Bằng việc hiểu rõ hơn về cách mà SSH botnet hoạt động và các chiếnlược tấn công của chúng, người dùng có thể nâng cao khả năng phát hiện vàngăn chặn chúng, bảo vệ hệ thống mạng của người
GIỚI THIỆU VỀ SSH BOTNET
Giới thiệu về Bot và Botnet
Botnet, viết tắt của "Bots network", là một mạng lưới các máy tính bị kiểm soát bởi một cá nhân hoặc tổ chức nào đó, thông qua việc điều khiển từ xa bởi một máy tính khác.
Các máy tính bị nhiễm Botnet thường được gọi là "Zombie" Những máy tính này sẽ bị điều khiển bởi một Botmaster, người quản lý và thao túng hoạt động của chúng thông qua mã độc.
Mỗi thiết bị được kiểm soát bởi bot-herder được gọi là bot, và mỗi bot hoạt động như một công cụ để tự động hóa các cuộc tấn công hàng loạt.
1.2.2.1 Mô hình client – server (máy khách – máy chủ)
Trong mô hình client-server, một máy chủ hoạt động như botmaster, có nhiệm vụ thiết lập lệnh, điều khiển máy khách và kiểm soát việc truyền thông tin từ từng máy khách.
Botmaster duy trì quyền kiểm soát mạng botnet thông qua phần mềm đặc biệt, nhưng mô hình này có nhược điểm là chỉ có một điểm kiểm soát, dễ bị phát hiện và phụ thuộc vào máy chủ Nếu máy chủ bị tấn công hoặc phá hủy, toàn bộ botnet sẽ bị ảnh hưởng và ngừng hoạt động.
Hình 1.3 Mô hình client - server
1.2.2.2 Mô hình peer – to – peer (ngang hàng)
Mô hình P2P được phát triển nhằm khắc phục những hạn chế của hệ thống máy chủ tập trung Trong cấu trúc này, các botnet kết nối theo dạng ngang hàng, với mỗi thiết bị hoạt động độc lập như một client và server Sự phối hợp giữa các thiết bị giúp cập nhật và truyền thông tin hiệu quả, tạo ra một hệ thống mạnh mẽ hơn nhờ vào việc không có điểm điều khiển tập trung.
Hình 1.4 Mô hình peer - to - peer 1.2.3 Vòng đời của 1 Botnet
Xâm nhập: Hacker sử dụng kỹ thuật khai thác lỗ hổng để xâm nhập vào các máy tính và thiết bị kết nối mạng.
Kiểm soát: Hacker cài đặt phần mềm độc hại để kiểm soát các máy tính zombie.
Kết nối với Command and Control (C&C): Botnet kết nối với các máy chủ Command and Control (C&C) để nhận lệnh tấn công từ hacker.
Tấn công: Botnet thực hiện các cuộc tấn công như tấn công DDoS hoặc cài đặt phần mềm độc hại trên các máy tính khác.
Truyền bá: Botnet cố gắng lan truyền đến các máy tính khác qua lỗ hổng và phần mềm độc hại.
Phát hiện và xóa: Botnet có thể bị phát hiện và loại bỏ bởi các hệ thống bảo mật hoặc công cụ phát hiện virus.
Các botnet có thể tồn tại trong thời gian dài và được cập nhật để tránh bị phát hiện và xóa bỏ.
1.2.4 Dấu hiệu nhận biết Botnet
Một số dấu hiệu nhận biết khi thiết bị của bạn bị dính botnet :
- Sự thay đổi đột ngột trong hiệu suất hoạt động
Máy tính của bạn thường xuyên yêu cầu quyền truy cập vào một trang web nào đó, dẫn đến việc máy chủ của trang web bị quá tải và không thể phục vụ người dùng.
- Sự xuất hiện của các tập tin hoặc chương trình mới không mong muốn
- Hiện diện của các cửa sổ pop-up không mong muốn
1.2.5 Các loại tấn công Botnet
1.2.5.1 Distributed Denial of Service (DDoS)
Một botnet có thể thực hiện cuộc tấn công DDoS (Distributed Denial of Service) để làm gián đoạn kết nối và dịch vụ mạng bằng cách quá tải tài nguyên tính toán hoặc tiêu tốn băng thông của nạn nhân.
Các kỹ thuật tấn công phổ biến như TCP SYN và UDP flood không chỉ nhắm vào máy chủ web mà còn có thể tấn công bất kỳ dịch vụ nào kết nối với Internet Mức độ nghiêm trọng của cuộc tấn công có thể gia tăng thông qua HTTP flood trên trang web của nạn nhân, với việc sử dụng kỹ thuật spidering để cải thiện hiệu suất tải.
Hình 1.5 Mô tả Distributed Denial of Service (DDoS)
1.2.5.2 Spamming (phát tán thư rác)
Một bot trong botnet có thể thực hiện nhiều chức năng, bao gồm xác định sự hiện diện của dữ liệu nhạy cảm trên máy tính bị nhiễm, định vị các botnet đối thủ, mở proxy SOCKS cho việc spamming, và sử dụng packet sniffer để đánh cắp thông tin nhạy cảm như tên người dùng và mật khẩu.
