tổng quan dos - ddos - drdos

• Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập flood, khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường.• Cố gắng làm ngắt kết

DoS - DDoS - DRDoS

>> KSEC CLUB <<

• Phần 1: Tổng quan về DoS - Denial of Service

• Phần 2: Tổng quan về DDoS - Distributed Denial of Service

• Phần 3: Tổng quan về DRDoS - Distributed Reflection Denial of Service

1. Mục tiêu - mục đích - khái niệm - nhận diện

2. Các dạng tấn công DoS

a. Smuff và Fraggle

b. Tấn công Buffer overflow

c. Tấn công Ping of Death

• Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường.

• Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ

• Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó

• Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào

a Mục Tiêu

• Mục tiêu các cuộc tấn công thường vào các trang web lớn và các tổ chức thương mại điện tử trên Internet.

b Mục Đích

• Là kiểu tấn công từ một cá thể, hay tập hợp các cá thể.

• Là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng

kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống

• DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp

c Khái Niệm

• Mạng thực thi chậm khác thường khi mở tập tin hay truy cập Website.

• Không thể dùng một website cụ thể

• Không thể truy cập bất kỳ website nào

• Tăng lượng thư rác nhận được

d Nhận Diện

• Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công.

• Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping tới máy B máy B reply lại hoàn tất quá trình Khi tôi ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại tôi Nhưng giờ tôi thay đổi địa chỉ nguồn, thay địa chỉ nguồn là máy C và tôi ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C chứ không phải tôi và đó là tấn công Smurf

• Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho mạng bị dớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ khác

• Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được kết nối với nhau (mạng BOT)

• Tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn công Smurf

a Smuff và Fraggle (1)

a Smuff và Fraggle (2)

• Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thông tin lớn hơn dung lượng của bộ nhớ đệm trong

bộ nhớ

• Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và đánh cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã nguy hiểm

• Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể sẽ xảy ra quá trình tràn bộ nhớ đệm

b Tấn công Buffer overflow

• K t n công g i nh ng gói tin IP l n h n s lẻ ấ ử ữ ớ ơ ố ương bytes cho phép c a tin IP là 65.536 bytes.ủ

• Quá trình chia nh gói tin IP thành nh ng ph n nh đỏ ữ ầ ỏ ược th c hi n layer II.ự ệ ở

• Quá trình chia nh có th th c hi n v i gói IP l n h n 65.536 bytes Nh ng h đi u hành không th nh n bi t đỏ ể ự ệ ớ ớ ơ ư ệ ề ể ậ ế ược đ l n ộ ớ

c a gói tin này và s b kh i đ ng l i, hay đ n gi n là s b gián đo n giao ti p.ủ ẽ ị ở ộ ạ ơ ả ẽ ị ạ ế

• Đ nh n bi t k t n công g i gói tin l n h n gói tin cho phép thì tể ậ ế ẻ ấ ử ớ ơ ương đ i d dàng.ố ễ

c Tấn công Ping of Death

• Gói tin IP r t l n khi đ n Router s b chia nh làm nhi u ph n nh vàđínhcácgiátr offset đ cóth rápl ikhiđ nmáyđích.ấ ớ ế ẽ ị ỏ ề ầ ỏ ị ể ể ạ ế

• K t n công s d ng s d ng gói IP v i các thông s r t khó hi u (ch ng chéo lên nhau) đ chia ra các ph n nh (fragment).ẻ ấ ử ụ ử ụ ớ ố ấ ể ồ ể ầ ỏ

• N u h đi u hành nh n đế ệ ề ậ ược các gói tin đã được chia nh và không hi u đỏ ể ược, h th ng c g ng build l i gói tin và đi u đó ệ ố ố ắ ạ ềchi m m t ph n tài nguyên h th ng, n u quá trình đó liên t c x y ra h th ng không còn tài nguyên cho các ng d ng khác, ế ộ ầ ệ ố ế ụ ả ệ ố ứ ụ

ph c v các user khác.ụ ụ

d Tấn công Teardrop

• K t n công g i các yêu c u (request o) TCP SYN t i máy ch b t n công Đ x lý lẻ ấ ử ầ ả ớ ủ ị ấ ể ử ượng gói tin SYN này h th ng c n t n ệ ố ầ ố

