọn
nhƣng cũng đã nêu bật đƣợc những đặc điểm nổi bật nhất của DDoS: “Rất dễ thực

11


hiện, hầu như không thể tránh, hậu quả rất nặng nề”. Một điều mà các chuyên gia
ai cũng thừa nhận, đó là nếu DDoS đƣợc thực hiện bởi một hacker có trình độ, thì
việc chống đỡ là không thể. Rất may mắn, giới hacker chính quy thế giới đã khai trừ
kĩ thuật tấn công này, và chấm dứt mọi hoạt động nghiên cứu, trình diễn hay phát
triển công cụ do chính bản thân họ cũng nhìn thấy mức độ nguy hiểm và không
công bằng của kiểu tấn công này. Bởi lẽ tấn công từ chối dịch vụ phân tán là kiểu
tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp
dịch vụ hoặc phải dừng hoạt động. Trong các cuộc tấn công DDoS, máy chủ dịch
vụ sẽ bị "ngập" bởi hàng loạt các lệnh truy cập từ lƣợng kết nối khổng lồ. Khi số
lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu.
Hậu quả là ngƣời dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn
công DDoS.
Tuy rằng không còn là mới mẻ, nhƣng DDoS vẫn tiếp tục gây rất nhiều thiệt
hại cho cộng đồng mạng nói chung và cho các doanh nghiệp nói riêng. Gần đây

nhất là vụ tấn công vào website Bkav, làm giảm uy tín và doanh thu của doanh
nghiệp. Cụ thể là chỉ 2 ngày sau khi bị tấn công vào Website nhánh webscan.bkav.
com.vn, từ tối ngày 4/2/2012, trang chủ của Bkav tại địa chỉ www.bkav.com.vn đã
không thể truy cập.
Các khách hàng sử dụng phần mềm diệt virus Bkav bản mất phí Bkav Pro
cũng không thể kết nối tới máy chủ để cập nhật các virus mới. Trang web của Bkis
bị DDoS làm gián đoạn trong nhiều giờ liền và sau khi phối hợp với các bên liên
quan, đã điều tra ra thủ phạm là một học sinh trung học ở Quảng Nam.
Vậy làm sao để tránh hoặc ít nhất giảm đƣợc thiệt hại khi bị DDoS , tôi đã lựa
chọn đề tài :“Nghiên cứu các hình thức tấn công mạng DDoS và phương pháp
phòng chống (Study the patterns of network attacks and DDoS mitigation
methods)”. Đề tài này không những phục vụ cho nhu cầu của bản thân mà còn giúp
nâng cao ý thức của ngƣời dùng mạng Internet. Nhận thấy đây vừa là một đề tài tốt
nghiệp, vừa có vai trò ứng dụng trong thực tế và với sự giúp đỡ tận tình của thầy

12


giáo Tiến sĩ Nguyễn Tài Hƣng, tôi đã cố gắng hết sức để thực hiện tốt bài khóa luận
tốt nghiệp của mình.
Mục đích nghiên cứu của luận văn, đối tƣợng, phạm vi nghiên cứu
Mục đích nghiên cứu của luận văn (các kết quả cần đạt đƣợc):
- Tìm hiểu về DDoS
- Phân loại các hình thức tấn công của DDoS
- Tìm hiểu đặc tính lưu lượng mạng khi có và không có tấn công DDoS
- Khảo sát các thuật toán và phương pháp phát hiện và giảm thiểu các cuộc tấn
công của DDoS hiện đang được áp dụng
- Mô phỏng và đánh giá
Do tính chất đa dạng của DDoS nên không có giải pháp phòng chống DDoS
nào là tối ƣu nhất cho mọi trƣờng hợp. Giải pháp mà đồ án đề cập đến là dành cho

mô hình mạng chỉ có một server kết nối với Internet bằng một liên kết.
Các vấn đề cần giải quyết:
- Nghiên cứu các hình thức tấn công mạng DDoS và phương pháp phòng chống.
- Trên cơ sở đó phân tích thuật toán phát hiện sớm và giảm thiểu các cuộc tấn công.
Tóm tắt cô đọng các nội dung chính
Ngoài phần mở đầu và phần kết luận, phần nội dung của luận văn gồm có 4
chương như sau:
Chƣơng I Tổng quan về tấn công DoS và DDoS:
 Giới thiệu chung về DoS, phân loại các kiểu tấn công DoS.
 Giới thiệu chung về DDoS, phân loại các kiểu tấn công DDoS, cách thức
xây dựng mạng Botnet, giới thiệu một số công cụ tấn công DDoS
Chƣơng II. Các phƣơng thức tấn công và phòng chống DDoS: Trình bày
các phƣơng thức, cách thức tấn công DDoS
Chƣơng III. Demo tấn công DDoS: Trình bày mô hình thực tế mạng Botnet
giả định, giải pháp, mô hình thực nghiệm và quá trình kiểm tra đánh giá, nhận xét
hệ thống trƣớc khi có xâm nhập và sau khi có xâm nhập.
Kết luận và hƣớng phát triển