Với sự hỗ trợ của keylogger, botmaster dễ dàng thu thập thông tin nhạy cảm và đánh cắp dữ liệu Kẻ tấn công có thể sử dụng chương trình keylogger để ghi lại các phím nhập từ các dịch vụ như PayPal, Yahoo, và nhiều nền tảng khác.
Một loại phần mềm gián điệp được xác định là OSX/XSLCmd, có thể chuyển từWindows sang OS X, bao gồm khả năng keylogging và chụp màn hình.
1.2.5.4 Ăn cắp thông tin danh tính
Các loại bot khác nhau có thể kết hợp để thực hiện hành vi trộm cắp danh tính quy mô lớn, một trong những tội phạm phát triển nhanh nhất Chúng gửi email spam để dẫn dắt lưu lượng truy cập đến các trang web giả mạo, thu thập dữ liệu cá nhân của người dùng Bot có thể giả mạo công ty hợp pháp, yêu cầu người dùng cung cấp thông tin nhạy cảm như mật khẩu ngân hàng và chi tiết thẻ tín dụng Hành vi trộm cắp danh tính này thường diễn ra qua email phishing, lừa nạn nhân nhập thông tin trên các trang web như eBay, Amazon, hoặc ngân hàng.
1.2.5.5 Lạm dụng việc trả tiền cho mỗi lần nhấp
Chương trình AdSense của Google giúp các trang web hiển thị quảng cáo và kiếm tiền từ số lần nhấp vào quảng cáo Google thanh toán cho chủ sở hữu trang web dựa trên số lần nhấp mà quảng cáo thu được Tuy nhiên, việc sử dụng máy bị nhiễm để tự động nhấp vào quảng cáo có thể làm tăng số lần nhấp giả mạo, gây ảnh hưởng tiêu cực đến doanh thu.
Botnet có khả năng lây lan các botnet khác bằng cách thuyết phục người dùng tải xuống các chương trình nhất định, thường thông qua email, HTTP hoặc FTP Virus thường được phát tán qua botnet này chủ yếu qua email.
Phần mềm quảng cáo là công cụ hiển thị quảng cáo trên các trang web hoặc ứng dụng mà không cần sự cho phép của người dùng, thường thay thế quảng cáo gốc bằng những quảng cáo lừa đảo Những quảng cáo này có khả năng lây nhiễm vào hệ thống của người dùng và có thể sử dụng phần mềm gián điệp để thu thập dữ liệu trình duyệt.
Hình 1.8 Mô tả tấn công qua click vào phần mềm quảng cáo 1.2.6 Cách phòng chống Botnet
- Cài đặt phần mềm diệt virus hoặc chống thư rác và giữ cho chúng được cập nhật thường xuyên.
- Bật cài đặt tường lửa và hạn chế truy cập không mong muốn.
- Hãy chắc chắn rằng hệ điều hành được cập nhật theo thời gian.
- Không tải xuống nội dung bất hợp pháp như nhạc, game, file lậu, v.v từ Internet.
- Không nhấp vào file đính kèm hoặc liên kết từ các email không xác định.
- Có tường lửa, hệ thống IDS/IPS và tính năng lọc nội dung.
- Giám sát lưu lượng truy cập tăng bất thường.
- Có tính năng bảo vệ DDoS tại chỗ.
SSH Botnet
1.3.1 Tìm hiểu về SSH Botnet
SSH Botnet là một tập hợp các thiết bị, bao gồm máy tính cá nhân, máy chủ và thiết bị IoT, đã bị xâm nhập và kiểm soát từ xa thông qua giao thức SSH.
Máy tính trong mạng botnet được điều khiển bởi một máy chủ trung tâm gọi là Command and Control Server (C&C Server) Kẻ tấn công có thể lợi dụng botnet để thực hiện các cuộc tấn công mạng như DDoS, gửi email rác, phát tán malware, đánh cắp thông tin và nhiều hành động độc hại khác.
Các kẻ tấn công có thể xâm nhập vào thiết bị kết nối internet bằng nhiều phương pháp khác nhau, trong đó tấn công brute-force vào giao thức SSH để đoán mật khẩu là một trong những phương thức phổ biến Khi thành công, chúng có thể khai thác các lỗ hổng bảo mật để cài đặt mã độc hoặc phần mềm độc hại, từ đó kiểm soát thiết bị từ xa.
Hình 1.9 Brute Force Attacks Explained
Cấu trúc của một SSH Botnet bao gồm các thành phần sau:
Command and Control (C&C) server: Trung tâm điều khiển của botnet, nơi bot kết nối để nhận lệnh tấn công.
Botnet controller: Phần mềm độc hại được cài đặt trên máy tính nạn nhân, có thể điều khiển từ xa bởi C&C server.
