ĐỀ tài tìm hiểu về tấn công dos và DDoS và cách phòng chống

Cuộc tấn công này làm cho máy chủ của mộttrang web được kết nối với Internet "sập" bằng cách gửi một lượng lớn lưu lượng truycập đến nó - Trong cuộc tấn công DoS, khác với DDoS thì DoS c

TRƯỜNG ĐẠI HỌC ĐIỆN LỰC KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO CHUYÊN ĐỀ MÔN: MẠNG MÁY TÍNH

ĐỀ TÀI:

Tìm hiểu về tấn công DoS và DDoS và cách phòng chống

Sinh viên thực hiện Giảng viên hướng dẫn Khoa

Chuyên ngành Lớp

Khóa

: NGUYỄN ĐỨC MINH : PHẠM QUANG HUY : CÔNG NGHỆ THÔNG TIN : CÔNG NGHỆ PHẦN MỀM : D15QTANM

Sinh viên thực hiện:

MỤC LỤC

CHƯƠNG 1: GIỚI THIỆU VỀ DDoS và DoS

1 Giới thiệu về DDoS và DoS: 1

1.1 khái niệm về DDoS và DoS: 1

1.1.1 DDoS: 1

1.1.2: DoS: 2

1.2: Sự khác biệt giữa tấn công DoS và DDoS 3

1.3: Tác hại của DDoS và DoS 5

CHƯƠNG 2: Các kỹ thuật tấn công DoS và ĐDoS 6

2.1: Tấn công DoS: 6

2.1.1 Tấn công tràn bộ đệm (Buffer overflow) 6

2.1.2 Tấn công gây lụt bằng gói tin IMCP (IMCP flood) 7

2.1.3 Tấn công Teardrop Attack 9

2.2 Tấn công DDoS 10

2.2.1 Tấn công Volumetic (tấn công băng thông) 10

2.2.2 Tấn công Fragmention Attack (phân mảnh dữ liệu) 11

2.2.3 Application Layer Attack (Khia thác lỗ hổng trong các ứng dụng) 12

2.3 Một số công cụ tấn công DoS và DDoS 13

2.3.1 LOIC (Low Orbit Ion Canon) 13

2.3.2 Công cụ tấn công XOIC: 14

2.3.3 Công cụ tấn công Tor’s Hammer: 14

2.3.4 Công cụ tấn công DDOSIM – Layer 7 DDoS Simulator: 15

CHƯƠNG 3: CÁCH PHÒNG CHỐNG 16

CÁC CUỘC TẤN CÔNG DDOS VÀ DOS 16

1 Nhận biết các cuộc tấn công DoS và DDoS 16

2 Cách phòng tránh khi bị tấn công: 16

KẾT LUẬN 18

TIEU LUAN MOI download : skknchat123@gmail.com

3 HTTP HyperText Transfer Protocol Giao thức truyền tải siêu

văn bản

4 HTTPS HyperText Transfer Protocol Giao thức truyền tải siêu

Internet Control Message Giao thức xử lý các

Protocol

IP

10 UDP User Datagram Protocol Là một trong những giaothức cốt lõi của giao

thức TCP/IP

11 URL Uniform Resource Identifier

Mã nhận dạng tài nguyên

thống nhất

LỜ̀I MỞ ĐẦU

Ngày nay, mạng Internet đang phát triển và mở trộng Các cổng thông tinđiện tử, dịch vụ mạng có thể là sự sống còn của cá nhân, tổ chức lớn nhỏ trêntoàn thế giới Vi vậy, việc những hệ thống đó bị quá tải, không truy cập đượctrong một khoảng thời gian có thể gây ra tổn thất không nhỏ Từ vấn đề thực tếtrên kiểu tấn công từ chối dịch vụ phân tán, DDoS (Distributed Denial OfService) và DoS (Denial of Service) đã xuất hiện rất sớm, những năm 90 của thế

kỷ 20 Kiểu tấn công này làm cạn kiệt tài nguyên của hệ thống Người quản trị,người sử dụng không thể truy cập được hệ thống thông tin

