- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
Mục Lục
Mục Lục ........................................................................................................................................................ 0
L
I - Tấ cô g từ chố dịch vụ (DoS): .............................................................................................................. 2
I.1 - G ớ th ệ về DoS
2
I.2 - Lịch sử các c ộc tấ cô g và phát tr ể của DoS 2
I.3 - Mục ích của tấ cô g DoS và h ểm họa 4
I.4 - Các hì h thức tấ cô g DoS cơ bả :
5
4.a - Smurf : .......................................................................................................................................... 5
4.b - Buffer Overflow Attack : .............................................................................................................. 5
4. c - Ping of death : .............................................................................................................................. 6
4.d - Teardrop : ..................................................................................................................................... 7
4.e - SYN Attack: .................................................................................................................................. 7
II - Tấ cô g từ chố dịch vụ phâ tá (DDoS) : ........................................................................................ 10
II.1 - G ớ th ệ DDoS :
10
II.2 - Các ặc tí h của tấ cô g DDoS:
12
II.3 - Tấ cô g DDoS khô g thể gă chặ hoà toà : 13
II.4 - Kẻ tấ cô g khô
goa :
13
4.a - Agent Handler Model: ................................................................................................................ 13
4.b - Tấ cô g DDoS dựa trê
II.5 - Phâ loạ tấ cô g DDoS:
ề tả g IRC: ..................................................................................... 14
14
II.6 - Tấ cô g Reflect ve DNS (reflect ve - phả ch ế ):
6.a - Các vấ
16
ề l ê q a tớ tấ cô g Reflect ve DNS:.................................................................... 16
6.b - Tool tấ cô g Reflect ve DNS – ihateperl.pl:............................................................................. 17
II.7 - Các tools sử dụ g ể tấ cô g DDoS:
17
III - DRDoS (Distributed Reflection Denial of Service) ............................................................................ 17
III.1 – G ớ th ệ DRDOS.
18
III.2 - Cách Phò g chố g :
19
0
Báo cáo : n o n hông
n
ng – JCAlex Min
..::
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
2.a - Tố th ể h a số lượ g Age t: .................................................................................................... 20
2.b - Tìm và vô h ệ h a các Ha dler: ................................................................................................ 20
2.c - Phát h ệ dấ h ệ của một c ộc tấ cô g: ................................................................................. 21
2.d - Làm s y g àm hay dừ g c ộc tấ cô g: ..................................................................................... 21
2.e - Ch yể hướ g của c ộc tấ cô g: .............................................................................................. 22
2.f - G a
oạ sa tấ cô g: ............................................................................................................... 22
2.g - Phò g chố g tổ g q át : ............................................................................................................. 22
IV – Botnet.................................................................................................................................................. 23
IV.1 - G ớ th ệ về Bot và Bot et
23
1.a - Bot là gì ? .................................................................................................................................... 24
1.b - Tạ sao gọ là mạ g bot et ? ....................................................................................................... 24
1.c - IRC .............................................................................................................................................. 24
IV.2 - Bot và các ứ g dụ g của chú g 25
2.a - DDoS .......................................................................................................................................... 26
2.b - Spamm g (phát tá thư rác) ...................................................................................................... 26
2.c - Sniffing và Keylogging ............................................................................................................... 27
2.d - Ă cắp hậ dạ g ....................................................................................................................... 27
2.e - Sở hữ ph
mềm bất hợp pháp.................................................................................................. 27
IV.3 - Các k ể bot khác ha 27
3.a - GT-Bot ........................................................................................................................................ 28
3.b - Agobot ........................................................................................................................................ 28
3.c - DSNX.......................................................................................................................................... 28
IV.4 - Các yế tố của một c ộc tấ cô g.
IV.5 - Cách phò g chố g Bot et:
28
33
5.a - Th ê một dịch vụ lọc Web .......................................................................................................... 33
5.b - Ch yể
ổ trì h d yệt ............................................................................................................... 33
5.c - Vô h ệ h a các kịch bả ............................................................................................................ 33
5.d - Tr ể kha các hệ thô g phát h ệ xâm phạm và gă chặ xâm phạm ..................................... 34
5.e - Bảo vệ ộ d
g ược tạo bở
5.f - Sử dụ g cô g cụ ph
gư
dù g .................................................................................. 34
mềm ........................................................................................................ 34
V – Kết L ậ :............................................................................................................................................. 35
VI – Tà L ệ Tham Khảo .......................................................................................................................... 35
1
Báo cáo : n o n hông
n
ng – JCAlex Min
..::
I–L
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
:
chào toà thể a h em tro g Hack g
ch g và Ha ds Team
r ê g tô
là CAlex M – Leader of Ha ds Team và hoạt ộ g tro g Hack g ược hơ
ăm
tro g hơ
ăm tô gh ê cứ về DDos và Bot et và c g c một số k ế thức về mả g
ày ê hôm ay tô v ết lạ book ày h m ma g lạ và c g hư ch a sẻ hữ g k ế
thức cơ bả mà tô c ược cho các bạ mớ vào và c g hư các bạ tìm lạ k ế thức cơ
bả cho mì h. Tô khô g hậ là mì h pro hay g về mả g ày hư g tô b ết gì thì
tr yề ạt lạ vớ các bạ mo g các bạ ủ g hộ và g p cù g tô ể tô hoà th ệ k ế
thức cho mì h và s v ết thêm một và book â g cao hơ ch yê sâ hơ cho các bạ
khác mớ vào tìm h ể về DDos và Bot et.
