Trình bày khái niệm, đặc điểm, phân loại, cơ chế hoạt động và cách phòng chống đối với tấn công từ chối dịch vụ (DOS)

Trình bày khái niệm, đặc điểm, phân loại, cơ chế hoạt động và cách phòng chống đối với tấn công từ chối dịch vụ (DOS) TRƯỜNG ĐẠI HỌC THƯƠNG MẠI HỌC PHẦN AN TOÀN VÀ BẢO MẬT THÔNG TIN ———— BÀI THẢO LUẬN Đề tài Trình bày khái niệm, đặc điểm, phân loại, cơ chế hoạt động và cách phòng chống đối với tấn công từ chối dịch v.

TRƯỜNG ĐẠI HỌC THƯƠNG MẠI

HỌC PHẦN AN TOÀN VÀ BẢO MẬT THÔNG TIN

————

BÀI THẢO LUẬN

Đề tài

Trình bày khái niệm, đặc điểm, phân loại, cơ chế hoạt động và cách

phòng chống đối với tấn công từ chối dịch vụ (DOS)

Giáo viên hướng dẫn: Nguyễn Thị Hội Lớp học phần: 2056eCIT0921

Nhóm: 01

Hà Nội - 2020

BẢNG ĐIỂM THÀNH VIÊN NHÓM 1

ST

T Họ và tên MSV Nhiệm vụ Điểm

1 Nguyễn Thục Hiền 18D140196 Thuyết trình A

2 Đinh Hoàng Anh (NT) 18D140001 Word, powerpoint A

3 Đoàn Thị Thùy Linh 18D140206 Khái niệm, đặc điểm, phân

4 Nguyễn Thị Thắm 18D140103 Cách phòng chống A

5 Trần Thị Thu Hằng 18D140014 Cơ chế hoạt động A

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

- Thời gian: 9h30 ngày 24 tháng 09 năm 2020

- Mục tiêu: Phân công nhiệm vụ

- Nội dung công việc:

 Nhóm trưởng Đinh Hoàng Anh thông báo đề tài của nhóm

 Các thành viên trong nhóm đưa ra sự phân tích của mình về đề tài

 Lập dàn ý cho bài thảo luận

 Nhóm trưởng phân chia nhiệm vụ cho các thành viên như sau:

- Thuyết trình: Nguyễn Thục Hiền

- Bản mềm Word và Power Point: Đinh Hoàng Anh

- Nội dung

1 Khái niệm, đặc điểm, phân loại: Đoàn Thị Thùy Linh

2 Cơ chế hoạt động: Trần Thị Thu Hằng

3 Cách phòng tránh: Nguyễn Thị Thắm

Buổi họp kết thúc vào lúc 10h cùng ngày

Hà Nội, ngày 24 tháng 09 năm 2020

Nhóm trưởngĐinh Hoàng Anh

MỤC LỤC

A Mở đầu 1

B Nội dung 3

1 Tổng quan về tấn công từ chối dịch vụ 3

1.1 Khái niệm 3

1.2 Phân loại 4

2 Cơ chế hoạt đông 5

2.1 Tấn công thông qua kết nối - SYN Flood Attack 5

2.2 Lợi dụng tài nguyên của nạn nhân để tấn công - Land Attack 8

2.3 Sử dụng Băng Thông 8

2.4 Sử dụng tài nguyên khác 10

3 Cách phòng chống 12

3.1 Phòng ngừa và ngăn chặn tấn cống DOS 12

3.2 Cách phòng chống tổng quát 14

3.3 Phương thức phòng chống tấn công từ chối dịch vụ 15

3.4 Cách phòng chống tấn công từ chối dịch vụ DDOS 16

3.5 Một số công cụ kỹ thuật phòng chống tấn công từ chối dịch vụ Dos/DDos 18

C Kết luận 19

Tài liệu tham khảo 20

A Mở đầu

Trong thời đại công nghệ thông tin như hiện nay, khi mà internet trở nên thânquen và dần trở thành một công cụ không thể thiếu trong cuộc sống thì lợi ích củawebsite đối với các cơ quan nhà nước nói chung, người dân và các doanh nghiệp là vôcùng lớn Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạphơn

