Tải bản đầy đủ (.pdf) (91 trang)

Nghiên cứu thuật toán phát hiện và giảm thiểu một số hình thức tấn công dos

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.95 MB, 91 trang )

..

LỜI CAM ĐOAN
Luận văn thạc sỹ này do tôi nghiên cứu, thực hiện dưới sự hướng dẫn của
Thầy giáo TS Nguyễn Khanh Văn và sự giúp đỡ về triển khai thực nghiệm của NCS
Trần Mạnh Thắng – hiện đang công tác tại Cục An tồn thơng tin – Bộ thơng tin và
Truyền thơng. Với mục đích tìm hiểu, học tập, nghiên cứu để nâng cao kiến thức và
trình độ chuyên môn tôi đã làm luận văn này một cách cầu thị, nghiêm túc và hoàn
toàn trung thực.
Để hoàn thành bản luận văn này, ngoài các tài liệu tham khảo đã liệt kê, tơi
xin cam đoan khơng sao chép tồn văn các cơng trình nghiên cứu hoặc luận văn tốt
nghiệp của người khác.
Tôi xin chân thành cảm ơn Thầy giáo TS Nguyễn Khanh Văn, NCS Trần
Mạnh Thắng đã hướng dẫn tận tình chu đáo để tơi hồn thành đề tài này.
Hà nội, tháng 9 năm 2015
Học viên

Nguyễn Đình Mỹ

i


MỤC LỤC
LỜI CAM ĐOAN ...................................................................................................... i
MỤC LỤC ................................................................................................................. ii
DANH MỤC CÁC THUẬT NGỮ VÀ TỪ VIẾT TẮT..........................................v
DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU ........................................................ vi
CHƢƠNG MỞ ĐẦU .................................................................................................1
CHƢƠNG 1: TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN
TÁN ............................................................................................................................6
1.1 Nghiên cứu tổng quan về tấn công từ chối dịch vụ phân tán............................6


1.1.1. Giới thiệu về DDoS ..................................................................................6
1.1.2. Các giai đoạn của một cuộc tấn công DDoS([4]) .......................................7
1.1.3. Kiến trúc tổng quan của mạng tấn công DDoS ........................................7
1.1.4. Phân loại tấn cơng DDoS .......................................................................11
1.1.5. Một số đặc tính của cơng cụ tấn công DDoS .........................................17
1.1.6. Một số công cụ tấn công DDoS ..............................................................21
1.2. Tác động nghiêm trọng và mức độ ảnh hưởng của các cuộc tấn công DDoS
trong nước và trên thế giới ....................................................................................25
1.2.1. Đối với trong nước .................................................................................25
1.2.2. Trên thế giới ...........................................................................................27
CHƢƠNG 2: NGHIÊN CỨU THUẬT TOÁN PHÁT HIỆN VÀ GIẢM THIỂU
MỘT SỐ HÌNH THỨC TẤN CƠNG DDOS ........................................................31
2.1 Một số thuật tốn phát hiện tấn cơng DDoS ...................................................31
2.1.1 Thuật toán ngưỡng giới hạn khả năng đáp ứng([3]) (Adaptive Threshold
Algorithm) ........................................................................................................32
2.1.2 Thuật tốn tổng tích lũy([7]) (Cumulative sum – CUSUM)......................33
2.1.3 Thuật toán theo dõi IP nguồn([7]) (Source IP Address Monitoring-SIM) 35
2.2 Phân tích phát hiện tấn cơng DDoS ................................................................36
2.2.1 Hệ thống phát hiện DDos hiện nay..........................................................36
2.2.2 Các yêu cầu đối với môt hệ thống phát hiện DDoS ................................37
ii


2.2.3 Phát hiện các cuộc tấn cơng DDoS.........................................................38
2.3 Phịng chống tấn cơng DDoS ..........................................................................38
2.4 Một số giải pháp phịng chống tấn công DDoS ..............................................41
2.4.1. Giải pháp chống DDoS của Cisco ..........................................................41
2.4.2. Giải pháp chống DDoS của Abor ...........................................................44
2.4.3. Giải pháp chống DDoS của Huawei .......................................................45
CHƢƠNG 3: TÌM HIỂU ỨNG DỤNG SNORT TRONG VIỆC GIẢM THIỂU

HÌNH THỨC TẤN CƠNG DDOS .........................................................................46
3.1 Sơ lược về IDS/IPS .........................................................................................46
3.1.1 Định nghĩa về IDS/IPS ............................................................................46
3.1.2 Sự khác nhau giữa IDS và IPS ................................................................47
3.1.3 Phân loại IDS/IPS([5]) ...............................................................................48
3.1.3.1 Network based IDS – NIDS .............................................................48
3.1.3.2 Host based IDS – HIDS ...................................................................51
3.1.4 Cơ chế hoạt động của hệ thống IDS/IPS ................................................52
3.1.4.1 Phát hiện sự lạm dụng ......................................................................52
3.1.4.2 Phát hiện sự bất thường ....................................................................53
3.2. Tìm hiểu sản phẩm Snort trong việc giảm thiểu hình thức tấn cơng DDoS ..56
3.2.1 Giới thiệu về Snort ..................................................................................56
3.2.2 Kiến trúc của Snort([5]) .............................................................................57
3.2.2.1 Modun thu thập và giải mã gói tin([5]) (Packet Sniffer) ....................58
3.2.2.2 Mô đun tiền xử lý([5]) (Preprocessors) ..............................................59
3.2.2.3 Mô-đun phát hiện (Detection Engine) .............................................61
3.2.2.4 Mô-đun cảnh báo và log([5]) (Alerting/Logging) .............................62
3.2.3 Bộ luật của Snort([5]) ................................................................................63
3.2.3.1 Giới thiệu về bộ luật .........................................................................63
3.2.3.2 Cấu trúc luật của Snort .....................................................................64
3.2.3.3 Phần tiêu đề (Rule header) ...............................................................66
3.2.3.4 Phần tùy chọn([5])(Rule Option) ........................................................71

iii


CHƢƠNG 4: TRIỂN KHAI VÀ THỰC NGHIỆM HỆ THỐNG ......................73
4.1 Chuẩn bị cài đặt máy chủ ................................................................................75
4.1.1 Cài đặt máy chủ ứng dụng web ...............................................................75
4.1.2 Cài đặt máy chủ giám sát, cảnh báo của hệ thống ...................................75

