HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN

BÀI TẬP LỚN
MÔN AN TOÀN HỆ ĐIỀU HÀNH

TÌM HIỂU VÀ MÔ PHỎNG TẤN CÔNG TỪ CHỐI DỊCH
VỤ

Giảng viên: Đỗ Quang Trung
Sinh viên thực hiện:
Trịnh Thị Mai
Lớp: L04

HÀ NỘI 2016

1


HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN

BÀI TẬP LỚN
MÔN AN TOÀN HỆ ĐIỀU HÀNH

TÌM HIỂU VÀ MÔ PHỎNG TẤN CÔNG TỪ CHỐI DỊCH VỤ
Nhận xét của giảng viên:
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………

……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
………………………………………………………………………………

Mục lục
2


Mục lục__________________________________________________________3
Lời nói đầu_______________________________________________________4
Tài liệu tham khảo_________________________________________________5
Một số thông tin về tấn công từ chối dich vụ trong lịch sử__________________6
I.

Giới thiệu chung_________________________________________10

1. DOS là gì?__________________________________________________________________10
2. Mục đích:__________________________________________________________________12
3. Đặc điểm:__________________________________________________________________12

II.

Các cách thức tấn công____________________________________13


1. Tấn công thông qua kết nối: ___________________________________________________13
2. Sử dụng chính tài nguyên của nạn nhân:_________________________________________17
3. Sử dụng băng thông:_________________________________________________________17
4. Sử dụng tài nguyên khác:_____________________________________________________18
5. Phá hoại hoặc chỉnh sửa cấu hình:______________________________________________18
6. Phá hoại hoặc chỉnh sửa phần cứng:____________________________________________18

III.

Cách thức phòng chống___________________________________24

IV.

Demo mô phỏng tấn công từ chối dịch vụ:____________________25

V.

Tạm kết:________________________________________________26

3


LỜI NÓI ĐẦU
Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sự
phát triển bùng nổ của công nghệ thông tin, truyền thông. Đặc biệt sự phát triển của các
trang mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện ích
cho người sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cá nhân,
trao đổi kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch vụ công...
Tuy nhiên, trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ

thông tin nói chung, vấn đề đảm bảo an toàn, an ninh thông tin cũng trở thành một trong
những thách thức lớn. Một trong những nguy cơ tác động đến việc đảm bảo an toàn
thông tin trong nhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn công
từ chối dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hoặc gây rối loạn hoạt
động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số.
Tại Việt Nam, trong nhiều năm qua, nhiều trang mạng của Chính phủ, trang mạng
báo điện tử hoặc các trang mạng của các doanh nghiệp thương mại điện tử đã phải
hứng chịu những hậu quả nghiêm trọng cả về tài sản, lẫn uy tín từ những đợt tấn công từ
chối dịch vụ gây ra bởi các tin tặc trong và ngoài nước. Tuy nhiên, công tác đấu tranh
phòng, chống đối với loại hành vi này còn có nhiều vấn đề bất cập. Lực lượng Cảnh sát
phòng, chống tội phạm sử dụng công nghệ cao là lực lượng chuyên trách trong đấu tranh
phòng, chống tội phạm sử dụng công nghệ cao nói chung, tội cản trở hoặc gây rối loạn
hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số nói riêng, trong
đó có hành vi tấn công từ chối dịch vụ. Để nâng cao hiệu quả công tác đấu tranh phòng,
chống loại hành vi này, lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ
cao cần có nhận thức đúng đắn và đầy đủ về các đặc điểm liên quan đến thủ đoạn tấn
công từ chối dịch vụ.

4


Một số thông tin về tấn công từ chối dịch vụ trong lịch sử:
-

Quốc tế: Dưới đây là 14 vụ tấn công từ chối dịch vụ nổi tiếng nhất trong lịch sử
Internet:

1. Cuộc tấn công đầu tiên liên quan đến máy chủ DNS xảy ra vào tháng 01/2001
và mục tiêu đầu tiên là trang Register.com. Chúng đã sử dụng danh sách hàng
ngàn bản ghi (records) có tuổi thọ 1 năm tại thời điểm tấn công.