Nếu một ngày website của bạn bỗng nhiên không thể truy cập được hoặc nhận ra

có một lượng traffic cực khủng đang xảy ra trên chính website của bạn, thì đó chính làdấu hiệu bạn đang trở thành đối tượng đang bị tấn công DOS Hiện tượng tấn côngDOS lên server các website là một vấn đề vô cùng nghiêm trọng

Cuộc tấn công DoS đầu tiên diễn ra vào năm 1996 và hãng Panix là nạn nhân.Panix, một trong những nhà cung cấp dịch vụ internet lâu đời nhất, đã bị tấn công bởiSYN, một kỹ thuật tấn công DoS cổ điển Từ đó tới nay, vô số các cuộc tấn công DoS,DoS đã diễn ra với quy mô ngày càng lớn Gần đây nhất, Amazon Web Services(AWS), dịch vụ điện toán đám mây lớn nhất thế giới hiện tại, đã bị tấn công DoS vàotháng 02/2020 Đây là cuộc tấn công DoS nghiêm trọng nhất trong lịch sử và nhắmvào một khách hàng của AWS Dựa vào kỹ thuật CLDAP, kẻ tấn công đã khuếch đạilượng dữ liệu được gửi tới địa chỉ IP của nạn nhân lên từ 56 tới 70 lần Cuộc tấn côngkéo dài trong 3 ngày và lúc đỉnh điểm lưu lượng tấn công đạt 2.3Tbps, một con sốkhủng khiếp.May mắn là Amazon đã có những biện pháp ngăn chặn để giảm thiểuthiệt hại tới mức thấp nhất Tuy nhiên, quy mô của cuộc tấn công có thể khiến cáckhách hàng suy nghĩ lại về việc chọn lựa AWS ảnh hưởng tới doanh thu của Amazonsau này

Theo Cisco, các cuộc tấn công DoS sẽ xuất hiện ngày càng nhiều Dự đoán, số vụtấn công DoS sẽ tăng gấp đôi, từ con số 7,9 triệu vụ được phát hiện vào năm 2018 tớihơn 15 triệu vụ trong năm 2023 Ngày nay, quy mô các vụ DoS ngày càng tăng dohacker có điều kiện tạo ra các mạng botnet lớn chưa từng thấy Botnet là "đội quân"các thiết bị được sử dụng để tạo ra lưu lượng truy cập phục vụ việc tấn công DoS.Botnet có thể được tạo ra bằng cách hack thiết bị của người dùng

Internet càng phát triển, nguy cơ bạn trở thành đối tượng tấn công của DOS càngcao Dựa vào các trường hợp đã xảy ra, những cuộc tấn công này ngày càng được mởrộng cả về quy mô lẫn mức độ thiệt hại Bên cạnh những ảnh hưởng xấu đến các

website, nó còn để lại hậu quả nặng nề cho các doanh nghiệp về kinh doanh, lợi nhuận,

và uy tín Do đó, tấn công DOS là chủ đề đang được rất nhiều người dùng và doanhnghiệp quan tâm

Nhận thấy tính cấp thiết của đề tài, sau đây, nhóm chúng em xin được trình bày

về khái niệm, đặc điểm, phân loại, cơ chế hoạt động và cách phòng chống đối với tấncông từ chối dịch vụ (DOS)

Đối với các hệ thống bảo mật tốt, khó thâm nhập, tấn công từ chối dịch vụ đượchacker sử dụng như cú dứt điểm để triệt hạ hệ thống đó Tùy phương thức thực hiện

mà DoS được biết dưới nhiều tên gọi khác nhau: cổ điển nhất là kiểu DoS (Denial ofService) tấn công bằng cách lợi dụng sự yếu kém của giao thức TCP (TransmisionControl Protocol); sau đó là DDoS (Distributed Denial of Service) - tấn công từ chốidịch vụ phân tán; mới nhất là tấn công từ chối dịch vụ theo phương pháp phản xạDRDoS (Distributed Reflection Denial of Service)

