Nghiên cứu thuật toán phát hiện và giảm thiểu một số hình thức tấn công dos
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.81 MB, 91 trang )
LỜI CAM ĐOAN
Luận văn thạc sỹ này do tôi nghiên cứu, thực hiện dưới sự hướng dẫn của
Thầy giáo TS Nguyễn Khanh Văn và sự giúp đỡ về triển khai thực nghiệm của NCS
Trần Mạnh Thắng – hiện đang công tác tại Cục An toàn thông tin – Bộ thông tin và
Truyền thông. Với mục đích tìm hiểu, học tập, nghiên cứu để nâng cao kiến thức và
trình độ chuyên môn tôi đã làm luận văn này một cách cầu thị, nghiêm túc và hoàn
toàn trung thực.
Để hoàn thành bản luận văn này, ngoài các tài liệu tham khảo đã liệt kê, tôi
xin cam đoan không sao chép toàn văn các công trình nghiên cứu hoặc luận văn tốt
nghiệp của người khác.
Tôi xin chân thành cảm ơn Thầy giáo TS Nguyễn Khanh Văn, NCS Trần
Mạnh Thắng đã hướng dẫn tận tình chu đáo để tôi hoàn thành đề tài này.
Hà nội, tháng 9 năm 2015
Học viên
Nguyễn Đình Mỹ
i
MỤC LỤC
LỜI CAM ĐOAN ...................................................................................................... i
MỤC LỤC ................................................................................................................. ii
DANH MỤC CÁC THUẬT NGỮ VÀ TỪ VIẾT TẮT..........................................v
DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU ........................................................ vi
CHƢƠNG MỞ ĐẦU .................................................................................................1
CHƢƠNG 1: TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN
TÁN ............................................................................................................................6
1.1 Nghiên cứu tổng quan về tấn công từ chối dịch vụ phân tán............................6
1.1.1. Giới thiệu về DDoS ..................................................................................6
1.1.2. Các giai đoạn của một cuộc tấn công DDoS([4]) .......................................7
1.1.3. Kiến trúc tổng quan của mạng tấn công DDoS ........................................7
1.1.4. Phân loại tấn công DDoS .......................................................................11
1.1.5. Một số đặc tính của công cụ tấn công DDoS .........................................17
1.1.6. Một số công cụ tấn công DDoS ..............................................................21
1.2. Tác động nghiêm trọng và mức độ ảnh hưởng của các cuộc tấn công DDoS
trong nước và trên thế giới ....................................................................................25
1.2.1. Đối với trong nước .................................................................................25
1.2.2. Trên thế giới ...........................................................................................27
CHƢƠNG 2: NGHIÊN CỨU THUẬT TOÁN PHÁT HIỆN VÀ GIẢM THIỂU
MỘT SỐ HÌNH THỨC TẤN CÔNG DDOS ........................................................31
2.1 Một số thuật toán phát hiện tấn công DDoS ...................................................31
2.1.1 Thuật toán ngưỡng giới hạn khả năng đáp ứng([3]) (Adaptive Threshold
Algorithm) ........................................................................................................32
2.1.2 Thuật toán tổng tích lũy([7]) (Cumulative sum – CUSUM)......................33
2.1.3 Thuật toán theo dõi IP nguồn([7]) (Source IP Address Monitoring-SIM) 35
2.2 Phân tích phát hiện tấn công DDoS ................................................................36
2.2.1 Hệ thống phát hiện DDos hiện nay..........................................................36
2.2.2 Các yêu cầu đối với môt hệ thống phát hiện DDoS ................................37
ii
2.2.3 Phát hiện các cuộc tấn công DDoS.........................................................38
2.3 Phòng chống tấn công DDoS ..........................................................................38
2.4 Một số giải pháp phòng chống tấn công DDoS ..............................................41
2.4.1. Giải pháp chống DDoS của Cisco ..........................................................41
2.4.2. Giải pháp chống DDoS của Abor ...........................................................44
2.4.3. Giải pháp chống DDoS của Huawei .......................................................45
CHƢƠNG 3: TÌM HIỂU ỨNG DỤNG SNORT TRONG VIỆC GIẢM THIỂU
HÌNH THỨC TẤN CÔNG DDOS .........................................................................46
3.1 Sơ lược về IDS/IPS .........................................................................................46
3.1.1 Định nghĩa về IDS/IPS ............................................................................46
3.1.2 Sự khác nhau giữa IDS và IPS ................................................................47
3.1.3 Phân loại IDS/IPS([5]) ...............................................................................48
3.1.3.1 Network based IDS – NIDS .............................................................48
3.1.3.2 Host based IDS – HIDS ...................................................................51
3.1.4 Cơ chế hoạt động của hệ thống IDS/IPS ................................................52
3.1.4.1 Phát hiện sự lạm dụng ......................................................................52
3.1.4.2 Phát hiện sự bất thường ....................................................................53
3.2. Tìm hiểu sản phẩm Snort trong việc giảm thiểu hình thức tấn công DDoS ..56
3.2.1 Giới thiệu về Snort ..................................................................................56
3.2.2 Kiến trúc của Snort([5]) .............................................................................57
3.2.2.1 Modun thu thập và giải mã gói tin([5]) (Packet Sniffer) ....................58
3.2.2.2 Mô đun tiền xử lý([5]) (Preprocessors) ..............................................59
3.2.2.3 Mô-đun phát hiện (Detection Engine) .............................................61
3.2.2.4 Mô-đun cảnh báo và log([5]) (Alerting/Logging) .............................62
3.2.3 Bộ luật của Snort([5]) ................................................................................63
3.2.3.1 Giới thiệu về bộ luật .........................................................................63
3.2.3.2 Cấu trúc luật của Snort .....................................................................64
3.2.3.3 Phần tiêu đề (Rule header) ...............................................................66
3.2.3.4 Phần tùy chọn([5])(Rule Option) ........................................................71
iii
CHƢƠNG 4: TRIỂN KHAI VÀ THỰC NGHIỆM HỆ THỐNG ......................73
4.1 Chuẩn bị cài đặt máy chủ ................................................................................75
4.1.1 Cài đặt máy chủ ứng dụng web ...............................................................75