Bot agent: Phần mềm độc hại cài đặt trên các máy chủ khác nhau, được điều khiển bởi botnet controller.
Proxy server: Dùng để giấu danh tính của bot khi tấn công và giảm thiểu mối đe dọa cho C&C server.
Payload: Phần mềm độc hại được sử dụng để tấn công mục tiêu, có thể là keyloggers, ransomware, backdoor, v.v.
1.3.3 Cách phòng chống SSH Botnet Để phòng chống SSH botnet, có thể thực hiện các biện pháp sau:
Để bảo vệ hệ thống, hãy sử dụng phần mềm tường lửa và phần mềm chống virus nhằm ngăn chặn truy cập trái phép Bên cạnh đó, cần điều chỉnh cấu hình hệ thống SSH, bao gồm việc tắt chức năng đăng nhập bằng mật khẩu và thay thế bằng khóa SSH.
Sử dụng phần mềm giám sát hệ thống để theo dõi lưu lượng mạng và hoạt động của các tiến trình Khi phát hiện hoạt động bất thường, cần thực hiện các biện pháp bảo vệ ngay lập tức.
Cập nhật hệ thống và các ứng dụng thường xuyên để đảm bảo các lỗ hổng bảo mật được vá kịp thời.
Giáo dục người dùng về cách bảo mật mật khẩu và tránh sử dụng các mật khẩu yếu hoặc dễ đoán.
Thực hiện các biện pháp kiểm tra an ninh mạng thường xuyên, bao gồm kiểm tra định kỳ hệ thống và quản lý các chính sách bảo mật mạng.
Tạo và quản lý các lớp mạng khác nhau trong hệ thống là cách hiệu quả để giảm thiểu rủi ro an ninh mạng và ngăn chặn các cuộc tấn công lan rộng.
1.3.4 Tìm hiểu module Paramiko trong Python
Paramiko là thư viện Python cho phép kết nối và quản lý máy chủ qua giao thức SSH, cung cấp các lớp và phương thức để xác thực, kết nối, truyền dữ liệu, quản lý phiên và thực thi lệnh từ xa Thư viện này mang lại giải pháp an toàn và tiện lợi cho việc tự động hóa các tác vụ như kiểm tra tình trạng máy chủ, cài đặt phần mềm và sao lưu dữ liệu Nhờ Paramiko, lập trình viên có thể phát triển các ứng dụng Python mạnh mẽ và linh hoạt cho việc quản lý hệ thống từ xa.
1.3.5 Dictionary mật khẩu SSH dùng Paramiko
Tấn công từ điển mật khẩu SSH là phương pháp phổ biến để đánh cắp thông tin đăng nhập hệ thống Thư viện Paramiko trong Python cho phép thực hiện các tấn công này bằng cách tạo kết nối SSH đến máy chủ mục tiêu Quá trình tấn công diễn ra bằng cách thử nghiệm lần lượt các mật khẩu từ một từ điển cho đến khi đăng nhập thành công hoặc đã thử hết tất cả các mật khẩu.
Dưới đây là một ví dụ đơn giản về cách sử dụng thư viện Paramiko để thực hiện tấn công từ điển mật khẩu SSH:
Hình 1.10 Hàm SSH kết nối tới máy chủ khác
Trong đoạn mã này, phương thức paramiko.SSHClient() được sử dụng để kết nối SSH tới máy chủ mục tiêu, sau đó áp dụng danh sách mật khẩu để thực hiện tấn công từ điển mật khẩu.
Đối với mỗi mật khẩu trong danh sách, chúng ta sử dụng phương thức ssh.connect() để thực hiện yêu cầu đăng nhập Nếu đăng nhập thành công, thông báo sẽ được in ra và vòng lặp sẽ dừng lại Ngược lại, nếu đăng nhập không thành công, chúng ta sẽ tiếp tục thử với mật khẩu tiếp theo trong danh sách.
1.3.6 Khai thác SSH thông qua khóa bí mật yếu
Mật khẩu là một phương pháp xác thực cho máy chủ SSH, nhưng không phải là duy nhất SSH còn hỗ trợ xác thực bằng mật mã khóa công khai, cho phép máy chủ và người dùng sử dụng các khóa riêng biệt để tăng cường bảo mật.
Máy chủ sử dụng các thuật toán như RSA hoặc DSA để tạo ra các khóa đăng nhập vào SSH, mang lại phương pháp xác thực hiệu quả hơn so với việc sử dụng mật khẩu.
Vào năm 2006, Debian Linux gặp sự cố khi một dòng mã cụ thể làm giảm đáng kể entropy trong quá trình tạo khóa SSH, dẫn đến việc số lượng khóa có thể tìm kiếm giảm mạnh từ 15 bit entropy xuống còn ít hơn.