2. Vào tháng 02/2001, máy chủ của Cục Tài chính Ireland bị tấn công bởi DDoS,
thủ phạm là những sinh viên đến từ trường Maynooth, một trường Đại học tại
Ireland. Vụ việc bị phản ánh và một số sinh viên của trường đã bị kỷ luật ngay
sau đó.
3. Vào tháng 07/2002, dự án “Thách thức ngược lại Honeynet” (Honeynet
Project Reverse Challenge) được ban hành, các chuỗi nhị phân được phân tích
hóa đề làm tác nhân cho DDoS, nhằm thực hiện các cuộc tấn công DNS liên
quan, bao gồm cả việc tối ưu hóa hình thức chống lại tấn công.
4. Kể từ khi các máy tính dự định cung cấp dịch vụ cho tất cả người dùng
Internet, đã có 2 vụ tấn công từ chối dịch vụ (DDoS) nhằm làm sập mạng
Internet, mặc dù không hiểu rõ động cơ của những kẻ tấn công này là gì. Vụ đầu
tiên xảy ra vào tháng 10/2002, làm gián đoạn 9/13 máy chủ. Vụ thứ hai xảy ra
vài năm 2007 làm gián đoạn 2 trong số các máy chủ.
5. Vào tháng 2/2007, hơn 10.000 máy chủ của các game trực tuyến như “Return
to Castle Wolfenstein, Halo, Counter-Strike …” bị tấn công bởi nhóm RUS. Cuộc
tấn công DDoS đã được thực hiện từ hơn một nghìn đơn vị máy tính đặt tại các
nước cộng hòa thuộc Liên Xô cũ, phần lớn từ các nước Russia, Uzbekistan và
Belarus, và các cuộc tấn công vẫn được thực hiện cho đến ngày hôm nay.
6. Trong những tuần đầu của cuộc chiến Nam Ossetia 2008, một DDoS tấn công
hướng vào các trang web của chính phủ Georgia có chứa tin nhắn:
“win+love+in+Russia”, gây tình trạng quá tải và đóng cửa nhiều máy chủ ở
Georgia tấn công vào các trang web bao gồm các trang web của tổng thống
Georgia, Mikhail Saakashvili làm các trang web này không thể hoạt động trong
24 giờ và cả ngân hàng quốc gia của Georgia.
Trong khi nghi ngờ lớn được đặt vào nước Nga về những cuộc tấn công thông
qua proxy, các băng đảng tội phạm St. Petersburg được biết đến như những nhà
5


kinh doanh mạng, hoặc R.B.N, chính phủ Nga đã phủ nhận mọi sự cáo buộc, và

nói rằng có thể một cá nhân tại Nga hoặc ở nơi khác đã lấy chúng nhằm bắt đầu
cuộc tấn công.
7. Trong năm 2009, xảy ra cuộc phản đối bầu cử tại Iran, các nhà hoạt động
nước ngoài đang tìm cách giúp đỡ phe đối lập tham gia vào các cuộc tấn công
DDoS chống lại chính phủ của Iran. Trang web chính thức của chính phủ Iran
(ahmedinejad.ir) không thể truy cập được.
Những người chỉ trích cho rằng cuộc tấn công DDoS cũng cắt bỏ việc truy cập
internet cho người biểu tình bên ở Iran, các nhà hoạt động phản đối rằng, trong
khi việc này có thể đúng, các vụ tấn công vẫn còn cản trở chính phủ của Tổng
thống Mahmoud Ahmadinejad, đủ để hỗ trợ cho phe đối lập.
8. Ngày 25/09/2009, ngày Michael Jackson qua đời, do lượng truy cập tìm kiếm
các từ khóa có liên quan đến Michael Jackson quá lớn khiến Google News ban
đầu lầm tưởng đây là một cuộc tấn công tự động. Kết quả là, trong khoảng 25
phút, một số người trong lúc tìm kiếm đã thấy được chữ “We’re sorry” xuất hiện
ngay trang họ tìm kiếm.
9. Tháng 6/2009, mạng chia sẻ ngang hàng (P2P site) – The Pirate Bay không
thể truy cập cho một cuộc tấn công DDoS. Đây có thể là một giải pháp “cầm tiền
và chạy” trước dự kiến The Pirate Bay bị bán cho công ty Global Gaming Factory
X AB. Cuối cùng, do khó khăn tài chính của người mua, trang web này không
bán được.
10. Tháng 07/2009, nhằm mục tiêu tấn công không gian mạng tại các Websites
ở Hàn Quốc và Mỹ. Những kẻ tấn công sử dụng botnet và cập nhật các tập tin
thông qua Internet để trợ giúp lây lan của nó. Một trojan máy tính được mã hoát
nhằm tìm ra các MyDoom có trong máy.
MyDoom là một loại worm (sâu) vào năm 2004, và trong tháng bảy phát triển
khoảng 20.000 đến 50.000 con. Mydoom là một dạng backdoor, mà DDoS có thể
khai thác. Kể từ đó, các DDoS bỏ chính nó, và định dạng hoàn toàn ổ cứng. Hầu
hết đều có nguồn gốc từ Trung Quốc và Bắc Triều Tiên.
11. Tháng 06/2009, một số trang mạng xã hội, bao gồm Twitter, Facebook,
Livejournal và các trang blog, Google bị tấn công bởi DDoS. Người dùng không