- book ày là báo cáo của tô ( hư một bà test k ế thức ) về A Toà Thô g
T Mạ g vớ ề tà : Các k th ật tấ cô g Webs te: DoS, DDoS, DRDoS & Botnet ể bắt
làm v ệc bê l h vực A N h Mạ g.
- Bây g m các bạ cù g tô tìm h ể về các k th ật tấ cô g Webs te: DoS,
DDoS, DRDoS & Botnet xem
g y h ểm và cách phò g chố g hư thế ào.
I - Tấ cô g từ chố dịch vụ (DoS):
I.1 - G ớ th ệ về DoS
- Tấ cô g DoS là một k ể tấ cô g mà một gư
thể sử dụ g hoặc làm cho hệ thố g
bì h thư
g b g cách làm q á tả tà
chậm
làm cho một hệ thố g khô g
một cách á g kể vớ
gư
dù g
g yê của hệ thố g .
- Nế kẻ tấ cô g khô g c khả ă g thâm hập ược vào hệ thố g thì chú g cố
gắ g tìm cách làm cho hệ thố g
bì h thư
g
sụp ổ và khô g c khả ă g phục vụ gư
dù g
là tấ cô g De al of Serv ce (DoS).
- Mặc dù tấ cô g DoS khô g c khả ă g tr y cập vào dữ l ệ thực của hệ thố g
hư g
c thể làm g á
oạ các dịch vụ mà hệ thố g
c g cấp. Như ị h gh a
trê DoS kh tấ cô g vào một hệ thố g s kha thác hữ g cá yế
ể tấ cô g
hất của hệ thố g
hữ g mục ích của tấ cô g DoS
I.2 - Lịch sử các c ộc tấ cô g và phát tr ể của DoS
- Các tấ cô g DoS bắt
vào khoả g
hữ g ăm 90. Đ
tê
chú g hoà
toà “ g yê thủy” bao gồm chỉ một kẻ tấ cô g kha thác bă g thô g tố
hâ
gă
hữ g gư
khác ược phục vụ. Đ ề
a từ ạ
ày ược thực h ệ chủ yế b g
2
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
cách dù g các phươ g pháp ơ g ả
hư ping floods, SYN floods và UDP floods.
Sa
các c ộc tấ cô g trở ê phức tạp hơ
b g cách g ả làm ạ
thô g
ệp và ể các máy khác làm gập máy ạ
hâ
hâ vớ các thô g
gử và
ệp trả l .
(Sm rf attack IP spoof g…).
- Các tấ cô g ày phả
ược ồ g bộ hoá một cách thủ cô g bở
cô g ể tạo ra một sự phá h ỷ c h ệ q ả. Sự dịch ch yể
h ề kẻ tấ
ế v ệc tự ộ g hoá sự
ồ g bộ kết hợp ày và tạo ra một tấ cô g so g so g lớ trở ê phổ b ế từ 1997
vớ sự ra
của cô g cụ tấ cô g DDoS
tê
ược cô g bố rộ g rã
là
Tr oo. N dựa trê tấ cô g UDP flood và các g ao t ếp master-slave (kh ế các máy
tr
g g a tham g a vào tro g c ộc tấ cô g b g cách ặt lê chú g các chươ g
trì h ược
ề kh ể từ xa). Tro g hữ g ăm t ếp theo và cô g cụ ữa ược phổ
b ế – TFN (tribe flood network), TFN2K, vaf Stacheldraht.
-T y hê
vậy và ề tà
chỉ từ c ố
ăm 1999 mớ c
hữ g báo cáo về hữ g tấ cô g hư
ày ược cô g chú g b ết ế chỉ sa kh một c ộc tấ cô g lớ vào
các site cô g cộ g thá g 2/2000. Tro g th
ga
gày các s te Yahoo.com
amazo .com b y.com c .com và eBay.com ã ặt dướ sự tấ cô g (ví dụ hư
Yahoo bị p g vớ tốc ộ 1 GB/s).
Từ
các c ộc tấ cô g Dos thư
g x yê sảy ra
Ví dụ : - Vào gày 15 thá g 8 ăm 200
mạ h và làm g á
M crosoft ã chị
oạ webs tes tro g vò g 2 g ;
- Vào lúc 15:09 g
GMT gày 27 thá g
t ế g a h của webs te Al- azeera bị tấ cô g làm g á
-G
ăm 200 : toà bộ ph ê bả
oạ tro g h ề g .
ây hất là 2 vụ DDos lớ vào các tra g mạ g ô g gư
ở V ệt Nam
là: DDos vào VCCrop gây chấ
th
ây hacker phá hoạ server gây l
ga g
ợt tấ cô g DoS cực
ộ ga
tr y cập
h mạ g ở V ệt Nam tro g
data ce ter hà g loạt webs te báo
mạ g hư: Dâ trí, Kênh 14, Soha v.v.v ( chưa tìm ra thủ phạm ) và vụ thứ 2 là
DDos vào d
do CAlex M
à cô g ghệ thô g t
VN- oom vào lúc 19 g
gày 2 /10/201 (
thực h ệ )
3
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
I.3 - Mục ích của tấ cô g DoS và h ểm họa
- Cố gắ g ch ếm bă g thô g mạ g và làm hệ thố g mạ g bị gập (Flood) kh
hệ thố g mạ g s khô g c khả ă g áp ứ g hữ g dịch vụ khác cho gư
bì h thư
dù g
g.
- Cố gắ g làm gắt kết ố g ữa ha máy và gă chặ q á trì h tr y cập vào
dịch vụ.