4.1.2 Cài đặt máy chủ giám sát, cảnh báo của hệ thống ...................................75
4.2 Chuẩn bị nguồn tấn công ................................................................................77
4.3 Tiến hành thử nghiệm theo kịch bản ..............................................................77
KẾT LUẬN ..............................................................................................................82
TÀI LIỆU THAM KHẢO ......................................................................................84
iv
DANH MỤC CÁC THUẬT NGỮ VÀ TỪ VIẾT TẮT
Ký hiệu
Giải thích
DoS
Tấn công từ chối dịch vụ (Denial of Service)
DDoS
Tấn công từ chối dịch vụ phân tán (Distributed Denial
of Service)
Hacker/Attacker
Kẻ tấn công
Server
Máy chủ
Host
Máy trạm
User
Người dùng
Internet
Tập hợp các mạng liên kết với nhau
Router
Bộ/thiết bị định tuyến
Switch
Bộ/thiết bị chuyển mạch
Traffic
Lưu lượng
Buffer
Bộ đệm
Website
Trang web
Threshold
Ngưỡng
CSDL
Cơ sở dữ liệu
NIDS
Hệ thống phát hiện xâm nhập dựa trên mạng
IIS
Các dịch vụ thông tin internet
v
DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ
Bảng 1.1. Tập lệnh của Handler ................................................................................20
Bảng 1.2. Tập lệnh của Agent ...................................................................................21
Hình 1.1. Mô hình Agent – Handler ...........................................................................8
Hình 1.2. Kiến trúc mạng tấn công kiểu Agent – Handler..........................................9
Hình 1.3. Kiến trúc mạng tấn công kiểu dựa vào mạng IRC ....................................10
Hình 1.4. Phân loại tấn công kiểu DDoS ..................................................................11
Hình 1.5. Tấn công khuếch đại .................................................................................13
Hình 1.6. Mô tả về bắt tay ba bước ...........................................................................15
Hình 1.7. Tấn công TCP SYN ..................................................................................15
Hình 1.8. Công cụ tấn công DDoS............................................................................17
Hình 1.9. Giao diện của Slowloris đang hoạt động ..................................................22
Hình 1.10 Giao diện hoạt động của LOIC ................................................................23
Hình 1.11 Kết quả theo dõi khi thực hiện tấn công bằng LOIC vào máy chủ web ..24
Hình 1.12 Thống kê DDoS Intelligence, Quý 1 (xanh) và Quý 2 (đỏ) năm 2015. ...29
Hình 2.1 Biểu đồ trực quan của thuật toán ngưỡng giới hạn đáp ứng([9]) .................33
Hình 2.2 Sơ đồ khối của thuật toán SIM ..................................................................35
Hình 2.3 Địa điểm khác nhau để thực hiện việc phát hiện và phản ứng DDoS([6]) ...39
Hình 2.4 Một phân loại của các cơ chế phòng chống tấn công ngập lụt DDoS mức
mạng/giao vận thông dựa trên vị trí triển khai([6]) .....................................................40
Hình 2.5 Cách phân loại theo cơ chế phòng vệ chống lại các cuộc tấn công
DDoS([6]) ....................................................................................................................41
Hình 3.1 Các vị trí đặt IDS trong mạng ...................................................................47
Hình 3.2 Mô hình NIDS ...........................................................................................48
Hình 3.3 Mô hình kiến trúc hệ thống Snort ..............................................................57
Hình 3.4 Mô tả chức năng của mô-đun Packet Sniffer .............................................58
Hình 3.5 Xử lý một gói tin Ethernet ........................................................................59
Hình 3.6 Mô-đun tiền xử lý của Snort .....................................................................61
Hình 3.7 Sơ đồ mô-đun phát hiện .............................................................................62
vi
Hình 3.8 Sơ đồ mô-đun cảnh báo và log ..................................................................63
Hình 3.9 Cấu trúc luật của Snort .............................................................................65
Hình 3.10 Cấu trúc Header luật của Snort ...............................................................65
Hình 4.1 Đề xuất mô hình để triển khai phòng chống DDoS ...................................73
Hình 4.2 Mô hình tác giả triển khai thực nghiệm .....................................................74
Hình 4.3 Máy chủ ứng dụng web đang hoạt động ....................................................75
Hình 4.4 Giao diện phần mềm quản lý cảnh báo ......................................................77
Hình 4.5 Ứng dụng web hoạt động bình thường ......................................................77
Hình 4.6 Trạng thái Snort đã được bật, chưa có cảnh báo nào .................................78
Hình 4.7 Ứng dụng giám sát cảnh báo cũng không ghi nhận được cảnh báo nào
được đưa ra và lưu vào CSDL...................................................................................78
Hình 4.8 Giao diện màn hình khi sử dụng hping3 để tấn công................................79
Hình 4.9 Ứng dụng website bị tấn công tê liệt..........................................................79
Hình 4.10 Giao diện cảnh báo trên Terminal của Snort............................................80
Hình 4.11 Giao diện cảnh báo của ứng dụng giám sát .............................................80
Hình 4.12 Giao diện các IP nguồn tấn công được lưu trên ứng dụng giám sát ........81
vii
CHƢƠNG MỞ ĐẦU
Trong thời đại bùng nổ thông tin hiện nay, hệ thống thông tin là thành phần
rất quan trọng trong mọi cơ quan, tổ chức, đơn vị, đem lại khả năng xử lý, truyền tải
và cung cấp thông tin rất hữu ích, nhưng các hệ thống thông tin (HTTT) cũng chứa
rất nhiều điểm yếu, nguy cơ và rủi ro mất an toàn thông tin. Sự phát triển nhanh
chóng của các phần mềm ứng dụng để đáp ứng yêu cầu của người dùng, các phiên
bản được phát hành liên tục với các tính năng mới được đưa ra thị trường, tiềm ẩn
nguy cơ, lỗ hổng có thể dễ dàng bị lợi dụng. Một đặc điểm khác nữa là việc phát
triển của hệ thống mạng internet, cũng như sự phân tán của HTTT, mục đích để cho
người dùng truy cập thông tin dễ dàng hơn và do đó tin tặc cũng có nhiều mục tiêu
tấn công, nguy cơ rủi ro thông tin càng tăng lên.
Do đó, bên cạnh việc thiết kế, xây dựng HTTT (trang/cổng thông tin điện tử,
thư điện tử, các ứng dụng tác nghiệp,…) hiện đại, đáp ứng nhu cầu thông tin và hỗ
trợ xử lý công việc. Các cơ quan, tổ chức cần phải bảo vệ tốt những hệ thống đó,
đảm bảo hoạt động ổn định và tin cậy. Vì vậy, đảm bảo an toàn và bảo mật thông tin
là vấn đề cấp thiết trong mọi cơ quan, tổ chức, doanh nghiệp.