truy cập vào Twitter, cập nhật trên Facebook cũng khó khăn hơn.
Có vẻ những đợt tấn công đều xuất phát từ một nguồn và chúng tôi đang phối
hợp với các công ty khác để tìm hiểu sự việc", Stone cho hay. Trong khi đó, Max
6


Kelly, Giám đốc bảo mật của Facebook, cho biết vụ DDoS trên chỉ nhằm vào một
blogger.
Blogger có nickname là "Cyxymu", (tên một thị trấn ở Liên Xô cũ) trên cả Twitter,
Facebook, LiveJournal, Google, blogger và YouTube là một người ủng hộ
Gruzia. "Kẻ tấn công muốn blogger này phải im lặng. Chúng tôi đang điều tra để
tìm ra ai là kẻ đứng sau", Kelly nói.
Những cuộc tấn công làm Twitter bị tê liệt trong nhiều giờ và Facebook đã dần
dần khôi phục lại dịch vụ mặc dù một số người dùng vẫn còn gặp nhiều khó
khăn. Trang Twitter vẫn đang dần được cải thiện, tuy nhiên một số yêu cầu truy
cập web bị thất bại.
12. Vào tháng 7 – 8/2010, máy chủ của trung tâm ứng dụng văn phòng Ireland bị
tấn công DDoS vào bốn kỳ khác nhau. Gây khó khăn cho hàng ngàn học sinh,
người được yêu cầu phải sử dụng các CAO để áp dụng cho những trường đại
học và cao đẳng. Các cuộc tấn công hiện đang bị điều tra.
13. Vào ngày 28/11/2010, Wikileaks.org bị DDoS tấn công. Cuộc tấn công này
xảy ra ngay khi WikiLeaks chuẩn bị tung ra những tài liệu mật của chính phủ Mỹ.
Bộ Ngoại giao Mỹ sau khi biết thông tin này đã quyết định thông báo trước đến
các chính phủ khác về những gì mà tổ chức WikiLeaks sẽ phát tán.
WikiLeaks tuyên bố trên Twitter rằng, ngay cả khi trang web có bị sập, các tờ báo
trên toàn thế giới vẫn sẽ đăng tải những đoạn trích dẫn trong những tài liệu
được tung ra.
14. Vào 8/12/2010, Một nhóm hacker tấn công đồng loạt trang web của hãng
MasterCard, Visa để trả đũa cho việc chủ Wikileaks bị tạm giam ở Anh. Nhóm
hacker, lấy tên "chiến dịch trả đũa", nhận trách nhiệm gây ra các lỗi kỹ thuật

nghiêm trọng trên trang web của MasterCard. Tuyên bố này được đưa qua một
thông điệp trên mạng xã hội Twitter.
Cuộc tấn công đã đánh sập thành công website của Mastercard, PostFinance và
Visa. PostFinance, ngân hàng đã đóng băng tài khoản của Julian Assange, bị
ngưng hoạt động hơn 16 giờ đồng hồ.
-

Tại Việt Nam:

7


Đây là hình ảnh của trưng web Báo Dân Trí ngày 09/07

Đây là hình ảnh của trang báo mạng Việt Nam net ngày -5/07
Và hàng loạt trang báo mạng điện tử cùng tình trạng trong khoảng nửa đầu năm
nay.
8


I.

Giới thiệu chung:
1. DOS là gì?