m t lộ ượng b nh cho k t n i.ộ ớ ế ố

• Khi có r t nhi u gói SYN o t i máy ch và chi m h t các yêu c u x lý c a máy ch M t ngấ ề ả ớ ủ ế ế ầ ử ủ ủ ộ ười dùng bình thường k t n i ế ố

t i máy ch ban đ u th c hi n Request TCP SYN và lúc này máy ch không còn kh năng đáp l i - k t n i không đớ ủ ầ ự ệ ủ ả ạ ế ố ược th c ự

hi n.ệ

• Đây là ki u t n công mà k t n công l i d ng quá trình giao ti p c a TCP theo – Three-way.ể ấ ẻ ấ ợ ụ ế ủ

• Các đo n mã nguy hi m có kh năng sinh ra m t s lạ ể ả ộ ố ượng c c l n các gói TCP SYN t i máy ch b t n công, đ a ch IP ngu n ự ớ ớ ủ ị ấ ị ỉ ồ

c a gói tin đã b thay đ i và đó chính là t n công DoS.ủ ị ổ ấ

e Tấn công SYN (1)

• Quá trình TCP Three-way handshake được th c hi n: Khi máy A mu n giao ti p v i máy B (1) máy A b n ra m t gói TCP SYN ự ệ ố ế ớ ắ ộ

t i máy B – (2) máy B khi nh n đớ ậ ược gói SYN t A s g i l i máy A gói ACK đ ng ý k t n i – (3) máy A g i l i máy B gói ACK ừ ẽ ử ạ ồ ế ố ử ạ

và b t đ u các giao ti p d li u.ắ ầ ế ữ ệ

• Máy A và máy B s d k t n i ít nh t là 75 giây, sau đó l i th c hi n m t quá trình TCP Three-way handshake l n n a đ th c ẽ ữ ế ố ấ ạ ự ệ ộ ầ ữ ể ự

hi n phiên k t n i ti p theo đ trao đ i d li u.ệ ế ố ế ể ổ ữ ệ

• Th t không may k t n công đã l i d ng k h này đ th c hi n hành vi t n công nh m s d ng h t tài nguyên c a h th ng ậ ẻ ấ ợ ụ ẽ ở ể ự ệ ấ ằ ử ụ ế ủ ệ ố

b ng cách gi m th i gian yêu c u Three-way handshake xu ng r t nh và không g i l i gói ACK, c b n gói SYN ra liên t c ằ ả ờ ầ ố ấ ỏ ử ạ ứ ắ ụtrong m t th i gian nh t đ nh và không bao gi tr l i l i gói SYN&ACK t máy b t n công.ộ ờ ấ ị ờ ả ờ ạ ừ ị ấ

e Tấn công SYN (2)

• Hình dưới th hi n các giao ti p bình thể ệ ế ường v i máy ch và bên dớ ủ ưới th hi n khi máy ch b t n công gói SYN đ n s r t ế ệ ủ ị ấ ế ẽ ấnhi u trong khi đó kh năng tr l i c a máy ch l i có h n và khi đó máy ch s t ch i các truy c p h p pháp.ề ả ả ờ ủ ủ ạ ạ ủ ẽ ừ ố ậ ợ

e Tấn công SYN (3)

• T n công vào t ng ng d ng c a b giao th c TCP c th là header c a giao th c HTTP khi g i request.ấ ầ ứ ụ ủ ộ ứ ụ ể ủ ứ ử

• Do k t n i ch a hoàn thành lên không có thông tin l u l i trong log.ế ố ư ư ạ

• Có th phòng ch ng v i nginx, apache mod_antiloris.ể ố ớ

f Slowloris HTTP DoS

• T n công vào t ng ng d ng c a b giao th c TCP, c th là body (windows size) c a giao th c HTTP trong vi c nh n ấ ầ ứ ụ ủ ộ ứ ụ ể ủ ứ ệ ậresponse.

