Các lỗ hổng trong bảo mật và phương thức tấn công mạng Các loại lỗ hổng trong bảo mật: + Lỗ hổng loại A: cảnh báo nguy hiểm cho phép người ngoài hệ thống có thể truy cập hợp pháp vào hệ
Trang 1KHOA VIỄN THÔNG I
TIỂU LUẬN CUỐI KỲ
AN NINH MẠNG THÔNG TIN
ĐỀ TÀI: TÌM HIỂU VỀ TẤN CÔNG TRÊN MẠNG DÙNG KỸ
THUẬT DOS DDOS
Giảng viên: Phạm Anh Thư
Sinh viên:
Hà Nội, tháng 6 năm 2021
Trang 2Nhóm 11.N6- 2 | 20
NỘI DUNG CÔNG VIỆC
Tổng quan về DDos/DoS Hoàng Văn Quang - B17DCVT290
Cơ sở lý thuyết và kỹ thuật tấn công
Kết quả check Doit:
Trang 3Nhóm 11.N6- 3 | 20
LỜI NÓI ĐẦU
Ngày nay, mạng Internet đang phát triển và mở trộng trên phạm vi toàn thế giới
Các cổng thông tin điện tử, dịch vụ mạng có thể là sự sống còn của cá nhân, tổ chức
Việc những hệ thống đó bị quá tải, không truy cập được trong một khoảng thời gian có thể
gây ra tổn thất không nhỏ Từ vấn đề thực tế trên kiểu tấn công từ chối dịch vụ phân tán
DDos (Distributed Denial Of Service) đã xuất hiện rất sớm Kiểu tấn công này làm cạn kiệt
tài nguyên của hệ thống Người quản trị, người sử dụng không thể truy cập được hệ thống
thông tin Tấn công DDos một kiểu tấn công không mới, nhưng vẫn luôn là nỗi lo lắng của
các nhà quản trị mạng Do đó chúng em quyết định chọn “TÌM HIỂU VỀ TẤN CÔNG
TRÊN MẠNG DÙNG KỸ THUẬT DOS DDOS” làm đề tài của mình Tuy đã cố gắng
nhưng do kiến thức còn hạn chế nên bài làm vẫn còn nhiều thiếu sót Chúng em rất mong
thầy/cô có thể góp ý và bổ sung để chúng em hoàn thiện bài tiểu luận của mình một cách
tốt nhất và rút kinh nghiệm hơn cho những lần sau!
Trang 4Nhóm 11.N6- 4 | 20
M ỤC L ỤC
LỜI NÓI ĐẦU 3
PHẦN I: TỔNG QUAN 5
1.1 TỔNG QUAN AN TOÀN MẠNG VÀ TẤN CÔNG MẠNG 5
1.1.1 Vì sao cần bảo vệ an toàn thông tin 5
1.1.2 Những vấn đề đảm bảo an ninh và an toàn mạng 5
1.1.3 Đối tượng tấn công mạng 5
1.1.4 Các lỗ hổng trong bảo mật và phương thức tấn công mạng 6
1.2 GIỚI THIỆU KỸ THUẬT TẤN CÔNG DOS/DDOS 8
1.2.1 Khái niệm kỹ thuật tấn công DoS/DDoS 8
1.2.2 Sự phát triển của kỹ thuật DoS/DdoS 8
1.2.3 Tác hại của tấn công DoS/DDoS đối với hệ thống mạng 10
PHẦN II: CƠ SỞ LÝ THUYẾT 11
Tấn công mạng là gì? 11
Phần III KỸ THUẬT TẤN CÔNG DDOS 12
3.1 Khái niệm kỹ thuật tấn công DDoS 12
3.2 Kiến trúc tổng quan của DDoS attack-network: 12
3.3 Phân loại tấn công DDoS 14
PHẦN IV: KẾT LUẬN 17
4.1 KẾT QUẢ ĐẠT ĐƯỢC 17
4.2 HẠN CHẾ 17
4.3 HƯỚNG PHÁT TRIỂN 17
4.4 KẾT LUẬN 18
TÀI LIỆU THAM KHẢO 20
Trang 5Nhóm 11.N6- 5 | 20
PHẦN I: TỔNG QUAN
1.1 TỔNG QUAN AN TOÀN MẠNG VÀ TẤN CÔNG MẠNG
1.1.1 Vì sao cần bảo vệ an toàn thông tin
Hiện nay an toàn mạng và bảo vệ trước những cuộc tấn công mạng luôn được mọi
người quan tâm hàng đầu Mạng Internet mang lại nhiều lợi ích tuy nhiên nó cũng
tiềm ẩn nguy cơ mất an toàn rất lớn Các cuộc tấn công mạng hiện nay đều có chủ
đích, đối tượng tấn công không phải vu vơ, tấn công có chủ đích chỉ khi nào đạt
được mục đích mới dùng lại và gây ra những thiệt hại vô cùng to lớn, nguy cơ mất
