Các hacker sử dụng phương pháp tấn công này để tấn công vào các trang web của các chính phủ, doanh nghiệp lớn, các thiết bị của các công ty lớn làm cho các hệ thống máy chủ này bị tê liệ
Trang 1Sinh viên thực hiện: Nguyễn Trung Nghĩa
LỜI CẢM ƠN
Lời đầu tiên của bản luận văn này cho phép em được bày tỏ lòng cảm ơn sâu sắc đối với thầy giáo ThS Đỗ Ngọc Điệp và thầy PGS.TS Hồ Sĩ Đàm đã chỉ bảo tận tình đầy trách nhiệm cho các ý kiến chỉ đạo trong suốt quá trình làm khóa luận, đã động viên, tạo điều kiện thuận lợi để em hoàn thành khóa luận này
Em xin chân thành cảm ơn các thầy, cô khoa Công nghệ ,những người đã truyền đạt những kiến thức bổ ích và lý thú giúp ích cho em trên con đường học tập của mình Chân thành cảm ơn lãnh đạo trường Đại học Hòa Bình luôn tạo điều kiện thuận lợi và
hỗ trợ em trong suốt quá trình học tập, cung cấp nhiều tư liệu và các kiến thức về nghiệp vụ giúp cho khóa luận của em có kết quả tốt
Trong quá trình thực tập, cũng như là trong quá trình làm khóa luận, khó tránh khỏi sai sót, đồng thời do trình độ lý luận cũng như kinh nghiệm thực tiễn còn hạn chế nên khóa luận không thể tránh khỏi những thiếu sót, em rất mong nhận được ý kiến đóng góp, những lời chỉ bảo tận tình của quý Thầy Cô
Em xin chân thành cảm ơn!
Hà Nội, ngày 8 tháng 5 năm 2014
Sinh viên
Nguyễn Trung Nghĩa
Trang 2Sinh viên thực hiện: Nguyễn Trung Nghĩa
LỜI NÓI ĐẦU
Thuật ngữ “Internet” xuất hiện lần đầu trên vào năm 1974 và vào năm 1997 Internet tại Việt Nam được coi như chính thức bắt đầu Internet có vai trò to lớn đối với đời sống con người, giúp cho quá trình trao đổi thông tin, truyền thông trở nên nhanh chóng, hiệu quả và có tính tương tác cao Sự ra đời của Internet kéo theo rất nhiều các dịch vụ, ứng dụng được xây dựng, hỗ trợ con người trong công việc một cách tốt nhất với khả năng truyền đạt thông tin đa dạng, với nhiều kiểu dữ liệu khác nhau như: Hình ảnh, âm thanh, video Khi Internet ngày càng phát triển, phạm vi ứng dụng của Web ngày càng mở rộng thì khả năng xuất hiện lỗi và bị tấn công càng cao, trở thành đối tượng cho tấn công với các ý đồ, mục đích khác nhau, nhằm vào tất cả các máy tính có mặt trên Internet, các tổ chức quân sự, ngân hàng, các trang thông tin điện tử lớn…
Có rất nhiều các kiểu tấn công nhưng trong những thời gian gần đây nổi bật lên
là kiểu tấn công vô cùng phổ biến và tỏ ra rất là nguy hiểm, đó là các cuộc tấn công từ chối dịch vụ (Denial of Service-DoS) và tấn công chối dịch vụ phân tán (Distributed Denial of Service-DDoS) Các hacker sử dụng phương pháp tấn công này để tấn công vào các trang web của các chính phủ, doanh nghiệp lớn, các thiết bị của các công ty lớn làm cho các hệ thống máy chủ này bị tê liệt và không còn khả năng phục vụ Mục tiêu của khóa luận là nghiên cứu tìm hiểu về bản chất của tấn công DoS/DDoS, phân tích một số kỹ thuật tấn công của DoS/DDoS để qua đó chúng ta có thể thấy tầm nguy hiểm của tấn công DDoS/DDoS cũng như sự cần thiết của việc phòng chống tấn công DoS/DDoS
Trang 3Sinh viên thực hiện: Nguyễn Trung Nghĩa
TÓM TẮT KHÓA LUẬN
Đề tài khóa luận “ Tìm hiểu tấn công DoS/DDoS và một số biện pháp phòng tránh tấn công DoS/DDoS ” gồm những nội dung chính sau:
CHƯƠNG 1: GIỚI THIỆU TỔNG QUÁT
1 Khái quát về tấn công DoS/DDoS
2 Mạng Botnet
3 Tình hình chung về tấn công DoS/ DDoS tại Việt Nam hiện nay
CHƯƠNG 2: MÔ HÌNH, NGUYÊN LÝ KỸ THUẬT TẤN CÔNG DOS/DDOS
1 Các kĩ thuật tấn công DoS/DDoS
2 Botnet
3 Một số kỹ thuật phát hiện tấn công DoS/DDoS
4 Các chiến lược đối kháng DoS/DDoS
5 Các biện pháp đối phó DoS/DDoS
6 Kĩ thuật bảo vệ chống lại Botnet
CHƯƠNG 3: CÔNG CỤ TẤN CÔNG VÀ PHÒNG CHỐNG DOS/DDOS
1 Công cụ tấn công DoS/DDoS: Donut HTTP Flooder 1.4
2 Công cụ ngăn chặn và bảo vệ trước các cuộc tấn công DoS/DDoS: Tường lửa D-Guard chống DDoS
3 Một số giải pháp đề xuất
Trang 4Sinh viên thực hiện: Nguyễn Trung Nghĩa
MỤC LỤC
LỜI NÓI ĐẦU
TÓM TẮT KHÓA LUẬN
DANH SÁCH CÁC TỪ VIẾT TẮT
CHƯƠNG 1: GIỚI THIỆU TỔNG QUÁT 1
1.1 Khái quát về tấn công DoS/DDoS 1
1.1.1 Tấn công từ chối dịch vụ - DoS 1
1.1.2 Tấn công từ chối dịch vụ phân tán – DdoS 2
1.1.3 Các mục đích của tấn công DoS/DDoS 3
1.1.4 Cách thức các cuộc tấn công DDoS hoạt động 4
1.1.5 Các dấu hiệu của tấn công DoS/DDoS 5
1.2 Mạng Botnet 7
1.2.1 Định nghĩa Botnet 7
1.2.2 Ý nghĩa của Botnet 7
1.2.3 Mục đích của Botnet 7