• T c đ t n công ch m, yêu c u tài nguyên không cao nh ng c c kì khó ch ng đ ố ộ ấ ậ ầ ư ự ố ỡ

g Slow read HTTP DoS

1. Ý nghĩa của mạng BOT

2. Mạng BOT

3. Mạng BOTNET

4. Mục đích sử dụng mạng BOTNET

5. Các dạng của mạng BOT

6. Xây dựng và phát triển mạng BOTNET

7. Phân loại tấn công DDoS

• Khi s d ng m t Tool t n công DoS t i m t máy ch đôi khi không gây nh hử ụ ộ ấ ớ ộ ủ ả ưởng gì cho máy ch - Gi s b n s d ng tool ủ ả ử ạ ử ụPing of Death t i m t máy ch , trong đó máy ch k t n i v i m ng t c đ 100Mbps b n k t n i t i máy ch t c đ 3Mbps - ớ ộ ủ ủ ế ố ớ ạ ố ộ ạ ế ố ớ ủ ố ộ

V y t n công c a b n không có ý nghĩa gì.ậ ấ ủ ạ

• Nh ng b n hãy tư ạ ưởng tượng có 1000 người nh b n cùng m t lúc t n công vào máy ch kia khi đó toàn b băng thông c a ư ạ ộ ấ ủ ộ ủ

1000 ngườ ội c ng l i t i đa đ t 3Gbps và t c đ k t n i c a máy ch là 100 Mbps v y k t qu s ra sao các b n có kh năng ạ ố ạ ố ộ ế ố ủ ủ ậ ế ả ẽ ạ ả

tưởng tượng

• Nh ng tôi đang th h i làm cách nào đ có 1000 máy tính k t n i v i m ng – tôi đi mua m t nghìn chi c và thuê 1000 thuê bao ư ử ỏ ể ế ố ớ ạ ộ ế

k t n i - ch c ch n tôi không làm nh v y r i và cũng không k tân công nào s d ng phế ố ắ ắ ư ậ ồ ẻ ử ụ ương pháp này c ả

• K t n công xây d ng m t m ng g m hàng nghìn máy tính k t Internet (có m ng BOT lên t i 400.000 máy) V y làm th nào ẻ ấ ự ộ ạ ồ ế ạ ớ ậ ểchúng có kh năng l i d ng ngả ợ ụ ườ ế ố ới k t n i t i Internet đ xây d ng m ng BOT trong bài vi t này tôi s gi i thi u v i các b n ể ự ạ ế ẽ ớ ệ ớ ạcác m ng BOT và cách xây d ng, nh ng Tool xây d ng.ạ ự ữ ự

• Khi có trong tay m ng BOT k t n công s d ng nh ng tool t n công đ n gi n đ t n công vào m t h th ng máy tính D a ạ ẻ ấ ử ụ ữ ấ ơ ả ể ấ ộ ệ ố ựvào nh ng truy c p hoàn toàn h p l c a h th ng, cùng m t lúc chúng s d ng m t d ch v c a máy ch , b n th tữ ậ ợ ệ ủ ệ ố ộ ử ụ ộ ị ụ ủ ủ ạ ử ưởng

tượng khi k t n công có trong tay 400.000 máy ch và cùng m t lúc ra l nh cho chúng download m t file trên trang web c a ẻ ấ ủ ộ ệ ộ ủ

b n Và đó chính là DDoS – Distributed Denial of Servcie ạ

• Không có m t phộ ương th c ch ng t n công DDoS m t cách hoàn toàn nh ng trong bài vi t này tôi cũng gi i thi u v i các b n ứ ố ấ ộ ư ế ớ ệ ớ ạ

nh ng phữ ương pháp phòng ch ng DDoS khi chúng ta đã hi u v nó.ố ể ề

• BOT t vi t t t c a t RoBOTừ ế ắ ủ ừ

• IRCBOT – còn đượ ọc g i là zombia hay drone

• Internet Relay Chat (IRC) là m t d ng truy n d li u th i gian th c trên Internet Nó thộ ạ ề ữ ệ ờ ự ường được thi t k sao cho m t ngế ế ộ ười

có th nh n để ắ ược cho m t group và m i ngộ ỗ ười có th giao ti p v i nhau v i m t kênh khác nhau để ế ớ ớ ộ ượ ọc g i là – Channels

• Đ u tiên BOT k t n i kênh IRC v i IRC Server và đ i giao ti p gi a nh ng ngầ ế ố ớ ợ ế ữ ữ ườ ới v i nhau

• K t n công có th đi u khi n m ng BOT và s d ng m ng BOT cũng nh s d ng nh m m t m c đích nào đó.ẻ ấ ể ề ể ạ ử ụ ạ ư ử ụ ằ ộ ụ