Trong những năm qua, không chỉ Việt Nam mà cả thế giới, các cuộc tấncông DDoS và DoS liên tục diễn ra Những cuộc tấn công này với nhiều mụcđích khác nhau: kinh tế, cá nhân, thậm chí mang cả màu sắc chính trị Do vậy,nghiên cứu DDoS và DoS không bao giờ là cũ, mà luôn phải cập nhật cùng vớicác thiết bị, kỹ thuật công nghệ thông tin mới Từ những vấn đề thực tiễn trên,căn cứ vào lý thuyết về an ninh an toàn của hệ thống thông tin, đề tài sẽ trìnhbày về các vấn đề chung về DDoS và DoS, các kỹ thuật tấn công cơ bản và các

kỹ thuật mới, các giải pháp phòng, chống DDoS và DoS hiệu quả

1TIEU LUAN MOI download : skknchat123@gmail.com

CHƯƠNG 1: GIỚI THIỆU VỀ DDoS và DoS

1 Giới thiệu về DDoS và DoS:

1.1 khái niệm về DDoS và DoS:

1.1.1 DDoS:

- DDoS (Distributed Denial of Service), nghĩa tiếng Việt là từ chối dịch vụ phântán Mục đích của DDoS là nỗ lực làm sập một dịch vụ trực tuyến bằng cáchlàm tràn ngập nó với traffic từ nhiều nguồn

Hình 1.1.1: Mô hình minh họa một cuộc tấn công DDoS

- Nguyên tắc của DDoS là làm tràn ngập lưu lượng lên máy tính của nạn nhânnhưng nó cũng có một số mặt khác Tuy nhiên trong DDos, nhiều hệ thống tấn công

hệ thống nạn nhân PC bị nhắm mục tiêu được load từ gói dữ liệu gửi từ nhiều vị trí.Tấn công DDoS nhanh hơn tấn công DoS Rất khó để ngăn chặn cuộc tấn công này vìnhiều thiết bị đang gửi gói tin và tấn công từ nhiều vị trí Trong cuộc tấn công DDoS,nhiều bot được sử dụng để tấn công cùng một lúc Các cuộc tấn công DDoS rất khótheo dõi Các cuộc tấn công DDoS cho phép kẻ tấn công gửi một lượng lớn lưu lượngtruy cập đến mạng nạn nhân

- Hacker sẽ chiếm dụng một lượng lớn tài nguyên trên server, tài nguyên có thể

các yêu cầu khác từ các clients của những người dùng bình thường và có thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot.

- Mặc dù DDoS cung cấp một chế độ tấn công ít phức tạp hơn các dạng tấn côngkhác nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn

- Các cuộc tấn công DDoS rất khó có thể ngăn chặn và theo dõi

1.1.2: DoS:

- DoS (Denial of Service) được gọi là tấn công dịch vụ, có thể mô tả như là mộtcuộc tấn công nhằm làm sập một máy chủ hoặc mạng, khiến người dùng khác khôngthể truy cập vào máy chủ/mạng đó

- Nguyên tắc của tấn công DoS là một máy tính gửi một lượng lớn lưu lượngtruy cập đến máy tính của nạn nhân và đánh "sập" nó Tấn công DoS là một cuộc tấncông trực tuyến được sử dụng để làm cho trang web không khả dụng với người dùng,khi được thực hiện trên một trang web Cuộc tấn công này làm cho máy chủ của mộttrang web được kết nối với Internet "sập" bằng cách gửi một lượng lớn lưu lượng truycập đến nó