4.2 Chuẩn bị nguồn tấn công ................................................................................77
4.3 Tiến hành thử nghiệm theo kịch bản ..............................................................77
KẾT LUẬN ..............................................................................................................82
TÀI LIỆU THAM KHẢO ......................................................................................84

iv


DANH MỤC CÁC THUẬT NGỮ VÀ TỪ VIẾT TẮT

Ký hiệu

Giải thích

DoS

Tấn cơng từ chối dịch vụ (Denial of Service)

DDoS

Tấn cơng từ chối dịch vụ phân tán (Distributed Denial
of Service)

Hacker/Attacker

Kẻ tấn công

Server

Máy chủ


Host

Máy trạm

User

Người dùng

Internet

Tập hợp các mạng liên kết với nhau

Router

Bộ/thiết bị định tuyến

Switch

Bộ/thiết bị chuyển mạch

Traffic

Lưu lượng

Buffer

Bộ đệm

Website


Trang web

Threshold

Ngưỡng

CSDL

Cơ sở dữ liệu

NIDS

Hệ thống phát hiện xâm nhập dựa trên mạng

IIS

Các dịch vụ thông tin internet

v


DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ

Bảng 1.1. Tập lệnh của Handler ................................................................................20
Bảng 1.2. Tập lệnh của Agent ...................................................................................21
Hình 1.1. Mơ hình Agent – Handler ...........................................................................8
Hình 1.2. Kiến trúc mạng tấn cơng kiểu Agent – Handler..........................................9
Hình 1.3. Kiến trúc mạng tấn cơng kiểu dựa vào mạng IRC ....................................10
Hình 1.4. Phân loại tấn cơng kiểu DDoS ..................................................................11

Hình 1.5. Tấn cơng khuếch đại .................................................................................13
Hình 1.6. Mơ tả về bắt tay ba bước ...........................................................................15
Hình 1.7. Tấn cơng TCP SYN ..................................................................................15
Hình 1.8. Cơng cụ tấn cơng DDoS............................................................................17
Hình 1.9. Giao diện của Slowloris đang hoạt động ..................................................22
Hình 1.10 Giao diện hoạt động của LOIC ................................................................23
Hình 1.11 Kết quả theo dõi khi thực hiện tấn công bằng LOIC vào máy chủ web ..24
Hình 1.12 Thống kê DDoS Intelligence, Quý 1 (xanh) và Quý 2 (đỏ) năm 2015. ...29
Hình 2.1 Biểu đồ trực quan của thuật tốn ngưỡng giới hạn đáp ứng([9]) .................33
Hình 2.2 Sơ đồ khối của thuật tốn SIM ..................................................................35
Hình 2.3 Địa điểm khác nhau để thực hiện việc phát hiện và phản ứng DDoS([6]) ...39
Hình 2.4 Một phân loại của các cơ chế phịng chống tấn công ngập lụt DDoS mức
mạng/giao vận thông dựa trên vị trí triển khai([6]) .....................................................40
Hình 2.5 Cách phân loại theo cơ chế phòng vệ chống lại các cuộc tấn cơng
DDoS([6]) ....................................................................................................................41
Hình 3.1 Các vị trí đặt IDS trong mạng ...................................................................47
Hình 3.2 Mơ hình NIDS ...........................................................................................48
Hình 3.3 Mơ hình kiến trúc hệ thống Snort ..............................................................57
Hình 3.4 Mơ tả chức năng của mơ-đun Packet Sniffer .............................................58
Hình 3.5 Xử lý một gói tin Ethernet ........................................................................59
Hình 3.6 Mơ-đun tiền xử lý của Snort .....................................................................61
Hình 3.7 Sơ đồ mơ-đun phát hiện .............................................................................62
vi


Hình 3.8 Sơ đồ mơ-đun cảnh báo và log ..................................................................63
Hình 3.9 Cấu trúc luật của Snort .............................................................................65
Hình 3.10 Cấu trúc Header luật của Snort ...............................................................65
Hình 4.1 Đề xuất mơ hình để triển khai phịng chống DDoS ...................................73
Hình 4.2 Mơ hình tác giả triển khai thực nghiệm .....................................................74

Hình 4.3 Máy chủ ứng dụng web đang hoạt động ....................................................75
Hình 4.4 Giao diện phần mềm quản lý cảnh báo ......................................................77
Hình 4.5 Ứng dụng web hoạt động bình thường ......................................................77
Hình 4.6 Trạng thái Snort đã được bật, chưa có cảnh báo nào .................................78
Hình 4.7 Ứng dụng giám sát cảnh báo cũng không ghi nhận được cảnh báo nào
được đưa ra và lưu vào CSDL...................................................................................78
Hình 4.8 Giao diện màn hình khi sử dụng hping3 để tấn cơng................................79
Hình 4.9 Ứng dụng website bị tấn cơng tê liệt..........................................................79
Hình 4.10 Giao diện cảnh báo trên Terminal của Snort............................................80
Hình 4.11 Giao diện cảnh báo của ứng dụng giám sát .............................................80
Hình 4.12 Giao diện các IP nguồn tấn cơng được lưu trên ứng dụng giám sát ........81

vii


CHƢƠNG MỞ ĐẦU
Trong thời đại bùng nổ thông tin hiện nay, hệ thống thông tin là thành phần
rất quan trọng trong mọi cơ quan, tổ chức, đơn vị, đem lại khả năng xử lý, truyền tải
và cung cấp thông tin rất hữu ích, nhưng các hệ thống thơng tin (HTTT) cũng chứa
rất nhiều điểm yếu, nguy cơ và rủi ro mất an tồn thơng tin. Sự phát triển nhanh
chóng của các phần mềm ứng dụng để đáp ứng yêu cầu của người dùng, các phiên
bản được phát hành liên tục với các tính năng mới được đưa ra thị trường, tiềm ẩn
nguy cơ, lỗ hổng có thể dễ dàng bị lợi dụng. Một đặc điểm khác nữa là việc phát
triển của hệ thống mạng internet, cũng như sự phân tán của HTTT, mục đích để cho
người dùng truy cập thơng tin dễ dàng hơn và do đó tin tặc cũng có nhiều mục tiêu
tấn cơng, nguy cơ rủi ro thơng tin càng tăng lên.
Do đó, bên cạnh việc thiết kế, xây dựng HTTT (trang/cổng thông tin điện tử,
thư điện tử, các ứng dụng tác nghiệp,…) hiện đại, đáp ứng nhu cầu thông tin và hỗ
trợ xử lý công việc. Các cơ quan, tổ chức cần phải bảo vệ tốt những hệ thống đó,
đảm bảo hoạt động ổn định và tin cậy. Vì vậy, đảm bảo an tồn và bảo mật thông tin

