+ Các mối đe dọa ngẫu nhiên: do con người gây ra như vô tình đánh mất các thiết bị phần cứng điện thoại, máy tính xách tay,..., vô tình tiết lộ thông tin, vô tình làm hỏng hóc dữ liệu, c
Trang 1TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HTTT KINH TẾ VÀ THƯƠNG MẠI ĐIỆN TỬ
BÀI THẢO LUẬN
ĐỀ TÀI: TRÌNH BÀY KHÁI NIỆM, ĐẶC ĐIỂM, PHÂN LOẠI VÀ CÁCH PHÒNG CHỐNG ĐỐI VỚI TẤN CÔNG
TỪ CHỐI DỊCH VỤ (DENIAL OF SERVICE - DOS)
Hà Nội, năm 2022
Nhóm thực hiện Lớp HP
Giảng viên giảng dạy
: 09 : 2241eCIT0921
: Trần Thị Nhung
Trang 2MỤC LỤC
MỞ ĐẦU 3
CHƯƠNG I TỔNG QUAN VỀ MỐI ĐE DỌA 4
1.1 Khái niệm 4
1.2 Các mối đe dọa 4
1.2.1 Mối đe dọa từ các thiết bị phần cứng 4
1.2.2 Mối đe dọa từ phần mềm 4
1.2.3 Mối đe dọa về con người 5
CHƯƠNG II TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS 6
2.1 Khái quát chung 6
2.1.1 Khái niệm Tấn công từ chối dịch vụ (DoS) 6
2.1.2 Mục tiêu của tấn công từ chối dịch vụ DoS 6
2.2 Đặc điểm của tấn công từ chối dịch vụ 6
2.3 Các loại tấn công từ chối dịch vụ DoS 7
2.3.1 Tấn công từ chối dịch vụ cổ điển DoS ( khái niệm, các cách thức tấn công) 7 2.3.2 Tấn công từ chối dịch vụ phân tán DDoS ( khái niệm, các cách thức tấn công) 11
2.3.3 Tấn công từ chối dịch vụ theo phương pháp phản xạ RDoS ( khái niệm, các cách thức tấn công) 15
2.4 Một số cuộc tấn công từ chối dịch vụ DOS trên thế giới và Việt Nam 18
2.4.1 Thế giới 18
2.4.2 Việt Nam 20
CHƯƠNG III BIỆN PHÁP PHÒNG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS 25
3.1 Các bước phòng chống tấn công từ chối dịch vụ DoS 25
3.2 Liên hệ: Biện pháp phòng chống của Microsoft 28
TÀI LIỆU THAM KHẢO 31
Trang 3BẢNG PHÂN CHIA CÔNG VIỆC
31 Vũ Thị Loan Tổng quan về Mối đe dọa, Khái niệm Tấn
công từ chối dịch vụ
32 Trần Thị Lụa Biện pháp phòng chống tấn công từ chối
dịch vụ DoS, Word
34 Vũ Thị Trà My Khái niệm và cách thức tấn công DoS
41 Nguyễn Hoài Ngọc Một số cuộc tấn công từ chối dịch vụ DoS ở
Việt Nam, Word, Mở đầu, Kết luận
46 Tô Thị Mai Quy Biện pháp phòng chống tấn công từ chối
dịch vụ DoS, Powerpoint, Thuyết trình
Trang 4MỞ ĐẦU
Ngày nay, mạng Internet đang phát triển và mở rộng trên phạm vi toàn thế giới Các cổng thông tin điện tử, dịch vụ mạng có thể là sự sống còn của cá nhân, tổ chức Việc những hệ thống đó bị quá tải, không truy cập được trong một khoảng thời gian có thể gây
ra tổn thất không nhỏ Nếu một ngày website của bạn bỗng nhiên không thể truy cập được hoặc nhận ra có một lượng traffic cực khủng đang xảy ra trên chính website của bạn, thì
đó chính là dấu hiệu bạn đang trở thành đối tượng đang bị tấn công DoS Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân Thủ đoạn phổ biến nhất là từ máy của hacker gửi đồng loạt một lượng lớn request là yêu cầu truy cập tới máy chủ; làm cho máy chủ của Website
bị quá tải, không thể hiển thị kết quả hoặc tốn rất nhiều thời gian để gửi lại phản hồi Ngày nay, quy mô các vụ DoS ngày càng tăng do hacker có điều kiện tạo ra các mạng botnet lớn chưa từng thấy Internet phát triển, nguy cơ trở thành đối tượng tấn công của DoS ngày càng cao, gây thiệt hại nặng nề cho các doanh nghiệp về kinh doanh, lợi nhuận, và về uy tín Do đó, tấn công từ chối dịch vụ (Denial of Service) là chủ đề đang được rất nhiều người dùng và doanh nghiệp quan tâm Nhận thấy tính cấp thiết của đề tài, nhóm chúng em thực hiện đề tài “ Trình bày khái niệm, đặc điểm, phân loại và cách phòng chống đối với tấn công từ chối dịch vụ (Denial of Service - DoS)” để tìm hiểu chi tiết hơn về tấn công từ chối dịch vụ