1.3.7 Dựng SSH Botnet với Python
Bây giờ, việc kiểm soát một máy chủ thông qua SSH đã được chứng minh, và có thể mở rộng để quản lý nhiều máy chủ đồng thời Các kẻ tấn công thường sử dụng các bộ sưu tập máy tính bị xâm nhập cho các mục đích xấu, tạo thành một mạng botnet, trong đó các máy tính hoạt động như các bot để thực hiện các hướng dẫn Để xây dựng mạng botnet, cần đưa ra khái niệm mới về lớp (class), đóng vai trò cơ sở cho mô hình lập trình hướng đối tượng Trong hệ thống này, các đối tượng riêng lẻ được khởi tạo thông qua các phương thức liên kết, với mỗi bot hoặc ứng dụng client yêu cầu khả năng kết nối và nhận lệnh.
TÌM HIỂU VỀ DDOS
DDOS
DDoS (Distributed Denial of Service) là một cuộc tấn công mạng nhằm làm cho website, máy chủ, dịch vụ hoặc mạng không thể truy cập được cho người dùng thông thường Tấn công này thực hiện bằng cách gửi một số lượng lớn yêu cầu truy cập đến mục tiêu, gây áp lực quá mức lên hệ thống và dẫn đến việc làm chậm hoặc tắt hoàn toàn dịch vụ.
Các cuộc tấn công DDoS được thực hiện thông qua mạng lưới máy tính bị xâm nhập và kiểm soát bởi kẻ tấn công, thường do phần mềm độc hại được cài đặt mà không có sự biết đến của chủ sở hữu Khi tấn công diễn ra, các máy tính này gửi hàng loạt yêu cầu đến mục tiêu, dẫn đến quá tải hệ thống và làm cho dịch vụ không còn khả dụng cho người dùng hợp pháp.
Một trong những đặc điểm quan trọng của cuộc tấn công DDoS là tính phân tán, khi kẻ tấn công sử dụng một mạng lưới các máy tính đã bị xâm nhập thay vì chỉ một máy tính duy nhất để tạo ra lưu lượng truy cập giả mạo Điều này làm cho việc ngăn chặn các cuộc tấn công trở nên khó khăn hơn.
Cuộc tấn công DDoS, mặc dù không gây thiệt hại trực tiếp đến dữ liệu hay tài sản, có thể dẫn đến hậu quả nghiêm trọng về kinh tế và uy tín cho các tổ chức và cá nhân Các tổ chức phải đầu tư nhiều thời gian và tiền bạc để khắc phục sự cố và khôi phục dịch vụ Hơn nữa, uy tín của họ có thể bị ảnh hưởng nặng nề nếu khách hàng hoặc đối tác mất niềm tin vào tính ổn định và an ninh của hệ thống.
Hình 2.1 Mô hình cuộc tấn công DDoS
Các hình thức tấn công DDOS
Mặc dù DDoS là một hình thức tấn công mạng đơn giản hơn so với các phương thức khác, nhưng chúng ngày càng trở nên mạnh mẽ và tinh vi hơn.
Hình 2.2 Các hình thức tấn công DDoS
2.2.1 Volume-Based Attacks (tấn công băng thông)
Kẻ tấn công gửi các yêu cầu nhằm làm bão hòa băng thông của hệ thống mục tiêu, thường áp dụng kỹ thuật khuếch đại để tạo ra các yêu cầu mà không tiêu tốn nhiều tài nguyên.
Các cuộc tấn công khuếch đại lợi dụng phản hồi lớn từ các yêu cầu nhỏ để làm quá tải hệ thống mục tiêu Kỹ thuật này thường liên quan đến việc giả mạo nguồn gói tin, được gọi là tấn công phản xạ Một ví dụ điển hình là giả mạo địa chỉ IP của một yêu cầu DNS để khiến máy chủ DNS gửi phản hồi đến hệ thống mục tiêu thay vì nguồn gửi dữ liệu.
Các loại tấn công DDoS theo thể tích phổ biến nhất là:
Các cuộc tấn công UDP flood cho phép tin tặc làm quá tải các cổng trên máy chủ mục tiêu bằng cách gửi các gói IP sử dụng giao thức UDP không trạng thái.
Khuếch đại DNS (hoặc phản chiếu DNS): Cuộc tấn công này chuyển hướng số lượng lớn các yêu cầu DNS đến địa chỉ IP của mục tiêu
ICMP floods: Chiến lược này sử dụng các yêu cầu lỗi ICMP false để làm quá tải băng thông của mạng.
2.2.2 Protocol Attacks (tấn công giao thức)
Các cuộc tấn công Protocol Attacks lợi dụng các giao thức trên máy chủ mục tiêu, không nhằm vào ứng dụng cụ thể mà tập trung vào việc khai thác các phiên bản giao thức Mục tiêu của chúng là gây gián đoạn dịch vụ, ví dụ như tấn công vào máy chủ NTP hoặc khai thác các lỗ hổng trong giao thức TCP.