là vấn đề cấp thiết trong mọi cơ quan, tổ chức, doanh nghiệp.
Nhiệm vụ đặt ra của chúng ta là cần xây dựng chính sách bảo mật đầy đủ, rõ
ràng. Phải xác định rõ tài nguyên gì cần phải bảo vệ, bảo vệ mức nào. Mặt khác,
trong tình hình hiện nay tính chất, mức độ và phạm vi của các cuộc tấn công vào
HTTT ngày càng gia tăng bởi việc tiếp cận với các kỹ thuật và sử dụng các công cụ
tấn công từ nhiều nguồn trên internet rất dễ dàng, các phần mềm hỗ trợ tấn công
được thiết kế tinh vi, tính năng mạnh và đặc biệt là rất dễ vận hành sử dụng. Tin tặc
thường nhắm hệ thống của các tổ chức, cơ quan và thông tin cá nhân vì nhiều mục
đích như: cạnh tranh trong kinh doanh, đánh cắp thông tin cá nhân để thu lợi tài
chính, phục vụ chính trị,thể hiện năng lực,…
Tất cả những mối nguy hại trên cho thấy vai trò của vấn đề đảm bảo an tồn
thơng tin rất quan trọng đối với cuộc chiến phức tạp, khốc liệt và liên tục với mạng
lưới tấn công mà thế giới cũng như Việt Nam đã, đang và sẽ xảy ra. Dù là tổ chức,
doanh nghiệp hay cá nhân thì mục tiêu cần đạt được đối với đảm bảo an tồn thơng

1


tin là rất quan trọng. Cụ thể 3 mục tiêu chính cần đạt được bao gồm: Tính bí mật
(Confidentiality), Tính tồn vẹn (Integrity) và tính Sẵn sàng (Availability).
Như đã đề cập ở trên việc mất an tồn, an ninh thơng tin đối với cơ quan, tổ
chức khơng cịn là nguy cơ, rủi ro nữa mà nó đã và trở thành vấn đề đã và đang xảy
ra nghiêm trọng hiện nay. Vấn đề mất an tồn thơng tin giờ đây khơng chỉ là liên
quan đến thông tin của cá nhân, tổ chức, doanh nghiệp gây thiệt hại đến uy tín, danh
dự và tài chính mà cịn ảnh hưởng rất lớn đến chủ quyền, an ninh quốc gia. Theo
báo cáo của Cục an tồn thơng tin – Bộ Thơng tin và Truyền thơng, trong năm
2014, có khoảng hơn 4.000 cuộc tấn cơng đã được ghi nhận là có xâm phạm đối với
các hệ thống có tên miền .vn của Việt Nam, trong số đó có hơn 200 cuộc tấn cơng
vào các hệ thống có tên miền .gov.vn([10]). Theo số liệu thống kê DDoS
Intelligence([11]) của Kaspersky vừa công bố, vào quý II năm 2015, Việt Nam nằm

trong top 10 nước có nguồn tài nguyên bị tấn công từ chối dịch vụ phân tán (DDoS)
nhiều nhất. Trong khi tấn công DDoS là kiểu tấn cơng phức tạp, nguy hiểm, khó
phát hiện và ngăn chặn nhất hiện nay.
Khái niệm về tấn công từ chối dịch vụ (DoS)
Tấn công từ chối dịch vụ (Denial of Service - DoS) là dạng tấn công nhằm
ngăn chặn người dùng hợp pháp truy nhập các tài nguyên mạng. Tấn công DoS đã
xuất hiện từ khá sớm, vào đầu những năm 80 của thế kỷ XX. Tấn công từ chối dịch
vụ phân tán (Distributed Denial of Service - DDoS) là một dạng phát triển ở mức độ
cao của tấn công DoS được phát hiện lần đầu tiên vào năm 1999. Sự khác biệt cơ
bản của tấn công DoS và DDoS là phạm vi tấn công. Lưu lượng tấn công DoS
thường phát sinh từ một hoặc một số ít host nguồn, cịn lưu lượng tấn công DDoS
thường phát sinh từ rất nhiều host nằm rải rác trên mạng Internet. Hiện nay, có hai
phương pháp tấn công DDoS chủ yếu. Phương pháp thứ nhất, kẻ tấn cơng gửi các
gói tin được tạo theo dạng đặc biệt gây lỗi trong giao thức truyền hoặc lỗi trong ứng
dụng chạy trên máy nạn nhân. Một dạng tấn cơng DDoS điển hình theo phương
pháp này là tấn công khai thác lỗ hổng an ninh của các giao thức hoặc dịch vụ trên
máy nạn nhân. Phương pháp tấn công DDoS thứ hai phổ biến hơn phương pháp thứ
nhất, gồm hai dạng: (1) dạng tấn công DDoS gây ngắt quãng kết nối của người
2


dùng đến máy chủ dịch vụ bằng cách làm ngập lụt đường truyền mạng, cạn kiệt
băng thông hoặc tài nguyên mạng, và (2) dạng tấn công DDoS gây ngắt quãng dịch
vụ cung cấp cho người dùng bằng cách làm cạn kiệt các tài nguyên của máy chủ
dịch vụ, như thời gian xử lý của CPU, bộ nhớ, băng thông, ổ đĩa, cơ sở dữ liệu.
Dạng tấn công này bảo gồm các loại tấn công gây ngập lụt ở mức ứng dụng.
Kể từ cuộc tấn công DDoS đầu tiên được xác nhận vào năm 1999([3]), nhiều
cuộc tấn công DDoS gây ngập lụt đã được thực hiện vào hệ thống mạng của các
công ty và các tổ chức. Hầu hết các cuộc tấn công DDoS gây ngập lụt cho đến hiện
nay đều tập trung vào làm ngắt quãng hoặc ngừng dịch vụ chạy trên hệ thống nạn