an toàn thông tin do nhiều nguyên nhân, đối tượng tấn công đa dạng
1.1.2 Những vấn đề đảm bảo an ninh và an toàn mạng
- Vấn đề về dữ liệu
- Vấn đề về tài nguyên hệ thống
1.1.3 Đối tượng tấn công mạng
Phần lớn là các đối tượng có trình độ hiểu biết về mạng, dựa vào các lỗ hổng và
điểm yếu của việc bảo mật xâm nhập để phá hoại hoặc lấy đi những dữ liệu
Các đối tượng thường được biết đến:
+ Hacker: Hacker không nhất thiết phải là một lập trình viên giỏi Họ biết các thủ
thuật, kỹ năng chuyên sâu về công nghệ thông tin, lợi dụng các lỗi bảo mật của một
hệ thống máy tính hay phần mềm để chỉnh sửa, thay đổi với nhiều mục đích tốt xấu
khác nhau
+Eavesdropping: Là đối tượng nghe trộm thông tin trên mạng để truy cập vào
những cuộc trò truyện để lấy dữ liệu, thông tin
Trang 6Nhóm 11.N6- 6 | 20
1.1.4 Các lỗ hổng trong bảo mật và phương thức tấn công mạng
Các loại lỗ hổng trong bảo mật:
+ Lỗ hổng loại A: cảnh báo nguy hiểm cho phép người ngoài hệ thống có thể truy
cập hợp pháp vào hệ thống dẫn đến phá hủy hệ thống Nguyên nhân của lỗ hổng này
thường do quản trị yếu kém Những lỗ hổng này có sẵn trên phần mềm mà người
quản trị không nhận biết
+ Lỗ hổng loại B: mức độ nguy hiểm trung bình thường có trong các ứng dụng trên
hệ thông Lỗ hổng này cho phép người dùng nội bộ có thể chiếm được quyền cao
hơn hay truy cập không hợp pháp
+ Lỗ hổng loại C: mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ,
ngưng trệ gián đoạn hệ thống không phá hỏng dữ liệu hoặc đoạt được quyền truy
cập
Một số loại tấn công thường gặp:
Malware – Tấn công bằng phần mềm độc hại
Tấn công Malware là gì?
Tấn công Malware là một trong những hình thức tấn công qua mạng phổ biến nhất hiện
nay Malware bao gồm:
• Spyware (phần mềm gián điệp)
• Ransomware (mã độc tống tiền)
• Virus
• Worm (phần mềm độc hại lây lan với tốc độ nhanh)
Thông thường, Hacker sẽ tiến hành tấn công người dùng thông qua các lỗ hổng bảo mật
Hoặc lừa người dùng Click vào một đường Link hoặc Email (Phishing) để cài phần mềm
độc hại tự động vào máy tính Một khi được cài đặt thành công, Malware sẽ gây ra những
hậu quả nghiêm trọng:
• Chặn các truy cập vào hệ thống mạng và dữ liệu quan trọng (Ransomware)
• Cài đặt thêm phần mềm độc hại khác vào máy tính người dùng
Trang 7Nhóm 11.N6- 7 | 20
• Đánh cắp dữ liệu (Spyware)
• Phá hoại phần cứng, phần mềm, làm hệ thống bị tê liệt, không thể hoạt động
Tấn công Malware là hình thức tấn công qua mạng phổ biến và nguy hiểm nhất hiện nay
Có thể kể đến các loại Malware: ransomware (mã độc tống tiền), spyware (phần mềm gián
điệp), worm và virus (phần mềm độc hại có khả năng lây lan nhanh),….Malware xâm nhập
vào hệ thống mạng thông qua các lỗ hổng bảo mật Hoặc dụ dỗ người dùng Click vào đường
Link trong Email giả mạo để cài phần mềm độc hại tự động vào máy tính Khi hệ thống
mạng đã dính malware, doanh nghiệp sẽ phải chịu hậu quả vô cùng nặng nề
Tấn công giả mạo (Phishing)
Tấn công Phishing là gì?