13


PHẦN NỘI DUNG
CHƢƠNG I TỔNG QUAN VỀ TẤN CÔNG DoS VÀ DDoS
Định nghĩa tấn công DoS
Tấn công từ chối dịch vụ DoS là dạng tấn công nhằm ngăn chặn ngƣời dùng
hợp pháp truy nhập các tài nguyên mạng. Tấn công DoS đã xuất hiện từ khá sớm,
vào đầu những năm 80 của thế kỷ trƣớc. Tấn công DoS là một kiểu tấn công mà
một ngƣời làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó
chậm đi một cách đáng kể với ngƣời dùng bình thƣờng, bằng cách làm quá tải tài
nguyên của hệ thống.

Nếu kẻ tấn công không có khả năng thâm nhập đƣợc vào hệ thống, thì chúng
cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ ngƣời
dùng bình thƣờng đó là tấn công DoS.
Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ
thống nhƣng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. Nhƣ
định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhất
của hệ thống để tấn công, những mục đích của tấn công DoS.
Mục đích của tấn công và hiểm họa
1.2.1 Các mục đích của tấn công DoS
Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi
đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho ngƣời
dùng bình thƣờng.
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào
dịch vụ.
Cố gắng ngăn chặn những ngƣời dùng cụ thể vào một dịch vụ nào đó
Cố gắng ngăn chặn các dịch vụ không cho ngƣời khác có khả năng truy cập
vào.
Khi tấn công DoS xảy ra ngƣời dùng có cảm giác khi truy cập vào dịch vụ đó
nhƣ bị:

14


+ Disable Network

- Tắt mạng

+ Disable Organization

- Tổ chức không hoạt động


+ Financial Loss

- Thiệt hại tài chính

1.2.2 Mục tiêu mà kẻ tấn công thƣờng sử dụng tấn công DoS
Ta thấy, tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ
thống và hệ thống không thể đáp ứng cho ngƣời dùng bình thƣờng đƣợc. Vì vậy
các tài nguyên chúng thƣờng sử dụng để tấn công là:
- Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên
- Băng thông của hệ thống mạng, bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ
liệu đều là mục tiêu của tấn công DoS.
- Tấn công vào hệ thống khác phục vụ cho mạng máy tính nhƣ: hệ thống điều
hoà, hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp.
Bạn thử tƣởng tƣợng khi nguồn điện vào máy chủ web bị ngắt thì ngƣời dùng có thể
truy cập vào máy chủ đó không.
- Phá hoại hoặc thay đổi các thông tin cấu hình.
- Phá hoại tầng vật lý hoặc các thiết bị mạng nhƣ nguồn điện, điều hoà…
Các h nh thức tấn công DoS cơ bản
- Smurf.

- Teardrop.

- Buffer Overflow Attack.

- SYN Attack.

- Ping of Death.
1.3.1. Tấn công Smurf
Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của

nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công.
1.3.2. Tấn công Buffer overflow.
Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chƣơng trình ghi lƣợng
thông tin lớn hơn dung lƣợng của bộ nhớ đệm trong bộ nhớ.
Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chƣơng trình và
đánh cắp quyền điều khiển của một số chƣơng trình nhằm thực thi các đoạn mã
nguy hiểm..

15


Quá trình gửi một bức thƣ điện tử mà file đính kèm dài quá 256 ký tự có thể sẽ
xảy ra quá trình tràn bộ nhớ đệm.
1.3.3 Tấn công Ping of Death

Hình 1.1: Tấn công Ping of Death
Kẻ tấn công gửi những gói tin IP lớn hơn số lƣơng bytes cho phép của tin IP là
65.536 bytes.
Quá trình chia nhỏ gói tin IP thành những phần nhỏ đƣợc thực hiện ở layer II.
Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes. Nhƣng hệ
điều hành không thể nhận biết đƣợc độ lớn của gói tin này và sẽ bị khởi động lại,
hay đơn giản là sẽ bị gián đoạn giao tiếp.
Để nhận biết kẻ tấn công gửi gói tin lớn hơn gói tin cho phép thì tƣơng đối dễ
dàng.
1.3.4 Tấn công Teardrop
Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ.
Kẻ tấn công sử dụng sử dụng gói IP với các thông số rất khó hiểu để chia ra
các phần nhỏ (fragment).