Nhiệm vụ đặt ra của chúng ta là cần xây dựng chính sách bảo mật đầy đủ, rõ
ràng. Phải xác định rõ tài nguyên gì cần phải bảo vệ, bảo vệ mức nào. Mặt khác,
trong tình hình hiện nay tính chất, mức độ và phạm vi của các cuộc tấn công vào
HTTT ngày càng gia tăng bởi việc tiếp cận với các kỹ thuật và sử dụng các công cụ
tấn công từ nhiều nguồn trên internet rất dễ dàng, các phần mềm hỗ trợ tấn công
được thiết kế tinh vi, tính năng mạnh và đặc biệt là rất dễ vận hành sử dụng. Tin tặc
thường nhắm hệ thống của các tổ chức, cơ quan và thông tin cá nhân vì nhiều mục
đích như: cạnh tranh trong kinh doanh, đánh cắp thông tin cá nhân để thu lợi tài
chính, phục vụ chính trị,thể hiện năng lực,…
Tất cả những mối nguy hại trên cho thấy vai trò của vấn đề đảm bảo an toàn
thông tin rất quan trọng đối với cuộc chiến phức tạp, khốc liệt và liên tục với mạng
lưới tấn công mà thế giới cũng như Việt Nam đã, đang và sẽ xảy ra. Dù là tổ chức,
doanh nghiệp hay cá nhân thì mục tiêu cần đạt được đối với đảm bảo an toàn thông
1
tin là rất quan trọng. Cụ thể 3 mục tiêu chính cần đạt được bao gồm: Tính bí mật
(Confidentiality), Tính toàn vẹn (Integrity) và tính Sẵn sàng (Availability).
Như đã đề cập ở trên việc mất an toàn, an ninh thông tin đối với cơ quan, tổ
chức không còn là nguy cơ, rủi ro nữa mà nó đã và trở thành vấn đề đã và đang xảy
ra nghiêm trọng hiện nay. Vấn đề mất an toàn thông tin giờ đây không chỉ là liên
quan đến thông tin của cá nhân, tổ chức, doanh nghiệp gây thiệt hại đến uy tín, danh
dự và tài chính mà còn ảnh hưởng rất lớn đến chủ quyền, an ninh quốc gia. Theo
báo cáo của Cục an toàn thông tin – Bộ Thông tin và Truyền thông, trong năm
2014, có khoảng hơn 4.000 cuộc tấn công đã được ghi nhận là có xâm phạm đối với
các hệ thống có tên miền .vn của Việt Nam, trong số đó có hơn 200 cuộc tấn công
vào các hệ thống có tên miền .gov.vn([10]). Theo số liệu thống kê DDoS
Intelligence([11]) của Kaspersky vừa công bố, vào quý II năm 2015, Việt Nam nằm
trong top 10 nước có nguồn tài nguyên bị tấn công từ chối dịch vụ phân tán (DDoS)
nhiều nhất. Trong khi tấn công DDoS là kiểu tấn công phức tạp, nguy hiểm, khó
phát hiện và ngăn chặn nhất hiện nay.
Khái niệm về tấn công từ chối dịch vụ (DoS)
Tấn công từ chối dịch vụ (Denial of Service - DoS) là dạng tấn công nhằm
ngăn chặn người dùng hợp pháp truy nhập các tài nguyên mạng. Tấn công DoS đã
xuất hiện từ khá sớm, vào đầu những năm 80 của thế kỷ XX. Tấn công từ chối dịch
vụ phân tán (Distributed Denial of Service - DDoS) là một dạng phát triển ở mức độ
cao của tấn công DoS được phát hiện lần đầu tiên vào năm 1999. Sự khác biệt cơ
bản của tấn công DoS và DDoS là phạm vi tấn công. Lưu lượng tấn công DoS
thường phát sinh từ một hoặc một số ít host nguồn, còn lưu lượng tấn công DDoS
thường phát sinh từ rất nhiều host nằm rải rác trên mạng Internet. Hiện nay, có hai
phương pháp tấn công DDoS chủ yếu. Phương pháp thứ nhất, kẻ tấn công gửi các
gói tin được tạo theo dạng đặc biệt gây lỗi trong giao thức truyền hoặc lỗi trong ứng
dụng chạy trên máy nạn nhân. Một dạng tấn công DDoS điển hình theo phương
pháp này là tấn công khai thác lỗ hổng an ninh của các giao thức hoặc dịch vụ trên
máy nạn nhân. Phương pháp tấn công DDoS thứ hai phổ biến hơn phương pháp thứ
nhất, gồm hai dạng: (1) dạng tấn công DDoS gây ngắt quãng kết nối của người
2
dùng đến máy chủ dịch vụ bằng cách làm ngập lụt đường truyền mạng, cạn kiệt
băng thông hoặc tài nguyên mạng, và (2) dạng tấn công DDoS gây ngắt quãng dịch
vụ cung cấp cho người dùng bằng cách làm cạn kiệt các tài nguyên của máy chủ
dịch vụ, như thời gian xử lý của CPU, bộ nhớ, băng thông, ổ đĩa, cơ sở dữ liệu.
Dạng tấn công này bảo gồm các loại tấn công gây ngập lụt ở mức ứng dụng.