- Cố gắ g gă chặ
hữ g gư
dù g cụ thể vào một dịch vụ ào
- Cố gắ g gă chặ các dịch vụ khô g cho gư
- Kh tấ cô g DoS xảy ra gư
khác c khả ă g tr y cập vào.
dù g c cảm g ác kh tr y cập vào dịch vụ
hư bị:
+ Disable Network - Tắt mạ g
+ Disable Organization - Tổ chức khô g hoạt ộ g
+ Financial Loss – Tà chí h bị mất
- Như chú g ta b ết ở bê trê tấ cô g DoS xảy ra kh kẻ tấ cô g sử dụ g hết tà
g yê của hệ thố g và hệ thố g khô g thể áp ứ g cho gư
ược vậy các tà
g yê chú g thư
- Tạo ra sự kha h ếm
dù g bì h thư
g sử dụ g ể tấ cô g là gì:
hữ g g ớ hạ và khô g ổ mớ tà
g yê
- Bă g thô g của hệ thố g mạ g (Network Ba dw dth) bộ hớ ổ
T me hay cấ trúc dữ l ệ
a và CPU
ề là mục t ê của tấ cô g DoS.
- Tấ cô g vào hệ thố g khác phục vụ cho mạ g máy tí h hư: hệ thố g
hệ thố g
ệ
hệt hố g làm mát và h ề tà
tưở g tượ g kh
vào máy chủ
g ồ
g
ề hoà
g yê khác của doa h gh ệp. Bạ thử
ệ vào máy chủ web bị gắt thì gư
dù g c thể tr y cập
khô g.
- Phá hoạ hoặc thay ổ các thô g t
cấ hì h.
4
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
- Phá hoạ t g vật l hoặc các th ết bị mạ g hư g ồ
ệ
ề hoà…
I.4 - Các hì h thức tấ cô g DoS cơ bả :
- Smurf
- Buffer Overflow Attack
- Ping of death
- Teardrop
- SYN Attack
4.a - Smurf :
- Sm rf : là một loạ tấ cô g DoS
ể hì h. Máy của attacker s gở rất h ề lệ h p g
ế một số lượ g lớ máy tí h tro g một th
g
ICMP echo s
các g
ược thay thế bở
ICMP reply ế máy ạ
ga
gắ
ịa chỉ IP của ạ
tro g
ịa chỉ IP
g ồ của
hâ
Các máy tí h ày s trả lạ
hậ một ợt Reply g
ICMP cực lớ và làm cho
hâ .
- Kết q ả ích tấ cô g s phả chị
mạ g bị rớt hoặc bị chậm lạ khô g c khả ă g áp ứ g các dịch vụ khác.
4.b - Buffer Overflow Attack :
5
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
- B ffer Overflow xảy ra tạ bất kỳ th
hơ d
lớ
g lượ g của bộ hớ ệm tro g bộ hớ.
- Kẻ tấ cô g c thể gh
q yề
ểm ào c chươ g trì h gh lượ g thô g t
è lê dữ l ệ và
ề kh ể chạy các chươ g trì h và á h cắp
ề kh ể của một số chươ g trì h h m thực th các oạ mã g y h ểm.
- Q á trì h gử một bức thư
ệ tử mà f le í h kèm dà q á 25 k tự c thể s xảy ra
q á trì h trà bộ hớ ệm.
4. c - Ping of death :
- Kẻ tấ cô g gử
hữ g g
t
IP lớ hơ số lươ g bytes cho phép của t
IP là 5.5
bytes.
- Q á trì h ch a h
g
t
IP thà h hữ g ph
- Q á trì h ch a h c thể thực h ệ vớ g
h
IP lớ hơ
ược thực h ệ ở layer II.
5.5
bytes. Như g hệ
ề
6
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
hà h khô g thể hậ b ết ược ộ lớ của g
là s bị g á
t
ày và s bị khở
ộ g lạ hay ơ g ả
oạ g ao t ếp.
- Để hậ b ết kẻ tấ cô g gử g
t
lớ hơ g
t
cho phép thì tươ g ố d dà g.
VD : Ping -l 65500 address
– -l : buffer size
Khoả g ăm 1997-1998 l
ãy ã ược f x vì vậy bây g
chỉ ma g tí h lịch sử.
4.d - Teardrop :
Tro g mạ g ch yể mạch g
dữ l ệ
ược ch a thà h h ề g
một g á trị offset r ê g và c thể tr yề
Tạ
ích
h vào g á trị offset của từ g g
theo h ề co
t
ư
mà dữ l ệ lạ
t
h
m
g khác ha
g
t
ể tớ
ược kết hợp lạ
c
ích.
hư ba
.
Lợ dụ g
ề
ày hacker c thể tạo ra h ề g
t
c g á trị offset trù g lặp ha gử
ế mục t ê m ố tấ cô g
Kết q ả là máy tí h ích khô g thể sắp xếp ược hữ g g
t
ày và dẫ tớ bị treo máy
vì bị "vắt k ệt" khả ă g xử l .
4.e - SYN Attack:
- Kẻ tấ cô g gử các yê c
lượ g g
t
SYN ày hệ thố g c
- Kh c rất h ề g
Một gư
(req est ảo) TCP SYN tớ máy chủ bị tấ cô g. Để xử l
tố một lượ g bộ hớ cho kết ố .
SYN ảo tớ máy chủ và ch ếm hết các yê c
dù g bì h thư
g kết ố tớ máy chủ ba
xử l của máy chủ.
thực h ệ Req est TCP SYN
và lúc ày máy chủ khô g cò khả ă g áp lạ - kết ố khô g ược thực h ệ .