• Nhi u m ng BOT k t n i v i nhau ngề ạ ế ố ớ ười ta g i là BOTNET.ọ

• M ng BOTNET bao g m nhi u máy tínhạ ồ ề

• Nó đượ ử ục s d ng cho m c đích t n công DDoSụ ấ

• M t m ng BOTNET nh có th ch bao g m 1000 máy tính nh ng b n th tộ ạ ỏ ể ỉ ồ ư ạ ử ưởng tượng m i máy tính này k t n i t i Internet ỗ ế ố ớ

t c đ ch là 128Kbps thì m ng BOTNET này đã có kh năng t o băng thông là 1000*128 ~ 100Mbps – Đây là m t con s th ố ộ ỉ ạ ả ạ ộ ố ể

hi n băng thông mà khó m t nhà Hosting nào có th share cho m i trang web c a mình.ệ ộ ể ỗ ủ

• T n công Distributed Denial-of-Service - DDoSấ

• Spamming

• Sniffing traffic

• Keylogging

• Cài đ t và lây nhi m chặ ễ ương trình đ c h iộ ạ

• Cài đ t nh ng qu ng cáo Popupặ ữ ả

• Google Adsense abuse

• T n công vào IRC Chat Networksấ

• Phishing

• AgoBOT/PhatBOT/ForBOT/XtremBOT - Đây là nh ng BOT đữ ược vi t b ng C++ trên n n t ng Cross-platform và mã ngu n ế ằ ề ả ồ

được tìm trên GPL AgoBOT được vi t b i Ago nick name đế ở ược người ta bi t đ n là Wonk, m t thanh niên tr ngế ế ộ ẻ ười Đ c – ứ

đã b b t h i tháng 5 năm 2004 v i t i danh v t i ph m máy tính.ị ắ ồ ớ ộ ề ộ ạ

• AgoBOT có kh năng s d ng NTFS Alternate Data Stream (ADS) và nh m t lo i Rootkit nh m n các ti n trình đang ch y ả ử ụ ư ộ ạ ằ ẩ ế ạtrên h th ngệ ố

• SDBOT/RBOT/UrBOT/UrXBOT

• SDBOT được vi t b ng ng n ng C và cũng đế ằ ồ ữ ược public b i GPL Nó đở ươc coi nh là ti n thân c a RBOT, RxBOT, UrBOT, ư ề ủUrXBOT, JrBOT mIRC-Based BOTs – GT-BOTs

• GT được vi t t t t fhai t Global Threat và tên thế ắ ư ừ ường đượ ử ục s d ng cho t t c các mIRC-scripted BOTs Nó có kh năng s ấ ả ả ử

d ng ph n m m IM là mIRC đ thi t l p m t s script và m t s đo n mã khác.ụ ầ ề ể ế ậ ộ ố ộ ố ạ

Đ hi u h n v xây d ng h th ng m ng BOTNET chúng ta nghiên c u t cách lây nhi m vào m t máy tính, cách t o ể ể ơ ề ự ệ ố ạ ứ ừ ễ ộ ạ

ra m t m ng BOT và dùng m ng BOT này t n công vào m t đích nào đó c a m ng BOTNET đ ộ ạ ạ ấ ộ ủ ạ ượ ạ c t o ra t ừ

AgoBOT’s. 

• Bước 1: Cách lây nhi m vào máy tínhễ

• Bước 2: Cách lây lan và xây d ng t o m ng BOTNETự ạ ạ

• Bước 3: K t n i vào IRCế ố

• Bước 4: Đi u khi n t n công t m ng BOTNETề ể ấ ừ ạ

• Đ u tiên k t n công l a cho ngầ ẻ ấ ừ ười dùng ch y file "chess.exe", m t AgoBOT thạ ộ ường copy chúng vào h th ng và s thêm các ệ ố ẽthông s trong Registry đ đ m b o s ch y cùng v i h th ng khi kh i đ ng Trong Registry có các v trí cho các ng d ng ố ể ả ả ẽ ạ ớ ệ ố ở ộ ị ứ ụ

• Sau khi trong h th ng m ng có m t máy tính b nhi m AgoBOT, nó s t đ ng tìm ki m các máy tính khác trong h th ng và ệ ố ạ ộ ị ễ ẽ ự ộ ế ệ ốlây nhi m s d ng các l h ng trong tài nguyên đễ ử ụ ỗ ổ ược chia s trong h th ng m ng.ẻ ệ ố ạ