Phishing (tấn công giả mạo) là hình thức tấn công mạng bằng giả mạo thành một đơn vị
uy tín để chiếm lòng tin và yêu cầu người dùng cung cấp thông tin cá nhân cho chúng
Dos và DDoS – Tấn công từ chối dịch vụ
DoS (Denial of Service) là hình thức tấn công bằng cách đánh sập tạm thời một hệ thống
mạng Tin tặc thực hiện DoS bằng cách tạo ra một lượng truy cập khổng lồ ở cùng một thời
điểm; khiến máy chủ quá tải Trong khoảng thời gian DoS diễn ra, người dùng sẽ không
thể truy cập vào dịch vụ
DDoS (Distributed Denial of Service) là biến thể của DoS Tin tặc sử dụng một mạng lưới
các máy tính để tấn công Vấn đề là các máy tính thuộc mạng lưới này không biết bản thân
đang bị lợi dụng làm công cụ tấn công Tấn công DDoS khó đối phó hơn bởi nạn nhân bị
tấn công từ hàng trăm, hàng ngàn nguồn khác nhau
Tấn công trung gian (Man-in-the-middle attack)
Tấn công trung gian (MitM), còn gọi là tấn công nghe lén, xảy ra khi kẻ tấn công xâm
nhập vào một giao dịch/sự giao tiếp giữa 2 đối tượng Một khi đã chen vào thành công,
chúng có thể đánh cắp dữ liệu trong giao dịch đó
Trang 8Nhóm 11.N6- 8 | 20
Khai thác lỗ hổng Zero-day (Zero day attack)
Lỗ hổng zero-day (0-day Vulnerability) thực chất là những lỗ hổng bảo mật của phần
mềm hoặc phần cứng mà người dùng chưa phát hiện ra Chúng tồn tại trong nhiều môi
trường khác nhau như: Website, Mobile Apps, hệ thống mạng doanh nghiệp, phần mềm –
phần cứng máy tính, thiết bị IoT, Cloud, …
1.2 GIỚI THIỆU KỸ THUẬT TẤN CÔNG DOS/DDOS
1.2.1 Khái niệm kỹ thuật tấn công DoS/DDoS
Một cuộc tấn công từ chối dịch vụ (tấn công DoS - Viết tắt của Denial of Service) hay tấn
công từ chối dịch vụ phân tán (tấn công DDoS - Viết tắt của Distributed Denial of Service)
là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho
hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải
tài nguyên của hệ thống và nhằm ngăn chặn người dùng hợp pháp truy nhập các tài nguyên
mạng của hệ thống
1.2.2 Sự phát triển của kỹ thuật DoS/DdoS
Các cuộc tấn công DDoS diễn ra hàng ngày trên internet Các dịch vụ internet của tổ chức/cá
nhân dù lớn hay nhỏ đều có nguy cơ bị chậm hoặc dừng hoạt động bởi một cuộc tấn công
DDoS Hơn nữa, các cuộc tấn công DDoS còn được tội phạm mạng dùng để đánh lạc hướng
chuyên gia an ninh mạng nhằm tiến hành những chiến dịch tấn công xâm nhập, đánh cắp
dữ liệu
Cuộc tấn công DoS đầu tiên diễn ra vào năm 1996 và hãng Panix là nạn nhân Panix, một
trong những nhà cung cấp dịch vụ internet lâu đời nhất, đã bị tấn công bởi SYN, một kỹ
thuật tấn công DoS cổ điển Từ đó tới nay, vô số các cuộc tấn công DoS, DDoS đã diễn ra
với quy mô ngày càng lớn
Vụ tấn công vào Google năm 2017
Đội ngũ Google Cloud team mới đây đã tiết lộ những thông tin chính thức đầu tiên về một
cuộc tấn công DDoS lớn chưa từng có, nhắm mục tiêu trực tiếp đến các dịch vụ của Google
và diễn ra trong khoảng thời gian tháng 9 năm 2017 Cuộc tấn công DDoS này có độ lớn
Trang 9Nhóm 11.N6- 9 | 20
ước tính lên tới 2,54Tbps, khiến nó trở thành cuộc tấn công DDoS đáng sợ nhất từng được
ghi nhận trong lịch sử phát triển internet cho đến thời điểm hiện tại
Cuộc tấn công DDoS vào AWS năm 2020
Amazon Web Services (AWS), dịch vụ điện toán đám mây lớn nhất thế giới hiện tại, đã bị