nhân. Hậu quả là làm giảm doanh thu, tăng chi phí phịng chống và phục hồi dịch
vụ. Ví dụ, vào tháng Hai năm 2000, hệ thống mạng của công ty Internet Yahoo phải
hứng chịu đợt tấn công DDoS đầu tiên làm các dịch vụ của công ty phải ngừng hoạt
động trong 2 giờ, gây thiệt hại lớn về doanh thu quảng cáo. Tháng 2/2004, một đợt
tấn công DDoS rất lớn xuất phát từ một lượng rất lớn các máy tính bị nhiễm virus
Mydoom làm trang web của tập đồn SCO khơng thể truy nhập. Vào tháng
12/2010, một nhóm tin tặc có tên là “Anonymous” đã tạo ra một loạt các cuộc tấn
công DDoS gây ngừng hoạt động các trang web của các tổ chức tài chính, như
Mastercard, Visa International, Paypal và PostFinance. Tháng 9/2012, một đợt tấn
cơng DDoS rất lớn do nhóm tin tặc “Izz ad-Din al-Qassam Cyber Fighters” thực
hiện gây ngắt quãng hoặt ngừng hoạt động các trang web ngân hàng trực tuyến của
9 ngân hàng lớn của Mỹ. Các dạng tấn công DDoS được thực hiện ngày một nhiều
với quy mô ngày một lớn và tinh vi hơn nhờ sự phát triển của các kỹ thuật tấn công
và sự lan tràn của các công cụ tấn công.
Tại Việt Nam, gần đây là vào tháng 6/2013, rất nhiều các trang báo điện tử
của Việt Nam, trong đó có những trang với lượng truy cập lớn như báo điện tử Dân
trí (), báo điện tử Vietnamnet () và báo Tuổi
trẻ () đã phải hứng chịu một đợt tấn công DDoS vô cùng mạnh
mẽ.

3


Tháng 10/2014 hàng loạt website thuộc hệ thống của Công ty Cổ phần
truyền thông Việt Nam (VCCorp) và các website được hỗ trợ vận hành bởi đơn vị
này đồng loạt gặp sự cố.
Các cuộc tấn công từ chối dịch vụ phân tán gây ra nhiều hậu quả nghiêm trọng
trên thế giới cũng như tại Việt Nam. Hiện nay chưa có giải pháp nào có thể ngăn chặn
triệt để kiểu tấn cơng này, các cơ quan đơn vị ít khi quan tâm những vấn đề về cảnh
báo, chuẩn bị phương án đối phó với dạng này, hầu hết các khi có tấn công dạng này

xảy ra, cơ quan, tổ chức thường thuê các thiết bị và nhân lực xử lý sự cố, hoặc tận dụng
các mối quan hệ để nhận được sự hỗ trợ của các cơ quan chức năng mà chưa có giải
pháp lâu dài và bài bản. Việc nghiên cứu đưa ra giải pháp cảnh báo và hướng đến là
xây dựng một hệ thống chống tấn công DDoS là một nhu cầu thực tế cấp thiết hiện
nay. Vì vậy, đề tài sẽ tập trung nghiên cứu theo hướng đề xuất, giới thiệu giải pháp để
tiến tới xây dựng hệ thống phịng chống tấn cơng DDoS hiệu quả trong thực tế.
Bài toán đặt ra và kết quả đạt đƣợc khi nghiên cứu
Nhận thức được các vấn đề nêu trên, mục đích cuối cùng là đảm bảo ATTT cho
các hệ thống đối với các cuộc tấn cơng nói chung. Cụ thể đảm bảo ATTT, phát hiện
ngăn chặn được tấn công DDoS bằng cách nào? Mơ hình nào để giảm thiểu hình thức
tấn công DDoS hiệu quả? Công tác dự báo, cảnh báo có vai trị như thế nào đối với
phịng chống tấn cơng DDoS để từ đó đề xuất mơ hình nhằm giảm thiểu một số hình
thức tấn cơng DDoS. Chính vì những lý do nêu trên, tác giả đã lựa chọn đề tài Nghiên
cứu thuật toán phát hiện và giảm thiểu một số hình thức tấn cơng DoS. Nội dung cụ thể
của luận văn bao gồm một số vấn đề chính và liên quan như sau:
-

Khảo sát tổng quan về tấn công từ chối dịch vụ phân tán (Chương 1): Tác giả trình
bày các thu hoạch cụ thể của mình trong q trình nghiên cứu khảo sát về tấn cơng
từ chối dịch vụ phân tán; tìm hiểu tác động nghiệm trọng và mức độ ảnh hưởng
của các cuộc tấn công dịch vụ phân tán.

-

Trình bày một số thuật tốn phát hiện tấn công từ chối dịch vụ phân tán (Chương
2): Tác giả trình bày nội dung các thuật tốn, kết hợp với áp dụng các thuật toán
vào thực tế. Nghiên cứu đề xuất mơ hình triển khai giải pháp cảnh bảo nhằm giảm
thiểu hình thức tấn cơng từ chối dịch vụ phân tán.
4



-

Tìm hiểu một số sản phẩm thương mại và miễn phí để phát hiện, cảnh báo và giảm
thiểu thiệt hại khi có tấn cơng (Chương 3). Trong chương này tác giả sẽ trình bày,
đề xuất sử dụng sản phẩm để triển khai mơ hình theo đề xuất là triển khai tại vị trí
đích của tấn cơng, qua đó tìm hiểu, giới thiệu một số tính năng, luật của sản phẩm
nguồn mở Snort trong việc phát hiện, cảnh báo hình thức tấn cơng từ chối dịch vụ
phân tán.

-

Triển khai mơ hình thực nghiệm theo đề xuất của tác giả nhằm cảnh báo sớm để
giảm thiểu tác hại của hình thức tấn cơng DDoS gây ra (Chương 4). Từ đó có thể
đề xuất hướng nghiên cứu và ứng dụng trong thời gian tới đối với nhiệm vụ giảm
thiểu hình thức tấn cơng từ chối dịch vụ phân tán.
Trong quá trình nghiên cứu, thực hiện đề tài tác giả đã đạt được một số kết

quả như: hiểu được các vấn đề cơ bản nguy cơ tiềm ẩn và hậu quả khi bị tấn cơng
DDoS; Tìm hiểu các thuật tốn phát hiện tấn cơng DDoS, trên cơ sở đó tìm hiểu sản
phẩm Snort đối với phát hiện, cảnh báo để giảm thiệu tác của tấn công dạng này; Đề
xuất và triển khai thực nghiệm mơ hình nhằm phát hiện và cảnh báo tấn cơng DDoS
hiệu quả.