 Mục đích và đặc điểm

o Mục đích:

- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó

hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho ngườidùng bình thương

- Cố gắng làm ngắt kết nối giữa hai máy và ngăn chặn quá trình truy cập vào dịchvụ

- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó

- Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào

- Phá hoại hoặc thay đổi các thông tin cấu hình

- Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hòa,

o Đặc điểm:

Đặc điểm duy nhất của tấn công từ chối dịch vụ là cuộc tấn công này không lấymất đi thông tin của hệ thống, nó thường chỉ gây ra sự tê liệt của hệ thống không hoạtđộng được và đôi khi là có sự hỏng hóc, hoặc phá hoại thông tin có trên hệ thốngphục vụ khách hàng Nhưng vì mục tiêu của tấn công từ chối dịch vụ là các hệ thốngphục vụ khách hàng nên việc ngừng hoạt động trong một thời gian nhất định của hệthống thường gây ra các thiệt hại không thể ước tính chính xác được

1.2 Phân loại

 Tấn công từ chối dịch vụ cổ điển DoS (Denial of Service)

Tấn công từ chối dịch vụ cổ điển DoS (Denial of Service) là phương thức xuấthiện đầu tiên, giản đơn nhất trong kiểu tấn công từ chối dịch vụ Tấn công từ chối dịch

vụ DoS (Denial of Service) là tên gọi chung của kiểu tấn công làm cho một hệ thốngnào đó bị quá tải dẫn tới không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động Đây

là hình thức tấn công khá phổ biến hiện nay, nó khiến cho máy tính mục tiêu không thể

xử lý kịp các tác vụ và dẫn đến quá tải Nguyên nhân chính là do hàng loạt khách gửiyêu cầu đến máy chủ Khi đó, máy chủ không phản hồi được do nghẽn đường truyền Các cuộc tấn công DOS này thường nhắm vào các máy chủ ảo (VPS) hay WebServer của các doanh nghiệp lớn như ngân hàng, chính phủ hay là các trang thươngmại điện tử … hoặc hacker cũng có thể tấn công để “bỏ ghét”

Tấn công DOS thường chỉ được tấn công từ một địa điểm duy nhất, tức là nó sẽxuất phát tại một điểm và chỉ có một dải IP thôi Bạn có thể phát hiện và ngăn chặnđược

DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thểlàm gián đoạn các dịch vị mà hệ thống đó cung cấp

 Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service)

Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) là mộtdạng tấn công nhằm gây cạn kiện tài nguyên hệ thống máy chủ và làm ngập lưu lượngbăng thông Internet, khiến truy cập từ người dùng tới máy chủ bị ngắt quãng, truy cậpchập chờn, thậm chí không thể truy cập được internet, làm tê liệt hệ thống Hoặc thậmchí là cả một hệ thống mạng nội bộ

Kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính hoặc mạng máytính trung gian Từ nhiều nơi đồng loạt ào ạt các gói tin với số lượng rất lớn Mục đíchchiếm dụng tài nguyên, làm quá tải đường truyền của một mục tiêu xác định nào đó.Tấn công DDOS mạnh hơn DOS rất nhiều, điểm mạnh của hình thức này đó là

nó được phân tán từ nhiều dải IP khác nhau, chính vì thế người bị tấn công sẽ rất khóphát hiện để ngăn chặn được Hacker không chỉ sử dụng máy tính của họ để thực hiệnmột cuộc tấn công vào một trang web hay một hệ thống mạng nào đó, mà họ còn lợidùng hàng triệu máy tính khác để thực hiện việc này

 Tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS (DistributedReflection Denial of Service)

Tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS (DistributedReflection Denial of Service) là sự phối hợp giữa hai kiểu DoS và DDoS Xuất hiệnvào đầu năm 2002, là kiểu tấn công mới nhất, mạnh nhất trong họ DoS Mục tiêuchính của DRDoS là chiếm đoạt toàn bộ băng thông của máy chủ, tức là làm tắc nghẽnhoàn toàn đường kết nối từ máy chủ vào xương sống của Internet và tiêu hao tàinguyên máy chủ

Đây có lẽ là kiểu tấn công lợi hại nhất và làm boot máy tính của đối phươngnhanh gọn nhất Cách làm thì cũng tương tự như DDos nhưng thay vì tấn công bằngnhiều máy tính thì người tấn công chỉ cần dùng một máy tấn công thông qua các serverlớn trên thế giới Vẫn với phương pháp giả mạo địa chỉ IP của victim , kẻ tấn công sẽgởi các gói tin đến các server mạnh nhất, nhanh nhất và có đường truyền rộng nhấtnhư Yahoo,v.v… , các server này sẽ phản hồi các gói tin đó đến địa chỉ của victim.Việc cùng một lúc nhận được nhiều gói tin thông qua các server lớn này sẽ nhanhchóng làm nghẽn đường truyền của máy tính nạn nhân và làm crash , reboot máy tính

đó Cách tấn công này lợi hại ở chỗ chỉ cần một máy có kết nối Internet đơn giản vớiđường truyền bình thường cũng có thể đánh bật được hệ thống có đường truyền tốtnhất thế giới nếu như ta không kịp ngăn chặn

2 Cơ chế hoạt đông

2.1 Tấn công thông qua kết nối - SYN Flood Attack

- Được xem là một trong những kiểu tấn công DoS kinh điển nhất Lợi dụng sơ

hở của thủ tục TCP khi “bắt tay ba chiều”, mỗi khi client (máy khách) muốn thực hiệnkết nối (connection) với server (máy chủ) thì nó thực hiện việc bắt tay ba lần (three –ways handshake) thông qua các gói tin (packet)

Bước 1: Client (máy khách) sẽ gửi các gói tin (packet chứa SYN=1) đến máy

chủ để yêu cầu kết nối

Bước 2: Khi nhận được gói tin này, server sẽ gửi lại gói tin SYN/ACK để thông

báo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên cho việcyêu cầu này Server sẽ giành một phần tài nguyên hệ thống như bộ nhớ đệm (cache) đểnhận và truyền dữ liệu Ngoài ra, các thông tin khác của client như địa chỉ IP và cổng(port) cũng được ghi nhận

Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách hồi âm lại gói

tin chứa ACK cho server và tiến hành kết nối

- Do TCP là thủ tục tin cậy trong việc giao nhận (end – to - end) nên trong lần bắttay thứ hai, server gửi các gói tin SYN/ACK trả lời lại client mà không nhận lại đượchồi âm của client để thực hiện kết nối thì nó vẫn bảo lưu nguồn tài nguyên chuẩn bị kếtnối đó và lập lại việc gửi gói tin SYN/ACK cho client đến khi nào nhận được hồi đápcủa máy client

- Điểm mấu chốt là ở đây là làm cho client không hồi đáp cho Server Và có hàngnhiều, nhiều client như thế trong khi server vẫn “ngây thơ” lặp lại việc gửi packet đó

và giành tài nguyên để chờ “người về” trong lúc tài nguyên của hệ thống là có giới

hacker tấn công sẽ tìm cách để đạt đến giới hạn đó

- Nếu quá trình đó kéo dài, server sẽ nhanh chóng trở nên quá tải, dẫn đến tìnhtrạng crash (treo) nên các yêu cầu hợp lệ sẽ bị từ chối không thể đáp ứng được Có thểhình dung quá trình này cũng giống hư khi máy tính cá nhân (PC) hay bị “treo” khi mởcùng lúc quá nhiều chương trình cùng lúc vậy