Trang 5CHƯƠNG I TỔNG QUAN VỀ MỐI ĐE DỌA 1.1 Khái niệm
Mối đe dọa (Threat): Là bất kì một hành động nào có thể gây hư hại tới tài nguyên của
hệ thống (phần cứng, phần mềm, cơ sở dữ liệu, các file, dữ liệu hoặc hạ tầng mạng vật lý…)
Điểm yếu(weakness): Là một lỗi hoặc một khiếm khuyết tồn tại trong hệ thống
Lỗ hổng(vulnerability): Là bất kỳ điểm yếu nào trong hệ thống cho phép mối đe dọa
có thể gây ra tác hại
1.2 Các mối đe dọa
1.2.1 Mối đe dọa từ các thiết bị phần cứng
Mối đe dọa từ các thiết bị phần cứng là mối đe dọa xuất hiện từ các thiết bị phần cứng hoặc các thiết bị vật lý trong hệ thống thông tin của tổ chức bao gồm:
+ Các máy tính: hỏng phần cứng dẫn đến việc truy cập dữ liệu khó khăn
+ Các thiết bị truyền thông: bộ phát wifi bị hỏng dẫn đến không kết nối được, gián đoạn truyền dữ liệu
+ Các thiết bị công nghệ: Thiết bị công nghệ hỏng hóc khiến cho dữ liệu bị lỗi hoặc mất mát dữ liệu
+ Các thiết bị lưu trữ: Khi ổ C bị hỏng hoặc có vấn đề dẫn đến việc mất dữ liệu + Các thiết bị nội thất, các hệ thống đánh giá, v.v
+ Các loại thẻ thanh toán, các loại cổ phiếu, thẻ ghi nợ, dữ liệu cá nhân lưu trữ trên giấy, điện thoại cá nhân
1.2.2 Mối đe dọa từ phần mềm
Phức tạp hơn các mối đe dọa từ phần cứng
❖ Các phần mềm độc hại hiện nay
Virus lây nhiễm: là các chương trình lây nhiễm các chương trình khác bằng cách thêm vào đó một mã chương trình có được quyền truy cập vào một tập tin nhằm gây hại hay làm chúng bị nhiễm
Virus thư điện tử: Người dùng nhấp đúp vào tệp đính kèm trong các thư điện tử, làm kích hoạt một mã độc có khả năng tự gửi thư cho người dùng khác từ máy tính đó Một virus thư điện tử có thể lây nhiễm cho người dùng ngay khi họ mở thư, những loại virus này có thể làm ảnh hưởng đến khả năng bảo mật của máy tính hoặc đánh cắp dữ liệu, hoặc gián tiếp tác động lên máy chủ của thư điện tử
Virus macro: Virus macro có thể tự sao chép và lây lan từ tệp này sang tệp khác trong máy tính bị nhiễm Có thể lây lan sang các tệp dữ liệu khác trong mạng nội bộ hoặc mạng doanh nghiệp
Trang 6Virus boot-sector: đây là loại virus lây lan qua các thiết bị lưu trữ khi bị nhiễm như ổ đĩa cứng, ổ di động (USB) và các thiết bị lưu trữ khác Virus này hoạt động khi máy tính vừa khởi động, virus này sẽ thay thế chương trình boot-sector của máy tính bằng một chương trình khác
Sâu máy tính (Worm): nằm trong danh sách các malware - mã độc hại Mục Mục đích
là chiếm dụng tài nguyên và có thể phát tán dữ liệu lên mạng Sâu máy tính có khả năng tự
di chuyển từ máy tính này đến các máy tính đang kết nối mạng để lây lan các đoạn mã độc hoặc chiếm dụng các tài nguyên khác
❖ Các mối đe dọa đối với thiết bị di động
Bluejacking: là việc gửi các tin nhắn không mong muốn hoặc không được yêu cầu cho người lạ thông qua công nghệ Bluetooth Các kiểu dữ liệu dễ bị đánh cắp như danh sách liên lạc, danh bạ, hình ảnh và một số kiểu dữ liệu khác
Virus di động: Thiết bị di động có thể bị nhiễm virus lây lan qua mạng điện thoại di động