16



1.3.5 Tấn công SYN

Hình 1.2:Tấn công SYN (mô hình bắt tay ba bƣớc)
Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công.
Để xử lý lƣợng gói tin SYN này hệ thống cần tốn một lƣợng bộ nhớ cho kết nối.
Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của
máy chủ. Một ngƣời dùng bình thƣờng kết nối tới máy chủ ban đầu thực hiện
Request TCP SYN và lúc này máy chủ không còn khả năng đáp lại - kết nối không
đƣợc thực hiện.
Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP theo
– Three-way.
Quá trình TCP Three-way handshake (mô hình bắt tay ba bƣớc) đƣợc thực
hiện: Khi máy A muốn giao tiếp với máy B. (1) máy A bắn ra một gói TCP SYN tới
máy B – (2) máy B khi nhận đƣợc gói SYN từ A sẽ gửi lại máy A gói ACK đồng ý
kết nối – (3) máy A gửi lại máy B gói ACK và bắt đầu các giao tiếp dữ liệu.
Máy A và máy B sẽ dữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một quá
trình TCP Three-way handshake lần nữa để thực hiện phiên kết nối tiếp theo để trao
đổi dữ liệu.

17


Các công cụ tấn công DoS
- Jolt2

- Blast20

- Some Trouble


- Bubonic.c

- Nemesy

- UDP Flooder

- Land and LaTierra

- Panther2

- FSMax

- Targa

- Crazy Pinger

1.4.1. Tools DoS: Jolt2

Hình 1.3:Tấn công kiểu Tools DoS: Jolt2
Cho phép kẻ tấn từ chối dịch vụ lên các hệ thống trên nền tảng Window.
Nó là nguyên nhân khiến máy chủ bị tấn công có CPU luôn hoạt động ở mức
độ 100%, CPU không thể xử lý các dịch vụ khác.
Không phải trên nền tảng Windows nhƣ Cisco Router và một số loại Router
khác cũng có thể bị lỗ hổng bảo mật này và bị tools này tấn công.
1.4.2. Tools DoS: Bubonic.c
Bubonic.c là một tools DoS dựa vào các lỗ hổng bảo mật trên Windows 2000.
Nó hoạt động bằng cách ngẫu nhiên gửi các gói tin TCP với các thiết lập ngẫu

18



nhiên làm cho máy chủ tốn rất nhiều tài nguyên để xử lý vấn đề này, và từ đó sẽ
xuất hiện những lỗ hổng bảo mật.
Sử dụng bubonic.c bằng cách gõ câu lệnh: bubonic 12.23.23.2 10.0.0.1 100

Hình 1.4:Tấn công kiểu Tools DoS: Bubonic.c
1.4.3. Tools DoS: Land and LaTierra
Giả mạo địa chỉ IP đƣợc kết hợp với quá trình mở các kết nối giữa hai máy
tính.
Cả hai địa chỉ IP, địa chỉ nguồn (source) và địa chỉ IP đích, đƣợc chỉnh sửa
thành một địa chỉ của IP đích khi đó kết nối giữa máy A và máy B đang đƣợc thực
hiện nếu có tấn công này xảy ra thì kết nối giữa hai máy A và B sẽ bị ngắt kết nối.
Kết quả này do địa chỉ IP nguồn và địa chỉ IP đích của gói tin giống nhau và
gói tin không thể đi đến đích cần đến.
1.4.4. Tools DoS: Targa
Targa là một chƣơng trình có thể sử dụng 8 dạng tấn công DoS khác nhau. Nó
đƣợc coi nhƣ một hƣớng dẫn tích hợp toàn bộ các ảnh hƣởng của DoS.