- Thông thường, để giả địa chỉ IP gói tin, các hacker có thể dùng Raw Sockets(không phải gói tin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc của góitin Khi một gói tin SYN với IP giả mạo được gửi đến server, nó cũng như bao gói tinkhác, vẫn hợp lệ đối với server và server sẽ cấp vùng tài nguyên cho đường truyềnnày, đồng thời ghi nhận toàn bộ thông tin và gửi gói SYN/ACK ngược lạicho Client Vì địa chỉ IP của client là giả mạo nên sẽ không có client nào nhận đượcSYN/ACK packet này để hồi đáp cho máy chủ Sau một thời gian không nhận đượcgói tin ACK từ client, server nghĩ rằng gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, cứ như thế, các kết nối (connections) tiếp tục mở

- Nếu như kẻ tấn công tiếp tục gửi nhiều gói tin SYN đến server thì cuối cùngserver đã không thể tiếp nhận thêm kết nối nào nữa, dù đó là các yêu cầu kết nối hợp

lệ Việc không thể phục nữa cũng đồng nghĩa với việc máy chủ không tồn tại Việc

này cũng đồng nghĩa với xảy ra nhiều tổn thất do ngưng trệ hoạt động, đặc biệt làtrong các giao dịch thương mại điện tử trực tuyến.

- Đây không phải là kiểu tấn công bằng đường truyền cao, bởi vì chỉ cần mộtmáy tính nối internet qua ngã dial-up đơn giản cũng có thể tấn công kiểu này (tất nhiên

sẽ lâu hơn chút)

2.2 Lợi dụng tài nguyên của nạn nhân để tấn công - Land Attack

- Tương tự như SYN flood

- Nhưng hacker sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IPnguồn trong gói tin

- Đẩy mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nóUDP flood

- Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính mụctiêu cần tấn công hoặc của một máy tính trong cùng mạng

- Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi và nhận các góitin echo trên 2 máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấuhình cổng loopback), khiến cho 2 máy tính này dần dần sử dụng hết băng thôngcủa chúng, và cản trở hoạt động chia sẻ tài nguyên mạng của các máy tính kháctrong mạng

2.3 Sử dụng Băng Thông

DDoS (Distributed Denial of Service)

- Xuất hiện vào mùa thu 1999, so với tấn công DoS cổ điển, sức mạnh của DDoScao hơn gấp nhiều lần Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng

Để thực hiện thì kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính/mạngmáy tính trung gian (đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi ào ạt các góitin (packet) với số lượng rất lớn nhằm chiếm dụng tài nguyên và làm tràn ngập đườngtruyền của một mục tiêu xác định nào đó.

- Theo cách này thì dù băng thông có bao nhiêu đi chăng nữa thì cũng không thểchịu đựng được số lượng hàng triệu các gói tin đó nên hệ thống không thể hoạt độngđược nữa và như thế dẫn đến việc các yêu cầu hợp lệ khác không thể nào được đápứng, server sẽ bị “đá văng” khỏi internet

- Nói nôm na là nó giống như tình trạng kẹt xe vào giờ cao điểm vậy Ví dụ rõnhất là sự “cộng hưởng” trong lần truy cập điểm thi đại học vừa qua khi có quá nhiều

máy tính yêu cầu truy cập cùng lúc làm dung lượng đường truyền hiện tại của máy chủkhông tài nào đáp ứng nổi.

- Hiện nay, đã xuất hiện dạng virus/worm có khả năng thực hiện các cuộc tấncông DDoS.Khi bị lây nhiễm vào các máy khác, chúng sẽ tự động gửi các yêu cầuphục vụ đến một mục tiêu xác định nào đó vào thời điểm xác định để chiếm dụng băngthông hoặc tài nguyên hệ thống máy chủ Trường hợp của MyDoom là ví dụ tiêu biểucho kiểu này

2.4 Sử dụng tài nguyên khác

Smurf Attack

- Kiểu tấn công này cần một hệ thống rất quan trọng là mạng khuyếch đại

- Hacker dùng địa chỉ của máy tính cần tấn công để gửi gói tin ICMP echo cho toàn

bộ mạng (broadcast)