Hai loại tấn công DDoS phổ biến nhất dựa trên giao thức là:
SYN floods: Tấn công này khai thác quy trình bắt tay ba bước (handshake)
TCP hoạt động bằng cách gửi các yêu cầu TCP với địa chỉ IP giả đến máy chủ mục tiêu Kẻ tấn công không gửi phản hồi, dẫn đến việc quá trình bắt tay ba bước không hoàn thành, gây ra sự quá tải cho máy chủ do các quy trình không hoàn chỉnh chồng chất.
Smurf DDoS là một cuộc tấn công mạng mà tin tặc sử dụng phần mềm độc hại để gửi các gói dữ liệu với địa chỉ IP giả mạo Những gói này chứa thông báo ping ICMP yêu cầu mạng gửi phản hồi Tin tặc tạo ra một vòng lặp vô hạn bằng cách gửi phản hồi đến địa chỉ IP giả mạo, dẫn đến tắc nghẽn mạng.
IP mạng lại, làm hệ thống bị treo.
2.2.3 Application Layer Attacks (tấn công ứng dụng)
Các cuộc tấn công lớp ứng dụng, hay còn gọi là cuộc tấn công lớp 7, tạo ra một lượng lớn yêu cầu HTTP, làm cạn kiệt khả năng phản hồi của hệ thống và dẫn đến từ chối dịch vụ Việc phân biệt giữa các yêu cầu HTTP hợp lệ và độc hại rất khó khăn, khiến cho các cuộc tấn công này trở nên khó ngăn chặn Lớp ứng dụng, là lớp thứ 7 trong mô hình OSI, bao gồm các phần mềm, ứng dụng web và dịch vụ mà người dùng thường tương tác khi truy cập Internet.
Dấu hiệu của tấn công DDoS
Dưới đây là một số dấu hiệu của tấn công DDoS:
Tốc độ truy cập lớn có thể gây ra sự tăng đột biến trong lưu lượng truy cập đến hệ thống, dẫn đến tình trạng chậm trễ hoặc tạm dừng hoạt động.
Giảm tốc độ truy cập: Lưu lượng truy cập giảm, thường là do tấn công
Khối lượng lớn yêu cầu: Hệ thống nhận được một lượng lớn yêu cầu truy cập đồng thời, vượt quá khả năng xử lý.
Khối lượng lớn dữ liệu: Gửi một lượng lớn dữ liệu đến hệ thống mục tiêu, gây áp lực lớn lên băng thông mạng.
Hiệu suất hệ thống giảm mạnh dẫn đến việc hệ thống hoạt động chậm chạp, ứng dụng có thể bị treo hoặc không phản hồi, và thậm chí có thể ngừng hoạt động hoặc không thể truy cập được.
Các cuộc tấn công DDoS gần đây
Vào tháng 6-2021, báo điện tử VOV đã bị tấn công từ chối dịch vụ (DDoS), dẫn đến việc truy cập vào trang web bị tê liệt do tràn băng thông Các đối tượng đã tạo tài khoản ảo để tấn công nhiều nền tảng của VOV, đồng thời kêu gọi đánh giá 1 sao trên Google Maps cho trang vov.vn nhằm giảm uy tín của cơ quan này.
Hình 2.3 Hình ảnh website sau khi bị tấn công DDoS 2.4.2 Ngoài nước
Các cuộc tấn công DDoS lớn và đáng chú ý:
Cuộc tấn công vào khách hàng của Microsoft cuối năm 2021 với thông lượng lên tới 3,47 terabit mỗi giây (Tbps).
Cuộc tấn công vào Google năm 2017 với độ lớn ước tính lên tới 2,54 Tbps.
Cuộc tấn công vào Amazon Web Services (AWS) năm 2020, nhắm vào một khách hàng của AWS.
Vụ tấn công DDoS vào 6 ngân hàng của Mỹ trong năm 2012, tạo ra tốc độ hơn 60 Gbps.
Cuộc tấn công DDoS có thể gây ra sự tê liệt cho tài nguyên mạng, ảnh hưởng nghiêm trọng đến uy tín thương hiệu và tiêu tốn nhiều nguồn lực để khắc phục hậu quả.
Giải pháp phòng chống DDoS
Nhiều giải pháp và ý tưởng đã được đề xuất để đối phó với các cuộc tấn công DDoS, nhưng không có phương pháp nào hoàn toàn giải quyết vấn đề này Các hình thức DDoS liên tục xuất hiện và phát triển theo thời gian, song song với các biện pháp ứng phó Tuy nhiên, cuộc chiến giữa hacker và giới bảo mật vẫn luôn diễn ra theo quy luật: "Hacker luôn đi trước giới bảo mật một bước".
Có ba giai đoạn chính trong quá trình Phòng chống DDoS:
- Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent, tìm và vô hiệu hoá các Handler.
- Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công, làm suy giảm và dừng cuộc tấn công, chuyển hướng cuộc tấn công.
- Giai đoạn sau khi cuộc tấn công xảy ra: thu thập chứng cứ và rút kinh nghiệm.