Tấn công bằng từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động
ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ
nào đó. Nó bao gồm làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích cuối
cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các
máy trạm (Client).


Bằng cách nhằm vào các máy tính và sử dụng mạng máy tính mà bạn đang
dùng, kẻ tấn công có thể ngăn cản truy cập email, website, tài khoản trực tuyến (ví dụ
như ngân hàng) và các dịch vụ khác.

9


Một kiểu DoS rõ ràng và phổ biến nhất là một kẻ tấn công “làm lụt” mạng bằng
thông tin. Khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi
một yêu cầu đến máy chủ của trang này để xem. Máy chủ chỉ có thể xử lý một số yêu
cầu vì vậy nếu một kẻ tấn công làm quá tải máy chủ với nhiều yêu cầu thì có thể yêu
cầu của bạn không được xử lý. Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không
thể truy cập đến trang đó.
Kẻ tấn công có thể sử dụng thư rác để thực hiện các tấn công tương tự trên tài
khoản email của bạn. Dù bạn có một tài khoản email được cung cấp bởi nhân viên của
bạn hay có sẵn qua một dịch vụ miễn phí như Yahoo hay Hotmail thì vẫn bị giới hạn số
lượng dữ liệu trong tài khoản. Bằng cách gửi nhiều email đến tài khoản của bạn, kẻ tấn
công có thể tiêu thụ hết phần nhận mail và ngăn chặn bạn nhận được các mail khác.
Thực chất của tấn công bằng từ chối dịch vụ(Denial Of Services Attack) là
hacker sẽ chiếm dụng một lựợng lớn tài nguyên trên server, tài nguyên có thể là băng
thông, bộ nhớ, cpu, đĩa cứng, ... làm cho server không thể nào đáp ứng các yêu cầu
khác từ các clients của những người dùng bình thường và có thể nhanh chóng bị
ngừng hoạt động, crash hoặc reboot.
2. Mục đích:
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood),
khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác
cho người dùng bình thường.
10



- Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập
vào dịch vụ.
- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
- Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy
cập vào.
- Phá hoại hoặc thay đổi các thông tin cấu hình.
- Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…
3. Đặc điểm:
Đặc điểm duy nhất của tấn công từ chối dịch vụ là cuộc tấn công này không
lấy mất thông tin của hệ thống, nó thường chỉ gây ra sự tê liệt của hệ
thống, không hoạt động được, và đôi khi là có sự hỏng hóc, hoặc phá hoại
thông tin có trên hệ thống. Việc ngừng hoạt động trong một thời gian nhất
định, làm chậm khả năng phục vụ của hệ thống. Nhưng vì mục tiêu của tấn
công từ chối dịch vụ là các hệ thống phục vụ khách hàng, nên việc ngừng
hoạt động trong một thời gian nhất định của hệ thống thường gây ra các
thiệt hại không thể ước tính chính xác được.

II.

Các cách thức tấn công:

Phá hoại dựa trên tính giới hạn hoặc không thể phục hồi của tài nguyên mạng
1. Thông qua kết nối:
1.1. Tấn công kiểu SYN Attack
Trước hết, bạn hãy xem lại tiến trình bắt tay 3 bước của một kết nối TCP/IP. Một
client muốn kết nối đến một host khác trên mạng.


Bước 1: client gởi một SYN packet với số Sequence Number ban đầu(ISN)

đến host cần kết nối:
client—–SYN packet—– > host



Bước 2: host sẽ phản hồi lại client bằng một SYN/ACK packet, ACK của
packet này có giá trị đúng bằng ISN ban đầu do client gởi đã gởi đến host ở
bước 1 và chờ nhận một ACK packet từ client:
host—–SYN/ACK packet—– > client



Bước 3: client phản hồi lại host bằng một ACK packet:
11


client—–ACK packet—– > host

Kiểu tấn công SYN Attack
Khi host nhận được ACK packet này thì kết nối được thiết lập, client vào host có thể
trao đổi các dữ liệu cho nhau.