5


CHƢƠNG 1: TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ
PHÂN TÁN


Trong chương này, tác giả sẽ trình bày tổng quan về tấn công từ chối
dịch vụ phân tán (DDoS) gồm: Các kiểu tấn công, các giai đoạn của một cuộc tấn
công DDoS, phân loại kiểu tấn công DDoS, một số công cụ tấn công DDoS.
1.1 Nghiên cứu tổng quan về tấn công từ chối dịch vụ phân tán
1.1.1. Giới thiệu về DDoS
Ngày 7/2/2000, yahoo.com đã phải ngưng phục vụ hàng trăm triệu user trên
toàn thế giới nhiều giờ liền. Vài giờ sau, Yahoo đã tìm ra nguyên nhân gây nên tình
trạng này là do họ phải gánh chịu một đợt tấn cơng DDoS với quy mơ vài nghìn
máy tính liên tục gửi hàng triệu yêu cầu đến các máy chủ dịch vụ làm các máy chủ
này không thể phục vụ các user thơng thường khác.
Tiếp tục sau đó ít ngày, một sự kiện tương tự diễn ra nhưng có phần “ồn ào”
hơn do một trong các nạn nhân mới là hãng tin CNN, Fifa.com, amazon.com,
dell.com, Zdnet.com, E-trade.com, Ebay.com. Đây là những công ty lớn thuộc
nhiều lĩnh vực khác nhau. Theo Yankke Group, tổng thiệt hại do cuộc tấn công lên
đến 1.2 triệu USD, nhưng không đáng kể bằng sự mất mát về lịng tin của khách
hàng, uy tín của các cơng ty là khơng thể tính được. Theo kết quả điều tra đã được
cơng bố thì cậu bé 15 tuổi người Canada, với nickname “mafiaboy” đã tìm tịi và tải
về một số chương trình và cơng cụ của các hacker. Cậu bé này đã dùng một cơng cụ
DDoS có tên là TrinOO để gây nên các cuộc tấn công kiểu DDoS khủng khiếp trên.
Một điểm đáng lưu ý khác là Mafiaboy bị bắt do tự khoe khoang trên các phịng
chát cơng cộng, khơng ai tự truy tìm được dấu vết của cậu bé này([6]).
Từ đó đến nay, trên thế giới cũng như tại Việt Nam, có rất nhiều cơng ty
khổng lồ khác đã gục ngã dưới các cuộc tấn cơng kiểu DDoS, trong đó có cả
Microsoft. Tuy nhiên cuộc tấn cơng trên là điển hình nhất về DDoS, nó nói lên một
đặc điểm của DDoS: “Rất dễ thực hiện, hầu như không thể tránh, hậu quả rất nặng
nề”.
6


1.1.2. Các giai đoạn của một cuộc tấn công DDoS([4])

Một cuộc tấn công DDoS thông thường gồm bao gồm 03 giai đoạn
Giai đoạn 1: Giai đoạn chuẩn bị.
- Chuẩn bị công cụ là giai đoạn quan trọng của cuộc tấn công, công cụ sử dụng cho
tấn công thông thường hoạt động theo mơ hình client-server. Hacker có thể viết
phần mềm này hay tải từ Internet một cách dễ dàng, có rất nhiều cơng cụ DDoS
được cung cấp miễn phí trên mạng.
- Kế tiếp, hacker dùng các kỹ thuật tấn công khác để nắm trọn quyền một số host
trên mạng, tiến hành cài đặt các phần mềm cần thiết trên các host này. Việc cấu
hình và thử nghiệm tồn bộ mạng tấn công (attack network - bao gồm mạng lưới
các máy đã bị lợi dụng cùng với các phần mềm đã được thiết lập trên đó, máy của
hacker hoặc một số máy khác đã được thiết lập tạo thành các điểm phát động tấn
công) cũng sẽ được thực hiện trong giai đoạn này.
Giai đoạn 2: Giai đoạn xác định mục tiêu và thời điểm.
- Sau khi xác định mục tiêu lần cuối, hacker sẽ có hoạt động điều chỉnh mạng tấn
cơng chuyển hướng tấn cơng về phía mục tiêu.
- Yếu tố thời điểm sẽ quyết định mức độ thiệt hại và tốc độ đáp ứng của mục tiêu
đối với cuộc tấn cơng.
Giai đoạn 3: Phát động tấn cơng và xóa dấu vết.
Đúng thời điểm đã định, hacker phát động tấn công từ máy của mình Lệnh tấn cơng
này có thể đi qua nhiều cấp mới đến host thực sự tấn công. Tồn bộ mạng tấn cơng
(có thể lên đến hàng nghìn máy), sẽ vắt cạn năng lực của máy chủ mục tiêu, ngăn
chặn không cho các máy chủ này hoạt động như thiết kế.
- Sau một khoảng thời gian tấn công thích hợp, Hacker tiến hành xóa mọi dấu
vết có thể truy ngược đến mình. Việc này địi hỏi các kỹ thuật xóa dấu vết ở trình độ
cao.
1.1.3. Kiến trúc tổng quan của mạng tấn cơng DDoS
Nhìn chung mạng tấn cơng DDoS có hai mơ hình chính:
+ Mơ hình Agent – Handler
+ Mơ hình IRC – Based (mơ hình dựa vào mạng trao đổi thông tin).
7



Dưới đây là sơ đồ chính phân loại các kiểu tấn cơng DDoS (Hình 1.1.).
 Mơ hình Agent - Handler
Mạng tấn công
DDoS

IRC - Based

Agent -Handler

Trao đổi Client –
Handler

TCP

UDP

Trao đổi Client –
Handler

ICMP

TCP

UDP

Kênh riêng /
Kênh bí mật


Kênh cơng
cộng

ICMP

Hình 1.1. Mơ hình Agent – Handler
Theo mơ hình này, mạng tấn cơng gồm 3 thành phần: Agent, Client và Handler:
 Client: là thành phần phần mềm cơ sở để hacker điều khiển mọi hoạt động
của mạng tấn công.
 Handler: là một thành phần phần mềm trung gian giữa Agent và Client, làm
nhiệm vụ giúp Client điều khiển các Agent.
 Agent: là thành phần phần mềm thực hiện sự tấn công vào mục tiêu, nhận
điều khiển từ Client thông qua các Handler
Kiến trúc mạng tấn cơng kiểu Agent – Handler được mơ tả trên Hình 1.2.