• Chúng thường c g ng k t n i t i các d li u share m c đ nh dành cho các ng d ng qu n tr (administrator or administrative) ố ắ ế ố ớ ữ ệ ặ ị ứ ụ ả ị

ví d nh : C$, D$, E$ và print$ b ng cách đoán usernames và password đ có th truy c p đụ ư ằ ể ể ậ ược vào m t h th ng khác và lây ộ ệ ốnhi m.ễ

• AgoBOT có th lây lan r t nhanh b i chúng có kh năng t n d ng các đi m y u trong h đi u hành Windows, hay các ng ể ấ ở ả ậ ụ ể ế ệ ề ứ

d ng, các d ch v ch y trên h th ng.ụ ị ụ ạ ệ ố

B ướ c 2: Cách lây lan và xây d ng t o m ng BOTNET ự ạ ạ

• Bước ti p theo c a AgoBOT s t o ra m t IRC-Controlled Backdoor đ m các y u t c n thi t, và k t n i t i m ng ế ủ ẽ ạ ộ ể ở ế ố ầ ế ế ố ớ ạBOTNET thông qua IRC-Controll, sau khi k t n i nó s m nh ng d ch v c n thi t đ khi có yêu c u chúng s đế ố ẽ ở ữ ị ụ ầ ế ể ầ ẽ ược đi u ềkhi n b i k t n công thông qua kênh giao ti p IRC.ể ở ẻ ấ ế

B ướ c 3: K t n i vào IRC ế ố

• K t n công đi u khi n các máy trong m ng AgoBOT download nh ng file exe v ch y trên máy.ẻ ấ ề ể ạ ữ ề ạ

• L y toàn b thông tin liên quan và c n thi t trên h th ng mà k t n công mu n.ấ ộ ầ ế ệ ố ẻ ấ ố

• Ch y nh ng file khác trên h th ng đáp ng yêu c u c a k t n công.ạ ữ ệ ố ứ ầ ủ ẻ ấ

• Ch y nh ng chạ ữ ương trình DDoS t n công h th ng khác.ấ ệ ố

B ướ c 4: Đi u khi n t n công t m ng BOTNET ề ể ấ ừ ạ

• 7.1 Bandwith Depletion Attack

• 7.2 Resource Depletion Attack

• BandWith Depletion Attack được thi t k nh m làm tràng ng p m ng m c tiêu v i nh ng traffic không c n thi t, v im c đ ch ế ế ằ ậ ạ ụ ớ ữ ầ ế ớ ụ ịlàm gi m t i thi u kh năng c a các traffic h p l đ n đả ố ể ả ủ ợ ệ ế ược h th ng cung c p d ch v c a m c tiêu.ệ ố ấ ị ụ ủ ụ

a Nguyên t c ho t đ ng ắ ạ ộ

• Flood attack: Đi u khi n các Agent g i m t lề ể ở ộ ượng l n traffic đ n h th ng d ch v c a m c tiêu, làm d ch v này b h t kh ớ ế ệ ố ị ụ ủ ụ ị ụ ị ế ảnăng v băng thông.ề

• Amplification attack: Đi u khi n các agent hay Client t g i message đ n m t đ a ch IP broadcast, làm cho t t c cácmáy trong ề ể ự ử ế ộ ị ỉ ấ ảsubnet này g i message đ n h th ng d ch v c a m c tiêu Phử ế ệ ố ị ụ ủ ụ ương pháp này làm gia tăng traffic không c nthi t, làm suy gi m ầ ế ảbăng thông c a m c tiêu.ủ ụ

b Phân lo i ạ

• Resource Deleption Attack là ki u t n công trong đó Attacker g i nh ng packet dùng các protocol sai ch c năng thi tk , hay g i ể ấ ở ữ ứ ế ế ử

nh ng packet v i d ng ý làm t t ngh n tài nguyên m ng làm cho các tài nguyên này không ph c v userthông thữ ớ ụ ắ ẽ ạ ụ ụ ường khác được

a Nguyên t c ho t đ ng ắ ạ ộ

• Protocol Exploit Attack: sử dụng điểm yếu của các giao thức để tấn công.

• Malformed Packet Attack: là cách tấn công dùng các Agent để gởi các packet có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo

b Phân lo i ạ