kỹ thuật tấn công mạng bằng DOS và các phòng chống

kỹ thuật tấn công mạng bằng DOS và các phòng chống

BỘ GIAO THÔNG VẬN TẢI ĐẠI HỌC GIAO THÔNG VẬN TẢI TP.HỒ CHÍ MINH

KHOA ĐIỆN-ĐIỆN TỬ VIỄN THÔNG

ĐỀ TÀI:

KỸ THUẬT TẤN CÔNG MẠNG BẰNG DOS

VÀ CÁCH PHÕNG CHỐNG

GVHD : HUỲNH ĐỆ THỦ SVTH : 1.NGUYỄN VĂN CÔNG

2 VÕ TẤN CÔNG

LỜI MỞ ĐẦU

Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào

có hệ thống mạng dù lớn hay nhỏ Hiện nay, các hacker trong và ngoài nước luôn tìm cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ.Những thông tin nhạy cảm thường ảnh hưởng tới sống còn của công ty.Chính vì vậy, các nhà quản trị mạng luôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và cố gắng hoàn thiện

hệ thống mình để bớt lỗ hổng

Tuy nhiên, một kiểu tấn công rất cổ điển là tấn công từ chối dịch vụ chưa bao giờ mất đi tính nguy hiểm đối với hệ thống mạng Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục DoS và DDoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàn cuộc tấn công

Với yêu cầu cấp thiết như vậy, nhóm em chọn đề tài “Tìm hiểu kỹ thuật tấn

công DoS và cách phòng chống” làm đồ án An Ninh Mạng Mục đích đưa ra khi

làm đề tài là hiểu được các kiểu tấn công và từ đó đưa ra cách phòng chống DoS

MỤC LỤC

ĐỀ TÀI: DOS ATTACK

PHẦN I: TỔNG QUAN VỀ TẤN CÔNG MẠNG

Trang

I Những sự kiện về các cuộc tấn công mạng………4

II Hiểu biết về các cuộc tấn công mạng……….6

III Những nguy cơ ảnh hưởng đến an toàn mạng………7

PHẦN II :TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS

I DoS attack là gì ? ………12

II Các kỹ thuật tấn công DoS……….………….14

III Một số công cụ tấn công DoS……….23

PHẦN III :CÁCH PHÕNG CHỐNG DOS

I Những biện pháp đối phó DoS………27

II Công cụ phòng chống DoS………31 III Kiểm tra thâm nhập DoS………34

PHẦN IV :HƯỚNG DẪN & DEMO CÁCH TẤN CÔNG DOS

PHẦN I: TỔNG QUAN VỀ TẤN CÔNG MẠNG

I NHỮNG SỰ KIỆN VỀ CÁC CUỘC TẤN CÔNG MẠNG

1.Sự kiện bảo mật của năm 2011

 VietNamNet bị tấn công DDoS lớn chưa từng có

Trong vài ngày qua, báo VietNamNet đã phải hứng chịu một cuộc tấn công từ chối dịch vụ phân tán (DDoS) ở quy mô lớn chưa từng có tại Việt Nam, xuất phát từ một mạng lưới khổng lồ gồm hàng chục ngàn máy tính bị nhiễm vi rút

Bắt đầu từ cuối ngày 4/1/2011, lưu lượng truy cập vào trang chủ báo VietNamNet tại địa chỉ http://vietnamnet.vn tăng nhanh một cách bất thường, lên tới hàng trăm ngàn kết nối tại một thời điểm

Với lượng độc giả truy cập hàng ngày, số lượng kết nối tại một thời điểm chỉ

ở mức dưới một trăm ngàn Nên việc tại một thời điểm có tới hàng trăm ngàn kết nối liên tục (bao gồm cả của các độc giả thông thường) tới máy chủ web đã khiến băng thông đường truyền mạng bị quá tải Do vậy, độc giả truy cập vào báo VietNamNet

sẽ bị tắc nghẽn ngay từ đường truyền và báo lỗi không tìm thấy máy chủ, phải truy cập vài lần mới mở được trang web

Trên thực tế, báo VietNamNet đã từng bị tấn công DDoS nhiều lần nhưng ở quy mô vài chục ngàn kết nối tại một thời điểm nên băng thông hệ thống và công suất các máy chủ vẫn có thể chịu đựng được.Trong cuộc tấn công DDoS đang diễn

ra, kẻ thủ ác đã thể hiện khả năng rất chuyên nghiệp khi huy động một mạng lưới botnet với lượng máy lên tới hàng chục ngàn máy tính