8


Hacker

Handler

Agent

Hacker

Handler

Handler


Agent

Agent

Handler

Agent

Agent

Victim
Hình 1.2. Kiến trúc mạng tấn cơng kiểu Agent – Handler
Hacker sẽ từ Client giao tiếp với Handler để xác định số lượng Agent đang hoạt động,
điều chỉnh thời điểm tấn công và cập nhật các Agent. Tùy theo cách Hacker thiết lập
cấu hình mạng tấn cơng, các Agent sẽ chịu sự quản lý của một hay nhiều Handler.
Thông thường Hacker sẽ đặt phần mềm Handler trên một bộ định tuyến hay một máy
chủ có lưu lượng mạng lưu thơng nhiều. Việc này nhằm làm cho các giao tiếp giữa
Client, Handler và Agent khó bị phát hiện. Các giao tiếp này thông thường xảy ra trên
các giao thức TCP, UDP hay ICMP. Chủ nhân thực sự của các máy tính bị cài Agent
thông thường không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu DDoS, do người
dùng không đủ khả năng phát hiện. Mặt khác, các Agent được cài dưới dạng cửa hậu
(Backdoor) thường chỉ sử dụng rất ít tài nguyên hệ thống làm cho người dùng hầu như
không thể thấy ảnh hưởng của chúng đến hiệu năng của hệ thống.
 Mơ hình dựa vào mạng IRC (IRC – Based)
Internet Relay Chat (IRC) là một hệ thống liên lạc trực tuyến qua mạng Internet,
IRC cho phép người dùng tạo một kết nối đến đa điểm đến nhiều người dùng khác và
trao đổi thảo luận (chat) theo thời gian thực. Kiến trúc của mạng IRC bao gồm nhiều
máy chủ IRC trên khắp mạng giao tiếp với nhau qua nhiều kênh. Mạng IRC cho phép
người dùng tạo ba loại kênh: kênh chung; kênh riêng; kênh bí mật.


9


-

Kênh chung (Public Channel): Cho phép người dùng của kênh đó thấy tên
IRC và nhận được thơng điệp của mọi người dùng khác trên cùng kênh.

-

Kênh riêng (Private Channel): Được thiết kế để giao tiếp với các đối tượng
cho phép. Không cho phép các người dùng không cùng kênh thấy tên IRC và
thông điệp trên kênh. Tuy nhiên, nếu người dùng ngồi kênh dùng một số
lệnh channel locator thì có thể biết được sự tồn tại của kênh riêng đó.

-

Kênh bí mật (Secret Channel): Tương tự kênh riêng nhưng khơng thể xác
định bằng bộ định vị kênh (channel locator).
Kiến trúc mạng tấn công của kiểu dựa vào IRC được mô tả trên hình 1.3 như sau.
Hacker

Hacker

IRC NETWORK

Agent

Agent


Agent

Agent

Agent

Victim
Hình 1.3. Kiến trúc mạng tấn cơng kiểu dựa vào mạng IRC
Mơ hình mạng tấn công dựa vào IRC cũng tương tự như mô hình Agent –
Handler nhưng mơ hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao
tiếp giữa Client và Agent (khơng sử dụng Handler). Sử dụng mơ hình này, Hacker
cịn có thêm một số lợi thế khác như:
+ Các giao tiếp dưới dạng bản tin trao đổi (chat message) làm cho việc phát
hiện ra chúng là vô cùng khó khăn.
+ Lưu lượng IRC có thể di chuyển trên mạng với số lượng lớn mà không bị
nghi ngờ.
10


+ Khơng cần phải duy trì danh sách các Agent, hacker chỉ cần đăng nhập
(logon) vào máy chủ IRC là đã có thể nhận được báo cáo về trạng thái các Agent do
các kênh gửi về.
+ Sau cùng: IRC cũng là một môi trường chia sẻ tệp tin tạo điều kiện phát tán
các mã Agent lên các máy khác.
1.1.4. Phân loại tấn cơng DDoS
Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn cơng DDoS nhưng nếu nhìn
dưới góc độ chun mơn thì có thể chia các biến thề này thành hai loại dựa trên mục
đích tấn cơng: Làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống([6]).
Dưới đây là sơ đồ mô tả sự phân loại các kiểu tấn công DDoS.
DDoS attack


Bandwith Deleption

Amplification
Attack

Flood Attack

UDP

Random
Port
Attack

Resource Deleption

ICMP

Static
Port
Attack

Smuft
Attack

Spoof
Source
Attack

Malformed Paclket

Attack

Protocol Exploit Attack

Flaggle
Attack

Direct
Attack

TCP SYN
Attack

PUSH
+ACK
SYN
Attack

IP @
Attack

IP Packet
Options
Attack

Loop
Attack
Spoof
Source
Attack


Spoof
Source
Attack

Hình 1.4. Phân loại tấn công kiểu DDoS
11

Spoof
Source
Attack

Spoof
Source
Attack


a) Những kiểu tấn công làm cạn kiệt băng thông mạng (Bandwidth Depletion
Attack)([4])
Tấn công làm cạn kiệt băng thông mạng được thiết kế nhằm làm tràn ngập
mạng mục tiêu với những lưu lượng khơng cần thiết, với mục đích làm giảm tối
thiểu khả năng lưu thông các lưu lượng hợp lệ đến hệ thống cung cấp dịch vụ của
mục tiêu.
Có hai loại tấn công làm cạn kiệt băng thông mạng:
+ Tấn công ngập lụt (Flood Attack): Điều khiển các Agent gửi một lưu lượng
lớn đến hệ thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng cung cấp
băng thông.([2])
+ Tấn công khuếch đại (Amplification Attack): Điều khiển các Agent hay
Client tự gửi thông điệp đến một địa chỉ IP quảng bá, làm cho tất cả các máy trong
mạng con (subnet) này đồng loạt gửi thông điệp đến hệ thống dịch vụ của mục tiêu.