- Trong cuộc tấn công DoS, khác với DDoS thì DoS chỉ sử dụng một hệ thống nhắm mục tiêu vào hệ thống nạn nhân PC bị nhắm mục tiêu được load từ gói dữ liệu gửi từ một vị trí duy nhất Có thể bị chặn dễ dàng vì chỉ sử dụng một hệ thống Trong cuộc tấn công DoS, chỉ một thiết bị duy nhất được sử dụng với các công cụ tấn công DoS Các cuộc tấn công DoS rất dễ theo dõi Lưu lượng truy cập trong cuộc tấn công DoS ít hơn so với DDoS và nạn nhân thường là máy chủ web của các tổ chức cấp cao như là ngân hàng, doanh nghiệp thương mại, công ty truyền thông, các trang báo, mạng xã hội…

Hình 1.12: Mô hình minh họa tấn công DoS

2TIEU LUAN MOI download : skknchat123@gmail.com

1.2: Sự khác biệt giữa tấn công DoS và DDoS

Hình 1.2: Sự khác biệt giữa tấn công DoS và DDoSTấn công DoS nghĩa là một máy tính gửi một lượng lón truy cấp đến máytính của nạn nhân và đánh “sập” nó Tấn công DoS là một cuộc tấn công trựctuyến được sử dụng để làm cho trang web không khả dụng với người dùng, khiđược thực hiện trên một trang web Cuộc tấn công nay làm cho máy chủ củamột trang web được kết nối với internet “sập” bằng cách gửi một lượng lớn lưulượng truy cập đến nó Còn trong cuộc tấn công DDoS, các cuộc tấn công đượcthực hiện từ nhiều địa điểm khác nhau bằng cách sử dụng nhiều hệ thống

Sự khác nhau của DoS và DDoS được thể hiện ở những đặc điểm sau:

Chỉ một hệ thống nhắm mục tiêu vào Nhiều hệ thống tấn công cùng một

hệ thống của nạn nhân lúc vào hệ thống của nạn nhân.Tấn công DoS chậm hơn so với DDoS Tấn công DDoS nhanh hơn tấn công

DoS

Có thể ngăn chặn dễ dàng vì chỉ sử Rất khó để ngăn chặn vì nhiều thiếtdụng một hệ thống bị đang gửi gói tin và tấn công từ

nhiều vị trí

Trong cuộc tấn công DoS, chỉ một thiết Trong cuộc tấn công DDoS, nhiều

bị duy nhất được sử dụng với các công bot được sử dụng để tấn công cùng

Lưu lượng truy cập trong cuộc tấn công Cho phép kẻ tấn công gửi một lưuDoS ít hơn so với DDoS lượng lớn truy cập đến mạng nạn

nhân

Các loại tấn công DoS: Các loại tấn công DDoS:

1 Tấn công tràn bộ đệm 1 Tấn công Volumetric (Tấn công

2 Tấn công Ping of Death hoặc ICMP băng thông)

3 Tấn công Teardrop Attack (Phân mảnh dữ liệu)

3.Application Layer Attack (Khaithác lỗ hổng trong các ứng dụng)

4

TIEU LUAN MOI download : skknchat123@gmail.com

1.3: Tác hại của DDoS và DoS

Những hậu quả điển hình mà DDoS và DoS có thể gây ra:

- Hệ thống, máy chủ bị DoS sẽ sập khiến người dùng không truy cập được

- Doanh nghiệp sở hữu máy chủ, hệ thống sẽ bị mất doanh thu, bên cạnh đó phảitrả một khoản chi phí cần phải bỏ ra để khắc phục sự cố

- Khi mạng sập, mọi công việc yêu cầu mạng đều không thể thực hiện, làm gián đoạn công việc, ảnh hưởng đến hiệu suất công việc của công ty bị tấn công

- Nếu người dùng truy cập website khi bị sập sẽ ảnh hưởng đến danh tiếng củacông ty, nếu website sập trong một thời gian dài thì có thể người dùng sẽ bỏ đi, lựachọn dịch vụ khác để thay thế

- Đối với những vụ tấn công DDoS kỹ thuật cao có thể dẫn đến việc lấy trộm các dự liệu quan trong của công ty và các thông tin khách hàng quan trọng

5TIEU LUAN MOI download : skknchat123@gmail.com

Chương 2: Các kỹ thuật tấn công DoS và ĐDoS2.1: Tấn công DoS:

Trong các cuộc tấn công DoS, thường xảy ra 3 loại tấn công đó là:

- Tấn công tràn bộ đệm (Buffer overflow)

- Tấn công gây lụt bằng gói tin ICMP(ICMP flood)

- Tấn công Teardrop Attack

2.1.1 Tấn công tràn bộ đệm (Buffer overflow)

- Buffer (bộ đệm dữ liệu) là vùng lưu trữ dữ liệu tạm thời trong khi chờ đểđược chuyển đến vị trí khác Buffer Overflow (hay Buffer Overrun) sẽ xảy ra khi khốilượng dữ liệu vượt quá khả năng lưu trữ của buffer Do đó, khi chương trình cố gắngghi dữ liệu vào trong buffer, nó sẽ ghi đè lên các bộ nhớ liền kề khác

+ Ví dụ, một buffer lưu trữ thông tin đăng nhập có thể được thiết kế saocho input username và password là 8 byte Do đó, với các transaction (thao tác giaodịch dữ liệu) có input đến 10 byte, chương trình có thể ghi dữ liệu thừa (2 byte) vượtquá giới hạn của buffer

Hình 2.1.1: Minh họa cách thức của tấn công tràn bộ đệm

- Hiện tượng Buffer Overflow có thể gây ra ảnh hưởng xấu đến tất cả các loạiphần mềm Nguyên nhân thường là do input không đúng định dạng, hoặc không gianlưu trữ không được phân bổ đủ cho buffer Nếu transaction ghi đè lên các executablecode (mã thực thi), chương trình có thể hoạt động không chính xác, đưa ra kết quả sai,crash Bên cạnh đó còn có thể dẫn đến nhiều lỗi truy cập bộ nhớ khác

- Các hacker khai thác Buffer Overflow attack bằng cách ghi đè bộ nhớ của cácứng dụng Việc này sẽ làm thay đổi execution path của chương trình, trigger mộtresponse làm ảnh hưởng xấu đến các file trên hệ thống Hoặc thậm chí là làm lộ thôngtin cá nhân của người dùng

- Các hacker khai thác Buffer Overflow attack bằng cách cố tình đưa một inputvào chương trình, làm cho chương trình lưu trữ input đó vào một buffer không đủ bộnhớ Từ đó ghi đè lên các phần bộ nhớ được kết nối với buffer

Một số loại hình Butter Overflow attack hiện nay gồm có:

+ Stack Overflow Attack: Đây là loại hình tấn công phổ biến nhất, liên

+ Heap Overflow Attack: Mục đích nhắm vào dữ liệu ở trong một vùng

bộ nhớ mở, được gọi là heap

+ Interger Overflow Attack: Hiện tượng này xảy ra khi thực hiện một

phép toán đưa ra kết quả là một số nguyên quá lớn, do đó kiểu dữ liệu số nguyên(interger) không thể lưu trữ được Từ đó dẫn đến Buffer Overflow

2.1.2 Tấn công gây lụt bằng gói tin IMCP (IMCP flood)

- Tấn công gây lụt ICMP nhắm vào một thiết bị được định cấu hình sai trênmạng đích, buộc máy phải phân phối các gói tin giả cho mỗi nút (máy tính) trên mạngđích thay vì một nút duy nhất, do đó làm cho mạng bị quá tải

Hình 2.1.1: minh họa một cuộc tấn công ICMP flood

7TIEU LUAN MOI download : skknchat123@gmail.com

2.1.2.1 Ping of Death (PoD):

- Ping là một công cụ mạng được sử dụng để kiểm tra mạng Ping gửi các góitin ICMP để thực hiện kiểm tra mạng Theo mặc định kích thước của gói tin ICMP là