Kể từ cuộc tấn công DDoS đầu tiên được xác nhận vào năm 1999([3]), nhiều
cuộc tấn công DDoS gây ngập lụt đã được thực hiện vào hệ thống mạng của các
công ty và các tổ chức. Hầu hết các cuộc tấn công DDoS gây ngập lụt cho đến hiện
nay đều tập trung vào làm ngắt quãng hoặc ngừng dịch vụ chạy trên hệ thống nạn
nhân. Hậu quả là làm giảm doanh thu, tăng chi phí phòng chống và phục hồi dịch
vụ. Ví dụ, vào tháng Hai năm 2000, hệ thống mạng của công ty Internet Yahoo phải
hứng chịu đợt tấn công DDoS đầu tiên làm các dịch vụ của công ty phải ngừng hoạt
động trong 2 giờ, gây thiệt hại lớn về doanh thu quảng cáo. Tháng 2/2004, một đợt
tấn công DDoS rất lớn xuất phát từ một lượng rất lớn các máy tính bị nhiễm virus
Mydoom làm trang web của tập đoàn SCO không thể truy nhập. Vào tháng
12/2010, một nhóm tin tặc có tên là “Anonymous” đã tạo ra một loạt các cuộc tấn
công DDoS gây ngừng hoạt động các trang web của các tổ chức tài chính, như
Mastercard, Visa International, Paypal và PostFinance. Tháng 9/2012, một đợt tấn
công DDoS rất lớn do nhóm tin tặc “Izz ad-Din al-Qassam Cyber Fighters” thực
hiện gây ngắt quãng hoặt ngừng hoạt động các trang web ngân hàng trực tuyến của
9 ngân hàng lớn của Mỹ. Các dạng tấn công DDoS được thực hiện ngày một nhiều
với quy mô ngày một lớn và tinh vi hơn nhờ sự phát triển của các kỹ thuật tấn công
và sự lan tràn của các công cụ tấn công.
Tại Việt Nam, gần đây là vào tháng 6/2013, rất nhiều các trang báo điện tử
của Việt Nam, trong đó có những trang với lượng truy cập lớn như báo điện tử Dân
trí (), báo điện tử Vietnamnet () và báo Tuổi
trẻ () đã phải hứng chịu một đợt tấn công DDoS vô cùng mạnh
mẽ.
3
Tháng 10/2014 hàng loạt website thuộc hệ thống của Công ty Cổ phần
truyền thông Việt Nam (VCCorp) và các website được hỗ trợ vận hành bởi đơn vị
này đồng loạt gặp sự cố.
Các cuộc tấn công từ chối dịch vụ phân tán gây ra nhiều hậu quả nghiêm trọng
trên thế giới cũng như tại Việt Nam. Hiện nay chưa có giải pháp nào có thể ngăn chặn
triệt để kiểu tấn công này, các cơ quan đơn vị ít khi quan tâm những vấn đề về cảnh
báo, chuẩn bị phương án đối phó với dạng này, hầu hết các khi có tấn công dạng này
xảy ra, cơ quan, tổ chức thường thuê các thiết bị và nhân lực xử lý sự cố, hoặc tận dụng
các mối quan hệ để nhận được sự hỗ trợ của các cơ quan chức năng mà chưa có giải
pháp lâu dài và bài bản. Việc nghiên cứu đưa ra giải pháp cảnh báo và hướng đến là
xây dựng một hệ thống chống tấn công DDoS là một nhu cầu thực tế cấp thiết hiện
nay. Vì vậy, đề tài sẽ tập trung nghiên cứu theo hướng đề xuất, giới thiệu giải pháp để
tiến tới xây dựng hệ thống phòng chống tấn công DDoS hiệu quả trong thực tế.
Bài toán đặt ra và kết quả đạt đƣợc khi nghiên cứu
Nhận thức được các vấn đề nêu trên, mục đích cuối cùng là đảm bảo ATTT cho
các hệ thống đối với các cuộc tấn công nói chung. Cụ thể đảm bảo ATTT, phát hiện
ngăn chặn được tấn công DDoS bằng cách nào? Mô hình nào để giảm thiểu hình thức
tấn công DDoS hiệu quả? Công tác dự báo, cảnh báo có vai trò như thế nào đối với
phòng chống tấn công DDoS để từ đó đề xuất mô hình nhằm giảm thiểu một số hình
thức tấn công DDoS. Chính vì những lý do nêu trên, tác giả đã lựa chọn đề tài Nghiên
cứu thuật toán phát hiện và giảm thiểu một số hình thức tấn công DoS. Nội dung cụ thể
của luận văn bao gồm một số vấn đề chính và liên quan như sau:
-
Khảo sát tổng quan về tấn công từ chối dịch vụ phân tán (Chương 1): Tác giả trình
bày các thu hoạch cụ thể của mình trong quá trình nghiên cứu khảo sát về tấn công
từ chối dịch vụ phân tán; tìm hiểu tác động nghiệm trọng và mức độ ảnh hưởng
của các cuộc tấn công dịch vụ phân tán.
-
Trình bày một số thuật toán phát hiện tấn công từ chối dịch vụ phân tán (Chương
2): Tác giả trình bày nội dung các thuật toán, kết hợp với áp dụng các thuật toán
vào thực tế. Nghiên cứu đề xuất mô hình triển khai giải pháp cảnh bảo nhằm giảm
thiểu hình thức tấn công từ chối dịch vụ phân tán.
4
-
Tìm hiểu một số sản phẩm thương mại và miễn phí để phát hiện, cảnh báo và giảm
thiểu thiệt hại khi có tấn công (Chương 3). Trong chương này tác giả sẽ trình bày,
đề xuất sử dụng sản phẩm để triển khai mô hình theo đề xuất là triển khai tại vị trí
đích của tấn công, qua đó tìm hiểu, giới thiệu một số tính năng, luật của sản phẩm
nguồn mở Snort trong việc phát hiện, cảnh báo hình thức tấn công từ chối dịch vụ
phân tán.
-
Triển khai mô hình thực nghiệm theo đề xuất của tác giả nhằm cảnh báo sớm để
giảm thiểu tác hại của hình thức tấn công DDoS gây ra (Chương 4). Từ đó có thể
đề xuất hướng nghiên cứu và ứng dụng trong thời gian tới đối với nhiệm vụ giảm
thiểu hình thức tấn công từ chối dịch vụ phân tán.
Trong quá trình nghiên cứu, thực hiện đề tài tác giả đã đạt được một số kết
quả như: hiểu được các vấn đề cơ bản nguy cơ tiềm ẩn và hậu quả khi bị tấn công
DDoS; Tìm hiểu các thuật toán phát hiện tấn công DDoS, trên cơ sở đó tìm hiểu sản
phẩm Snort đối với phát hiện, cảnh báo để giảm thiệu tác của tấn công dạng này; Đề
xuất và triển khai thực nghiệm mô hình nhằm phát hiện và cảnh báo tấn công DDoS
hiệu quả.
5
CHƢƠNG 1: TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ
PHÂN TÁN
Trong chương này, tác giả sẽ trình bày tổng quan về tấn công từ chối
dịch vụ phân tán (DDoS) gồm: Các kiểu tấn công, các giai đoạn của một cuộc tấn
công DDoS, phân loại kiểu tấn công DDoS, một số công cụ tấn công DDoS.