 "Hacktivism" nổi dậy

Hacktivism là thuật ngữ diễn tả hành động tấn công, đột nhập vào một hệ thống máy tính nhằm mục đích chính trị Trên thế giới hiện nay, những nhóm hacker mang "mác" hacktivism nổi tiếng có thể kể đến bao gồm Anonymous, LulzSec (đã gác kiếm), hay TeaMp0isoN Trong suốt năm 2011 qua, các nhóm hacktivism đã tiến hành nhiều hoạt động khác nhau chống lại các cơ quan luật pháp, ngân hàng, chính phủ, các công ty bảo mật và những nhà cung cấp phần mềm như tấn công lỗ thủng an ninh các hệ thống của Tổ chức Liên hiệp quốc (UN), cơ quan tình báo bảo mật Straffor, CIA…

Đáng lưu ý hơn nữa, trong số những sự việc này, như cuộc tấn công Straffor,

đã tiết lộ những lỗ hổng về mặt an ninh như việc lưu trữ các số thẻ tín dụng dưới

hình thức chưa được mã hóa, hay những mật khẩu vô cùng thiếu an toàn được các nhà quản lý sử dụng

2.Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kỳ bị tấn công

Vào tháng 1-2011, những hacker thuộc Anonymous đã đột nhập máy chủ web của HBGary Federal – hbgaryfederal.com – thông qua việc sử dụng những đoạn mã SQL bất hợp pháp nhằm khai thác một lỗ hổng bảo mật tồn tại trong cơ sở dữ liệu của một ứng dụng Sau đó trích xuất mã MD5 cho các mật khẩu thuộc sở hữu của giám đốc điều hành (CEO), Aaron Barr, và COO, Ted Vera Cả hai đều dùng mật khẩu rất đơn giản: 6 kí tự thường và 2 con số

Những mật khẩu như thế này cho phép những kẻ tấn công tiếp cận vào những tài liệu nghiên cứu của công ty và hàng chục ngàn email được lưu trữ trong Google Apps Như vậy, việc sử dụng những mật khẩu thiếu an toàn cho hệ thống phần mềm

cũ cộng với việc sử dụng điện toán đám mây đã gây ra cơn ác mộng đối với an ninh bảo mật

3.Các cuộc tấn công DDoS nổi tiếng trong lịch sử

- Năm 2000, một loạt website nổi tiếng như Yahoo, eBay, eTrade, Amazon và CNN trở thành nạn nhân của DDoS

- Tháng 2/2001, máy chủ của Cục tài chính Ireland bị một số sinh viên Đại học Maynooth ở nước này tấn công DDoS

- Ngày 15/8/2003, Microsoft chịu đợt tấn công DoS cực mạnh và làm gián đoạn websites trong vòng 2 giờ

- Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to Castle Wolfenstein, Halo, Counter-Strike …bị nhóm RUS tấn công với hệ thống

điều khiển chủ yếu đặt tại Nga, Uzbekistan và Belarus

- Ngày 25/6/2009 khi Michael Jackson qua đời, lượng truy cập tìm kiếm các

từ khóa có liên quan đến ca sĩ này quá lớn khiến Google News lầm tưởng đây là một cuộc tấn công tự động

- Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đám như Facebook, Twitter, LiveJournal và một số website của Google được thực hiện chỉ để "khóa miệng" một blogger có tên Cyxymu ở Georgia

- Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau khi tổ chức những cuộc tấn công tương tự vào Mastercard và PayPal

để trả đũa cho việc chủ WikiLeaks bị tạm giam ở Anh

II HIỂU BIẾT VỀ TẤN CÔNG MẠNG

Một cuộc tấn công mạng có thể được định nghĩa là bất kỳ phương pháp, quy

trình, phương tiện được sử dụng độc hại cố gắng để thỏa hiệp an ninh mạng

Có một số lý do mà một cá nhân muốn tấn công mạng doanh nghiệp.Các cá nhân

thực hiện các cuộc tấn công mạng thường được gọi là kẻ tấn công mạng, tin tặc,…

Một vài loại khác nhau của hoạt động độc hại mà kẻ tấn công mạng và tin tặc

thực hiện được tóm tắt ở đây:

 Sử dụng trái phép tài khoản người dùng và đặc quyền

 Ăn cắp phần cứng

 Phần mềm đánh cắp

 Chạy mã cho các hệ thống thiệt hại

 Chạy mã thiệt hại và dữ liệu tham nhũng

 Sửa đổi dữ liệu được lưu trữ

 Ăn cắp dữ liệu

 Sử dụng dữ liệu cho lợi ích tài chính hoặc hoạt động gián điệp công nghiệp

 Thực hiện các hành động ngăn chặn người dùng hợp pháp có thẩm quyền truy cập vào các dịch vụ mạng và các nguồn lực

 Thực hiện hành động để làm cạn kiệt tài nguyên mạng và băng thông

III NHỮNG NGUY CƠ ẢNH HƯỞNG ĐẾN AN TOÀN MẠNG

1 "Tay trong"

Trong một số doanh nghiệp vừa và nhỏ, những dữ liệu kinh doanh quan trọng hay thông tin khách hàng thường được giao phó cho một cá nhân Điều này tạo nên tình trạng "lệ thuộc quyền hạn" nguy hiểm

Toàn bộ bản ghi (log) hệ thống mạng, những báo cáo tự động sẽ không được kiểm tra thường xuyên từ ban quản trị.Việc thất thoát dữ liệu có thể diễn ra trong khoảng thời gian dài mà không bị phát hiện

2 Không có kế hoạch xử lý rủi ro

Hệ thống máy tính, mạng của doanh nghiệp luôn phải đối mặt với nhiều nguy

cơ bảo mật, từ việc hư hỏng vật lý cho đến các trường hợp bị tấn công từ tin tặc hay virus đều có khả năng gây tổn hại cho dữ liệu

Khá nhiều doanh nghiệp vừa và nhỏ thiếu hẳn chính sách phản ứng với việc thất thoát dữ liệu hay kế hoạch khắc phục sự cố Đại đa số đều lúng túng và bắt đầu các hoạt động mang tính ứng phó

3 Những thiết lập mặc định không được thay đổi

Tin tặc hiện nay thường dùng các tập tin chứa đựng hàng trăm ngàn tài khoản mặc định (username và password) của các thiết bị kết nối mạng để dò tìm quyền hạn truy xuất khả năng đăng nhập vào hệ thống mạng Nếu các tài khoản, thiết lập mặc định không được thay đổi, tin tặc sẽ dễ dàng chiếm quyền điểu khiển tài nguyên mạng

4 Môi trường mạng tại gia không an toàn

Đối với một vài doanh nghiệp nhỏ, các nhân viên thường đem máy tính xách tay (laptop) của mình đến văn phòng để làm việc Trong môi trường mạng tại gia đình, chế độ bảo mật thường rất kém hay thậm chí không có những thiết lập bảo vệ

Do đó, những chiếc laptop của nhân viên có thể là nguồn gốc phát tán virus, malware hay trở thành zombie trung gian để tin tặc tấn công vào hệ thống mạng của

5 Thiếu cảnh giác với mạng công cộng

Một thủ đoạn chung tin tặc hay sử dụng để dẫn dụ những nạn nhân là đặt một thiết bị trung chuyển wireless access-point không cài đặt mật khẩu (unsecured) rồi gán một cái nhãn như "Mạng Wi-Fi miễn phí" và rung đùi ngồi chờ những kết nối

"ngây thơ" rơi vào bẫy

Tin tặc sẽ dùng các công cụ thâu tóm gói dữ liệu mạng giúp nhận biết cả những văn bản hay bất kỳ những gì mà nhân viên doanh nghiệp gõ rồi gửi ra ngoài

6 Mất mát thiết bị di động

Rất nhiều doanh nghiệp, thậm chí gần đây còn có cả một vài hãng lớn bị thất thoát dữ liệu quan trọng do mất cắp máy tính xách tay, thất lạc điện thoại di động hay các đĩa flash USB lưu trữ Dữ liệu trong các thiết bị này thường ít được mã hóa hay bảo vệ bằng mật khẩu, rất dễ dàng xử lý một khi đã sở hữu chúng

7 Lỗi từ máy chủ web

Hiện còn khá nhiều doanh nghiệp không coi trọng việc đặt website của mình tại máy chủ nào, mức độ bảo mật ra sao Do đó, website kinh doanh của doanh nghiệp sẽ là mồi ngon của các đợt tấn công SQL Injection hay botnet

8 Duyệt web tràn lan

Không phải nhân viên văn phòng nào cũng đủ am hiểu tường tận về những hiểm họa rình rập trên mạng Internet như malware, spyware, virus, trojan