19


1.4.5. Tools DoS: Blast 2.0
Blast rất nhỏ, là một công cụ dùng để kiểm tra khả năng của dịch vụ TCP nó
có khả năng tạo ra một lƣu lƣợng rất lớn gói TCP và có thể sẽ gây nguy hiểm cho
một hệ thống mạng với các server yếu.
1.4.6. Tools DoS: Nemesys

Hình 1.5: Tấn công kiểu Tools DoS: Nemesys
Đây là một chƣơng trình sinh ra những gói tin ngẫu nhiên nhƣ (protocol, port,

etc. size, …)
Dựa vào chƣơng trình này kẻ tấn công có thể chạy các đoạn mã nguy hiểm vào
máy tính không đƣợc bảo mật.
1.4.7. Tool DoS: Panther2.
Tấn công từ chối dịch vụ dựa trên nền tảng UDP Attack đƣợc thiết kế dành
riêng cho kết nối 28.8 – 56 Kbps.
1.4.8. Tool DoS: Crazy Pinger
Công cụ này có khả năng gửi những gói ICPM lớn tới một hệ thống mạng từ xa.

Hình 1.6: Tấn công kiểu Tool DoS: Crazy Pinger

20


1.4.9. Tool DoS: Some Trouble

Hình 1.7: Tấn công kiểu Tool DoS: Some Trouble
SomeTrouble 1.0 là một chƣơng trình gây nghẽn hệ thống mạng
SomeTrouble là một chƣơng trình rất đơn giản với ba thành phần
 Mail Bomb (tự có khả năng Resole Name với địa chỉ mail có)
 ICQ Bomb
 Net Send Flood
1.4.10. Tools DoS: UDP Flooder
UDP Flooder là một chƣơng trình gửi các gói tin UDP. Nó gửi ra ngoài những
gói tin UDP tới một địa chỉ IP và port không cố định. Gói tin có khả năng là một
đoạn mã văn bản hay một số lƣợng dữ liệu đƣợc sinh ngẫu nhiên hay từ một file.
Đƣợc sử dụng để kiểm tra khả năng đáp ứng của Server.
1.4.11. Tools DoS – FSMAX
Kiểm tra hiệu năng đáp ứng của máy chủ.
Nó tạo ra một file sau đó chạy trên Server nhiều lần lặp đi lặp lại một lúc.


Hình 1.8: Tấn công kiểu Tool DoS: FSMAX

21


Định nghĩa tấn công DDoS
Tấn công từ chối dịch vụ phân tán là một dạng phát triển ở mức độ cao của tấn
công DoS đƣợc phát hiện lần đầu tiên vào năm 1999. Trên thực tế, tấn công từ chối
dịch vụ phân tán là kiểu tấn công làm hệ thống máy tính hay hệ thống mạng quá tải,
không thể cung cấp dịch vụ hoặc phải dừng hoạt động, song từ nhiều nguồn tấn
công khác nhau, phân tán trên mạng. Khác biệt cơ bản của tấn công DoS và DDoS
là phạm vi tấn công. Trong khi lƣu lƣợng tấn công DoS thƣờng phát sinh từ một
hoặc một số ít host nguồn, lƣu lƣợng tấn công DDoS thƣờng phát sinh từ rất nhiều
host nằm rải rác trên mạng Internet..

Hình 1.9: Mô hình tấn công DDoS
Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị “ngập” bởi hàng loạt
các lệnh truy cập từ lƣợng kết nối khổng lồ từ nhiều máy tấn công ở nhiều nơi. Khi
số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không có khả năng xử lý các yêu
cầu. Hậu quả là ngƣời dùng không thể truy cập vào các dịch vụ trên các trang web
bị tấn công DDoS là DDoS sử dụng một mạng lƣới tấn công rộng khắp, gồm nhiều
máy tấn công nằm rải rác trên mạng. Bằng cách tạo ra những gói tin cực nhiều đến
một đích cụ thể, nó có thể gây tình trạng tƣơng tự nhƣ hệ thống bị shutdown.
Tấn công DDoS là một biến thể của Foolding DoS (Tấn công từ chối dịch vụ
tràn). Mục đích của hình thức này là gây tràn mạng đích. Kẻ tấn công sau đó sẽ sử