1.2.4 Quy trình tấn công máy chủ dựa vào botnet 8
1.3 Giới thiệu chung về tình hình tấn công DoS và DDoS ở VN hiện nay 9
CHƯƠNG 2: MÔ HÌNH, NGUYÊN LÝ KỸ THUẬT TẤN CÔNG DOS/DDOS 11
2.1 Các kĩ thuật tấn công DoS 11
2.1.1 Kỹ thuật tấn công băng thông 11
2.1.2 Kỹ thuật làm tràn yêu cầu dịch vụ 11
2.1.3 Tấn công SYN 12
2.1.4 Trần ngập SYN 13
2.1.5 Tấn công làm ngập ICMP 14
2.1.6 Tấn công máy chủ ngang hàng 15
2.1.7 Tấn công từ chối dịch vụ lâu dài 16
2.1.8 Tấn công làm ngập các ứng dụng 17
2.2 Botnet 18
2.2.1 Kĩ thuật lan truyền botnet 18
2.2.2 Hệ sinh thái botnet 19
2.2.3 Tấn công DDoS 20
Trang 5Sinh viên thực hiện: Nguyễn Trung Nghĩa
2.3 Các kĩ thuật phát hiện 21
2.3.1 Lập hồ sơ các hoạt động 21
2.3.2 Phân tích các tín hiệu dựa trên gợn sóng 22
2.3.3 Phát hiện các điểm thay đổi nối tiếp 22
2.4 Các chiến lược đối kháng DoS/DDoS 23
2.4.1 Hấp thụ các cuộc tấn công 23
2.4.2 Giảm hoạt động các dịch vụ 23
2.4.3 Đóng dịch vụ 23
2.5 Các biện pháp đối phó DdoS 24
2.5.1 Bảo vệ nạn nhân cấp thứ 24
2.5.2 Kiểm tra vô hiệu hóa trình xử lí 25
2.5.3 Phát hiện các cuộc tấn công tiềm năng 26
2.5.4 Làm lệch hướng tấn công 27
2.5.5 Cảm biến KFS 28
2.5.6 Làm giảm nhẹ cuộc tấn công 29
2.5.7 Bảo vệ DoS/DDoS tại mức ISP 30
2.5.8 Kích hoạt chế độ chặn TCP trên phần mềm Cisco IOS 31
2.5.9 Giám định sau tấn công 32
2.5.10 Phân tích kiểu mẫu lượng truy cập 32
2.5.11 Chạy công cụ Zomie Zapper 33
2.6 Kĩ thuật bảo vệ chống lại Botnets 33
2.6.1 Lọc RFC 3740 33
2.6.2 Lọc lỗ đen 33
2.6.3 Cung cấp ngăn chặn DDoS từ dịch vụ DDoS hoặc ISP 34
2.6.4 Lọc danh nghĩa IP nguồn IPS Cisco 34
CHƯƠNG 3: CÔNG CỤ TẤN CÔNG VÀ PHÒNG CHỐNG DOS/DDOS 35
3.1 Công cụ tấn công DoS/DDoS: Donut HTTP Flooder 1.4 35
3.1.1 Giao diện của Donut HTTP Flooder 1.4 35
3.1.2 Tấn công website localhost bằng Donut HTTP Flooder 1.4 37
3.1.3 Một số công cụ tấn công điển hình khác 41
Trang 6Sinh viên thực hiện: Nguyễn Trung Nghĩa
3.2 Công cụ ngăn chặn và bảo vệ trước các cuộc tấn công DoS/DDoS: Tường lửa
D-Guard chống DDoS 42
3.2.1 Giao diện Tường lửa D-Guard chống DDoS 43
3.2.2 Một số chương trình phòng chống tấn công DDoS khả dụng khác 54
3.3 Một số giải pháp đề xuất 56
Trang 7Sinh viên thực hiện: Nguyễn Trung Nghĩa
Mbps Megabit Per Second C&C Command & Conquer SMTP Simple Mail Transfer Protocol TCP Transmission Control Protocol ACK Acknowledgement
ICMP Internet Control Message Protocol
DC Direct Connected PDoS Permanent Denial of Service CPU Central Processing Unit SQL Structured Query Language LOIC Low Obit Ion Cannon SNMP Simple Network Management Protocol IDDS International Development Design Summit IDS Intrusion Detection System
ACL Access Control List RTBH Remotely-Triggered Black Hole HTTP HyperText Transfer Protocol DrDoS Distributed Reflection Denial of Service UDP User Datagram Protocol
ARP Address Resolution Protocol NIC Network Interface Card
Trang 8Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 1
CHƯƠNG 1: GIỚI THIỆU TỔNG QUÁT
1.1 Khái quát về tấn công DoS/DDoS
1.1.1 Tấn công từ chối dịch vụ - DoS
Tấn công từ chối dịch vụ (DoS:Denial of Service) là một kiểu tấn công làm cho
một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống
Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người dùng bình thường đó là tấn công Denial of Service (DoS) Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp
Hình 1.1: Tấn công từ chối dịch vụ - DoS
Trang 9Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 2
Giả thiết đặt ra:
Xem xét một công ty (Mục tiêu tấn công DoS) cung cấp bánh pizza khi nhận được một đơn đặt hàng qua điện thoại Kinh doanh của doanh nghiệp phụ thuộc vào đơn hàng qua điện thoại từ các khách hàng Giả sử một người có ý định làm gián đoạn công việc kinh doanh hàng ngày của công ty này Nếu người này đã đưa ra một cách để giữ cho đường dây điện thoại của công ty luôn bận và từ chối truy cập cho khách hàng gọi đến, rõ ràng là công ty sẽ mất mục doanh thu và gián đoạn việc kinh doanh
1.1.2 Tấn công từ chối dịch vụ phân tán – DDoS
Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ
bị "ngập" bởi hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu Hậu quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn công DDoS DDoS là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ IP trên Internet Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn
Hình 1.2: Tấn công từ chối dịch vụ phân tán – DdoS
Trang 10Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 3
1.1.3 Các mục đích của tấn công DoS/DDoS
1.1.3.1 Mục đích của DoS/DDoS
Một cuộc tấn công DoS (DDoS) là một cuộc tấn công quy mô lớn, kết hợp với cuộc tấn công vào tính khả dụng của các dịch vụ trên hệ thống hay các nguồn mạng lưới của mục tiêu, được khởi động gián tiếp thông qua nhiều máy tính trên Internet Các dịch vụ bị tấn công là các dịch vụ “mục tiêu chính” trong khi các hệ thống bị xâm nhập được sử dụng để khởi động tấn công thường được gọi là “mục tiêu phụ” Việc sử dụng các mục tiêu phụ trong việc thực hiện một cuộc tấn công DDoS cung cấp cho người tấn công khả năng tạo ra một cuộc tấn công rộng hơn và gây rối hơn, trong khi việc tìm ra người tấn công gặp nhiều khó khăn
Theo định nghĩa trong World Wide Web Security FAQ: “Một cuộc tấn công DDoS là 1 cuộc tấn công sử dụng nhiều máy vi tính để phát động cuộc tấn công DoS kết hợp lên một hoặc nhiều mục tiêu Sử dụng máy tính khách hàng/máy chủ, các thủ phạm có thể nhân rộng sự ảnh hưởng của DoS bằng cách khai thác các tài nguyên của các máy tính vô tình đồng lõa đóng vai trò là các cuộc tấn công”
Nếu không kiểm tra, các cuộc tấn công DDoS mạnh mẽ hơn có thể làm tê liệt và
vô hiệu hóa các dịch vụ internet cần thiết trong vài phút
1.1.3.2 Nhiệm vụ các cuộc tấn công DoS/DDoS
Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường
• Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch
vụ
• Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
• Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào
Trang 11Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 4
• Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị:
+ Disable Network - Tắt mạng
+ Disable Organization - Tổ chức không hoạt động
+ Financial Loss – Tài chính bị mất
1.1.4 Cách thức các cuộc tấn công DDoS hoạt động
Trong một cuộc tấn công DDoS, trình duyệt hoặc kết nối mạng bị nghẽn bởi nhiều ứng dụng với các yêu cầu giả bên ngoài khiến hệ thống, kết nối, trình duyệt, hoặc trang web bị chậm, vô hiệu, và không hoạt động
Tin tặc châm ngòi cho cuộc tấn công bằng cách gửi một lệnh tới hệ thống máy tính ma Hệ thống máy tính ma này gửi một yêu cầu kết nối tới hệ thống máy chủ Các yêu cầu từ hệ thống máy tính ma được xem là gửi từ nạn nhân thay vì gửi từ máy tính
ma Do đó, máy chủ gửi thông tin yêu cầu tới nạn nhân Máy tính nạn nhân tràn ngập các hồi đáp không mong muốn từ một số máy tính cùng một lúc Điều này có thể giảm hiệu suất hoặc khiến máy tính nạn nhân bị tắt
Hình 1.3: Cách thức các cuộc tấn công DDOS hoạt động
Trang 12Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 5
1.1.5 Các dấu hiệu của tấn công DoS/DDoS
Có rất nhiều dấu hiệu cho thấy hệ thống đang bị tấn công DoS/DDoS Có bốn dấu hiệu chính của tấn công DoS:
Hình 1.4: Một website cụ thể không khả dụng
Hình 1.5: Không thể truy cập vào trang web
Trang 13Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 6
Hình 1.6: Tăng nhanh chóng số lượng email rác
Hình 1.7: Hiệu suất mạng chậm lại một cách bất thường
Trang 14Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 7
1.2 Mạng Botnet
1.2.1 Định nghĩa Botnet
Thuật ngữ botnet xuất phát từ chữ Robot NETwork Botnet bao gồm nhiều máy tính Được sử dụng cho mục đích tấn công DDoS.Một mạng Botnet nhỏ có thể chỉ bao gồm 1000 máy tính nhưng bạn thử tưởng tượng mỗi máy tính này kết nối tới Internet tốc độ chỉ là 128Kbps thì mạng Botnet này đã có khả năng tạo băng thông là 1000*128
~ 100Mbps – Đây là một con số thể hiện băng thông mà khó một nhà Hosting nào có thể share cho mỗi trang web của mình
1.2.2 Ý nghĩa của Botnet
Khi sử dụng một Tool tấn công DoS tới một máy chủ đôi khi không gây ảnh hưởng gì cho máy chủ - Giả sử bạn sử dụng tool Ping of Death tới một máy chủ, trong
đó máy chủ kết nối với mạng tốc độ 100Mbps bạn kết nối tới máy chủ tốc độ 3Mbps - Vậy tấn công của bạn không có ý nghĩa gì
Nhưng bạn hãy tưởng tượng có 1000 người như bạn cùng một lúc tấn công vào máy chủ kia khi đó toàn bộ băng thông của 1000 người cộng lại tối đa đạt 3Gbps và tốc
độ kết nối của máy chủ là 100 Mbps vậy kết quả sẽ ra sao các bạn có khả năng tưởng tượng