Họ cứ vô tư truy cập vào các website không xác định hoặc bị dẫn dụ click vào những website được tin tặc bày cỗ chào đón và thế là máy tính của nhân viên sẽ là cánh cửa giúp tin tặc xâm nhập vào trong mạng của doanh nghiệp

9 Email chứa đựng mã độc

Những cuộc dội bom thư rác sẽ làm tràn ngập hộp thư của bạn với những tiêu

đề hấp dẫn như những vụ scandal tình ái, hình ảnh nóng bỏng hay các lời mời chào kinh doanh chỉ một cú nhấp chuột sai lầm thì ngay lập tức máy tính sẽ tải về các đoạn mã độc làm tiền đề cho hàng loạt phần mềm độc hại đi sau xâm nhập vào máy tính

10 Không vá lỗi bảo mật

Hơn 90% các cuộc tấn công vào hệ thống mạng đều cố gắng khai thác các lỗi bảo mật đã được biết đến.Mặc dù các bản vá lỗi vẫn thường xuyên được những hãng sản xuất cung cấp ngay sau khi lỗi được phát hiện nhưng một vài doanh nghiệp lại không coi trọng việc cập nhật lỗi thường nhật dẫn đến việc các lỗi bảo mật mở toang cổng chào đón những cuộc tấn công

11 Một số nguy cơ khác

+ Lỗ hổng Zero-day đối với các phần mềm của Adobe (Flash Player, Adobe Reader và Acrobat) Đây là lỗ hổng mới phát hiện trong tháng 3/2011 và được đánh giá là lỗi nghiêm trọng Nó cho phép kẻ tấn công thực thi các mã lệnh và có thể chiếm quyền điều khiển hệ thống.Tội phạm mạng đã đính kèm mã độc dưới hình thức tập tin Flash (.swf) vào các tài liệu có định dạng pdf hoặc Excel

+ Sâu Conficker xuất hiện từ khá sớm tại Việt Nam và liên tục có nhiều biến thể khác nhau; ngày càng trở nên nguy hiểm Ước tính, có đến hàng triệu máy tính trên thế giới đang nhiễm sâu Conficker và vô tình trở thành mạng máy tính botnet giúp cho các hacker tổ chức các đợt tấn công DDoS quy mô lớn

+ Hiện tại, đang xuất hiện loại malware (mã độc) khi lây nhiễm vào máy tính

sẽ chiếm quyền điều khiển hệ thống và đưa ra các thông báo giả mạo Malware này

đã tấn công vào các máy tính sử dụng Windows không có bản quyền và đưa ra đề nghị kích hoạt dịch vụ.Nhiều người tiêu dùng đã mất tiền oan khi gọi điện thoại liên lạc với tổng đài (do hacker chỉ định) để lấy mã số kích hoạt Windows

12 Những điểm yếu trong vấn đề bảo mật:

Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quan trọng để tiến hành những chính sách bảo mật có hiệu quả

Hiểu những điểm yếu này giúp bảo mật mạng trước khi bị hacker tấn công Cisco xác định những điểm yếu trong bảo mật gồm có: technology weaknesses, configuration weaknesses và policy weaknesses

12.1) Technology weaknesses:

Điểm yếu trong kỹ thuật gồm có điểm yếu trong protocol, operating system và

Giao thức TCP/IP là điểm yếu trong bảo mật vì nó được thiết kế như một tiêu chuẩn mở để giúp cho việc trao đổi thông tin được dễ dàng Điều đó làm cho nó trởnên sử du ̣ng rô ̣ng rãi nhưng cũng làm cho nó dễ dàng bị tấn công vì hầu hết mọi người đều thân thuộc với cách thức TCP/IP làm việc

Hai giao thức mà Cisco thích lựa chọn trong chùm giao thức TCP/IP nhưng vốn cố hữu lại không được bảo mật la SMTP ( TCP ) va SNMP ( UDP ) Điển hình của kỹ thuật tấn công vào hai giao thức này là IP spoofing, man-in-the-middle và session replay

12.1.2) Operating System weaknesses:

Trong khi tất cả các hệ điều hành đều có điểm yếu thì Linux và Unix được xem như là ít có điểm yếu hơn Windows Thực tế, hầu hết mọi người dùng các phiên bản của Windows

12.1.3) Network equipment weaknesses:

Hầu hết các thiết bị mạng như là servers, switchs, routers… đều có điểu yếu trong bảo mật Nhưng có một chính sách tốt cho việc cấu hì nh và lắp đặt cho các thiết bị mạng sẽ làm giảm đi rất nhiều sự ảnh hưởng của điểm yếu này