Mô hình tấn công SYN
Trong SYN Attack, hacker sẽ gửi đến hệ thống đích một loạt SYN packets với địa chỉ
IP nguồn không có thực. Hệ thống đích khi nhận được các bad SYN packets này sẽ
12


gởi trở lại SYN/ACK packet đến các địa chỉ không có thực này vào chờ nhận được
ACK messages từ các địa chỉ IP đó. Vì đây là các địa chỉ IP không có thực, hệ thống

đích sẽ chờ đợi vô ích và còn nối đuôi các “request” chờ đợi này nào hàng đợi, gây
lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc
khác thay cho phải chờ đợi ACK messages.
Cách giảm thiểu: Thay đổi cấu hình iptable firewall


Chỉnh sửa file: /etc/sysctl.conf
nano /etc/sysctl.conf

#securing tcp connections
net.ipv4.tcp_syncookies=1
#reducing timed out to 30
net.netfilter.nf_conntrack_tcp_timeout_syn_recv=30



Chỉnh sửa iptables firewall

# create new chains
iptables -N syn-flood
# limits incoming packets
iptables -A syn-flood -m limit --limit 10/second --limit-burst 50 -j RETURN
# log attacks
iptables -A syn-flood -j LOG --log-prefix "SYN flood: "
# silently drop the rest
iptables -A syn-flood -j DROP



Lưu lại cấu hình:

service iptables save



Khởi động lại iptables firewall:
service iptables restart

Ngoài ra còn một số cách: Tăng kích thước hàng đợi, giảm khoảng thời gian thiết lập
kết nối.
1.2.

Tấn công kiểu Ping Of Death

Kiểu tấn công này dùng giao thức ICMP. Có 2 phần quan trọng trong ICMP packet là
ICMP ECHO_REQUEST và ICMP ECHO_RESPONSE datagrams và thông thường
13


dùng PING command đế thi hành các hoạt động của ICMP. Khi 1 máy tính gửi ICMP
ECHO_REQUEST đến 1 máy nào đó, nếu máy đó đang hoạt động thì nó sẽ gữi trả
lại
ICMP
ECHO_RESPONSE.
Hacker dùng PING program để tạo nên kích thước lớn cho gói tin ICMP (gói gọn
trong 1 IP packet), có nhiều cách để gửi ICMP datagrams mà packet mà chỉ bao
gồm 8 bits ICMP header infomation, Hacker thuong dùng PING program để gừi
những packet lớn hơn 65536 bytes ( vượt qua sự cho phép của TCP/IP)

Kiểu tấn công Ping of Death
Khi tấn công bằng Ping of Death một gói tin echo được gửi đi có kích thước lớn hơn

kích thước cho phép là 65,536 bytes.Gói tin sẽ bị chia nhỏ ra thành các phần khi
máy đích lắp ráp lại thì do gói tin quá lớn với buffer bên nhận nên hệ thống không
thể quản lý nổi gây ra bị reboot hoặc bị treo.
Dưới đây là thông tin của TCP dump khi bị tấn công:
8:40:14..690000 192.168.123.101 > 192.168.123.100: icmp echo request (frag
11267:1480@0+)
8:40:14.690000 192.168.123.101 > 192.168.123.100: (frag 11267:1480@1480+)
8:40:14.690000 192.168.123.101 > 192.168.123.100 (frag 11267:1480@5920+)
.............................................
8:40:14. 74000 192.168.123.101 > 192.168.123.100 (frag 11267:1480@65527)

Các bạn để ý sẽ thấy máy có IP 192.168.123.101 gửi 1 ping packet có size
là 65527 đến địa chỉ IP192.168.123.100.
Thông thường các hề điều hành đều cài đặt PING program, trong MS-DOS thì có
14


DOS command, MS-NT có Command Promt và Unix có Terminal vvv..
Windows option -l
ping -l 65527 địa chỉ IP của máy nạn nhân
Unix option -s
ping -s 65527 địa chỉ IP của máy nạn nhân.

Một số công cụ thực hiện tấn công : Jolt, Sping, ICMP Bug, IceNewk
Cách phòng chống:


Cập nhật những bản patch khi những công ty sản xuất về hệ điều hành đưa
ra nhắc nhở cho các lỗ hổng mới




Cài đặt trên router hoặc firewall block để ngặn chặn một số gói tin có kích
thước lớn quá mức
1.3.