22



toàn bộ lƣợng băng thông khổng lồ của BOTNET để làm tràn website đích. Đó là
cách phát động tấn công tốt nhất. Một trong các kiểu tấn công phổ biến nhất đƣợc
thực hiện thông qua sử dụng giao thức TCP (một giao thức hƣớng kết nối), gọi là
TCP SYN flooding (tràn đồng bộ TCP). Cách thức hoạt động của chúng là gửi đồng
thời cùng lúc một số lƣợng khổng lồ yêu cầu kết nối TCP tới một Web Server (hoặc
bất kỳ dịch vụ nào khác), gây tràn tài nguyên server, dẫn đến tràn băng thông và
ngăn không cho ngƣời dùng khác mở kết nối riêng của họ. Quả là đơn giản nhƣng
thực sự nguy hiểm! Kết quả thu đƣợc cũng tƣơng tự khi dùng giao thức UDP (một
giao thức không kết nối).
Các đặc tính của tấn công DDoS
Nó đƣợc tấn công từ một hệ thống các máy tính cực lớn trên Internet, và
thƣờng dựa vào các dịch vụ có sẵn trên các máy tính trong mạng BOTNET
Các dịch vụ tấn công đƣợc điều khiển từ những "primary victim" trong khi
các máy tính bị chiếm quyền sử dụng trong BOTNET đƣợc sử dụng để tấn công
thƣờng đƣợc gọi là "zombie".
Là dạng tấn công rất khó có thể phát hiện bởi tấn công này đƣợc sinh ra từ
nhiều địa chỉ IP trên Internet.
Nếu một địa chỉ IP tấn công một công ty, nó có thể đƣợc chặn bởi Firewall.
Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn.
Thủ phạm có thể gây nhiều ảnh hƣởng bởi tấn công từ chối dịch vụ DoS, và
điều này càng nguy hiểm hơn khi chúng sử dụng một hệ thống BOTNET trên
internet thực hiện tấn công DoS và đó đƣợc gọi là tấn công DDoS.
Tấn công DDoS không thể ngăn chặn hoàn toàn
Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên các
máy tính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng
BOTNET gồm nhiều máy tính kết nối tới Internet.
Một cuộc tấn công DDoS tốt đƣợc thực hiện sẽ rất khó để ngăn chặn hoàn
toàn.

23



Nếu địa chỉ nguồn của gói tin có thể bị giả mạo, sau khi bạn không nhận
đƣợc sự phản hồi từ những địa chỉ nguồn thật thì bạn cần phải thực hiện cấm giao
tiếp với địa chỉ nguồn đó.
Tuy nhiên một mạng BOTNET bao gồm từ hàng nghìn tới vài trăm nghìn
địa chỉ IP trên Internet và điều đó là vô cùng khó khăn để ngăn chặn tấn công.
Kiến trúc tổng quan của DDoS attack-network
Giờ đây không một kẻ tấn công nào sử dụng luôn địa chỉ IP để điều khiển
mạng BOTNET tấn công tới đích, mà chúng thƣờng sử dụng một đối tƣợng trung
gian dƣới đây là những mô hình tấn công DDoS. Nhìn chung DDoS attack-network
có hai mô hình chính:
 Mô hình Agent – Handler
 Mô hình IRC – Based
DDoS attack - network

Agent - Handler

Client-Handler
Communication

TCP

UDP

ICMP

IRC - Based

Client-Handler

Communication

TCP

UDP

Secret/Private
channel

ICMP

Hình 1.10: Mô hình tổng quan DDoS attack-network

24

Public
channel


1.8.1. Mô hình Agent – Handler

Attacker
Handler

Agent

----------------------Handler

Agent


Attacker

Handler

Agent

Handler

Agent

Agent

Victim
Hình 1.11: Mô hình Agent - Handler
Kẻ tấn công sử dụng các handler để điều khiển tấn công kiến trúc attacknetwork kiểu Agent – Handler
Theo mô hình này, attack-network gồm 3 thành phần: Agent, Client và Handler
 Client : là software cơ sở để hacker điều khiển mọi hoạt động của attack-network
 Handler : là một thành phần software trung gian giữa Agent và Client
 Agent : là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển
từ Client thông qua các Handler
Attacker sẽ từ Client giao tiếp với cc1 Handler để xác định số lƣợng Agent
đang online, điều chỉnh thời điểm tấn công và cập nhật các Agent. Tùy theo cách
attacker cấu hình attack-network, các Agent sẽ chịu sự quản lý của một hay nhiều
Handler.
Thông thƣờng Attacker sẽ đặt Handler software trên một Router hay một
server có lƣợng traffic lƣu thông nhiều. Việc này nhằm làm cho các giao tiếp giữa
Client, handler và Agent khó bị phát hiện. Các gia tiếp này thông thƣờng xảy ra trên
các protocol TCP, UDP hay ICMP. Chủ nhân thực sự của các Agent thông thƣờng
không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu DDoS, do họ không đủ
kiến thức hoặc các chƣơng trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ

thống làm cho hầu nhƣ không thể thấy ảnh hƣởng gì đến hiệu năng của hệ thống.

25