12.2) Configuration weaknesses:

Đây là lỗi do nhà quản trị tạo ra Lỗi này do các thiếu sót trong việc cấu hình như là: không bảo mật tài khoản khách hàng , hệ thống tài khoản với password dễ dàng đoán biết, không bảo mật các cấu hình mặc định trên thiết bị hay lỗi trong viê ̣c cấu hình thiết bị

12.2.1) Unsecured user account:

Mỗi user account cần có usename và password cho mục đích bảo mật Các username và password này thường được truyền đi ở dạng clear text trên mạng Do

đó, cần có chính sách bảo mật user account như mã hoá, authentication …

12.2.2) System account with easily guessed password:

Một điểm yếu trong lỗi cấu hình khác là bảo mật account với password dễ dàng bị đánh cắp Để ngăn chặn tình trạng đó , người quản trị cần có chính sách để không cho phép một password có hi ệu lực mãi mãi mà password này phải có một thời hạn kết thúc

12.2.3) Misconfigured Internet services:

Một vài công ty đã sử dụng địa chỉ thật trên mạng internet để đánh địa chỉ cho hosts

và servers Điều này tạo nên điểm yếu mà các hacker sẽ dễ dàng khai thác thông tin

Sử dụng giao thức NAT hoặc PAT có thể giải quyết vấn đề trên Sử dụng địa chỉ riêng ( private address ) cho phép đánh địa chỉ hosts và servers ma không cần dùng địa chỉ thật trên mạng, trong khi địa chỉ thật thì được border router định tuyến

ra mạng internet

Đó không phải là biện pháp tối ưu Port trên interface kết nối ra internet phải ở trạng thái open cho phép users vào mạng internet và ngược lại Đó là lỗ hỏng trên bức tường lửa ( firewall ) mà hacker có thể tấn công vào

Bạn có thể tạo ra tính bảo mật cho network bằng cách sử dụng “ conduits ”, là kết nối bảo mật cơ bản

Cisco Secure Private Internet Echange ( PIX ) firewall là biện pháp tối ưu tạo

ra tính bảo mật tốt cho mạng

12.2.4) Unsecured default settings in product:

Nhiều sản phẩm phần cứng được cung cấp mà không có password hoặc là password sẵn có giúp cho nhà quản trị dễ dàng cấu hình thiết bị Nó làm cho công việc dễ dàng hơn, như một số thiết bị chỉ cần cắm vào và hoạt động Điều này sẽ giúp cho sự tấn công mạng trở nên dễ dàng Do đó, ta cần phải thiết lập một chính sách cấu hình bảo mật trên mỗi thiết bị trước khi thiết bị được lắp đặt vào hệ thống mạng

12.2.5) Misconfigured Netword Equipment:

Lỗi cấu hình thiết bị là một lổ hổng có th ể khai thác để tấn công mạng: password yếu, không có chính sách bảo mật hoặc không bảo mật user account… đều

là lỗi cấu hình thiết bị

Phần cứng và những giao thức chạy trên thiết bị cũng tạo ra lỗ hỏng bảo mật trong mạng.Nếu bạn không có chính sách bảo mật cho phần cứng và những giao thức này thì hacker sẽ lợi dụng để tấn công mạng

Nếu bạn sử dụng SNMP được mặc định thiết lập thì thông tin có thể bị đánh

Chính sách bảo mật diễn tả làm thế nào và ở đâu chính sách bảo mật được thực hiện Đây là điều kiện quan trọng giúp việc bảo mật có hiệu quả tốt nhất

PHẦN II: TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS

1 Khái niệm

Denial Of Services Attack (tấn công từ chối dịch vụ ) là kiểu tấn công rất lợi hại, với loại tấn công này, bạn chỉ cần một máy tính kết nối Internet là đã có thể thực hiện việc tấn công được máy tính của đối phương

Thực chất của DoS attack là hacker sẽ chiếm dụng một lượng lớn tài nguyên trên server ( tài nguyên đó có thể là băng thông, bộ nhớ, cpu, đĩa cứng, ) làm cho server không thể nào đáp ứng các yêu cầu từ các máy của nguời khác ( máy của những người dùng bình thường ) và server có thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot

2 Các mục đích của tấn công DoS

 Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi

đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường

 Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ

 Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó

 Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào

Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị:

+ Disable Network - Tắt mạng

+ Disable Organization - Tổ chức không hoạt động

+ Financial Loss – Tài chính bị mất

3 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS

Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài nguyên chúng thường sử dụng để tấn công là gì:

Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên

 Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS

 Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp Bạn thử tưởng tượng khi nguồn điện vào máy chủ web bị ngắt thì người dùng có thể truy cập vào máy chủ đó không

 Phá hoại hoặc thay đổi các thông tin cấu hình

 Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…

4 Dấu hiệu khi bị tấn công DoS

 Thông thường thì hiệu suất mạng sẽ rất chậm

 Không thể sử dụng website

 Không truy cập được bất kỳ website nào

 Tăng lượng thư rác nhanh chóng

II CÁC KỸ THUẬT TẤN CÔNG DOS

1 Winnuke

Hình 2.1 Gói tin TCP Header đƣợc Attacker sử dụng

DoS attack loại này chỉ có thể áp dụng cho các máy tính đang chạy

Windows9x Hacker sẽ gởi các gói tin với dữ liệu "Out of Band" đến cổng 139 của

máy tính đích.( Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các gói

tin có cờ Out of Band được bật ) Khi máy tính của victim nhận được gói tin này,

một màn hình xanh báo lỗi sẽ được hiển thị lên với nạn nhân do chương trình của

Windows nhận được các gói tin này nhưng nó lại không biết phản ứng với các dữ

liệu Out Of Band như thế nào dẫn đến hệ thống sẽ bị crash

2 Ping of Death

Hình 2.2 Mô hình tấn công Ping Of Death

Tấn công Ping of Death (hay PoD) có thể làm tê liệt cả mạng lưới dựa trên lỗ hổng của hệ thống TCP/IP Kích thước tối đa cho 1 gói dữ liệu là 65,535 bytes Nếu

ta gửi các gói tin lớn hơn nhiều so với kích thước tối đa thông qua lệnh “ping” đến máy đích thì sẽ làm máy tính đích bị treo

Nhưng gửi 1 gói tin lớn hơn kích thước quy định là điều trái với luật của giao thức TCP/IP,vì vậy Hacker đã khéo léo gửi các gói tin trên các đoạn phân mảnh Khi máy tính victim ráp các phân mảnh dữ liệu thì sẽ nhận thấy gói tin quá lớn Điều này

sẽ gây ra lỗi tràn bộ đệm và treo các thiết bị

Nhưng đến nay thì hầu hết các thiết bị được sản xuất sau năm 1998 đã miễn dịch với loại tấn công này

3 Teardrop

Hình 2.3 Cơ chế tấn công bằng Teardrop

Như ta đã biết , tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình : dữ liệu sẽ được chia ra thành các mảnh nhỏ

ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu Lợi dụng sơ hở đó , ta chỉ cần gởi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn !

Malicious

TCP Client

Victim TCP Server

SYS packet with a deliberately fraudulent (spoofed) source IP return address

ClientPort

1024-65535

TCP Server

ServicePort 1-1023

SYS

ACK

SYN/ACK

80

Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ IP nguồn không có thực Hệ thống đích khi nhận được các SYN packets này

sẽ gởi trở lại các địa chỉ không có thực đó và chờ đợi để nhận thông tin phản hồi từ các địa chỉ IP giả

Vì đây là các địa chỉ IP khôngcó thực, nên hệ thống đích sẽ sẽ chờ đợi vô ích

và còn đưa các "request"chờ đợi này vào bộ nhớ , gây lãng phí một lượng đáng kể

bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi thông tin phản hồi không có thực này Nếu ta gởi cùng một lúc nhiều gói tin có địa chỉ IP giả như vậy thì hệ thống sẽ bị quá tải dẫn đến bị crash hoặc boot máy tính

5 Land Attack

Hình 2.5 Mô Hình tấn công bằng Land Attack

Land Attack cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ IP không có thực, hacker sẽ dùng chính địa chỉ IP của hệ thống nạn nhân Điều này sẽ tạo nên một vòng lặp vô tận giữa trong chính hệ thống nạn nhân đó,giữa một bên cần nhận thông tin phản hồi còn một bên thì chẳng bao giờ gởi thông tin phản hồi đó đi

cả == > Gậy ông đập lưng ông

6 Smurf Attack

Hình 2.6 Mô hình tấn công Smuft Attack

Trong Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công), mạng khuếch đại (sẽ nghe lệnh của hacker) và hệ thống của nạn nhân Hacker sẽ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại Điều đặc biệt là các gói tin ICMP packets này có địa chỉ IP nguồn chính là địa chỉ IP của nạn nhân

Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đã gởi gói tin ICMP packets đến và chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot

Như vậy, chỉ cần gởi một lượng nhỏ các gói tin ICMP packets đi thì hệ thống mạng khuếch đại sẽ khuếch đại lượng gói tin ICMP packets này lên gấp bội Tỉ lệ khuếch đại phụ thuộc vào số mạng tính có trong mạng khuếch đại Nhiệm vụ của các hacker là cố chiếm được càng nhiều hệ thống mạng hoặc routers cho phép chuyển trực tiếp các gói tin đến địa chỉ broadcast không qua chỗ lọc địa chỉ nguồn ở các đầu ra của gói tin Có được các hệ thống này, hacker sẽ dễ dàng tiến hành Smurf Attack trên các hệ thống cần tấn công == >Đánh tổng lực

7 Fraggle Attack

Hình 2.7 Mô Hình tấn công bằng Fraggle Attack

Tương tự như Smurt attack nhưng thay vì dùng gói tin ICMP ECHO

REQUEST thì sẽ dùng cách tấn công này sẽ dùng gói tin UDP ECHO gởi đến mục tiêu Nhưng Flaggle Attack nguy hiểm hơn Smurt attack rất nhiều.Vì Attacker tấn

công bằng một gói tin ECHO REQUEST với địa chỉ bên nhận là một địa chỉ

broadcast, toàn bộ hệ thống thuộc địa chỉ này lập tức gửi gói tin REPLY đến port

echo của victim, sau đó từ victim một gói tin ECHO REPLY lại gửi trở về địa chỉ

broadcast, và quá trình cứ thế tiếp diễn

8 UDP Flooding

Cách tấn công UDP đòi hỏi phải có 2 hệ thống máy cùng tham gia Hackers sẽ

làm cho hệ thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức

UDP Và giả mạo địa chỉ IP của các gói tin là địa chỉ loopback (127.0.0.1 ) , rồi gởi

gói tin này đến hệ thống của nạn nhân trên cổng UDP echo( 7 )

Hệ thống của nạn nhân sẽ trả lời lại các messages do 127.0.0.1( chính nó) gởi

đến , kết quả là nó sẽ đi vòng một vòng lặp vô tận Tuy nhiên, có nhiều hệ thống

không cho dùng địa chỉ loopback nên hacker sẽ giả mạo một địa chỉ IP của một máy

tính nào đó trên mạng nạn nhân và tiến hành ngập lụt UDP trên hệ thống của nạn

nhân Nếu bạn làm cách này không thành công thì chính máy của bạn sẽ bị đầy

9 Tấn công DNS

Hacker có thể đổi một lối vào trên Domain Name Server của hệ thống nạn

nhân rồi cho chỉ đến một website nào đó của hacker Khi máy khách yêu cầu DNS

phân tích địa chỉ bị xâm nhập thành địa chỉ IP, lập tức DNS ( đã bị hacker thay đổi

cache tạm thời ) sẽ đổi thành địa chỉ IP mà hacker đã cho chỉ đến đó Kết quả là

thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính

hacker tạo ra Một cách tấn công từ chối dịch vụ thật hữu hiệu !

10 Distributed DoS Attacks ( DDos )

Attacker:kẻ tấn công

Handler: máy tính bị điều

khiển bởi Attacker

Zombie: máy tính bị điều

khiển bởi Handler

Victim: nạn nhân tấn công

của Attacker

Hình 2.10 Mô hình tấn công DDos

DDoS yêu cầu phải có ít nhất vài hackers cùng tham gia Đầu tiên các hackers

sẽ cố thâm nhập vào các mạng máy tính được bảo mật kém, sau đó cài lên các hệ

thống này chương trình DDoS server Bây giờ các hackers sẽ hẹn nhau đến thời gian đã định sẽ dùng DDoS client kết nối đến các DDoS servers, sau đó đồng loạt ra lệnh cho các DDoS servers này tiến hành tấn công DDoS đến hệ thống nạn nhân

11 The Distributed Reflection Denial of Service Attack(DRDoS )

Đây có lẽ là kiểu tấn công lợi hại nhất và làm boot máy tính của đối phương nhanh gọn nhất Cách làm thì cũng tương tự như DDos nhưng thay vì tấncông bằng nhiều máy tính thì người tấn công chỉ cần dùng một máy tấn công thông qua các server lớn trên thế giới Vẫn với phương pháp giả mạo địa chỉ IP của victim , kẻ tấn công sẽ gởi các gói tin đến các server mạnh nhất, nhanh nhất và có đường truyền rộng nhất như Yahoo v.v… , các server này sẽ phản hồi các gói tin đó đến địa chỉ của victim