Phương pháp này làm gia tăng lưu lượng không cần thiết, làm suy giảm băng thông
của mục tiêu.([3])
 Tấn công ngập lụt:([4])
Trong phương pháp này, các Agent sẽ gửi một lượng lớn lưu lượng mạng làm
hệ thống dịch vụ của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái
hoạt động bão hòa. Hậu quả là người dùng thực sự của hệ thống không sử dụng
được dịch vụ như mong đợi.
Ta có thể chia tấn cơng ngập lụt thành hai loại:
+ Tấn công ngập lụt UDP (UDP Flood Attack): Do tính chất truyền khơng
theo hướng kết nối của UDP, hệ thống nhận gói tin UDP chỉ đơn giản nhận vào tất
cả các gói tin mình cần phải xử lý. Một lượng lớn các gói tin UDP được gửi đến hệ
thống dịch vụ của mục tiêu sẽ đẩy toàn bộ hệ thống đến ngưỡng tới hạn.
Các gói tin UDP này có thể được gửi đến các cổng tùy ý hay chỉ duy nhất một
cổng. Thơng thường các gói tin sẽ được gửi đến nhiều cổng làm cho hệ thống mục
tiêu phải căng ra để xử lý phân hướng cho các gói tin này. Nếu cổng bị tấn cơng
khơng sẵn sàng thì hệ thống mục tiêu sẽ gửi ra một gói tin ICMP thơng báo "khơng
tới được cổng đích" (“destination port unreachable”). Thông thường các phần mềm
12


Agent sẽ dùng địa chỉ IP giả để che giấu hành vi, cho nên các gói tin trả về do
khơng có cổng xử lý sẽ dẫn đến một địa chỉ IP khác. Tấn cơng ngập lụt UDP cũng
có thể làm ảnh hưởng đến các kết nối xung quanh mục tiêu do sự hội tụ của các gói
tin diễn ra rất mạnh.
+ Tấn công ngập lụt ICMP (ICMP Flood Attack): được thiết kế nhằm mục
đích quản lý mạng cũng như định vị thiết bị mạng. Khi các Agent gửi một lượng lớn
ICMP_ECHO_REPLY đến hệ thống mục tiêu thì hệ thống này phải reply một
lượng tương ứng gói tin để trả lời, sẽ dẫn đến nghẽn đường truyền. Tương tự trường
hợp trên, địa chỉ IP của các Agent có thể bị giả mạo.
 Tấn công khuếch đại

Tấn công khuếch đại nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ IP
quảng bá của các bộ định tuyến (router) nhằm khuyếch đại và hồi chuyển cuộc tấn
công. Mô đun này cho phép bên gửi chỉ định một địa chỉ IP quảng bá cho tồn
subnet bên nhận thay vì nhiều địa chỉ. Bộ định tuyến sẽ có nhiệm vụ gửi đến tất cả
địa chỉ IP trong mạng con (subnet) đó quảng bá gói tin mà nó nhận được.
Hacker có thể gửi thơng điệp quảng bá trực tiếp hay thông qua một số Agent
nhằm làm gia tăng cường độ của cuộc tấn công. Nếu Hacker trực tiếp gửi thơng
điệp, thì có thể lợi dụng các hệ thống bên trong mạng để quảng bá như một Agent.

Hình 1.5. Tấn cơng khuếch đại
13


Có thể chia tấn cơng khuếch đại thành hai loại, tấn công Smurf và tấn công
Fraggle:
+ Tấn công kiểu Smurf: Trong kiểu tấn cơng này Hacker gửi các gói tin đến
mạng khuếch đại (router hay thiết bị mạng khác hỗ trợ quảng bá), với địa chỉ của
nạn nhân. Thông thường những gói tin được dùng là ICMP ECHO REQUEST, các
gói tin này yêu cầu bên nhận phải trả lời bằng một gói tin ICMP ECHO REPLY.
Mạng khếch đại sẽ gửi đến gói tin ICMP ECHO REQUEST đến tất cả các hệ thống
thuộc địa chỉ quảng bá và tất cả các hệ thống này sẽ gửi gói tin REPLY về địa chỉ
của mục tiêu tấn công.([2])
+ Tấn công Fraggle: Tương tự như tấn cơng Smurf nhưng thay vì dùng gói tin
ICMP ECHO REQUEST, Hacker dùng gói tin UDP ECHO gửi đến mục tiêu. Thật
ra còn một biến thể khác của tấn cơng Fraggle sẽ gửi gói tin UDP ECHO đến cổng
charge (port 19/UNIX) của mục tiêu, với địa chỉ bên gửi là cổng echo (port
7/UNIX) của mục tiêu, tạo nên một vịng lặp vơ hạn. Hacker phát động cuộc tấn
cơng bằng một ECHO REQUEST với địa chỉ bên nhận là một địa chỉ broadcast,
toàn bộ hệ thống thuộc địa chỉ này lập tức gửi REPLY đến cổng echo của nạn nhân,
sau đó từ nạn nhân một ECHO REPLY lại gửi trở về địa chỉ quảng bá, quá trình cứ

thế tiếp diễn. Đây chính là ngun nhân làm cho tấn cơng Flaggle nguy hiểm hơn
tấn công Smurf rất nhiều.
b) Những kiểu tấn công làm cạn kiệt tài nguyên:
Tấn công làm cạn kiệt tài ngun là kiểu tấn cơng trong đó Hacker gửi những
gói tin dùng các giao thức sai chức năng thiết kế, hay gửi những gói tin với dụng ý
làm tắc nghẽn tài nguyên mạng, làm cho các tài nguyên này không phục vụ người
dùng thông thường khác được.
 Tấn công khai thác giao thức (Protocol Exploit Attack([4])
+ Tấn công TCP SYN: TCP hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng
phương thức bắt tay giữa bên gửi và bên nhận trước khi truyền dữ liệu. Bước đầu
tiên, bên gửi gửi một gói tin SYN REQUEST (Synchronize). Bên nhận nếu nhận
được SYN REQUEST sẽ trả lời bằng gói tin SYN/ACK REPLY. Bước cuối cùng,
bên gửi sẽ truyền gói tin cuối cùng ACK và bắt đầu truyền dữ liệu.
14


SYN

TCP

TCP
SYN/ACK

Client

Server
80

ACK


Client Port
1024-65535

Service Port

Hình 1.6. Mơ tả về bắt tay ba bước

1-1023

Nếu bên máy chủ đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY
nhưng khơng nhận được gói tin ACK cuối cùng sau một khoảng thời gian quy định
thì nó sẽ gửi trả lại SYN/ACK REPLY cho đến hết thời gian timeout. Toàn bộ tài
nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được gói tin ACK cuối
cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout.
SYN packet with a deliberately fraudulent
(spoofed) source IP return address

Malicious
TCP
Client

Victim
TCP

SYN

Server

?
80


SYN/ACK
Hình 1.7. Tấn cơng TCP SYN
Nắm được điểm yếu này, Hacker gửi một gói tin SYN đến nạn nhân với địa
chỉ bên gửi là giả mạo, kết quả là nạn nhân gửi SYN/ACK REPLY đến một địa chỉ
khác và sẽ khơng bao giờ nhận được gói tin ACK cuối cùng. Cho đến hết thời gian
timeout, nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ
thống. Tuy nhiên, nếu lượng gói tin SYN giả mạo đến với số lượng nhiều và dồn
dập, hệ thống của nạn nhân có thể bị hết tài nguyên.