7
Báo cáo : n o n hông
n
ng – JCAlex Min
..::
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
Mô hì h tấ cô g b g các gói SYN
8
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
Bước 1: Cl e t (máy khách) s gử các g
c
t
(packet chứa SYN=1) ế máy chủ ể yê
kết ố .
Bước 2: Kh
cl e t b ết là
hậ
ã hậ
Server s g à h một ph
Ngoà ra các thô g t
ược g
t
ày server s gử lạ g
ược yê c
tà
t
kết ố và ch ẩ bị tà
SYN/ACK ể thô g báo cho
g yê cho v ệc yê c
ày.
g yê hệ thố g hư bộ hớ ệm (cache) ể hậ và tr yề dữ l ệ .
khác của cl e t hư ịa chỉ IP và cổ g (port) c g ược gh
Bước 3: C ố cù g cl e t hoà tất v ệc bắt tay ba l
hậ .
b g cách hồ âm lạ g
t
chứa
ACK cho server và t ế hà h kết ố .
- Do TCP là thủ tục t
ha server gử các g
t
ể thực h ệ kết ố thì
g
t
cậy tro g v ệc g ao hậ (e d-to-e d) ê tro g l
SYN/ACK trả l
vẫ bảo lư
SYN/ACK cho cl e t ế kh
lạ cl e t mà khô g hậ lạ
g ồ tà
ào hậ
ược hồ âm của cl e t
g yê ch ẩ bị kết ố
ược hồ
bắt tay thứ
và lặp lạ v ệc gử
áp của máy cl e t.
9
Báo cáo : n o n hông
n
ng – JCAlex Min
..::
- Nế q á trì h
crash (treo) ê các yê c
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
kéo dà server s
ha h ch
g trở ê q á tả dẫ
ế tì h trạ g
hợp lệ s bị từ chố khô g thể áp ứ g ược. C thể hì h d
gq á
trì h ày c g g ố g hư kh máy tí h cá hâ (PC) hay bị “treo” kh mở cù g lúc q á h ề
chươ g trì h cù g lúc vậy .
II - Tấ cô g từ chố dịch vụ phâ tá (DDoS) :
II.1 - G ớ th ệ DDoS :
10
Báo cáo : n o n hông
n
ng – JCAlex Min
..::
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
Trê I ter et tấ cô g Distributed Denial of Service (DDoS) hay cò gọ là Tấ cô g
từ chố dịch vụ phâ tá là một dạ g tấ cô g từ h ề máy tí h tớ một ích
các yê c
ích cụ thể
hợp lệ của các ser bì h thư
g. B g cách tạo ra hữ g g
t
gây ra từ chố
cực h ề
ế một
c thể gây tì h trạ g tươ g tự hư hệ thố g bị sh tdow .
11
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
Nhìn chung, có rất h ề b ế thể của kỹ th ật tấ cô g DDoS hư g ế
hì dướ g c
ộ ch yê mô thì c thể ch a các b ế thề ày thà h ha loạ dựa trê mụch ích tấ cô g:
Làm cạ k ệt bă g thô g.
Làm cạ k ệt tà
g yê hệ thố g.
Một c ộc tấ cô g từ chố dịch vụ c thể bao gồm cả v ệc thực th malware h m:
Làm q á tả
ă g lực xử l
dẫ
ế hệ thố g khô g thể thực th bất kì một cô g
v ệc ào khác.
Nhữ g l
gọ tức thì tro g m crocode của máy tí h.
Nhữ g l
gọ tức thì tro g ch
ộ g khô g ổ
Nhữ g l
chỉ thị dẫ
ế máy tí h rơ vào trạ g thá hoạt
ị h hoặc bị ơ.
c thể kha thác ược ở hệ
ề hà h dẫ
ế v ệc th ế thố tà
hoặc bị thrash g. VD: hư sử dụ g tất cả các ă g lực c sẵ dẫ
g yê
ế khô g một
cô g v ệc thực tế ào c thể hoà thà h ược.
Gây crash hệ thố g.
Tấ cô g từ chố dịch vụ Frame: tro g một tra g HTML c thể gọ
web ào
tra g web
vớ rất h ề yê c
và tro g rất h ề l
ế một tra g
cho ế kh bă g thô g của
bị q á hạ .
II.2 - Các ặc tí h của tấ cô g DDoS:
-N
ược tấ cô g từ một hệ thố g các máy tí h cực lớ trê I ter et và thư
g
dựa vào các dịch vụ c sẵ trê các máy tí h tro g mạ g bot et
- Các dịch vụ tấ cô g ược
ề kh ể từ hữ g "pr mary v ct m" tro g kh các
máy tí h bị ch ếm q yề sử dụ g tro g mạ g Bot ược sử dụ g ể tấ cô g thư
g ược
gọ là "seco dary v ct ms".
- Là dạ g tấ cô g rất kh c thể phát h ệ bở tấ cô g ày ược s h ra từ h ề
ịa chỉ IP trê I ter et.
- Nế một ịa chỉ IP tấ cô g một cô g ty
từ 0.000 ịa chỉ IP khác thì
ề
c thể ược chặ bở F rewall. Nế
ày là vô cù g kh khă .
12
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
- Thủ phạm c thể gây h ề ả h hưở g bở tấ cô g từ chố dịch vụ DoS và
ày cà g g y h ểm hơ kh chú g sử dụ g một hệ thố g mạ g Bot trê
h ệ tấ cô g DoS và
ề
ter et thực
ược gọ là tấ cô g DDoS.