Nhưng bằng cách nào để có 1000 máy tính kết nối với mạng? Đi mua một nghìn chiếc và thuê 1000 thuê bao kết nối - chắc chắn là không rồi Kẻ tấn công xây dựng một mạng gồm hàng nghìn máy tính kết Internet (có mạng BOT lên tới 400.000 máy)
1.2.3 Mục đích của Botnet
Mục đích của Botnets:
• Cho phép những kẻ xâm nhập thực hiện từ xa
• Quét mạng tự động, và lan truyền thông qua các khu vực dễ xâm nhập nhằm tiếp cận thông qua mật khẩu yếu và các phương tiện khác
• Gây tổn hại đến máy chủ thông qua các công cụ
• Thực hiện tấn công mạng DoS
Trang 15Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 8
• Cho phép tấn công bằng thư rác gây trì hoãn thư SMTP
• Cho phép nhấp chuột gian lận và thực hiện các hành vi bất hợp pháp khác
1.2.4 Quy trình tấn công máy chủ dựa vào botnet
Quy trình,cách thức mà những kẻ tấn công sử dụng để tấn công máy chủ dựa vào bonet DoS
Hình 1.8: Botnet
Để thực hiện tấn công mạng như vậy, đầu tiên những kẻ tấn công cần phải tạo lập botnet
✓ Đầu tiên chúng sẽ lây nhiễm sang máy tính nạn nhân(bot) Kẻ tấn công sau
đó sẽ sử dụng máy nạn nhân(bot) để tấn công tới nhiều hơn các máy tính khác dễ bị tấn công trong hệ thống mạng Do vậy, những kẻ tấn công sẽ tạo lập nhóm các máy tính đã bị lây nhiễm gọi là botnet
✓ Kẻ tấn công cấu thành một trung tâm điều khiển theo lệnh và buộc mạng máy tính ma để kết nối với nó Mạng máy tính ma(botnet) kết nối đến trung tâm điều khiển theo lệnh(C&C) và chờ đợi để được hướng dẫn
Trang 16Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 9
✓ Những kẻ tấn công sau đó sẽ gửi yêu cầu đối với bot của các bộ máy thông qua C&C để bắt đầu tấn công DoS đến máy chủ mục tiêu Do vậy, kẻ tấn công sẽ làm cho máy chủ mục tiêu không còn khả dụng và không phản hồi lại với các máy chủ đích thực khác trong hệ thống mạng
1.3 Giới thiệu chung về tình hình tấn công DoS và DDoS ở VN hiện nay
Tháng 7/2013 liên tiếp nhiều báo mạng lớn ở Việt Nam như Vietnamnet.vn,
Tuoitre.vn, Dantri.com.vn bị tấn công từ chối dịch vụ dẫn đến hoạt động chập chờn, có
lúc tê liệt
Tại Việt Nam đã có 2.309 website bị tấn công với mã độc cài trên 6.978 trang web Mạng botnet này đang cho thuê công khai trên không gian mạng “Hiện chúng tôi rất lo lắng và đang tìm cách phối hợp để ngăn chặn”, ông Khánh nói
Một loại hình mới là mạng botnet Razer cũng mới xuất hiện và bắt đầu tham gia tấn công một số doanh nghiệp hosting ở Việt Nam Sự xuất hiện của nhiều hình thức tấn công botnet mới đang đặt ra cho cơ quan chức năng nhiều khó khăn trong việc ngăn chặn và chống đỡ “việc bóc gỡ các mã độc của các hình thức tấn công botnet mới như thế nào cần phải tiếp tục nghiên cứu”, theo ông Khánh
Chưa có kịch bản ứng phó
Mặc dù việc tấn công botnet vào hệ thống máy tính, website ở Việt Nam ngày càng nguy hiểm song khả năng chống đỡ của các tổ chức, cơ quan ở Việt Nam vẫn hạn chế
Hiện tại VNCERT mới có khả năng sử dụng cách thức phát hiện và cảnh báo botnet dựa trên các báo cáo thu được trong giai đoạn bốn hoặc năm, từ các tổ chức và nạn nhân bị tấn công Vì thế, không chủ động phát hiện được sớm mà chỉ ngăn chặn khi đã bắt đầu bị tấn công Ngoài ra, theo đại diện VNCERT, nhiều tổ chức, đơn vị bị tấn công chưa có sự phối hợp với các cơ quan chức năng để phối hợp ngăn chặn hiệu quả Rất ít các đơn vị khi xảy ra sự cố ngay lập tức liên hệ với VNCERT
Trang 17Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 10
Kết luận
Song song với sự phát triển của Internet là các dịch vụ ứng dụng trên mạng Ngày nay trên mọi quốc gia đều quan tâm đặc biệt tới an ninh mạng, dữ liệu, băng thông, tốc
độ cũng như các dịch vụ mạng
Việc tấn công mạng công của DoS/DDoS, botnet cũng cho ta thấy được mức độ
an ninh của mạng cần được đảm bảo và cần có 1 phương pháp nào đó để bảo vệ hệ thống dịch vụ của mạng Nhưng trước tiên để bảo vệ được hệ thống mạng ta hãy tìm hiểu thêm về nguyên lý hoạt động của DoS/DdoS ở chương sau
Trang 18Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 11
CHƯƠNG 2: MÔ HÌNH, NGUYÊN LÝ KỸ THUẬT TẤN CÔNG
DOS/DDOS 2.1 Các kĩ thuật tấn công DoS
2.1.1 Kỹ thuật tấn công băng thông
Tấn công băng thông là việc tấn công lên một kết nối với khối lượng lớn các gói tin nhằm mục đích chiếm hết băng thông mạng Mục đích của cộng tấn công băng thông là luôn làm cho băng thong của mục tiêu ở mức tối đa Nhiều khi một máy tính không thể tạo ra đủ lượng yêu cầu để làm quá tải thiết bị hoặc băng thông mạng, do đó tấn công DDoS được tạo ra, trong đó người tấn công sử dụng nhiều máy tính để tấn công một nạn nhân