tấn công DDoS vào tháng 02/2020 Đây là cuộc tấn công DDoS nghiêm trọng nhất trong
lịch sử và nhắm vào một khách hàng của AWS
Tấn công DDoS nhắm vào Brian Krebs và OVH năm 2016
Ngày 20/09/2016, blog của chuyên gia an ninh mạng Brian Krebs đã bị tấn công bởi một
chiến dịch DDoS với tốc độ 620Gbps Lúc đó, đây là cuộc tấn công DDoS lớn nhất từng
được ghi nhận Từ tháng 7/2012 tới tháng 09/2016, trang blog của Krebs đã hứng chịu 269
cuộc tấn công DDoS nhưng đây là cuộc tấn công lớn nhất, lớn gấp 3 lần so với kỷ lục lúc
bấy giờ
Tấn công DDoS vào Dyn năm 2016
Trước khi nói về cuộc tấn công DDoS bằng botnet Mirai thứ 3, chúng ta sẽ điểm qua một
sự kiện đáng chú ý của năm 2016 Ngày 30/09, một người tự xưng là tác giả của Mirai đã
chia sẻ mã nguồn của phần mềm này trên các diễn đàn hacker khác nhau Từ đó trở đi, nền
tảng Mirai DDoS đã được nhân bản và đột biến thành nhiều dạng khác nhau
Vụ tấn công DDoS vào 6 ngân hàng trong năm 2012
Ngày 12/03/2012, 6 ngân hàng của Mỹ đồng thời bị tấn công DDoS Các ngân hàng này
bao gồm Bank of America, JPMorgan Chase, U.S Bank, Citigroup, Wells Fargo và PNC
Bank Các cuộc tấn công được tiến hành bởi hàng trăm máy chủ bị chiếm quyền thuộc
mạng botnet có tên Brobot Mỗi cuộc tấn công tạo ra tốc độ hơn 60Gbps
Cuộc tấn công DDoS nhắm vào GitHub năm 2018
Trang 10Nhóm 11.N6- 10 | 20
Vào ngày 28/02/2018, GitHub, một nền tảng dành cho các nhà phát triển phần mềm, đã bị
tấn công DDoS với tốc độ lên tới 1.35Tbps kéo dài trong khoảng 20 phút Theo GitHub,
lưu lượng truy cập bắt nguồn từ hơn 1 nghìn hệ thống tự động (ASNs) khác nhau trên hàng
chục nghìn endpoint đơn lẻ
1.2.3 Tác hại của tấn công DoS/DDoS đối với hệ thống mạng
Về mặt kinh tế:
Thiệt hại trong các cuộc tấn công không thể đong đo, định lượng bằng tiền Nó ảnh hưởng
đến thương hiệu, an ninh quốc gia Vật chất chỉ là đánh giá mức độ nguy hiểm, vô hình lớn
hơn nhiều như hình ảnh, thương hiệu của tổ chức, cá nhân, doanh nghiệp, liên quan đế lợi
ích kinh tế chính trị để khắc phụ hậu quả mà cuộc tấn gây ra Khi bị tấn công Dos/DDos sẽ
làm ngưng hoạt động các dịch vụ của hệ thống, gây thiệt hại lớn đến doanh thu và gây mất
lòng tin khách hàng ảnh hưởng đến hình ảnh cá nhân tổ chức bị tấn công Ví dụ điển hình
là ngày 7/3/2000, yahoo.com đã phải ngưng phục vụ hàng trăm triệu user trên toàn thế giới
nhiều giờ liền Vài ngày sau, một sự kiện tương tự diễn ra một trong các nạn nhân mới là
hãng tin CNN, amazon.com, buy.com, Zdnet.com, E-trade.com, Ebay.com Tất cả các nạn
nhân là những gã khổng lồ trên internet thuộc nhiều lĩnh vực khác nhau Theo Yankke
Group, tổng thiệt hại do cuộc tấn công lên đến 1.2 triệu USD
Về mặt kỹ thuật:
Dos/DDos tạo ra rất nhiều yêu cầu đến server làm cạn kiệt tài nguyên hệ thống khiến hệ
thống hoặc ngập lụt đường truyền, làm ngắt quãng quá trình cung cấp dịch vụ cho người
dùng hợp pháp, hoặc thậm chí khiến cả hệ thống ngừng hoạt động không thể đáp ứng các
yêu cầu của người dùng bình thường Trong tình trạng tạm dừng hoạt động không đúng
cách sẽ gây mất mát dữ liệu quan trọng của tổ chức như: giao dịch tài chính, rất khó có thể
khôi phục lại mất rất nhiều thời gian khôi phục lại dịch vụ của hệ thống
Trang 11Nhóm 11.N6- 11 | 20
PHẦN II: CƠ SỞ LÝ THUYẾT
Tấn công mạng là gì?