Tối thiểu hóa lượng Agent
Để ngăn ngừa tấn công DDoS, người dùng Internet cần tự đề phòng và không để mình trở thành nạn nhân của các cuộc tấn công Mạng lưới Botnet chỉ hình thành khi có người bị lợi dụng làm Agent Do đó, người dùng cần thực hiện các biện pháp bảo mật liên tục trên máy tính của mình, bao gồm việc kiểm tra sự hiện diện của Agent, mặc dù điều này có thể khó khăn cho người dùng thông thường Một giải pháp đơn giản là cài đặt và cập nhật thường xuyên các phần mềm như antivirus, antitrojan và các bản vá của hệ điều hành.
Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng từ phía nhà cung cấp dịch vụ mạng sẽ khiến người dùng chú ý hơn đến những gì họ gửi Điều này không chỉ nâng cao ý thức của người dùng mà còn góp phần tăng cường khả năng phát hiện các tác nhân DDoS.
Tìm và vô hiệu hoá các Handler
Một yếu tố quan trọng trong mạng Botnet là Handler Việc phát hiện và vô hiệu hóa Handler có thể nâng cao khả năng phòng chống DDoS Bằng cách theo dõi giao tiếp giữa Handler và Client cũng như giữa Handler và Agent, chúng ta có thể xác định vị trí của Handler Do một Handler quản lý nhiều Agent, việc loại bỏ một Handler đồng nghĩa với việc triệt tiêu một lượng lớn Agent trong mạng Botnet.
Phát hiện dấu hiệu của cuộc tấn công
Có nhiều kỹ thuật được áp dụng:
Kỹ thuật Agress Filtering kiểm tra xem một packet có đủ tiêu chuẩn để rời khỏi một subnet hay không, dựa trên việc gateway của subnet luôn biết địa chỉ IP của các máy trong mạng Các packet từ bên trong subnet gửi ra ngoài với địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra Nếu kỹ thuật này được áp dụng cho tất cả các subnet trên Internet, khái niệm giả mạo địa chỉ IP sẽ không còn tồn tại.
Trong Management Information Base (MIB) của giao thức SNMP (Simple Network Management Protocol) trên router, có thông tin thống kê về biến thiên trạng thái của mạng Bằng cách giám sát chặt chẽ các thống kê của Protocol ICMP, UDP và TCP, chúng ta có thể phát hiện thời điểm bắt đầu của các cuộc tấn công, từ đó tạo ra “quỹ thời gian vàng” để xử lý tình huống hiệu quả.
Làm suy giảm hay dừng cuộc tấn công
Dùng các kỹ thuật sau:
Thiết lập kiến trúc cân bằng tải cho các server trọng điểm có thể nâng cao khả năng chống chọi của hệ thống trước các cuộc tấn công DDoS Tuy nhiên, điều này vẫn có giới hạn thực tiễn do quy mô của các cuộc tấn công này thường không bị giới hạn.
Throttling là cơ chế điều tiết trên router, giúp xác định mức tải hợp lý mà server có thể xử lý Phương pháp này cũng hỗ trợ ngăn chặn traffic DDoS, bảo vệ dịch vụ khỏi việc truy cập của người dùng Tuy nhiên, kỹ thuật này có hạn chế là không phân biệt được các loại traffic, có thể gây gián đoạn dịch vụ cho người dùng, trong khi traffic DDoS vẫn có khả năng xâm nhập nhưng với số lượng giới hạn.
Thiết lập cơ chế drop request là cần thiết để ngăn chặn các vi phạm quy định như thời gian delay kéo dài, tốn nhiều tài nguyên xử lý và gây deadlock Kỹ thuật này giúp bảo vệ năng lực hệ thống khỏi việc bị cạn kiệt, nhưng cũng có thể hạn chế một số hoạt động thông thường Do đó, cần cân nhắc kỹ lưỡng khi áp dụng cơ chế này.
Chuyển hướng cuộc tấn công
Honeypots là hệ thống giả mạo được thiết kế để đánh lừa kẻ tấn công, khiến chúng tấn công vào những hệ thống không quan trọng thay vì hệ thống chính Các honeypots được trang bị cơ chế giám sát và báo động, ghi nhận mọi hành động của kẻ tấn công Khi kẻ tấn công cài đặt Agent hoặc Handler lên honeypots, khả năng ngăn chặn toàn bộ cuộc tấn công sẽ tăng cao.
Honeypots có hai loại hình chính: tương tác thấp và tương tác cao.
Tương tác thấp (Low Interaction) là phương pháp mô phỏng các dịch vụ, ứng dụng và hệ điều hành với mức độ rủi ro thấp Phương pháp này dễ triển khai nhưng có giới hạn về số lượng dịch vụ có thể cung cấp.
Tương tác cao đề cập đến các dịch vụ, ứng dụng và hệ điều hành thực, nơi mức độ thông tin thu thập được rất lớn Tuy nhiên, điều này cũng đồng nghĩa với việc rủi ro cao và yêu cầu thời gian đáng kể để vận hành hiệu quả.