II.3 - Tấ cô g DDoS khô g thể gă chặ hoà toà :
- Các dạ g tấ cô g DDoS thực h ệ tìm k ếm các l hổ g bảo mật trê các máy
tí h kết ố tớ I ter et và kha thác các l hổ g bảo mật ể xây dự g mạ g Bot et gồm
h ề máy tí h kết ố tớ I ter et.
- Một tấ cô g DDoS ược thực h ệ s rất kh
ể gă chặ hoà toà .
- Nhữ g g
hư g h
t
ế F rewall c thể chặ lạ
hết chú g ề
hữ g ịa chỉ IP chưa c tro g các Access R le của F rewall và là hữ g g
ế từ
t
hoàn
toà hợp lệ.
- Nế
ịa chỉ g ồ của g
t
c thể bị g ả mạo sa kh bạ khô g hậ
phả hồ từ hữ g ịa chỉ g ồ thật thì bạ c
g ồ
ược sự
phả thực h ệ cấm g ao t ếp vớ
ịa chỉ
.
- T y h ê một mạ g Bot et bao gồm từ hà g ghì tớ và trăm ghì
trê I ter et và
ề
là vô cù g kh khă
II.4 - Kẻ tấ cô g khô
G
ể gă chặ tấ cô g.
goa :
ây khô g một kẻ tấ cô g ào sử dụ g l ô
Bot et tấ cô g tớ
ịa chỉ IP
ích mà chú g thư
ịa chỉ IP ể
g sử dụ g một ố tượ g tr
ề kh ể mạ g
g g a dướ
ây là
hữ g mô hì h tấ cô g DDoS
4.a - Agent Handler Model:
Kẻ tấ cô g sử dụ g các ha dler ể
ề kh ể tấ cô g
13
Báo cáo : n o n hông
n
ng – JCAlex Min
..::
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
4.b - Tấ cô g DDoS dựa trê
ề tả g IRC:
Kẻ tấ cô g sử dụ g các mạ g IRC ể
ề kh ể
kh yếch ạ và q ả l kết ố
vớ các máy tí h tro g mạ g Bot et.
II.5 - Phâ loạ tấ cô g DDoS:
- Tấ cô g gây hết bă g thô g tr y cập tớ máy chủ.
+ Flood attack
+ UDP và ICMP Flood (flood – gây gập lụt)
- Tấ cô g kh ếch ạ các g ao t ếp
+ Smurf and Fraggle attack
14
Báo cáo : n o n hông
n
ng – JCAlex Min
..::
Tấ
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
cô g
DDoS
vào
Yahoo.com
ăm
2000
Sơ ồ phâ loạ tấ cô g DDoS:
Sơ ồ tấ cô g DDoS ở dạ g kh ếch ạ g ao t ếp:
Như chú g ta ã b ết tấ cô g Sm rf là tấ cô g b g cách P g ế
Broadcast của một mạ g ào
mà ịa chỉ g ồ chí h là ịa chỉ của máy c
kh
ược ch yể tớ
toà bộ các g
Reply s
ịa chỉ
tấ cô g
ịa chỉ IP của máy tí h bị tấ cô g.
15
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
II.6 - Tấ cô g Reflect ve DNS (reflect ve - phả ch ế ):
6.a - Các vấn đ l ên quan ớ ấn công Reflec ve DNS:
- Một Hacker c thể sử dụ g mạ g bot et ể gử rất h ề yê c
tớ máy chủ
DNS.
- Nhữ g yê c
s làm trà bă g thô g mạ g của các máy chủ DNS
- V ệc phò g chố g dạ g tấ cô g ày c thể dù g F rewall gă cấm hữ g g ao
t ếp từ các máy tí h ược phát h ệ ra.
- Như g v ệc cấm các g ao t ếp từ DNS Server s c
Server c
h ề vấ
ề lớ . Một DNS
h ệm vụ rất q a trọ g trê I ter et.
- V ệc cấm các g ao t ếp DNS ồ g gh a vớ v ệc cấm gư
dù g bì h thư
g
gử ma l và tr y cập Webs te.
- Một yê c
về DNS thư
g ch ếm b g 1/7 th
máy chủ. Dựa vào yế tố ày ế dù g một Tools ch yê
g a của g
t
trả l
trê
gh ệp ể làm tă g các yê c
tớ máy chủ DNS s kh ế máy chủ DNS bị q á tả và khô g thể áp ứ g cho các gư
dù g bì h thư
g ược ữa.
16
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
6.b - ool ấn công Reflec ve DNS – ihateperl.pl:
- Ihateperl.pl là chươ g trì h rất h
rất h ệ q ả dựa trê k ể tấ cô g DNS-
Reflective
- N sử dụ g một da h sách các máy chủ DNS ể làm trà hệ thố g mạ g vớ các
g
yê c
Name Resolution.
- B g một ví dụ
thể ổ tê doma
c thể sử dụ g google.com ể resole gử tớ máy chủ và c
thà h www.v experts. et hay bất kỳ một tra g web ào mà kẻ tấ
công muôn.
- Cách sử dụ g cô g cụ ày rất ơ g ả : ta chỉ c
tạo ra một da h sách các máy
chủ DNS ch yể cho ịa chỉ IP của máy cá hâ và th ết lập số lượ g các g ao t ếp.
II.7 - Các tools sử dụ g ể tấ cô g DDoS:
Dướ
ây là các Tools tấ cô g DDoS.