Tấn công kiểu Slowloris

Là kĩ thuật tương tự như SYN flood (tạo nửa kết nối để làm cạn kiệt tài nguyên máy
chủ) nhưng diễn ra ở lớp HTTP (lớp ứng dụng). Để tấn công, tin tặc gửi yêu cầu
HTTP đến máy chủ, nhưng không gửi toàn bộ yêu cầu, mà chỉ gửi một phần (và bổ
sung nhỏ giọt, để khỏi bị ngắt kết nối). Với hàng trăm kết nối như vậy, tin tặc chỉ tốn
rất ít tài nguyên, nhưng đủ để làm treo máy chủ, không thể tiếp nhận các kết nối từ
người dùng hợp lệ.
Cách thức tấn công


Tạo hoặc tải tệp tin perl: slowloris.pl



Cấp quyền thực thi cho tệp tin này: perl chmod +x slowloris.pl



Thực thi tệp tin perl : ./slowloris –dns địa chỉ trang web muốn tấn công –port
80 –timeout 1 –num 1000 cache

Cách phòng chống



Không dùng Apache nữa! Nếu dùng Apache sau proxy nghịch, thì chỉ cho
nghe trên cổng 127.0.0.1 hoặc các IP cục bộ.



Giảm Timeout cho Apache.



Giới hạn số kết nối đến Apache cho mỗi IP. Có thể dùng mod_qos chẳng hạn
15


để làm việc này.


Giải quyết ở lớp dưới: cấu hình firewall để giới hạn số kết nối đến cổng 80
trên mỗi IP.
2. Sử dụng chính tài nguyên của nạn nhân:
2.1.

Kiểu tấn công Land Attack

Tấn công LAND cũng gần giống như tấn công SYN, nhưng thay vì dùng các địa chỉ
IP không có thực, hacker sẽ dùng chính địa chỉ IP của hệ thống nạn nhân. Điều này
sẽ tạo nên một vòng lặp vô tận giữa hệ thống nạn nhân với chính hệ thống nạn nhân
đó, giữa một bên chờ nhận ACK messages còn một bên thì chẳng bao giờ gửi ACK
messages. Tuy nhiên, hầu hết các hệ thống đều dùng filter hoặc firewall để tránh
khỏi kiểu tấn công này! Đây là một dạng tấn công cũ trên các hệ điều hành Windows

XP SP2 và Windows Server2003 (sử dụng chương trình Hping).
 

2.2.

Kiểu tấn công UDP Flood

Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính
mục tiêu cần tấn công hoặc của một máy tính trong cùng mạng. Với mục tiêu sử
dụng cổng UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin echo trên 2
máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback),
khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng, và cản trở
hoạt động chia sẻ tài nguyên mạng của các máy tính khác trong mạng.
2.3.

Kiểu tấn công Winnuke

Kiểu tấn công này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x
Hacker sẽ gởi các packet với dữ liệu “Out of Band” đến cổng 139 của máy tính đích.
Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các packet có flag OOB
được bật. Khi máy tính đích nhận được packet này, một màn hình xanh báo lỗi sẽ
đến với nạn nhân do chương trình của Windows đã nhận được các packet này, tuy
nhiên nó lại không biết được cần phải đối xử với các dữ liệu Out Of Band như thế
nào nữa dẫn đến hệ thống sẽ bị crash
.
 

3. Sử dụng băng thông:
DDOS attack:


16


Tấn công kiểu DDoS (Distributed Denial of Service)
Đây là cách thức tấn công rất nguy hiểm. Hacker xâm nhập vào các hệ thống máy
tính, cài đặt các chương trình điều khiển từ xa, và sẽ kích hoạt đồng thời các
chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu.
Với DDoS, các hacker có thể huy động tới hàng trăm thậm chí hàng ngàn máy tính
cùng tham gia tấn công cùng một thời điểm (tùy vào sự chuẩn bị trước đó của
hacker) và có thể "ngốn" hết băng thông của mục tiêu trong nháy mắt.

Kiểu tấn công DDoS
4. Sử dụng tài nguyên khác:
Kẻ tấn công lợi dụng các nguồn tài nguyên mà nạn nhân cần sử dụng để tấn công.
Những kẻ tấn công có thể thay đổi dữ liệu và tự sao chép dữ liệu mà nạn nhân cần
lên nhiều lần, làm CPU bị quá tải và các quá trình xử lý dữ liệu bị đình trệ.
17


4.1.