15


Client

Hacker/Agent
SYN

Server

Server

SYN

SYN/ACK

SYN/ACK
SYN/ACK

ACK


+ PUSH = tấn công ACK: Trong giao thức TCP, các gói tin được chứa trong
bộ đệm (buffer), khi bộ đệm đầy thì các gói tin này sẽ được chuyển đến nơi cần
thiết. Tuy nhiên, bên gửi có thể yêu cầu hệ thống unload buffer trước khi bộ đệm
đầy bằng cách gửi một gói tin với PUSH và ACK mang giá trị là 1. Những gói tin
này làm cho hệ thống của nạn nhân unload tất cả dữ liệu trong bộ đệm TCP ngay
lập tức và gửi một gói tin ACK trở về khi thực hiện xong điều này, nếu quá trình
được diễn ra liên tục với nhiều Agent, hệ thống sẽ khơng thể xử lý được lượng lớn
gói tin gửi đến và sẽ bị treo.
 Tấn cơng bằng gói tin độc hại (Malformed Packet Attack)([4])
Tấn cơng bằng gói tin độc hại là cách tấn công dùng các Agent để gửi các gói
tin có cấu trúc khơng đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo.
Có hai loại tấn cơng bằng gói tin độc hại:
+ Tấn cơng địa chỉ IP (IP address attack): dùng gói tin có địa chỉ gửi và nhận
giống nhau làm cho hệ điều hành của nạn nhân không xử lý nổi và bị treo.
+ Tấn cơng phần lựa chọn gói tin IP (IP packet option attack): ngẫu nhiên hóa
vùng OPTION trong gói tin IP và thiết lập tất cả các bit QoS lên 1, điều này làm
cho hệ thống của nạn nhân phải tốn thời gian phân tích. Nếu sử dụng số lượng lớn
Agent có thể làm hệ thống nạn nhân hết khả năng xử lý.

16


1.1.5. Một số đặc tính của cơng cụ tấn cơng DDoS

Hình 1.8. Cơng cụ tấn cơng DDoS
Các cơng cụ tấn cơng DDoS có rất nhiều điểm chung như: cách cài phần mềm
Agent, phương pháp giao tiếp giữa các Hacker, handler và Agent, điểm chung về
loại hệ điều hành hỗ trợ các công cụ này. Sơ đồ trên mô tả sự so sánh tương quan
giữa các công cụ tấn công DDoS này.

a) Cách thức cài đặt DDoS Agent([4])
Hacker có thể dùng phương pháp active và passive để cài đặt phần mềm agent
lên các máy khác nhằm thiết lập mạng tấn công kiểu Agent-Handler hay IRC-based.
 Cách cài đặt Active
+ Quét (Scanning): dùng các cơng cụ như Nmap, Nessus để tìm những sơ hở
trên các hệ thống đang hoạt động nhằm cài đặt phần mềm Agent. Chú ý, Nmap sẽ
trả về những thông tin về một hệ thống đã được chỉ định bằng địa chỉ IP. Nessus tìm
kiếm từ những địa chỉ IP bất kỳ về một điểm yếu biết trước nào đó.
+ Cửa hậu (Backdoor): Sau khi tìm thấy được danh sách các hệ thống có thể
lợi dụng, Hacker sẽ tiến hành xâm nhập và cài phần mềm Agent lên các hệ thống
này. Có rất nhiều thơng tin sẵn có về cách thức xâm nhập trên mạng, như trang web
của tổ chức Common Vulnerabilities and Exposures (CVE). Trang này liệt kê và
17


phân loại trên 4.000 loại lỗi của tất cả các hệ thống hiện có. Thơng tin này ln sẵn
sàng cho cả giới quản trị mạng lẫn hacker.
+ Trojan: là một chương trình thực hiện một chức năng thơng thường nào đó,
nhưng lại có một số chức năng tiềm ẩn phục vụ cho mục đích riêng của người viết
mà người dùng khơng thể biết được. Có thể dùng trojan như một phần mềm Agent.
+ Tràn bộ đệm: Tận dụng lỗi tràn bộ đệm, Hacker có thể làm cho chu trình
thực thi chương trình thơng thường bị chuyển sang chu trình thực thi chương trình
của hacker (nằm trong vùng dữ liệu ghi đè). Có thể dùng cách này để tấn cơng vào
một chương trình có điểm yếu gây tràn bộ đệm để chạy chương trình phần mềm
Agent.
 Cách cài đặt bị động
+ Bug Website: Hacker có thể lợi dụng một số lỗi của trình duyệt web để cài
phần mềm Agent vào máy của user truy cập. Hacker sẽ tạo một website mang nội
dung tiềm ẩn những code và lệnh để đặt bẫy người dùng. Khi người dùng truy cập
nội dung của website, thì website tải và cài đặt phần mềm Agent một cách bí mật.

Trình duyệt web IE thường là mục tiêu của cách cài đặt này, với các lỗi của
ActiveX có thể cho phép trình duyệt web IE tự động tải và cài đặt mã thực thi trên
máy của user duyệt web.
+ Lỗ file: Một phương pháp khác là nhúng mã thực thi vào trong các file
thông thường. Khi người dùng đọc hay thực thi các file này, máy của họ lập tức bị
nhiễm phần mềm Agent. Một trong những kỹ thuật phổ biến là đặt tên file rất dài, do
ngầm định của các hệ điều hành chỉ hiển thị phần đầu của tên file nên Hacker có thể gửi
kèm theo email cho nạn nhân file như sau: iloveyou.txt_hiiiiiii_NO_this_is_DDoS.exe.
Do chỉ thấy phần “Iloveyou.txt” hiển thị nên người dùng sẽ mở file này để đọc
và lập tức file này được thực thi và phần mềm Agent được cài vào máy nạn nhân.
Ngoài ra còn nhiều cách khác như ngụy trang file, ghép file…
- Rootkit: Là những chương trình dùng để xóa dấu vết về sự hiện diện của
Agent hay Handler trên máy của nạn nhân. Rootkit thường được dùng trên phần
mềm Hander đã được cài, đóng vai trị xung yếu cho sự hoạt động của mạng tấn
18


×