Cookie: là tệp văn bản nhỏ được lưu trên máy tính, giúp người dùng không phải nhập lại địa chỉ trang web khi họ muốn truy cập lại trang web đã truy cập trước đó Bên cạnh các cookie có lợi cho người dùng thì một số cookie khác có thể gây tác động không tốt với người dùng như có cookie tự tạo lại sau khi người dùng đã xóa chính, có cookie có thể theo dõi thói quen kết nối trực tuyến của người dùng, hoặc có cookie có thể gây hại cho máy tính
1.2.3 Mối đe dọa về con người
Các nguy cơ từ con người thường được xếp và phân loại vào nhóm phi kĩ thuật + Các mối đe dọa ngẫu nhiên: do con người gây ra như vô tình đánh mất các thiết bị phần cứng (điện thoại, máy tính xách tay, ), vô tình tiết lộ thông tin, vô tình làm hỏng hóc
dữ liệu, các lỗi và thiếu sót của người dùng…
+ Các mối đe dọa có chủ ý do con người gây ra thường là các vấn đề có ý gian lận và đánh cắp thông tin (Fraud and Theft), cố ý lây lan mã độc và các chương trình độc hại, gây
ra các cuộc tấn công như tấn công từ chối dịch vụ (Denial of Service Attacks) và cố ý sử dụng các kỹ thuật xã hội khác (Social Engineering để tấn công vào hệ thống thông tin doanh nghiệp, tổ chức, làm mất an toàn và bảo mật thông tin
Trang 7CHƯƠNG II TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS 2.1 Khái quát chung
2.1.1 Khái niệm Tấn công từ chối dịch vụ (DoS)
❖ Khái niệm Tấn công từ chối dịch vụ (DoS)
Tấn công từ chối dịch vụ DoS là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống Nếu kẻ tấn công không
có khả năng thâm nhập được vào hệ thống thì chúng cố gắng tìm cách làm cho hệ thống
đó sụp đổ và không có khả năng phục vụ người dùng bình thường Cuộc tấn công này có thể khiến máy tính của bạn ngừng hoạt động hoặc tắt đột ngột Khi hiện tượng này xảy ra
sẽ ảnh hưởng nghiêm trọng đến hệ thống của máy tính và buộc máy tính phải tắt nguồn
2.1.2 Mục tiêu của tấn công từ chối dịch vụ DoS
+ Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường
+ Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ + Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
+ Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập
+ Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó vào như bị:
o Disable Network - Tắt mạng
o Disable Organization - Tổ chức không hoạt động
o Financial Loss – Tài chính bị mất
2.2 Đặc điểm của tấn công từ chối dịch vụ
Bản chất thực sự của tấn công DoS là kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên của máy tính, hệ thống, mạng và băng thông, bộ nhớ … làm mất khả năng xử lý các yêu cầu dịch vụ từ người dùng hợp pháp Một số loại hình Tấn công Từ chối Dịch vụ nhằm mục đích ngăn người dùng truy cập truy cập vào một đối tượng cụ thể của mạng hoặc tài nguyên, trong khi có những loại hình tấn công khác có ý định làm cho toàn bộ tài nguyên hoàn toàn không thể truy cập được Những cuộc tấn công này có thể kéo dài từ vài phút đến vài giờ, và thậm chí là nhiều ngày trong một số trường hợp hiếm Hậu quả là tổn thất tài chính lớn cho các doanh nghiệp bị trở thành mục tiêu mà không có chiến lược phòng chống phù hợp
Các cuộc tấn công này thường nhắm vào các máy chủ ảo (VPS) hay Web Server của các doanh nghiệp lớn như ngân hàng, chính phủ hay là các trang thương mại điện tử …