Tấn công kiểu Smurf Attack

Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch đại. Hacker
dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói tin ICMP echo cho toàn bộ
mạng (broadcast). Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho
máy tính mà hacker muốn tấn công. Kết quả là máy tính này sẽ không thể xử lý kịp
thời một lượng lớn thông tin và dẫn tới bị treo máy.
Điều khiển các agent hay client tự gửi message đến một địa chỉ IP broadcast làm
cho tất cả các máy trong subnet này gửi message đến hệ thống dịch vụ của mục tiêu

làm gia tăng traffic không cần thiết và làm suy giảm băng thông mục tiêu.
Hai nhân tố chính trong Smuft Attack là là các ICMP echo request packets và chuyển
trực tiếp các packets đến các địa chỉ broadcast.


Giao thức ICMP thường dùng để xác định một máy tính trên mạng Internet có
còn hoạt động(alive) hay không. Để xác định một máy có alive không, bạn cần
gởi một ICMP echo request đến máy đó. Khi máy nhận được packet này, nó
sẽ gởi trả lại bạn một ICMP echo reply packet. Trong trường hợp bạn không
nhận được ICMP echo reply packet, điều này có nghĩa là máy đó không còn
hoạt động(not alive). Đây cũng chính là cách hoạt động của các chương trình
ping.



Mỗi mạng máy tính đều có địa chỉ địa chỉ broadcast và địa chỉ mạng. Địa chỉ
broadcast có các bit host đều bằng 0 và địa chỉ broadcast có các bit host đều
bằng 1. Ví dụ địa chỉ IP lớp B 140.179.220.200 sẽ có địa chỉ mạng là
140.179.0.0 và địa chỉ broadcast mặc định là 140.179.0.0. Khi một packet
được gởi đến địa chỉ broadcast, lập tức packet này sẽ được chuyển đến tất
cả các máy trong mạng.

18


Kiểu tấn công Smurf Attack
Trong Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công), mạng
khuếch đại (sẽ nghe lệnh của hacker) và nạn nhân. Hacker sẽ gởi các ICMP echo
request packets đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các
ICMP echo request packet này có địa chỉ IP nguồn chính là địa chỉ IP của nạn nhân.

Khi các packet đó đến được địa chỉ broadcast của mạng khuếch đại, lập tức tất cả
các máy tính trong mạng khuếch đại sẽ nhận được các packet này.
Các máy này tưởng rằng máy tính nạn nhân đã gởi ICMP echo request packets đến
(do hacker đã làm giả địa chỉ IP nguồn), lập tức chúng sẽ đồng loạt gởi trả lại hệ
thống nạn nhân các ICMP reply echo request packet. Hệ thống máy nạn nhân sẽ
không chịu nổi một khối lượng khổng lồ packet và nhanh chóng bị ngừng hoạt động,
crash hoặc reboot. Như vậy, bạn có thể thấy rằng hacker chỉ cần gởi một lượng nhỏ
các ICMP echo request packets đi, và hệ thống mạng khuếch đại sẽ khuếch đại
lượng ICMP echo request packet này lên gấp bội
.
Tỉ lệ khuếch đại phụ thuộc vào số mạng tính có trong mạng khuếch đại. Nhiệm vụ
của các hacker là cố chiếm được càng nhiều hệ thống mạng hoặc routers cho phép
chuyển trực tiếp các packets đến địa chỉ broadcast và không lọc địa chỉ nguồn của
các outgoing packets. Có được các hệ thống này, hacker sẽ dễ dàng tiến hành
19


Smurf Attack trên các hệ thống cần tấn công.
Cách phòng chống:
Đối với cá nhân hay công ty phải biết config máy tính của hệ thống để không biến
thành magnj khuếch đại.Khi bị tấn công thì các công ty hoặc cá nhân cần phải phối
hợp với ISP nhằm giới hạn lưu lượng của ICMP


Đối với các bộ định tuyến:
o Cisco: vô hiệu hóa bằng lệnh no ip directed-broadcast
o Đối với thiết bị khác bạn nên tham khảo tài liệu




Solaris: bổ sung thêm dòng sau vào:/etc/rc2.d/S69inet

ndd -set /dev/ip

ip_respond_to_echo_broadcast 0


Linux : Áp dụng bức tường lửa ở cấp độ nhận thông qua ipfw.

ipfwadm -I -a deny -P icmp -D
10.10.10.0 -S 0/0 0 8 ipfwadm -I -a deny -P icmp -D 10.10.10.255
-S 0/0 0 8

 

4.2.