56 byte đủ nhỏ để không ảnh hưởng tới hệ thống mạng và kích cỡ tối đa của gói tin là(65535 byte) Lợi dụng kích thước của gói tin có thể thay đổi được cách tấn công nàygửi một gói tin với kích thước lớn nhất có thể Khi gửi trên đường truyền mạng, nó sẽđược phân mảnh ra để phù hợp với đường truyền và gửi tới server Việc gửi các góitin lớn hơn kích thước mà server có thể xử lý dẫn đến việc reboot hoặc crash server

Hình 2.1.2.1: Minh họa của tấn công PoD

- Các cuộc tấn công PoD khai thác những điểm yếu cũ có thể đã được vá trongnhững hệ thống mục tiêu Tuy nhiên, trong một hệ thống chưa được vá lỗi, cuộc tấncông vẫn có thể diễn ra và trở nên rất nguy hiểm Gần đây, một kiểu tấn công PoDmới đã trở nên phổ biến Trong cuộc tấn công này, thường được gọi là Ping flood, hệthống được nhắm mục tiêu bị tấn công với các gói ICMP được gửi nhanh chóng quaping mà không cần chờ trả lời

2.1.2.2 Smurf attack:

- Kỹ thuật tấn công này được gọi là giả mạo địa chỉ IP Kiểu tấn công nay gửimột lượng lớn gói tin ICMP với source IP được thay thế bằng IP của nạn nhân tới IPbroadcast Trong thiết kế của hầu hết các thiết bị mạng mặc định sẽ phản hồi bằngcách gửi gói tin hồi đáp đến source IP Đây là một kiểu tấn công khuếch đại và rấthiệu quả trong quá khứ vì không yêu cầu nhiều tài nguyên của kẻ tấn công mà sửdụng tài nguyên của cửa người khác

- Smurf Attack khai thác giao thức Internet (IP) và ICMP (Internet ControlMessage Protocol) sử dụng một chương trình phần mềm độc hại gọi là smurf Nó giảmạo một địa chỉ IP và sử dụng ICMP, sau đó ping các địa chỉ IP trên một mạng nhấtđịnh.

Hình 2.1.2.1: Minh họa của tấn ccoong Smuft attack

2.1.3 Tấn công Teardrop Attack

- Teardrop hoạt động bằng cách gửi các gói bị phân mảnh đến một máy mục tiêu.Đó là loại tấn công từ chối dịch vụ(DoS) làm tràn ngập máy với dữ liệu không đầy đủ để nạn nhân bị sập

Hình 2.1.3: minh họa của tấn công Teardrop Attack

- Trong Teardrop Attack, các gói bị phân mảnh được gửi đến máy mục tiêu, cóbản chất lỗi và máy nạn nhân không thể tập hợp lại các gói đó do lỗi trong phân

9TIEU LUAN MOI download : skknchat123@gmail.com

mảnh TCP/IP Bằng cách này, các gói tin tiếp tục được tích lũy trên máy nạn nhân và cuối cùng do tràn bộ đệm, máy mục tiêu bị sập.

- Tấn công giọt nước mắt và bù đắp mảnh vỡ: Khi một lượng lớn dữ liệu đượcgửi qua internet, dữ liệu sẽ được chia thành các phần nhỏ hơn Mỗi đoạn này đượcgán một số Khi chúng đến đầu nhận, các đoạn này được sắp xếp lại để tái tạo dữ liệuhoặc thông điệp ban đầu.Để xác định trình tự sắp xếp của các đoạn, trường bù đoạnlưu giữ thông tin cần thiết mà máy mục tiêu sắp xếp lại trình tự

- Tuy nhiên, trong Teardrop Attack, trường bù đắp mảnh vỡ do hacker tạo ralỗi nên máy của nạn nhân không thể tìm thấy các mảnh vỡ tương đối Vì vậy, như têncho thấy, các gói tin lỗi tiếp tục tích tụ ở phía nạn nhân như những giọt nước mắt vàcuối cùng nó dẫn đến sự cố máy

2.2 Tấn công DDoS

Tấn công DDoS có 3 loại tấn công phổ biến đó là:

- Tấn công Volumetic (tấn công băng thông)