Trinoo
Tribe flood Network (TFN)
TFN2K
Stacheldraht
Shaft
Trinity
Knight
Mstream
Kaiten
Các tools ày hoà toà c thể ược dow load m
chỉ là các tools yế
phí trê I ter et và lư
ây
ể ma g tí h Demo về tấ cô g DDoS mà thô
III - DRDoS (Distributed Reflection Denial of Service)
17
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
III.1 – G ớ th ệ DRDOS.
ất h ệ vào
-
Nế
ăm 2002 là k ể tấ cô g mớ
hất mạ h hất tro g họ DoS.
ược thực h ệ bở kẻ tấ cô g c tay ghề thì
c thể hạ gục bất cứ hệ
thố g ào trê thế g ớ tro g phút chốc.
-
DRDoS là sự phố hợp g ữa ha k ể DoS và DDoS.
-
Mục t ê chí h của DRDoS là ch ếm oạt toà bộ bă g thô g của máy chủ tức là
làm tắc gh
và t ê hao tà
-
hoà toà
ư
g kết ố từ máy chủ vào xươ g số g của I ter et
g yê máy chủ.
Ta c Server A và V ct m g ả sử ta gử 1 SYN packet ế Server A tro g
g ồ
ã bị g ả mạo thà h IP của V ct m. Server A s mở 1 co
SYN/ACK packet cho V ct m vì gh r g V ct m m ố mở co
Và ây chí h là khá
ect o và gủ
ect o vớ mì h.
ệm của Reflect o ( Phả xạ ). Hacker s
ề kh ể Spoof
SYN ge erator gử SYN packet ế tất cả các TCP Server lớ
lúc ày các TCP
Server ày vô tì h thà h
gh
-
IP
Vớ
ư
omb e cho Hacker ể cù g tấ cô g V ct m và làm
g tr yề của V ct m.
h ề server lớ tham g a ê server mục t ê
ha h ch
g bị q á tả
ba dw dth bị ch ếm dụ g bở server lớ .
18
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
-
Tính “ ghệ th ật” là ở ch
chỉ c
vớ một máy tí h vớ modem 5 kbps
mộthacker là h ghề c thể á h bạ bất cứ máy chủ ào tro g g ây lát mà khô g
c
ch ếm oạt bất cứ máy ào ể làm phươ g t ệ thực h ệ tấ cô g.
III.2 - Cách Phò g chố g :
C rất h ề g ả pháp và
tưở g ược ưa ra h m ố ph vớ các c ộc tấ cô g k ể
DDoS. T y h ê khô g c g ả pháp và
tưở g ào là g ả q yết trọ vẹ bà toá A t -DDoS.
Các hì h thá khác ha của DDoS l ê tục x ất h ệ theo th
ố ph
t y h ê c ộc
g a so g so g vớ các g ả pháp
a vẫ t â theo q y l ật tất yế của bảo mật máy tí h: “Hacker l ô
trước g ớ bảo mật một bước”.
C ba g a
oạ chí h tro g q á trì h A t -DDoS:
-Ga
gă
oạ
gừa: tố th ể h a lượ g Age t tìm và vô h ệ h a các Handler
19
Báo cáo : n o n hông
n
ng – JCAlex Min
-Ga
oạ
..::
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
ố
vớ c ộc tấ cô g: Phát h ệ và gă chặ c ộc tấ cô g làm s y
g ảm và dừ g c ộc tấ cô g ch yể hướ g c ộc tấ cô g.
-Ga
oạ sa kh c ộc tấ cô g xảy ra: th thập chứ g cứ và rút k h gh ệm
Các g a
oạ ch t ết tro g phò g chố g DDoS:
2.a - Tố th ể h a số lượ g Age t:
- Từ phía User: một phươ g pháp rất tốt ể ă g gừa tấ cô g DDoS là từ g
ser s tự ề phò g khô g ể bị lợ dụ g tấ cô g hệ thố g khác. M ố
thức và kỹ th ật phò g chố g phả
s khô g bao g
ược phổ b ế rộ g rã cho các
hì h thà h ế khô g c
ạt ược
ề
ter et
ày thì
ter et ser. Attack-Network
ser ào bị lợ dụ g trở thà h Age t. Các ser phả
l ê tục thực h ệ các q á trì h bảo mật trê máy v tí h của mì h. Họ phả tự k ểm tra sự h ệ
d ệ của Age t trê máy của mì h
ề
ày là rất kh khă
- Một số g ả pháp tích hợp sẵ khả ă g gă
ố vớ
ser thô g thư
gừa v ệc cà
ặt code g y h ểm thô g ào
hardware và software của từ g hệ thố g. Về phía ser họ ê cà
software hư a t v r s a t _troja và server patch của hệ
g.
ặt và pdat l ê tục các
ề hà h.
- Từ phía Network Serv ce Prov der: Thay ổ cách tí h t ề dịch vụ tr y cập theo d
lượ g s làm cho ser lư
ế
DDoS Age t s tự â g cao ở m
hữ g gì họ gử
hư vậy về mặt
thức tă g cư
g
g phát h ệ
User.
2.b - Tìm và vô h ệ h a các Ha dler:
Một hâ tố vô cù g q a trọ g tro g attack- etwork là Ha dler
ế c thể phát h ệ và
vô h ệ h a Ha dler thì khả ă g A t -DDoS thà h cô g là rất cao. B g cách theo dõi các giao
t ếp g ữa Ha dler và Cl e t hay ha dler va Age t ta c thể phát h ệ ra vị trí của Ha dler. Do
một Ha dler q ả l
hề
ê tr ệt t ê
ược một Ha dler c g c
gh a là loạ b một lượ g
á g kể các Age t tro g Attack – Network.