Tức là, nhiều máy tính được yêu cầu tạo ra các gói tin, yêu cầu kết nối để làm ngập một hệ thống mạng Hơn nữa việc phát hiện nguồn tấn công và ngăn chặn chúng gặp nhiều khó khăn vì cuộc tấn công được tiến hành bởi nhiều máy tính nằm trong nhiều hệ thống khác nhau Tất cả băng thông của nạn nhân được các máy tính gây hại
sử dụng và không còn băng thông cho người sử dụng
2.1.2 Kỹ thuật làm tràn yêu cầu dịch vụ
Trong phương pháp này hay kỹ thuật Tấn công DOS này, các máy chủ bị ngập trong các kết nối ở mức độ cao Trong cuộc tấn công này, một người tấn công hay nhóm máy tính ma cố làm tài nguyên máy chủ bị cạn kiệt bằng cách thiết lập và phá hủy các kết nối TCP Điều này bắt đầu một yêu cầu trên mỗi kết nối ví dụ như một người tấn công sử dụng đội quân máy tính ma của mình để truy cập liên tiếp vào trang chủ từ một máy chủ mạng mục tiêu Tải kết quả lên máy chủ và làm cho máy chủ chạy chậm
Trang 19Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 12
2.1.3 Tấn công SYN
Hình 2.1: Tấn công SYN
Một cuộc tấn công SYN là một dạng đơn giản của tấn công DOS, trong tấn công này, người tấn công gửi một loạt các yêu cầu SYN tới máy mục tiêu (nạn nhân) Khi client muốn bắt đầu một kết nối TCP tới máy chủ, thì máy chủ và client trao đổi các chuỗi tin nhắn như sau:
• Người tấn công gửi các yêu cầu TCP SYN giả tới máy chủ mục tiêu (nạn nhân)
• Máy mục tiêu gửi SYN ACK để phản hồi yêu cầu và chờ ACK hoàn thành thiết lập phiên làm việc
• Máy mục tiêu không bao giờ nhận được hồi đáp vì địa chỉ nguồn là giả
Trang 20Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 13
Kết nối được thiết lập bởi TCP sử dụng một quy trình bắt tay 3 bước:
✓ Máy chủ A gửi yêu cầu SYN tới máy chủ B
✓ Máy chủ B nhận yêu cầu SYN và đáp lại bằng một SYN-ACK tới máy chủ
A
✓ Do đó, máy chủ A đáp lại bằng một gói tin ACK, kết nối được thiết lập
Trang 21Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 14
Khi máy chủ B nhận yêu cầu SYN từ máy chủ A, nó tận dụng các kết nối mở một phần có sẵn trên kênh trong vài giây ví dụ như tối thiểu là 75 giây Kẻ xâm nhập truyền
số lượng vô hạn các yêu cầu SYN với địa chỉ giả, cho phép client xử lý các địa chỉ giả dẫn tới lầm tưởng Các yêu cầu đó có thể tạo ra cuộc tấn công làm ngập TCP SYN Nó hoạt động bằng cách làm đầy bảng dành cho các kết nối TCP mở một nửa trong TCP
IP Stack của hệ điều hành Khi bảng đầy, các kết nối mới không thể mở cho đến khi và trừ khi là một số vùng nhập bị xóa bỏ khỏi bảng (do lỗi timeout) Cuộc tấn công này có thể tiến hành bằng cách sử dụng các địa chỉ IP giả, như thế rất khó tìm ra được nguồn tấn công Bảng kết nối có thể bị làm đầy mà không cần giả mạo địa chỉ IP nguồn
2.1.5 Tấn công làm ngập ICMP
Gói Giao thức điều khiển thông báo trên Internet (ICMP) được sử dụng cho việc định vị thiết bị mạng và xác định số lượng các bước nhảy để có được từ vị trí nguồn đến đích Ví dụ, Gói ICMP- ECHO-REPLY (“ping” cho phép người sử dụng gửi yêu cầu đến hệ thống đích và nhận phản hồi với thời gian khứ hồi
Tấn công từ chối dịch vụ, làm ngập ICMP xảy ra khi zombies gửi khối lượng lớn gói tin nhắn ICMP-ECHO cho hệ thống nạn nhân Những tín hiệu mạng của nạn nhân trả lời và sự kết hợp lưu lượng truy cập bão hòa băng thông của kết nối mạng của nạn nhân Nguồn địa chỉ giao thức internet có thể bị giả mạo
Đối với loại tấn công này, thủ phạm gửi số lượng lớn gói với địa chỉ nguồn giả đến máy chủ đích nhằm mục đích đánh sụp nó và gây ra việc ngừng hồi đáp tới yêu cầu TCP/IP Sau khi đạt được ngưỡng ICMP, bộ định tuyến từ chối yêu cầu thêm ICMP echo từ tất cả các địa chỉ có cùng khu vực an ninh
Trang 22Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 15
Hình 2.3: Sơ đồ minh họa tấn công tràn ngập ICMP
2.1.6 Tấn công máy chủ ngang hàng