- Tấn công Fragmentation Attack (phân mảnh dữ liệu)

- Application Layer Attack (Khai thác lỗ hổng trong các ứng dụng)

2.2.1 Tấn công Volumetic (tấn công băng thông)

- Volumetric DDoS Attack được thiết kế để áp đảo dung lượng mạng nội bộbằng khối lượng lớn lưu lượng độc hại Các cuộc tấn công DDoS này cố gắng tiêu thụbăng thông trong mạng/dịch vụ mục tiêu hoặc giữa mạng/dịch vụ mục tiêu và phần

còn lại của Internet.

Hình 2.2.1: Minh họa của tấn công volumeticVolumetic thường có những kiểu tấn công như sau:

- Các cuộc tấn công Volumetric DDoS Attack thường được thực hiện nhắmvào một mục tiêu cụ thể, thường là các dịch vụ quan trọng của nhà cung cấp dịch vụ(SP) hoặc khách hàng doanh nghiệp

- Những kẻ tấn công với kỹ năng cao có xu hướng kết hợp các cuộc tấn côngVolumetric DDoS Attack với các cuộc tấn công lớp ứng dụng (Application Layer

- Các kiểu tấn công DDoS này lợi dụng những service dễ bị tấn công, nhưmemcached, NTP, DNS và SSDP, khởi chạy các truy vấn giả mạo, sẽ làm tràn ngậpđích đến với các reply packet (gói yêu cầu phản hồi) lớn, lấp đầy những liên kết vànhiều trường hợp dẫn đến cơ sở hạ tầng mạng mục tiêu bị sập.

- Các kiểu tấn công Volumetric DDoS Attack bao gồm ICMP Flood, IP/ICMP Fragmentation, IPSec Flood, UDP Flood và Reflection Amplification Attack

2.2.2 Tấn công Fragmention Attack (phân mảnh dữ liệu)

Fragmention Attack về cơ bản là một tập hợp các lỗ hổng bảo mật được pháthiện và công bố đồng loạt Ba trong số đó là lỗi trong cấu trúc thiết kế của chínhWiFi và ảnh hưởng đến hầu hết các thiết bị có hỗ trợ công nghệ kết nối này.Ngoài ra, các nhà nghiên cứu cũng đã phát hiện ra nhiều lỗi lập trình tồn tạitrong các sản phẩm Wi-Fi Những lỗ hổng này thậm chí còn dễ bị tác nhân độchại lạm dụng hơn so với các lỗi thiết kế nằm trong bản thân công nghệ WiFi

Hình 2.2.2: Minh họa của tấn công Fragmention Attack

-Kẻ tấn công có thể sử dụng FragAttack theo một trong 2 cách sau:

+ FragAttacks có thể được sử dụng để lấy cắp dữ liệu từ mạng WiFi cần được

mã hóa và bảo vệ trước một cuộc tấn công kiểu như vậy (Các trang web và ứng dụng

sử dụng HTTPS hoặc một loại mã hóa an toàn nào đó có thể bảo vệ chống lại hìnhthức tấn công này Tuy nhiên, nếu người dùng đang gửi dữ liệu không được mã hóaqua kết nối WiFi, hacker có thể lạm dụng FragAttack để vượt qua mã hóa WiFi vàđánh cắp dữ liệu)

+ FragAttacks có thể được sử dụng để thực hiện các cuộc tấn công nhắm vàonhững thiết bị dễ bị tấn công khác đang cùng kết nối trên một mạng WiFi Trên thực

tế, rất nhiều thiết bị IoT và nhà thông minh không thường xuyên nhận được bản cậpnhật Một phích cắm thông minh rẻ tiền hoặc bóng đèn thông minh từ một thươnghiệu không rõ nguồn gốc có thể dễ dàng bị tấn công Về lý thuyết, điều này khôngthành vấn đề vì thiết bị đó nằm trên một mạng gia đình đáng tin

11TIEU LUAN MOI download : skknchat123@gmail.com