20
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
2.c - Phát h ệ dấ h ệ của một c ộc tấ cô g:
C
h ề kỹ th ật ược áp dụ g:
- Agress F lter g: Kỹ th ật ày k ểm tra xem một packet c
ủ t ê ch ẩ ra kh
một
s b et hay khô g dựa trê cơ sở gateway của một s b et l ô b ết ược ịa chỉ IP của các máy
th ộc s b et. Các packet từ bê tro g s b et gử ra goà vớ
g ữ lạ
ể
ề tra g yê
ter et thì khá
ịa chỉ g ồ khô g hợp lệ s bị
hâ . Nế kỹ th ật ày ược áp dụ g trê tất cả các s b et của
h ệm g ả mạo ịa chỉ IP s khô g cò tồ tạ .
- MIB statist cs: tro g Ma ageme t I format o Base (SNMP) của ro te l ô c thô g
t
thố g kể về sự b ế th ê trạ g thá của mạ g. Nế ta g ám sát chặt ch các thố g kê của
protocol mạ g. Nế ta g ám sát chặt ch các thố g kê của Protocol ICMP UDP và TCP ta s c
khả ă g phát h ệ
ược th
ểm bắt
của c ộc tấ cô g ể tạo “q ỹ th
g a và g” cho
v ệc xử l tì h h ố g.
2.d - Làm s y g àm hay dừ g c ộc tấ cô g:
Dù g các kỹ th ật sa :
- Load bala c g: Th ết lập k ế trúc câ b g tả cho các server trọ g
tă g th
g a chố g chọ của hệ thố g vớ c ộc tấ cô g DDoS. T y h ê
gh a lắm về mặt thực t
ề
ểm s làm g a
ày khô g c
vì q y mô của c ộc tấ cô g là khô g c g ớ hạ .
- Throttl g: Th ết lập cơ chế
server bê tro g c thể xử l
ề t ết trê ro ter q y ị h một khoả g tả hợp l mà
ược. Phươ g pháp ày c g c thể ược dù g ể gă chặ khả
ă g DDoS traff c khô g cho ser tr y cập dịch vụ. Hạ chế của kỹ th ật ày là khô g phâ b ệt
ược g ữa các loạ traff c
ô kh làm dịch vụ bị g á
oạ vớ
ser DDoS traff c vẫ c thể
xâm hập vào mạ g dịch vụ hư g vớ số lượ g hữ hạ .
- Drop req est: Th ết lập cơ chế drop req est ế
g a delay kéo dà tố
h ề tà
g yê
làm cạ k ệt ă g lực hệ thố g t y h ê
hệ thố g c
câ
ể xử l
c
v phạm một số q y ị h hư: th
gây deadlock. Kỹ th ật ày tr ệt t ê khả ă g
g g ớ hạ một số hoạt ộ g thô g thư
g của
hắc kh sử dụ g.
21
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
2.e - Ch yể hướ g của c ộc tấ cô g:
Ho eyspots: Một kỹ th ật a g ược gh ê cứ là Ho eyspots. Ho eyspots là một hệ
thố g ược th ết kế h m á h lừa attacker tấ cô g vào kh xâm hập hệ thố g mà khô g chú
ế hệ thố g q a trọ g thực sự.
Ho eyspots khô g chỉ
g va trò “Lê La cứ chúa” mà cò rất h ệ q ả tro g v ệc
phát h ệ và xử l xâm hập vì trê Ho eyspots ã th ết lập sẵ các cơ chế g ám sát và báo
ộ g.
Ngoà ra Ho eyspots cò c g á trị tro g v ệc học h
Ho eyspots gh
lừa và cà
hậ khá ch t ết mọ
và rút k h gh ệm từ Attacker do
ộ g thá của attacker trê hệ thố g. Nế attacker bị á h
ặt Age t hay Ha dler lê Ho eyspots thì khả ă g bị tr ệt t ê toà bộ attack-network
là rất cao.
2.f - G a
oạ sa tấ cô g:
Tro g g a
oạ
ày thô g thư
g thực h ệ các cô g v ệc sa :
-Traff c Patter A alys s: Nế dữ l ệ về thố g kê b ế th ê lượ g traff c theo th
ã ược lư lạ thì s
ược ưa ra phâ tích. Q á trì h phâ tích ày rất c ích cho v ệc t h
chỉ h lạ các hệ thố g Load Bala c g và Throttl g. Ngoà ra các dữ l ệ
mạ g
ga
ày cò g úp Q ả trị
ề chỉ h lạ các q y tắc k ểm soát traff c ra vào mạ g của mì h.
- Packet Traceback: b g cách dù g kỹ th ật Traceback ta c thể tr y gược lạ vị trí của
Attacker (ít hất là s b et của attacker). Từ kỹ th ật Traceback ta phát tr ể thêm khả ă g
Block Traceback từ attacker khá hữ h ệ . g
ây ã c một kỹ th ật Traceback khá h ệ q ả
c thể tr y tìm g ồ gốc của c ộc tấ cô g dướ 15 phút
là kỹ th ật
.
- Beve t Logs: B g cách phâ tích f le log sa c ộc tấ cô g q ả trị mạ g c thể tìm
ra h ề ma h mố và chứ g cứ q a trọ g.
2.g - Phò g chố g tổ g q át :
22
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
1. Kh bạ phát h ệ máy chủ mì h bị tấ cô g hãy ha h ch
khô g cho gử dữ l ệ
g tr y tìm ịa chỉ IP
và cấm
ế máy chủ.
2. Dù g tí h ă g lọc dữ l ệ của ro ter/f rewall ể loạ b các packet khô g mo g m ố
g ảm
lượ g lư thô g trê mạ g và tả của máy chủ.