Trang 8hoặc hacker cũng có thể tấn công vì mục đích cá nhân Cách phổ biến và cũng hay gặp nhất của tấn công DoS là khi một kẻ tấn công cố gắng làm “ngập lụt” (flood) mạng bằng cách gửi những dòng dữ liệu lớn tới mạng hay máy chủ website Khi truy cập URL của một website cụ thể vào trình duyệt thì sẽ gửi một yêu cầu tới máy chủ của website đó để xem nội dung trang web Máy chủ web chỉ có thể xử lý một số yêu cầu cùng một lúc, như vậy nếu như một kẻ tấn công gửi quá nhiều các yêu cầu, máy chủ đó sẽ bị quá tải và không thể
xử lý các yêu cầu khác
➢ Một số đặc điểm có thể nhận diện tấn công từ chối dịch vụ ở các website:
+ Mạng hoặc hệ thống bị chậm một cách bất thường
+ Một trang web cụ thể không thể truy cập được
+ Không thể truy cập bất kỳ trang website nào
+ Gia tăng đáng kể số lượng thư rác trong tài khoản
2.3 Các loại tấn công từ chối dịch vụ DoS
2.3.1 Tấn công từ chối dịch vụ cổ điển DoS ( khái niệm, các cách thức tấn công)
Tấn công từ chối dịch vụ cổ điển DoS ( Denial of Service) là phương thức xuất hiện đầu tiên, giản đơn nhất trong kiểu tấn công từ chối dịch vụ
Các cuộc tấn công DoS này thường nhắm vào các máy chủ ảo (VPS) hay Web Server của các doanh nghiệp lớn như ngân hàng, chính phủ hay là các trang thương mại điện tử… hoặc hacker cũng có thể tấn công để “bõ ghét”
Tấn công DoS thường chỉ được tấn công từ một địa điểm duy nhất, tức là nó sẽ xuất phát tại một điểm và chỉ có một dải IP thôi Bạn có thể phát hiện và ngăn chặn được DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp
Các cách thức tấn công
Tấn công SYN Attack :
Được xem là một trong những kiểu tấn công DoS kinh điển nhất Lợi dụng sơ hở của giao thức TCP trong “bắt tay ba bước” , mỗi khi client (máy khách) muốn thực hiện kết nối (connection) với server (máy chủ) thì nó thực hiện việc bắt tay ba bước (three – ways handshake) thông qua các gói tin (packet)
B1: Client sẽ gửi gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nối; B2: Khi nhận được gói tin này, server sẽ gửi lại gói tin SYN/ACK để thông báo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên cho việc yêu cầu này Server sẽ dành một phần tài nguyên hệ thống như bộ nhớ đệm (cache) để nhận và truyền
dữ liệu Ngoài ra, các thông tin khác của client như địa chỉ IP và cổng (port) cũng được ghi nhận
Trang 9B3: Cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách hồi âm lại gói tin chứa ACK cho server và tiến hành kết nối
Tấn công Flood attack:
Là một kiểu tấn công DoS cũng rất hay được dùng vì tính đơn giản của nó và vì có rất nhiều công cụ sẵn có hỗ trợ đắc lực cho kẻ tấn công là Flood Attack, chủ yếu thông qua các website
Về nguyên tắc, các website đặt trên máy chủ khi chạy sẽ tiêu lượng tài nguyên máy chủ nhất định, nhất là lượng bộ nhớ (RAM) và bộ vi xử lý (CPU) Dựa vào việc tiêu hao
đó, những kẻ tấn công đơn giản là dùng các phần mềm như smurf chẳng hạn để liên tục yêu cầu máy chủ phục vụ trang web đó để chiếm dụng tài nguyên
=> Cách tấn công này tuy không làm máy chủ ngừng cung cấp dịch vụ hoàn toàn nhưng sẽ làm cho tốc độ phục vụ của toàn bộ hệ thống giảm mạnh, người dùng sẽ cảm nhận rõ ràng việc phải chờ lâu hơn để trang web hiện ra trên màn hình
=> Nếu thực hiện tấn công ồ ạt và có sự phối hợp nhịp nhàng, phương thức tấn công này hoàn toàn có thể làm tê liệt máy chủ trong một thời gian dài
Tấn công Smurf attack:
Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của các mạng với địa chỉ nguồn là mục tiêu cần tấn công
Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping tới máy B máy B reply lại hoàn tất quá trình Khi ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại Nhưng nếu thay đổi địa chỉ nguồn, thay địa chỉ nguồn
là máy C và ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C
=> Tấn công Smurf
=> Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho mạng bị rớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ khác
Trang 10Tấn công Buffer overflow:
Xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thông tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ
Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và đánh cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã nguy hiểm
Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể sẽ xảy ra quá trình tràn bộ nhớ đệm
Tấn công Buffer overflow có thể thấy nguyên nhân gần tương tự với tấn công SQL Injection, khi người truy cập hay cả những hacker đưa các biên đầu vào, các dữ liệu tới vượt khỏi tầm xử lý của hệ thống thì điều này sẽ làm cho hệ thống bị treo, lỗi quá tải, chúng cũng sẽ từ chối xử lý dịch vụ và chính điều này sẽ tạo ra những lỗ hổng, các hacker từ đó chèn các mã độc hoặc các lệnh không đúng chiếm đoạt lấy quyền kiểm soat từ xa
Trang 11Tấn công Ping of Death:
Là một loại tấn công từ chối dịch vụ (DoS), trong đó kẻ tấn công cố gắng làm sập, mất
ổn định hoặc đóng băng máy tính hoặc dịch vụ được nhắm mục tiêu, bằng cách gửi các gói tin có định dạng sai hoặc quá lớn bằng lệnh ping đơn giản
Để làm được điều này, hacker cần tìm một hệ thống cũ được kết nối với internet Do
hệ thống cũ nên nó đã được thiết lập trước khi triển khai rộng rãi IPv4 Điều này là do các mạng cũ này không có cách thích hợp để xử lý nếu ai đó gửi dữ liệu lớn hơn gói tối đa 65,535 byte
Khi hacker tìm thấy hệ thống này, họ sẽ gửi một gói tin lớn hơn kích thước tối đa Một
hệ thống mạng hiện đại sẽ phát hiện và xử lý đúng cách gói dữ liệu khổng lồ này, nhưng một hệ thống cũ sẽ khó khăn với kích thước gói tin lớn hơn Do đó, điều này có thể gây ra
Trang 12mục tiêu và trong một số trường hợp có lỗ hổng TCP/IP, máy chủ không thể tập hợp lại gói, gây ra hiện tượng quá tải
Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ
Kẻ tấn công sử dụng sử dụng gói IP với các thông số rất khó hiểu để chia ra các phần nhỏ (fragment)
Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểu được, hệ thống cố gắng build lại gói tin và điều đó chiếm một phần tài nguyên hệ thống, nếu quá trình đó liên tục xảy ra hệ thống không còn tài nguyên cho các ứng dụng khác, phục vụ các user khác
➢ Các công cụ tấn công DoS: Jolt2, Bubonic.c, Land and LaTierra, Targa, Blast20,
2.3.2 Tấn công từ chối dịch vụ phân tán DDoS ( khái niệm, các cách thức tấn công)
❖ Khái niệm
Tấn công từ chối dịch vụ phân tán (DDoS) là một dạng tấn công nhằm gây cạn kiệt tài nguyên hệ thống máy chủ và làm ngập lưu lượng băng thông Internet, khiến truy cập tài nguyên hệ thống máy chủ bị ngắt quãng, truy cập chập chờn, thậm chí không thể truy cập được internet, làm tê liệt hệ thống Hoặc thậm chí là cả một hệ thống mạng nội bộ
Kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính hoặc mạng máy tính trung gian Từ nhiều nơi đồng loạt ào ạt các gói tin với số lượng rất lớn Mục đích chiếm dụng tài nguyên, làm quá tải đường truyền của một mục tiêu xác định nào đó
Tấn công DDoS mạnh hơn DoS rất nhiều, điểm mạnh của hình thức này đó là nó được phân tán từ nhiều dải IP khác nhau, chính vì thế người bị tấn công sẽ rất khó phát hiện để ngăn chặn được Hacker không chỉ sử dụng máy tính của họ để thực hiện một cuộc tấn công vào một trang web hay một hệ thống mạng nào đó, mà họ còn lợi dụng hàng triệu máy tính khác để thực hiện điều này
Trang 13❖ Các cách thức tấn công
Các cuộc tấn công DDoS có thể chia thành ba loại
Loại đầu tiên, các cuộc tấn công dựa trên khối lượng loại tấn công này cố gắng tạo ra tắc nghẽn bằng cách chiếm sử dụng tất cả băng thông có sẵn giữa người truy cập thực tế
và băng thông mạng Một lượng lớn dữ liệu được gửi đến mục tiêu bằng cách sử dụng một hình thức khuếch đại hoặc một phương tiện khác để tạo ra lưu lượng truy cập lớn, chẳng hạn như các yêu cầu từ mạng botnet Các kiểu tấn công dựa trên khối lượng bao gồm flood UDP, flood ICMP, khuếch đại DNS và flood gói tin giả mạo khác (Ericka Chickowski, 2020) Quy mô của một cuộc tấn công dựa trên khối lượng được đo bằng bit trên giây (BPS) (Dima Beckrman, 2017)
Loại thứ hai là tấn công giao thức gây ra gián đoạn dịch vụ bằng cách sử dụng tất cả dung lượng truy cập có sẵn của máy chủ ứng dụng web hoặc tài nguyên trung gian như tường lửa và bộ cân bằng tải Các cuộc tấn công giao thức sử dụng các điểm yếu trong lớp
3 và lớp 4 của ngăn xếp giao thức để khiến mục tiêu không thể truy cập được Các kiểu tấn công giao thức bao gồm Flood SYN, khuếch đại NTP, khuếch đại DNS, khuếch đại SSDP, Ping of Death, Smurf Attack, tấn công gói phân mảnh và hơn thế nữa Kích thước của các cuộc tấn công giao thức hoặc lớp mạng được đo bằng gói mỗi giây (PPS) (Ericka Chickowski, 2020)
Loại cuối cùng là tấn công lớp ứng dụng mục tiêu của các cuộc tấn công là áp đảo một ứng dụng mục tiêu với các yêu cầu Điều này gây ra việc sử dụng CPU và bộ nhớ cao cuối cùng làm treo cả hệ thống của mục tiêu Các kiểu tấn công DDoS ở lớp ứng dụng bao gồm Flood HTTP, tấn công chậm (Slowloris, RUDY) tấn công zero-day nhắm vào mục tiêu là các lỗ hổng trong hệ điều hành, ứng dụng web và giao thức truyền thông Loại tấn công này là loại nguy hiểm, tinh vi và nghiêm trọng nhất trong ba loại tấn công của DDoS (Ericka Chickowski, 2020) Kích thước của các cuộc tấn công lớp ứng dụng được đo bằng yêu cầu mỗi giây (RPS) (Le Linh, 2018)
Trang 14❖ Một số cách thức tấn công DDoS điển hình
Volumetric Attacks:
Đây là cuộc tấn công DDoS dựa trên khả năng tiêu thụ băng thông có sẵn của máy chủ mục tiêu Đây là một loại tấn công nguy hiểm cho Server nếu băng thông của Server không lớn hơn băng thông cuộc tấn công sẽ dẫn đến việc Server không khả dụng truy cập
Zero Day DDoS:
Cuộc tấn công dựa vào “Zero Day” chỉ đơn giản là một phương pháp tấn công vào lỗ hổng web khi chúng chưa có bản vá phát hành hay là tất cả các cuộc tấn công chưa biết hoặc mới
SYN floods:
SYN Flood là một hình thức tấn công DDoS phổ biến, chúng sẽ khai thác một điểm yếu được tìm thấy trong trình kết nối TCP( Quá trình bắt tay ba bước) Không giống như các kiểu tấn công DDoS khác, SYN Flood không có ý định sử dụng hết bộ nhớ của máy chủ mà chỉ muốn làm cạn kiệt nguồn dự trữ của các kết nối mở được kết nối với một cổng với các địa chỉ IP đơn lẻ, giả mạo
Trang 15SYN Flood xảy ra khi lớp TCP bị bão hòa, kẻ tấn công sẽ gửi các yêu cầu TCP có địa chỉ IP giả đến mục tiêu Hệ thống đích phản hồi và chờ người gửi xác nhận bắt tay Vì kẻ tấn công không bao giờ gửi phản hồi để hoàn thành quá trình này, các quy trình không hoàn chỉnh chồng chất và cuối cùng làm hỏng máy chủ
Application Level Attacks:
Nhằm vào mục tiêu là các ứng dụng có nhiều lỗ hổng Thay vì cố gắng làm ngập lụt toàn bộ máy chủ, một kẻ tấn công sẽ tập trung tấn công vào một hoặc một vài ứng dụng Các ứng dụng email dựa trên web, WordPress, Joomla và phần mềm diễn đàn là những ví
dụ điển hình về các mục tiêu cụ thể
Smurf DDoS:
Smurf Attack là một loại tấn công DDoS, nó được gọi như vậy bởi có vài nét tương tự như Ping Flood khi mục tiêu tràn ngập các yêu cầu ICMP echo nhưng khác ở chỗ, Smurf Attack do phần mềm độc hại đầu tiên cho phép các cuộc tấn công này xảy ra Trong khi Ping Flood, không cần phần mềm độc hại để thực hiện cuộc tấn công
Smurf Attack tận dụng các lỗ hổng tìm cách đánh sập toàn bộ mạng ngoại tuyến với mục tiêu làm cho máy tính ngưng hoạt động Các lỗ hổng cụ thể được đề cập tồn tại trong IP và ICMP Phần mềm độc hại của Smurf sẽ tạo thành một gói ICMP độc hại Gói tin được đính kèm với một địa chỉ IP giả, hay còn được cộng đồng An toàn Thông tin (InfoSec) gọi là
"spoofing"
Tin tặc sử dụng phần mềm độc hại để tạo ra một gói gắn với một địa chỉ IP giả mạo Gói này chứa đựng thông báo ping ICMP yêu cầu gửi lại phản hồi liên tục và từ đó tạo ra một vòng lặp phản hồi vô hạn khiến cho hệ thống bị treo tạm thời
Trang 16➢ Công cụ tấn công DDoS phổ biến:
− IRC-based: Trinity v3(sử dụng giao thức với các dạng gói tin: UDP, TCP SYN, TCP ACK và TCP NUL) và Kaiten( sử dụng giao thức với các dạng gói tin: UDP, TCP, SYN, PUSH+ACH)
− Web-based: BlackEnergy, Low-Orbit Ion Cannon(LOIC), Aldi
❖ So sánh giữa DoS và DDoS
PC bị nhắm mục tiêu được load từ gói dữ
liệu gửi từ một vị trí duy nhất
PC bị nhắm mục tiêu được load từ gói dữ liệu gửi từ nhiều vị trí
DoS
Có thể bị chặn dễ dàng vì sử dụng một hệ
thống
Rất khó để ngăn chặn cuộc tấn công này
vì nhiều thiết bị đang gửi gói tin và tấn công từ nhiều vị trí
Trong cuộc tấn công DoS, chỉ một thiết bị
duy nhất được sử dụng với các công cụ tấn
công DoS
Trong cuộc tấn công DDoS, nhiều bot được sử dụng để tấn công cùng một lúc
Lưu lượng truy cập trong cuộc tấn công
DoS ít hơn so với DDoS
Cuộc tấn công DDoS cho phép kẻ tấn công gửi một lượng lớn lưu lượng truy cập đến mạng nạn nhân
Các loại tấn công DoS là:
- Tấn công Flooding
- Tấn công crashing khai thác các hệ thống
hoặc dịch vụ
Các loại tấn công DDoS là:
- Các cuộc tấn công theo thể tích (Volumetric attacks)
- Các cuộc tấn công giao thức (Protocol attacks)
- Các cuộc tấn công ở lớp ứng dụng (Application-layer attacks)
2.3.3 Tấn công từ chối dịch vụ theo phương pháp phản xạ RDoS ( khái niệm, các cách thức tấn công)
DRDoS (Distributed Reflection Denial of Service) - Tấn công từ chối dịch vụ theo phương pháp phản xạ được coi là kiểu tấn công mới nhất một biến thể nghiêm trọng hơn,