1.1 Nghiên cứu tổng quan về tấn công từ chối dịch vụ phân tán
1.1.1. Giới thiệu về DDoS
Ngày 7/2/2000, yahoo.com đã phải ngưng phục vụ hàng trăm triệu user trên
toàn thế giới nhiều giờ liền. Vài giờ sau, Yahoo đã tìm ra nguyên nhân gây nên tình
trạng này là do họ phải gánh chịu một đợt tấn công DDoS với quy mô vài nghìn
máy tính liên tục gửi hàng triệu yêu cầu đến các máy chủ dịch vụ làm các máy chủ
này không thể phục vụ các user thông thường khác.
Tiếp tục sau đó ít ngày, một sự kiện tương tự diễn ra nhưng có phần “ồn ào”
hơn do một trong các nạn nhân mới là hãng tin CNN, Fifa.com, amazon.com,
dell.com, Zdnet.com, E-trade.com, Ebay.com. Đây là những công ty lớn thuộc
nhiều lĩnh vực khác nhau. Theo Yankke Group, tổng thiệt hại do cuộc tấn công lên
đến 1.2 triệu USD, nhưng không đáng kể bằng sự mất mát về lòng tin của khách
hàng, uy tín của các công ty là không thể tính được. Theo kết quả điều tra đã được
công bố thì cậu bé 15 tuổi người Canada, với nickname “mafiaboy” đã tìm tòi và tải
về một số chương trình và công cụ của các hacker. Cậu bé này đã dùng một công cụ
DDoS có tên là TrinOO để gây nên các cuộc tấn công kiểu DDoS khủng khiếp trên.
Một điểm đáng lưu ý khác là Mafiaboy bị bắt do tự khoe khoang trên các phòng
chát công cộng, không ai tự truy tìm được dấu vết của cậu bé này([6]).
Từ đó đến nay, trên thế giới cũng như tại Việt Nam, có rất nhiều công ty
khổng lồ khác đã gục ngã dưới các cuộc tấn công kiểu DDoS, trong đó có cả
Microsoft. Tuy nhiên cuộc tấn công trên là điển hình nhất về DDoS, nó nói lên một
đặc điểm của DDoS: “Rất dễ thực hiện, hầu như không thể tránh, hậu quả rất nặng
nề”.
6
1.1.2. Các giai đoạn của một cuộc tấn công DDoS([4])
Một cuộc tấn công DDoS thông thường gồm bao gồm 03 giai đoạn
Giai đoạn 1: Giai đoạn chuẩn bị.
- Chuẩn bị công cụ là giai đoạn quan trọng của cuộc tấn công, công cụ sử dụng cho
tấn công thông thường hoạt động theo mô hình client-server. Hacker có thể viết
phần mềm này hay tải từ Internet một cách dễ dàng, có rất nhiều công cụ DDoS
được cung cấp miễn phí trên mạng.
- Kế tiếp, hacker dùng các kỹ thuật tấn công khác để nắm trọn quyền một số host
trên mạng, tiến hành cài đặt các phần mềm cần thiết trên các host này. Việc cấu
hình và thử nghiệm toàn bộ mạng tấn công (attack network - bao gồm mạng lưới
các máy đã bị lợi dụng cùng với các phần mềm đã được thiết lập trên đó, máy của
hacker hoặc một số máy khác đã được thiết lập tạo thành các điểm phát động tấn
công) cũng sẽ được thực hiện trong giai đoạn này.
Giai đoạn 2: Giai đoạn xác định mục tiêu và thời điểm.
- Sau khi xác định mục tiêu lần cuối, hacker sẽ có hoạt động điều chỉnh mạng tấn
công chuyển hướng tấn công về phía mục tiêu.
- Yếu tố thời điểm sẽ quyết định mức độ thiệt hại và tốc độ đáp ứng của mục tiêu
đối với cuộc tấn công.
Giai đoạn 3: Phát động tấn công và xóa dấu vết.
Đúng thời điểm đã định, hacker phát động tấn công từ máy của mình Lệnh tấn công
này có thể đi qua nhiều cấp mới đến host thực sự tấn công. Toàn bộ mạng tấn công
(có thể lên đến hàng nghìn máy), sẽ vắt cạn năng lực của máy chủ mục tiêu, ngăn
chặn không cho các máy chủ này hoạt động như thiết kế.
- Sau một khoảng thời gian tấn công thích hợp, Hacker tiến hành xóa mọi dấu
vết có thể truy ngược đến mình. Việc này đòi hỏi các kỹ thuật xóa dấu vết ở trình độ
cao.
1.1.3. Kiến trúc tổng quan của mạng tấn công DDoS
Nhìn chung mạng tấn công DDoS có hai mô hình chính:
+ Mô hình Agent – Handler
+ Mô hình IRC – Based (mô hình dựa vào mạng trao đổi thông tin).
7
Dưới đây là sơ đồ chính phân loại các kiểu tấn công DDoS (Hình 1.1.).
Mô hình Agent - Handler
Mạng tấn công
DDoS
IRC - Based
Agent -Handler
Trao đổi Client –
Handler
TCP
UDP
Trao đổi Client –
Handler
ICMP
TCP
UDP
Kênh riêng /
Kênh bí mật
Kênh công
cộng
ICMP
Hình 1.1. Mô hình Agent – Handler
Theo mô hình này, mạng tấn công gồm 3 thành phần: Agent, Client và Handler:
Client: là thành phần phần mềm cơ sở để hacker điều khiển mọi hoạt động
của mạng tấn công.
Handler: là một thành phần phần mềm trung gian giữa Agent và Client, làm
nhiệm vụ giúp Client điều khiển các Agent.
Agent: là thành phần phần mềm thực hiện sự tấn công vào mục tiêu, nhận
điều khiển từ Client thông qua các Handler
Kiến trúc mạng tấn công kiểu Agent – Handler được mô tả trên Hình 1.2.
8
Hacker
Handler
Agent
Hacker
Handler
Handler
Agent
Agent
Handler
Agent
Agent
Victim
Hình 1.2. Kiến trúc mạng tấn công kiểu Agent – Handler
Hacker sẽ từ Client giao tiếp với Handler để xác định số lượng Agent đang hoạt động,
điều chỉnh thời điểm tấn công và cập nhật các Agent. Tùy theo cách Hacker thiết lập
cấu hình mạng tấn công, các Agent sẽ chịu sự quản lý của một hay nhiều Handler.