Việc cùng một lúc nhận được nhiều gói tin thông qua các server lớn này sẽ nhanh chóng làm nghẽn đường truyền của máy tính nạn nhân và làm crash , reboot máy tính đó Cách tấn công này lợi hại ở chỗ chỉ cần một máy có kết nối Internet đơn giảnvới đường truyền bình thường cũng có thể đánh bật được hệ thống có đường truyền tốt nhất thế giới nếu như ta không kịp ngăn chặn Trang WebHVA của chúng

ta cũng bị DoS vừa rồi bởi cách tấn công này đấy

Hình 2.10 Mô hình tấn công DRDos

III: NHỮNG CÔNG CỤ TẤN CÔNG DOS

1 DoSHTTP + Sprut:

Hình 3.1 Giao diện tool DoSHTTP và Sprut

Đây là 2 phần mềm làm “Flood” Website ở mức độ nhẹ và nó thực hiện bằng cách gửi các gói tin Request đến port 80 của website

DoSHTTP là một phần mềm sử dụng dễ dàng, mạnh mẽ để tấn công tràn ngập HTTP nhằm mục địch kiểm thử trên Windows DoSHTTP bao gồm xác nhận URL, chuyển hướng HTTP và giám sát hiệu suất.Công cụ DoSHTTP có thể giúp các chuyên gia CNTT thử nghiệm hiệu năng máy chủ web và đánh giá độ bảo mật

2 LOIC

Hình 3.2 Giao diện tool LOIC

LOIC là ứng dụng tấn công từ chối dịch vụ, được viết bằng C# Loic thực hiện tấn công từ chối dịch vụ tấn công (hoặc khi được sử dụng bởi nhiều cá nhân, đó sẽ là một cuộc tấn công DDoS)

Trên một trang web mục tiêu làm ngập các máy chủ với các gói tin TCP hoặc UDP với ý định làm gián đoạn dịch vụ của một máy chủ cụ thể Công cụ LOIC là một botnet tình nguyện kết nối đến một máy chủ từ xa mà chỉ đạo các cuộc tấn công Hiện nay, có 40.000 người kết nối với botnet

3 UDP Flood

Hình 3.3 Giao diện phần mềm UDP Flood

UDPFlood là một chương trình gửi các gói tin UDP Nó gửi ra ngoài những gói tin UDP tới một địa chỉ IP và port không cố định

Gói tin có khả năng là một đoạn mã văn bản hay một số lượng dữ liệu được sinh ngẫu nhiên hay từ một file được sử dụng để kiểm tra khả năng đáp ứng của server

4 rDoS

Hình 3.4 Giao diện tool rDoS

Phần mềm chạy trên nền TCP và phương pháp tấn công là làm ngập lụt SYN Chỉ cần nhập IP của Vitim và Port muốn tấn công thì chương trình sẽ tự động chạy

 Lưu ý:Khi sử dụng thì phải cẩn thận và thoát ra đúng cách vì nếu không máy tính của mình sẽ tự động tấn công DoS tới victim đã chỉ định khi mình bật máy lên,dù chưa làm 1 thao tác nào.Để kiểm tra thì chúng ta sử dụng WireShark sẽ thấy rõ vấn đề

từ khoảng thời gian lưu lượng mạng trạng thái thống kê bình thường

1.1 Hoạt động định hình

Một tấn công được nhận biết bằng:

 Tăng hoạt động giữa các clusters

 Tăng toàn bộ số lượng rõ ràng clusters (tấn công DDoS)

Hoạt động định hình thu được bằng cách giám sát thông tin header của gói tin trong mạng Nó là tốc độ trung bình lưu lượng mạng bao gồm gói tin liên tiếp với trường gói tin giống nhau

1.3 Phát hiện thay đổi điểm theo trình tự

Thuật toán phát hiện thay đổi điểm mô tả lưu lượng thống kê nguyên nhân thay đổi bởi cuộc tấn công Họ bắt đầu lọc lưu lượng dữ liệu tới đích bằng địa chỉ, cổng hoặc giao thức và lưu trữ kết quả thành chuỗi thời gian Để nhận diện và định

vị cuộc tấn công DoS các thuật toán cusum xác định độ lệch trong mức trung bình thực tế cục bộ so với dự kiến trong chuỗi thời gian giao thông Bạn cũng có thể dùng