Tấn công máy chủ ngang hàng là một dạng của tấn công từ chối dịch vụ DDoS Với loại này, kẻ tấn công khai thác số lượng lỗi trong máy chủ thông qua các máy chủ ngang hàng để bắt đầu tấn công DDoS Kẻ tấn công khai thác lỗ hổng tìm thấy trong mạng lưới sử dụng giao thức DC (Direct Connect: Kết nối trực tiếp)với mã nguồn mở DC++, cho phép trao đổi dữ liệu file giữa khách hàng liên lạc hiện tại Loại tấn công này không sử dụng mạng máy tính ma để tấn công Không giống như tấn công dựa vào mạng máy tính ma, tấn công máy chủ ngang hàng loại bỏ sự cần thiết kẻ tấn công giao tiếp với khách hàng Sau đó kẻ tấn công dẫn dụ client đến đầu mối chia sẻ file ngang hàng để ngắt kết nối từ kết nối mạng của họ và kết nối với trang web của nạn nhận Do vậy, hàng nghìn máy tính cố kết nối tới web mục tiêu, chính điều này gây ra giảm hiệu suất của các web mục tiêu Tấn công thông qua các trang chia sẻ file ngang hàng có thể
Trang 23Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 16
được xác định dễ dàng dựa trên chữ ký của họ Sử dụng phương thức này, kẻ tấn công đưa ra hàng loạt các cuộc tấn công từ chối dịch vụ và các trang web thỏa hiệp
Hình 2.4: Tấn công máy chủ ngang hàng
2.1.7 Tấn công từ chối dịch vụ lâu dài
Tấn công từ chối dịch vụ lâu dài (PDoS) hoặc gọi là plashing Nó đề cập tới sự tấn công gây ra thiệt hại cho hệ thống và khiến cho phần cứng không thể sử dụng cho mục đích ban đầu đến tận khi được thay thế hoặc cài đặt lại Tấn công Pdos khai thác các lỗ hổng an toàn Điều này cho phép quản trị từ xa trên các giao diện quản lý phần cứng của nạn nhân như máy in, bộ định tuyến và phần cứng mạng …
Loại tấn công này được thực hiện bằng cách sử dụng phương thức “đặt gạch hệ thống” Trong phương thức này, kẻ tấn công gửi email, liên lạc cấp tốc qua internet, tweets, và tải video với phần cứng giả mạo cập nhật cho nạn nhân bằng sửa đổi và làm
hư hỏng cập nhật lỗ hổng hoặc phần mềm trinh thám Khi nạn nhân nhập chuột vào liên kết hoặc bật cửa sổ với cập nhật phần cứng lỗ hổng, chúng sẽ cài đặt trên hệ thống của nạn nhân Do đó, kẻ tấn công sẽ kiểm soát hoàn toàn hệ thống của nạn nhân
Hình 2.5: Tấn công từ chối dịch vụ lâu dài(PDoS)
Trang 24Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 17
2.1.8 Tấn công làm ngập các ứng dụng
Một số tấn công từ chối dịch vụ dựa trên khai thác liên quan đến phần mềm như tràn bộ đệm, trong khi phần lớn các loại khác của tấn công từ chối dịch vụ khai thác băng thông Loại tấn công này khai thác gây nhầm lẫn phần mềm trong ứng dụng, gây
ra lấp đầy khoảng trống đĩa hoặc tiêu tốn tất cả các bộ nhớ có sẵn hoặc chu kỳ CPU Tấn công làm ngập ứng dụng nhanh chóng trở thành mối đe dọa thông thường cho kinh doanh trên mạng An ninh ứng dụng quan trọng hơn bao giờ hết Loại tấn công này có thể dẫn tới tổn thất lớn về tiền bạc, dịch vụ và uy tín cho các tổ chức Thông thường, tổn thất về dịch vụ của một dịch vụ mạng cụ thể không có khả năng, chẳng hạn như email, có sẵn hoặc sự mất mát tạm thời của tất cả các kết nối mạng và dịch vụ Sử dụng loại tấn công này, kẻ tấn công phá hủy mã và file nguồn chương trình ảnh hưởng đến
Trang 25Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 18
2.2 Botnet
2.2.1 Kĩ thuật lan truyền botnet
Lan truyền Botnet là kỹ thuật được sử dụng để hack hệ thống và lấy thông tin giao dịch mà nạn nhân không hay biết Đứng đầu hoạt động là chủ hoặc tin tặc Lan truyền botnet liên quan đến tội phạm (chủ mưu) và kẻ tấn công ( người quản lý chiến dịch) Trong tấn công này, tội phạm không tấn công hệ thống nạn nhân trực tiếp; thay vào đó, sẽ thực hiện tấn công với sự trợ giúp của kẻ tấn công.Tội phạm thiết lập một mạng lưới liên kết như kênh phân phối Công việc của người quản lý chiến dịch là hack
và chèn mã độc hại vào một trang hợp pháp Mã độc hại thường được vận hành bởi kẻ tấn công khác Khi mã độc hại hoạt động, người quản lý chiến dịch được trả công theo khối lượng bị nhiễm Do đó, tội phảm ảo thúc đẩy dòng lây nhiễm Kẻ tấn công dùng
mã độc hại được tạo ra bởi liên kết tới khách của trang web bị xâm nhập Kẻ tấn công
sử dụng phần mềm tội phạm tùy chỉnh từ bộ công cụ phần mềm tội phạm mà có khả
năng trích xuất các thông tin giao dịch từ máy của nạn nhân
Hình 2.7: Kĩ thuật lan truyền botnet
Trang 26Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 19
2.2.2 Hệ sinh thái botnet
Một nhóm máy tính bị nhiễm các bot thì được gọi là botnet Một bot là một chương trình độc hại mà cho phép tin tặc có thể điều khiển và sử dụng bất hợp pháp máy móc để hoàn thành mục đích phạm tội của chúng như là lừa đảo, tấn công DDos, spam Sự có mặt của botnet dẫn tới sự tăng trưởng chóng mặt của tin tặc Hình thức của botnet là căn nguyên của trung tâm hoạt động tội phạm mạng mà liên kết và hợp nhất các phần khác nhau của tin tặc toàn cầu Người cung cấp dịch vụ tội phạm mạng cũng là một phần của mạng lưới tin tặc Chúng cung cấp dịch vụ như là mã độc hại, lưu trữ báo cáo, tạo ra các lỗ hổng trình duyệt và mã hoá