Khái niệm tấn công mạng (hoặc “tấn công không gian mạng“) trong tiếng Anh là Cyber
attack (hoặc Cyberattack), được ghép bởi 2 từ: Cyber (thuộc không gian mạng internet)
và attack (sự tấn công, phá hoại)
Tấn công mạng là tất cả các hình thức xâm nhập trái phép vào một hệ thống máy tính,
website, cơ sở dữ liệu, hạ tầng mạng, thiết bị của một cá nhân hoặc tổ chức thông qua
mạng internet với những mục đích bất hợp pháp
Mục tiêu của một cuộc tấn công mạng rất đa dạng, có thể là vi phạm dữ liệu (đánh cắp, thay
đổi, mã hóa, phá hủy), cũng có thể nhắm tới sự toàn vẹn của hệ thống (gây gián đoạn, cản
trở dịch vụ), hoặc lợi dụng tài nguyên của nạn nhân (hiển thị quảng cáo, mã độc đào tiền
ảo)
Trang 12Nhóm 11.N6- 12 | 20
Phần III KỸ THUẬT TẤN CÔNG DDOS
3.1 Khái niệm kỹ thuật tấn công DDoS
Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service) là kiểu tấn công
làm hệ thống máy tính hay hệ thống mạng quá tải, gây ngắt quãng dịch vụ cung cấp cho
người dùng hoặc phải dừng hoạt động bằng cách làm cạn kiệt các tài nguyên của máy chủ
dịch vụ, như thời gian xử lý của CPU, bộ nhớ, băng thông đĩa, cơ sở dữ liệu, song từ nhiều
nguồn tấn công khác nhau, phân tán trên mạng
3.2 Kiến trúc tổng quan của DDoS attack-network:
Kỹ thuật tấn công DDoS attack-network có hai mô hình chính:
• Mô hình Agent – Handler
• Mô hình IRC – Based
Dưới đây là sơ đồ chính phân loại các kiểu tấn công DDoS:
Hình 1 Sơ đồ chính phân loại các kiểu tấn công DDoS
Trang 13Nhóm 11.N6- 13 | 20
❖ Mô hình Agent – Handler:
Với mô hình Agent - Handler, attack-network gồm 3 thành phần: Agent, Client và Handler
• Client: là software cơ sở để hacker điều khiển mọi hoạt động của
attack-network
• Handler: là một thành phần software trung gian giữa Agent và Client
• Agent: là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển
từ Client thông qua các Handler
Attacker sẽ từ Client giao tiếp với Handler để xác định số lượng Agent đang online, điều
chỉnh thời điểm tấn công và cập nhật các Agent Tùy theo cách attacker cấu hình
attack-network, các Agent sẽ chịu sự quản lý của một hay nhiều Handler
Thông thường Attacker sẽ đặt Handler software trên một Router hay một server có lượng
traffic lưu thông nhiều Việc này nhằm làm cho các giao tiếp giữa Client, handler và Agent
khó bị phát hiện Các gia tiếp này thông thường xảy ra trên các protocol TCP, UDP hay
ICMP Chủ nhân thực sự của các Agent thông thường không hề hay biết họ bị lợi dụng vào
cuộc tấn công kiểu DDoS, do họ không đủ kiến thức hoặc các chương trình Backdoor Agent