Giai đoạn sau tấn công
Trong giai đoạn này, thông thường thực hiện các các công việc sau:
Phân tích mẫu lưu lượng giao thông là quá trình quan trọng khi dữ liệu thống kê về biến thiên lưu lượng theo thời gian đã được lưu trữ Việc phân tích này giúp tối ưu hóa các hệ thống cân bằng tải và kiểm soát lưu lượng Hơn nữa, những dữ liệu này hỗ trợ quản trị mạng điều chỉnh các quy tắc kiểm soát lưu lượng ra vào mạng hiệu quả hơn.
Kỹ thuật Packet Traceback cho phép xác định vị trí của kẻ tấn công, ít nhất là trong subnet của họ Từ đó, chúng ta có thể phát triển khả năng Block Traceback, giúp ngăn chặn các cuộc tấn công một cách hiệu quả.
Bằng cách phân tích file log sau cuộc tấn công, quản trị mạng có thể thu thập nhiều manh mối và chứng cứ quan trọng để xác định danh tính kẻ tấn công.
Ngoài ra còn có 1 số phương pháp như :
Sử dụng Firewall: Ngăn chặn các luồng dữ liệu không hợp lệ và các yêu cầu kết nối không hợp lệ đến mục tiêu.
Sử dụng CDN: Phân phối tài nguyên web trên nhiều máy chủ trên toàn thế giới, giảm áp lực lên một máy chủ cụ thể.
Sử dụng Load Balancer: Phân phối tải đều cho nhiều máy chủ, giảm áp lực lên máy chủ cụ thể.
Sử dụng Anti-DDoS Services: Cung cấp giải pháp chuyên nghiệp để chống lại các cuộc tấn công DDoS.
Tăng cường bảo mật hệ thống: Sử dụng các phần mềm chống virus, tường lửa và công cụ bảo mật khác để giảm khả năng bị tấn công DDoS.
Xây dựng kết nối SSH với python
Hình 2.4 Xây dựng hàm định nghĩa các tham số
+ Giải thích code subprocess: Thực thi lệnh shell từ Python và xử lý đầu ra và lỗi của các tiến trình.
+ time: Đo thời gian chạy của mã, tạo độ trễ trong thực thi chương trình và tính toán thời gian dựa trên timestamp.
Truy cập thông tin và chức năng liên quan đến trình thông dịch Python, bao gồm thông tin từ dòng lệnh và xử lý tệp tin, thư mục Hàm chay_tan_cong_hydra() thực hiện cuộc tấn công brute force bằng Hydra.
Nó định nghĩa các tham số như danh sách tên đăng nhập, mật khẩu, địa chỉ mục tiêu, dịch vụ SSH và số luồng tấn công.
Hàm cũng kiểm tra sự tồn tại của các tệp danh sách người dùng và mật khẩu trước khi thực thi lệnh tấn công.
Xây dựng chương trình tấn công Brute-Force với python
Hình 2.5 Xây dựng lệnh Hydra để tấn công Bruteforce
Danh sách lệnh Hydra được sử dụng để thực hiện tấn công brute force SSH với tên đăng nhập, mật khẩu, số luồng và địa chỉ mục tiêu Hàm subprocess.run() sẽ chạy lệnh Hydra và thu thập kết quả đầu ra.
Xây dựng chương trình tấn công Spam Email với python
Hình 2.6 Hàm kết nối email qua smtp và gửi yêu cầu
Đoạn mã Python sử dụng thư viện smtplib để gửi email qua máy chủ SMTP của Gmail Đầu tiên, mở kết nối với máy chủ SMTP tại 'smtp.gmail.com' trên cổng 587 bằng giao thức SSL Sử dụng cấu trúc `with` để đảm bảo rằng kết nối sẽ tự động đóng sau khi hoàn thành Lệnh `smtpserver.ehlo()` khởi động phiên giao tiếp với máy chủ, tiếp theo là `smtpserver.starttls()` để thiết lập một phiên truyền thông an toàn nhằm mã hóa dữ liệu và bảo mật thông tin đăng nhập Sau khi kết nối TLS được thiết lập, lệnh `smtpserver.ehlo()` được thực hiện lại Để gửi email, cần đăng nhập vào tài khoản Gmail với địa chỉ email và mật khẩu thông qua `smtpserver.login(fromaddrs, passwd)` Cuối cùng, lệnh `smtpserver.sendmail(fromaddrs, toaddrs, message)` được sử dụng để gửi email từ địa chỉ nguồn đến địa chỉ đích với nội dung được chỉ định.
Xây dựng chương trình tấn công DDOS với python
2.9.1 Xây dựng các hàm tấn công Syn-Flood Ở đây ta sử dụng công cụ “hping3” làm công cụ hỗ trợ tấn công, hping3 là một công cụ mạng mã nguồn mở được sử dụng để thực hiện các hoạt động kiểm tra và tấn công mạng trong môi trường Linux Nó cung cấp một loạt các tính năng mạnh mẽ cho việc tương tác với mạng, bao gồm gửi các gói tin mạng với các tùy chọn tùy chỉnh, theo dõi và phân tích gói tin mạng, và kiểm tra bảo mật mạng.