Mã độc hại là công cụ chính được băng nhóm tội phạm sử dụng để phạm tội Người sở hữu botnet ra lệnh cho cả bot và các chương trình độc hại khác như là Trojan, virut, worm, keylogger đặc biệt là ứng dụng thủ công để tấn công các máy tính điều khiển từ xa qua mạng, v.v Các dịch vụ malware được các nhà phát triển đưa ra trên các trang web công cộng và các nguồn internet đóng
Thông thường thì hệ sinh thát botnet được chia làm 3 phần đó là thị trường giao dịch, tấn công DDos và spam Một botmaster là một người kiếm tiền bằng cách tạo điều kiện cho các nhóm bị nhiễm botnet đối với dịch vụ trên thị trường chợ đen Người này tìm kiếm những cổng dễ bị tổn thương và sử dụng chúng như là các máy tính thây
ma để lây nhiễm Các máy tính thây ma bị lây nhiễm có thể được sử dụng để tấn công DDos Mặt khác, các email spam được gửi ngẫu nhiên tới những người dùng được chọn Tất cả các hoạt động này cùng nhau đảm bảo tính liên tục của các hoạt động botnet độc hại
Trang 27Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 20
Hình 2.8: Hệ sinh thái botnet
2.2.3 Tấn công DDoS
Trong một vụ tấn công DDoS, một nhóm hệ thống đã được sắp xếp thường bị ảnh hưởng với Trojan được sử dụng để thực hiện vụ tấn công dịch vụ trên hệ thống mục miêu hay nguồn mạng lưới Số liệu cho phép sau thể hiện cách một kẻ tấn công tiến hành một cuộc tấn công DDoS cùng với sự trợ giúp của thiết bị LOIC
Hình 2.9: Vụ tấn công DDoS
Trang 28Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 21
2.3 Các kĩ thuật phát hiện
Hầu hết các DDoS ngày nay được thực hiện bởi các công cụ tấn công, các mạng botnets cùng với sự giúp đỡ của các chương trình độc hại Các kỹ thuật tấn công sử dụng các hình thức tấn công khác nhau để đánh bại các hệ thống bảo vệ Tất cả các vấn
đề này đã tạo ra một yêu cầu là bảo vệ các hệ thống bằng các phương pháp phát hiện khác nhau để xác định các cuộc tấn công
Các phương pháp phát hiện tấn công DoS được dựa trên cơ sở phát hiện và loại
bỏ sự tăng lên của các băng thông không hợp pháp và các sự kiện phát sinh từ đường băng thông hợp pháp
Có 3 loại kỹ thuật phát hiện là: Lập hồ sơ các hoạt động, phát hiện điểm thay đổi
và phân tích các tín hiệu dựa trên sóng gợn Tất cả các kỹ thuật phát hiện sẽ xác định một cuộc tấn công là bất bình thường và những chệch hướng đáng chú ý từ các thống
kê về băng thông bình thường của mạng
Nếu bạn muốn phân tích các lưu lượng cá nhân nhằm phục vụ cho các dich vụ UDP khả dụng, thì bạn nên kiểm soát theo lệnh của 264 dòng lưu lượng bởi vì chúng bao gồm các giao thức như TCP, ICMP và SNMP với các thành phần chủ yếu bao gồm các dòng lưu chuyển tiềm năng Điều này có thể dẫn đến một vấn đề về không gian ba chiều Vấn đề này có thể tránh được bằng cách tập hợp các dòng lưu chuyển của cá nhân có các đặc điểm giống nhau Tổng lưu lượng thành phần của của các nhóm sẽ xác
Trang 29Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 22
định mức hoạt động của nó Dựa trên khái niệm này một cuộc tấn công có các dấu hiệu sau:
• Sự tăng lên trong các hoạt động giữa các nhóm
• Sự tăng lên trong số lượng tổng hợp từ các nhóm khác nhau ( Tấn công DDoS)
2.3.2 Phân tích các tín hiệu dựa trên gợn sóng
Phân tích sóng gợn thể hiện một tín hiệu đầu vào liên quan đến các thành phần quang phổ Nó cung cấp miêu tả về tần số toàn cầu và sự định vị không thời gian Sóng gợn cung cấp cho các thời điểm trùng nhau và các miêu tả về tần số Điều này tạo điều kiện dễ dàng để quyết định thời điểm các thành phần của tần số nào đó đang hiện diện Tín hiệu đầu vào bao gồm các cả các tín hiệu bất thường theo giờ địa phương và các tiếng động nền Để phát hiện ra đường tấn công, các sóng gợn sẽ phân tách các tín hiệu theo giờ địa phương và các thành phần tiếng động Tín hiệu bất thường được phát hiện
có thê chứng tỏ sai cấu hình hoặc lỗi mạng, xảy ra các sự kiện phát sinh hoặc các cuộc tấn công như DoS, vv
2.3.3 Phát hiện các điểm thay đổi nối tiếp