Tấn công kiểu Tear Drop

Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều
phải trải qua 2 quá trình sau: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ
thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của
mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ
thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự
đúng như ban đầu. Ví dụ, có một dữ liệu gồm 4000 bytes cần được chuyển đi, giả
sử rằng 4000 bytes này được chia thành 3 gói nhỏ(packet):


packet thứ nhất sẽ mang các 1bytes dữ liệu từ 1 đến 1500




packet thứ hai sẽ mang các bytes dữ liệu từ 1501 đến 3000



packet thứ ba sẽ mang các bytes dữ liệu còn lại, từ 3001 đến 4000
20


Kiểu tấn công Tear Drop
Khi các packets này đến đích, hệ thống đích sẽ dựa vào offset của các gói packets
để sắp xếp lại cho đúng với thứ tự ban đầu: packet thứ nhất – > packet thứ hai – >
packet thứ ba.
Trong tấn công Teardrop, một loạt gói packets với giá trị offset chồng chéo lên nhau
được gởi đến hệ thống đích. Hệ thống đích sẽ không thể nào sắp xếp lại các packets
này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu
số lượng packets với giá trị offset chồng chéo lên nhau quá lớn!
Hãy xem lại ví dụ trên, đúng ra các packet được gởi đến hệ thống đích có dạng như
sau: (1- > 1500 bytes đầu tiên) (1501- > 3000 bytes tiếp theo) (3001- > 4000 bytes
sau cùng), trong tấn công Teardrop sẽ có dạng khác: (1- > 1500 bytes) (1501- >
3000 bytes) (1001- > 4000 bytes). Gói packet thứ ba có lượng dữ liệu sai!
5. Phá hoại hoặc chỉnh sửa thông tin cấu hình
Lợi dụng việc cấu hình thiếu an toàn như việc không xác thực thông tin trong việc
gửi/nhận bản tin cập nhật (update) của router... mà kẻ tấn công sẽ thay đổi trực tiếp
hoặc từ xa các thông tin quan trọng này, khiến cho những người dùng hợp pháp
21


không thể sử dụng dịch vụ.

Ví dụ: hacker có thể xâm nhập vào DNS để thay đổi thông tin, dẫn đến quá trình biên
dịch tên miền (domain) sang địa chỉ IP của DNS bị sai lệch. Hậu quả là các yêu cầu
của máy trạm (Client) sẽ tới một tên miền khác (đã bị thay đổi) thay vì tên miền
mong muốn.
6. Phá hoại hoặc chỉnh sửa phần cứng
Lợi dụng quyền hạn của chính bản thân kẻ tấn công đối với các thiết bị trong hệ
thống mạng để tiếp cận phá hoại các thiết bị phần cứng như router, switch…

22


III.

Cách thức phòng chống:

Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất
nhiều thời gian để khắc phục. Vì vậy, hãy sử dụng các biện pháp sau để phòng chống
DoS:


Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá
mức. Bởi khi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống.



Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng và các
nguồn tài nguyên quan trọng khác.




Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trên
mạng. Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định
tuyến giữa các router.



Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệ chống
lại SYN flood.



Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và dừng các dịch vụ
chưa có yêu cầu hoặc không sử dụng.



Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục đích ngăn
ngừa trường hợp người sử dụng ác ý muốn lợi dụng các tài nguyên trên server
để tấn công chính server hoặc mạng và server khác.



Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và có
biện pháp khắc phục kịp thời.



Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để
phát hiện ngay những hành động bất bình thường.




Xây dựng và triển khai hệ thống dự phòng.

23


IV.
Demo tấn công
1. Tấn công Slowloris
- Bước 1: tải về file Slowloris.pl

-

Bước 2: cho chạy file Slowloris trên kali:

-

Bước 3: show kết quả:

24


~~~ Clap your hand~~~~ ^
2. Tấn công SYN flood
-

-

Ta lấy địa chỉ IP của VICTIM:


Ở đây, IP của victim là 103.18.6.82.
Bước 2, khai thác kiểu tấn công bằng Kali:

25