Thông thường Hacker sẽ đặt phần mềm Handler trên một bộ định tuyến hay một máy
chủ có lưu lượng mạng lưu thông nhiều. Việc này nhằm làm cho các giao tiếp giữa
Client, Handler và Agent khó bị phát hiện. Các giao tiếp này thông thường xảy ra trên
các giao thức TCP, UDP hay ICMP. Chủ nhân thực sự của các máy tính bị cài Agent
thông thường không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu DDoS, do người
dùng không đủ khả năng phát hiện. Mặt khác, các Agent được cài dưới dạng cửa hậu
(Backdoor) thường chỉ sử dụng rất ít tài nguyên hệ thống làm cho người dùng hầu như
không thể thấy ảnh hưởng của chúng đến hiệu năng của hệ thống.
Mô hình dựa vào mạng IRC (IRC – Based)
Internet Relay Chat (IRC) là một hệ thống liên lạc trực tuyến qua mạng Internet,
IRC cho phép người dùng tạo một kết nối đến đa điểm đến nhiều người dùng khác và
trao đổi thảo luận (chat) theo thời gian thực. Kiến trúc của mạng IRC bao gồm nhiều
máy chủ IRC trên khắp mạng giao tiếp với nhau qua nhiều kênh. Mạng IRC cho phép
người dùng tạo ba loại kênh: kênh chung; kênh riêng; kênh bí mật.
9
-
Kênh chung (Public Channel): Cho phép người dùng của kênh đó thấy tên
IRC và nhận được thông điệp của mọi người dùng khác trên cùng kênh.
-
Kênh riêng (Private Channel): Được thiết kế để giao tiếp với các đối tượng
cho phép. Không cho phép các người dùng không cùng kênh thấy tên IRC và
thông điệp trên kênh. Tuy nhiên, nếu người dùng ngoài kênh dùng một số
lệnh channel locator thì có thể biết được sự tồn tại của kênh riêng đó.
-
Kênh bí mật (Secret Channel): Tương tự kênh riêng nhưng không thể xác
định bằng bộ định vị kênh (channel locator).
Kiến trúc mạng tấn công của kiểu dựa vào IRC được mô tả trên hình 1.3 như sau.
Hacker
Hacker
IRC NETWORK
Agent
Agent
Agent
Agent
Agent
Victim
Hình 1.3. Kiến trúc mạng tấn công kiểu dựa vào mạng IRC
Mô hình mạng tấn công dựa vào IRC cũng tương tự như mô hình Agent –
Handler nhưng mô hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao
tiếp giữa Client và Agent (không sử dụng Handler). Sử dụng mô hình này, Hacker
còn có thêm một số lợi thế khác như:
+ Các giao tiếp dưới dạng bản tin trao đổi (chat message) làm cho việc phát
hiện ra chúng là vô cùng khó khăn.
+ Lưu lượng IRC có thể di chuyển trên mạng với số lượng lớn mà không bị
nghi ngờ.
10
+ Không cần phải duy trì danh sách các Agent, hacker chỉ cần đăng nhập
(logon) vào máy chủ IRC là đã có thể nhận được báo cáo về trạng thái các Agent do
các kênh gửi về.
+ Sau cùng: IRC cũng là một môi trường chia sẻ tệp tin tạo điều kiện phát tán
các mã Agent lên các máy khác.
1.1.4. Phân loại tấn công DDoS
Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng nếu nhìn
dưới góc độ chuyên môn thì có thể chia các biến thề này thành hai loại dựa trên mục
đích tấn công: Làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống([6]).
Dưới đây là sơ đồ mô tả sự phân loại các kiểu tấn công DDoS.
DDoS attack
Bandwith Deleption
Amplification
Attack
Flood Attack
UDP
Random
Port
Attack
Resource Deleption
ICMP
Static
Port
Attack
Smuft
Attack
Spoof
Source
Attack
Malformed Paclket
Attack
Protocol Exploit Attack
Flaggle
Attack
Direct
Attack
TCP SYN
Attack
PUSH
+ACK
SYN
Attack
IP @
Attack
IP Packet
Options
Attack
Loop
Attack
Spoof
Source
Attack
Spoof
Source
Attack
Hình 1.4. Phân loại tấn công kiểu DDoS
11
Spoof
Source
Attack
Spoof
Source
Attack
a) Những kiểu tấn công làm cạn kiệt băng thông mạng (Bandwidth Depletion
Attack)([4])
Tấn công làm cạn kiệt băng thông mạng được thiết kế nhằm làm tràn ngập
mạng mục tiêu với những lưu lượng không cần thiết, với mục đích làm giảm tối
thiểu khả năng lưu thông các lưu lượng hợp lệ đến hệ thống cung cấp dịch vụ của
mục tiêu.
Có hai loại tấn công làm cạn kiệt băng thông mạng:
+ Tấn công ngập lụt (Flood Attack): Điều khiển các Agent gửi một lưu lượng
lớn đến hệ thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng cung cấp
băng thông.([2])
+ Tấn công khuếch đại (Amplification Attack): Điều khiển các Agent hay
Client tự gửi thông điệp đến một địa chỉ IP quảng bá, làm cho tất cả các máy trong
mạng con (subnet) này đồng loạt gửi thông điệp đến hệ thống dịch vụ của mục tiêu.
Phương pháp này làm gia tăng lưu lượng không cần thiết, làm suy giảm băng thông
của mục tiêu.([3])
Tấn công ngập lụt:([4])
Trong phương pháp này, các Agent sẽ gửi một lượng lớn lưu lượng mạng làm
hệ thống dịch vụ của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái
hoạt động bão hòa. Hậu quả là người dùng thực sự của hệ thống không sử dụng
được dịch vụ như mong đợi.
Ta có thể chia tấn công ngập lụt thành hai loại:
+ Tấn công ngập lụt UDP (UDP Flood Attack): Do tính chất truyền không
theo hướng kết nối của UDP, hệ thống nhận gói tin UDP chỉ đơn giản nhận vào tất
cả các gói tin mình cần phải xử lý. Một lượng lớn các gói tin UDP được gửi đến hệ
thống dịch vụ của mục tiêu sẽ đẩy toàn bộ hệ thống đến ngưỡng tới hạn.