Các thuật toán phát hiện điểm thay đổi nối tiếp sẽ phân tách các thay đổi đột ngột trong phân tích băng thông do các cuộc tấn công gây ra Kỹ thuật phát hiện này ban đầu sẽ lọc các số liệu băng thông đích bằng các cổng, địa chỉ, giao thức và các kho dữ liệu để đưa ra một loạt các kết quả theo thời gian Hiển thị thời gian này có thể được coi là sự hiện diện của các hoạt động của một cụm mạng Chuỗi thời gian nàu thể hiện các thay đổi về số liệu tại thời điểm cuộc tấn công DoS bắt đầu
Cusum là một thuật toán phát hiện điểm thay đổi, nó hoạt động trên dữ liệu liên tục và chỉ yêu cầu các nguồn tài nguyên máy tính và dung lượng bộ nhớ thấp Thuật toán Cusum này xác định và định vị cuộc tấn công DoS bằng cách xác định những sự chệch hướng trong thực tế so với trung bình dự kiến trong các chuỗi thời gian Nếu sự chệch hướng này lớn hơn so với giới hạn trên thì trong mỗi một ví dụ về dãy thời gian, các thống kế của thuật toán Cusum sẽ tương ứng tăng lên Trong các điều kiện băng
Trang 30Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 23
thông bình thường, việc chệch hướng sẽ nằm dưới giá trị giới hạn và các thống kê Cusum sẽ giảm cho đến khi nó đạt đến 0 Do vậy, thuật toán này cho phép bạn xác định cuộc tấn công DoS đang xảy ra dựa trên việc áp dụng một ngưỡng cho thống kê Cusum
2.4 Các chiến lược đối kháng DoS/DDoS
Có ba loại chiến thuật cho các biện pháp đối kháng chống lại các cuộc tấn công DoS/DDoS
Không thể duy trì các dịch vụ của bạn trong khi có một cuộc tấn công đang xảy
ra, tôt nhất là nên giữ cho dịch vụ ở mức hoạt động tối thiểu Để làm được điều này, đầu tiên bạn cần xác định các dịch vụ quan trọng Sau đó sửa đổi theo ý muốn các cài đặt về mạng, các hệ thống, các thiết kế ứng dụng tương ứng để xuống cấp dịch vụ Điều này có thể giúp bạn vẫn duy trì được các chức năng chính Nếu cuộc tấn công có tải trọng quá lớn, bạn có thể phải vô hiệu hoá các dịch vụ không quan trọng để giữ lại
được các chức năng của chúng bằng cách cung cấp dung lượng bổ sung
2.4.3 Đóng dịch vụ
Đơn giản đóng lại tất cả các dịch vụ cho đến khi cuộc tấn công lắng xuống Mặc
dù nó không phải là lựa chọn tối ưu, nhưng nó có thể là một giải pháp hợp lý trong một
số tình huống
Trang 31Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 24
2.5 Các biện pháp đối phó DDoS
Có rất nhiều cách để làm giảm ảnh hưởng hưởng của các cuộc tấn công DDoS Nhiều giải pháp và ý tưởng giúp ngăn chặn các khía cạnh chính của tấn công DDoS Tuy nhiên, không có bất kỳ một giải pháp nào có thể chống lại hoàn toàn các cuộc tấn công DDoS Hơn nữa, tin tặc thường phát triển nhiều cách tấn công DDoS mới để qua mặt các biện pháp đối phó được sử dụng Về mặt cơ bản thì có 6 biện pháp đối phó với tấn công DDoS:
✓ Bảo vệ mục tiêu thứ cấp
✓ Vô hiệu hóa trình xử lý
✓ Ngăn chặn các cuộc tấn công tiềm năng
✓ Vô hiệu hóa cuộc tấn công
Trang 32Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 25
2.5.1.2 Các nhà cung cấp dịch vụ mạng
Nhà cung cấp dịch vụ và quản trị mạng có thể phải sử dụng đến việc định giá động cho việc sử dụng mạng của họ vì vậy nạn nhân thứ cấp tiềm năng sẽ trở nên chủ động hơn trong việc ngăn chặn máy tính của họ bị tấn công DDoS Các nhà cung cấp
có thể thu phí khác nhau đối với từng mức sử dụng tài nguyên của họ Điều này buộc các nhà cung cấp phải cho phép hợp pháp hóa khách hàng trên mạng lưới của họ Tại thời điểm thu phí giá dịch vụ, nạn nhân thứ cấp tiềm năng là người chi trả cho việc Truy cập Internet sẽ trở nên dễ nhận biết nhân tố nguy hiểm hơn, và có thể áp dụng
nhiều biện pháp tốt hơn để đảm bảo họ không bị tấn công DDoS
2.5.2 Kiểm tra vô hiệu hóa trình xử lí
Có thể dừng cuộc tấn công DDoS bằng việc phát hiện và vô hiệu hóa các trình xử
lý có thể là trung gian cho tin tặc triển khai tấn công Tìm và dừng các trình xử lý là một giải pháp nhanh chóng và hiệu quả để đối phó với cuộc tấn công Điều này có thể được thực hiện theo các cách sau:
Nghiên cứu về giao thức liên lạc và mẫu lưu lượng giữa trình xử lý và khách hàng hay giữa trình xử lý và các chương trình đại lý để xác nhận các nút mạng bị nhiễm với một trình xử lý
Có một số các trình xử ly DDoS được triển khai tương đương với số chương trình đại lý, vì vậy việc vô hiệu hóa một số trình xử lý có thể làm cho nhiều chương trình đại
lý bị vô hiệu hóa Vì các chương trình đại lý là cốt lõi khả năng của tin tặc khi phát động cuộc tấn công, việc vô hiệu hóa các trình xử ly để ngăn chặn việc tin tặc sử dụng chúng như một chiến lược hiệu quả để ngăn chặn các cuộc tấn công