. Sử dụ g các tí h ă g cho phép ặt rate l m t trê ro ter/f rewall ể hạ chế số lượ g packet
vào hệ thố g.
. Nế bị tấ cô g do l
hệ thố g
của ph
mềm hay th ết bị thì ha h ch
g cập hật các bả sửa l
cho
hoặc thay thế.
5. Dù g một số cơ chế
cô g cụ
ph
mềm
ể chố g lạ
TCP SYN Flood g.
. Tắt các dịch vụ khác ế c trê máy chủ ể g ảm tả và c thể áp ứ g tốt hơ . Nế
thể â g cấp các th ết bị ph
ược c
cứ g ể â g cao khả ă g áp ứ g của hệ thố g hay sử dụ g
thêm các máy chủ cù g tí h ă g khác ể phâ ch a tả .
7. Tạm th
ch yể máy chủ sa g một ịa chỉ khác.
IV – Botnet.
Sơ lược lịch sử :
- C ố thế kỷ 19 c g hư
th ê
ê kỷ mớ
á h dấ bước phát tr ể
ha h mạ h
của một số ch ế lược tấ cô g khác b ệt hắm vào hệ thố g mạ g. DDoS tức D str b ted
De al of Serv ces hì h thức tấ cô g từ chố dịch vụ phâ tá khét t ế g ra
gư
. Tươ g tự vớ
a h em DoS (tấ cô g từ chố dịch vụ) DDoS ược phát tá rất rộ g chủ yế
ơ gả
hư g rất kh bị dò tìm của chú g. Đã c
khố lượ g k ế thức khô g h về
h ề k h gh ệm ố ph
hư g gày ay DDoS vẫ
h tí h
ược ch a sẻ vớ
a g là một mố
e doạ
gh êm trọ g một cô g cụ g y h ểm của hacker. Chú g ta hãy cù g tìm h ể về DDoS và sả
phẩm kế thừa từ
: các c ộc tấ cô g bot et.
IV.1 - G ớ th ệ về Bot và Bot et
23
Báo cáo : n o n hông
n
ng – JCAlex Min
- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
..::
1.a - Bot là gì ? : là hữ g chươ g trì h tươ g tự Troja backdoor cho phép kẻ tấ cô g
sử dụ g máy của họ hư là hữ g oombie ( máy tính thây ma – máy tí h bị ch ếm q yề
kh ể hoà toà ) và chú g chủ ộ g kết ố vớ một Server ể d dà g
chữ “chủ ộ g”
là một ặc
này mà máy tí h bị cà
ề kh ể
ề
các bạ lư
ểm khác của bot so vớ troja backdoor . Chí h vì sự chủ ộ g
ặt chú g kết ố trở ê chậm chạp một ặc
ểm g úp ta d dà g hậ
d ệ bot .
1.b - Tạ sao gọ là mạ g bot et ? : mạ g bot et là một mạ g rất lớ gồm hà g trăm
hà g gà máy tí h omb e kết ố vớ một máy chủ mIRC ( I ter et Replay Chat ) hoặc q a
các máy chủ DNS ể hậ lệ h từ hacker một cách ha h hất . Các mạ g bot gồm hà g gà
“thà h v ê ” là một cô g cụ l tưở g cho các c ộc ch ế tra h ọ má
hư DDOS spam cà
ặt
các chươ g trì h q ả g cáo …..
1.c - IRC
-IRC là tê v ết tắt của I ter et Relay Chat. Đ là một g ao thức ược th ết kế cho hoạt
ộ g l ê lạc theo k ể hì h thức tá gẫ th
g a thực (ví dụ RFC 1 59 các bả
2810 2811 2812 281 ) dựa trê k ế trúc cl e t-server. H
tr y cập m
pdate RFC
hết mọ server IRC ề cho phép
phí khô g kể ố tượ g sử dụ g. IRC là một g ao thức mạ g mở dựa trê
TCP (Transmission Control Protocol - G ao thức
ề kh ể tr yề vậ )
ô kh
ề tả g
ược â g cao
vớ SSL (Sec re Sockets Layer - T g socket bảo mật).
-Một server IRC kết ố vớ server IRC khác tro g cù g một mạ g. Ngư
dù g IRC c
thể l ê lạc vớ cả ha theo hì h thức cô g cộ g (trê các kê h) hoặc r ê g tư (một ố một). C
ha mức tr y cập cơ bả vào kê h IRC: mức gư
Ngư
hề
vớ
dù g ( ser) và mức
dù g ào tạo một kê h l ê lạc r ê g s trở thà h gư
ề hà h. Một
ặc q yề hơ (t ỳ th ộc vào từ g k ể chế ộ do gư
gư
dù g thô g thư
thô g thư
ề hà h ba
ề hà h v ê c
th ết lập ) so
g.
-Các bot IRC ược co
là các q y trì h daemo
ề hà h (operator).
hư một gư
dù g (hoặc
ề hà h v ê ) thô g thư
c thể chạy tự ộ g một số thao tác. Q á trì h
ề kh ể các bot ày
g dựa trê v ệc gử lệ h ể th ết lập kê h l ê lạc do hacker thực h ệ
chí h là phá hoạ . Tất h ê
v ệc q ả trị bot c g ò h
g. Chú g
vớ mục ích
cơ chế thẩm ị h và cấp phép. Vì thế
chỉ c chủ sở hữ chú g mớ c thể sử dụ g.
24
Báo cáo : n o n hông
n
ng – JCAlex Min