Các gói tin UDP này có thể được gửi đến các cổng tùy ý hay chỉ duy nhất một
cổng. Thông thường các gói tin sẽ được gửi đến nhiều cổng làm cho hệ thống mục
tiêu phải căng ra để xử lý phân hướng cho các gói tin này. Nếu cổng bị tấn công
không sẵn sàng thì hệ thống mục tiêu sẽ gửi ra một gói tin ICMP thông báo "không
tới được cổng đích" (“destination port unreachable”). Thông thường các phần mềm
12
Agent sẽ dùng địa chỉ IP giả để che giấu hành vi, cho nên các gói tin trả về do
không có cổng xử lý sẽ dẫn đến một địa chỉ IP khác. Tấn công ngập lụt UDP cũng
có thể làm ảnh hưởng đến các kết nối xung quanh mục tiêu do sự hội tụ của các gói
tin diễn ra rất mạnh.
+ Tấn công ngập lụt ICMP (ICMP Flood Attack): được thiết kế nhằm mục
đích quản lý mạng cũng như định vị thiết bị mạng. Khi các Agent gửi một lượng lớn
ICMP_ECHO_REPLY đến hệ thống mục tiêu thì hệ thống này phải reply một
lượng tương ứng gói tin để trả lời, sẽ dẫn đến nghẽn đường truyền. Tương tự trường
hợp trên, địa chỉ IP của các Agent có thể bị giả mạo.
Tấn công khuếch đại
Tấn công khuếch đại nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ IP
quảng bá của các bộ định tuyến (router) nhằm khuyếch đại và hồi chuyển cuộc tấn
công. Mô đun này cho phép bên gửi chỉ định một địa chỉ IP quảng bá cho toàn
subnet bên nhận thay vì nhiều địa chỉ. Bộ định tuyến sẽ có nhiệm vụ gửi đến tất cả
địa chỉ IP trong mạng con (subnet) đó quảng bá gói tin mà nó nhận được.
Hacker có thể gửi thông điệp quảng bá trực tiếp hay thông qua một số Agent
nhằm làm gia tăng cường độ của cuộc tấn công. Nếu Hacker trực tiếp gửi thông
điệp, thì có thể lợi dụng các hệ thống bên trong mạng để quảng bá như một Agent.
Hình 1.5. Tấn công khuếch đại
13
Có thể chia tấn công khuếch đại thành hai loại, tấn công Smurf và tấn công
Fraggle:
+ Tấn công kiểu Smurf: Trong kiểu tấn công này Hacker gửi các gói tin đến
mạng khuếch đại (router hay thiết bị mạng khác hỗ trợ quảng bá), với địa chỉ của
nạn nhân. Thông thường những gói tin được dùng là ICMP ECHO REQUEST, các
gói tin này yêu cầu bên nhận phải trả lời bằng một gói tin ICMP ECHO REPLY.
Mạng khếch đại sẽ gửi đến gói tin ICMP ECHO REQUEST đến tất cả các hệ thống
thuộc địa chỉ quảng bá và tất cả các hệ thống này sẽ gửi gói tin REPLY về địa chỉ
của mục tiêu tấn công.([2])
+ Tấn công Fraggle: Tương tự như tấn công Smurf nhưng thay vì dùng gói tin
ICMP ECHO REQUEST, Hacker dùng gói tin UDP ECHO gửi đến mục tiêu. Thật
ra còn một biến thể khác của tấn công Fraggle sẽ gửi gói tin UDP ECHO đến cổng
charge (port 19/UNIX) của mục tiêu, với địa chỉ bên gửi là cổng echo (port
7/UNIX) của mục tiêu, tạo nên một vòng lặp vô hạn. Hacker phát động cuộc tấn
công bằng một ECHO REQUEST với địa chỉ bên nhận là một địa chỉ broadcast,
toàn bộ hệ thống thuộc địa chỉ này lập tức gửi REPLY đến cổng echo của nạn nhân,
sau đó từ nạn nhân một ECHO REPLY lại gửi trở về địa chỉ quảng bá, quá trình cứ
thế tiếp diễn. Đây chính là nguyên nhân làm cho tấn công Flaggle nguy hiểm hơn
tấn công Smurf rất nhiều.
b) Những kiểu tấn công làm cạn kiệt tài nguyên:
Tấn công làm cạn kiệt tài nguyên là kiểu tấn công trong đó Hacker gửi những
gói tin dùng các giao thức sai chức năng thiết kế, hay gửi những gói tin với dụng ý
làm tắc nghẽn tài nguyên mạng, làm cho các tài nguyên này không phục vụ người
dùng thông thường khác được.
Tấn công khai thác giao thức (Protocol Exploit Attack([4])
+ Tấn công TCP SYN: TCP hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng
phương thức bắt tay giữa bên gửi và bên nhận trước khi truyền dữ liệu. Bước đầu
tiên, bên gửi gửi một gói tin SYN REQUEST (Synchronize). Bên nhận nếu nhận
được SYN REQUEST sẽ trả lời bằng gói tin SYN/ACK REPLY. Bước cuối cùng,
bên gửi sẽ truyền gói tin cuối cùng ACK và bắt đầu truyền dữ liệu.
14
SYN
TCP
TCP
SYN/ACK
Client
Server
80
ACK
Client Port
1024-65535
Service Port
Hình 1.6. Mô tả về bắt tay ba bước
1-1023
Nếu bên máy chủ đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY
nhưng không nhận được gói tin ACK cuối cùng sau một khoảng thời gian quy định
thì nó sẽ gửi trả lại SYN/ACK REPLY cho đến hết thời gian timeout. Toàn bộ tài
nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được gói tin ACK cuối
cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout.
SYN packet with a deliberately fraudulent
(spoofed) source IP return address
Malicious
TCP
Client
Victim
TCP
SYN
Server
?
80
SYN/ACK
Hình 1.7. Tấn công TCP SYN
Nắm được điểm yếu này, Hacker gửi một gói tin SYN đến nạn nhân với địa
chỉ bên gửi là giả mạo, kết quả là nạn nhân gửi SYN/ACK REPLY đến một địa chỉ
khác và sẽ không bao giờ nhận được gói tin ACK cuối cùng. Cho đến hết thời gian
timeout, nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ
thống. Tuy nhiên, nếu lượng gói tin SYN giả mạo đến với số lượng nhiều và dồn
dập, hệ thống của nạn nhân có thể bị hết tài nguyên.
15
Client
Hacker/Agent
SYN
Server
Server
SYN
SYN/ACK
SYN/ACK
SYN/ACK
ACK
+ PUSH = tấn công ACK: Trong giao thức TCP, các gói tin được chứa trong
bộ đệm (buffer), khi bộ đệm đầy thì các gói tin này sẽ được chuyển đến nơi cần
thiết. Tuy nhiên, bên gửi có thể yêu cầu hệ thống unload buffer trước khi bộ đệm
đầy bằng cách gửi một gói tin với PUSH và ACK mang giá trị là 1. Những gói tin
này làm cho hệ thống của nạn nhân unload tất cả dữ liệu trong bộ đệm TCP ngay
lập tức và gửi một gói tin ACK trở về khi thực hiện xong điều này, nếu quá trình
được diễn ra liên tục với nhiều Agent, hệ thống sẽ không thể xử lý được lượng lớn
gói tin gửi đến và sẽ bị treo.
Tấn công bằng gói tin độc hại (Malformed Packet Attack)([4])
Tấn công bằng gói tin độc hại là cách tấn công dùng các Agent để gửi các gói
tin có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo.
Có hai loại tấn công bằng gói tin độc hại:
+ Tấn công địa chỉ IP (IP address attack): dùng gói tin có địa chỉ gửi và nhận
giống nhau làm cho hệ điều hành của nạn nhân không xử lý nổi và bị treo.
+ Tấn công phần lựa chọn gói tin IP (IP packet option attack): ngẫu nhiên hóa
vùng OPTION trong gói tin IP và thiết lập tất cả các bit QoS lên 1, điều này làm
cho hệ thống của nạn nhân phải tốn thời gian phân tích. Nếu sử dụng số lượng lớn
Agent có thể làm hệ thống nạn nhân hết khả năng xử lý.
16
1.1.5. Một số đặc tính của công cụ tấn công DDoS
Hình 1.8. Công cụ tấn công DDoS
Các công cụ tấn công DDoS có rất nhiều điểm chung như: cách cài phần mềm
Agent, phương pháp giao tiếp giữa các Hacker, handler và Agent, điểm chung về
loại hệ điều hành hỗ trợ các công cụ này. Sơ đồ trên mô tả sự so sánh tương quan
giữa các công cụ tấn công DDoS này.
a) Cách thức cài đặt DDoS Agent([4])
Hacker có thể dùng phương pháp active và passive để cài đặt phần mềm agent
lên các máy khác nhằm thiết lập mạng tấn công kiểu Agent-Handler hay IRC-based.
Cách cài đặt Active
+ Quét (Scanning): dùng các công cụ như Nmap, Nessus để tìm những sơ hở
trên các hệ thống đang hoạt động nhằm cài đặt phần mềm Agent. Chú ý, Nmap sẽ
trả về những thông tin về một hệ thống đã được chỉ định bằng địa chỉ IP. Nessus tìm
kiếm từ những địa chỉ IP bất kỳ về một điểm yếu biết trước nào đó.
+ Cửa hậu (Backdoor): Sau khi tìm thấy được danh sách các hệ thống có thể
lợi dụng, Hacker sẽ tiến hành xâm nhập và cài phần mềm Agent lên các hệ thống
này. Có rất nhiều thông tin sẵn có về cách thức xâm nhập trên mạng, như trang web
của tổ chức Common Vulnerabilities and Exposures (CVE). Trang này liệt kê và
17
phân loại trên 4.000 loại lỗi của tất cả các hệ thống hiện có. Thông tin này luôn sẵn
sàng cho cả giới quản trị mạng lẫn hacker.
+ Trojan: là một chương trình thực hiện một chức năng thông thường nào đó,
nhưng lại có một số chức năng tiềm ẩn phục vụ cho mục đích riêng của người viết
mà người dùng không thể biết được. Có thể dùng trojan như một phần mềm Agent.
+ Tràn bộ đệm: Tận dụng lỗi tràn bộ đệm, Hacker có thể làm cho chu trình
thực thi chương trình thông thường bị chuyển sang chu trình thực thi chương trình
của hacker (nằm trong vùng dữ liệu ghi đè). Có thể dùng cách này để tấn công vào
một chương trình có điểm yếu gây tràn bộ đệm để chạy chương trình phần mềm
Agent.
Cách cài đặt bị động
+ Bug Website: Hacker có thể lợi dụng một số lỗi của trình duyệt web để cài
phần mềm Agent vào máy của user truy cập. Hacker sẽ tạo một website mang nội
dung tiềm ẩn những code và lệnh để đặt bẫy người dùng. Khi người dùng truy cập
nội dung của website, thì website tải và cài đặt phần mềm Agent một cách bí mật.
Trình duyệt web IE thường là mục tiêu của cách cài đặt này, với các lỗi của
ActiveX có thể cho phép trình duyệt web IE tự động tải và cài đặt mã thực thi trên
máy của user duyệt web.
+ Lỗ file: Một phương pháp khác là nhúng mã thực thi vào trong các file
thông thường. Khi người dùng đọc hay thực thi các file này, máy của họ lập tức bị
nhiễm phần mềm Agent. Một trong những kỹ thuật phổ biến là đặt tên file rất dài, do
ngầm định của các hệ điều hành chỉ hiển thị phần đầu của tên file nên Hacker có thể gửi
kèm theo email cho nạn nhân file như sau: iloveyou.txt_hiiiiiii_NO_this_is_DDoS.exe.
Do chỉ thấy phần “Iloveyou.txt” hiển thị nên người dùng sẽ mở file này để đọc
và lập tức file này được thực thi và phần mềm Agent được cài vào máy nạn nhân.
Ngoài ra còn nhiều cách khác như ngụy trang file, ghép file…
- Rootkit: Là những chương trình dùng để xóa dấu vết về sự hiện diện của
Agent hay Handler trên máy của nạn nhân. Rootkit thường được dùng trên phần
mềm Hander đã được cài, đóng vai trò xung yếu cho sự hoạt động của mạng tấn
18
![[Luận văn]nghiên cứu tính toán, thiết kế và xây dựng kho lạnh thịt gia cầm công suất 4 tấnmẻ](https://media.store123doc.com/images/document/13/gu/hy/medium_hyo1375973692.jpg)