Trong Python, có nhiều thư viện hỗ trợ kết nối SSH và xử lý đa luồng Thư viện Paramiko cho phép thực hiện kết nối SSH từ xa đến các máy chủ, trong khi threading giúp chạy nhiều tác vụ đồng thời, như tấn công từ nhiều máy cùng lúc.
Hình 2.7 Khởi kết nối SSH và câu lệnh tấn công hping3
Dòng đầu tiên của mã khởi tạo SSH client để kết nối đến các máy chủ từ xa.
Tiếp theo, kết nối đến với các máy chủ Ubuntu (hay có thể gọi là botnet) để chuẩn bị nhận lệnh tấn công.
Nếu đây được xác định là một địa chỉ IP hợp lệ, chương trình tiếp tục thực hiện tấn công TCP SYN Flood bằng công cụ hping3.
Công cụ hping3 được gọi với các tham số tùy chỉnh như sau:
flood: Tấn công flood, gửi gói tin SYN mà không cần chờ phản hồi.
-d data: Số lượng byte dữ liệu được gửi cùng với gói tin SYN.
frag: Tạo gói tin với các fragment ảo.
spoof source: Địa chỉ IP nguồn được spoof là source.
-p port: Cổng đích của máy chủ mục tiêu.
-S: Thiết lập cờ SYN trong gói tin TCP.
Hình 2.8 minh họa hàm main nhập tham số và số lượng botnet Trong môi trường demo nhỏ gọn, BotMaster thiết lập 2 luồng kết nối tới 2 botnet, sau đó tiến hành kết nối và điều khiển, truyền các tham số cần thiết để khởi động cuộc tấn công từ phía botnet.
THỰC NGHIỆM
Thiết kế mô hình hệ thống
- 1 máy Kali Linux để tấn công
- 1 máy Kali Linux có cài VSCode để chạy code.
- 1 Email bot đã mở xác minh 2 bước, và tạo một mật khẩu ứng dụng.
- 1 máy Kali Linux để tấn công
- 2 máy Ubuntu đóng vai trò là botnet
- 1 máy Window Server đóng vai trò là nạn nhân ( đã mở port để tiến hành gửi gói SYN)
Xây dựng các kịch bản kiểm thử
Mục tiêu của cuộc tấn công này là dò được mật khẩu đăng nhập chính xác
Cụ thể cuộc tấn công bắt đầu với việc thử một loạt các mật khẩu khác nhau
, cho đến khi tìm được mật khẩu chính xác thì quá trình dò mật khẩu sẽ kết thúc.
Hình 3.1 Tiến hành dò mật khẩu và ghi vào file
Hình 3.2 Dò mật khẩu trên terminal và kết quả
Ta có thể thấy sau 129.66 giây thì mật khẩu chính xác đã được tìm thấy.
+ Ứng dụng và kết luận
Khả năng của tấn công Brute-Force
Tấn công Brute-force là một phương pháp tấn công đơn giản nhưng hiệu quả, nhằm thử tất cả các khả năng mật khẩu để truy cập trái phép vào hệ thống hoặc tài khoản.
Bẻ khóa mật khẩu: Brute-force có thể bẻ khóa mật khẩu của tài khoản người dùng, email, máy tính, website, v.v.
Phá mã: Brute-force có thể phá mã hóa dữ liệu được bảo vệ bằng mật mã.
Brute-force có khả năng vượt qua các biện pháp bảo mật yếu, như mã PIN đơn giản, cho thấy sự cần thiết phải cải thiện các phương pháp bảo mật.
Tấn công Brute-force có thể được sử dụng cho nhiều mục đích, bao gồm:
Khôi phục mật khẩu bị quên: Brute-force có thể được sử dụng để khôi phục mật khẩu bị quên cho tài khoản người dùng hoặc hệ thống.
Phá mã dữ liệu bằng phương pháp brute-force có thể được áp dụng trong những trường hợp hợp pháp, như trong các cuộc điều tra tội phạm.
Kiểm tra bảo mật: Brute-force có thể được sử dụng để kiểm tra độ mạnh của mật khẩu và hệ thống bảo mật.
Hack tài khoản: Brute-force thường được sử dụng bởi hacker để truy cập trái phép vào tài khoản người dùng, email, máy tính, website, v.v.
Lấy cắp dữ liệu: Brute-force có thể được sử dụng để lấy cắp dữ liệu nhạy cảm được bảo vệ bằng mật mã.
Brute-force có thể gây thiệt hại nghiêm trọng cho hệ thống hoặc website thông qua các cuộc tấn công từ chối dịch vụ (DDoS).
Tấn công Brute-force là một phương pháp tấn công hiệu quả nhưng có nhiều hạn chế Để giảm thiểu nguy cơ bị tấn công, người dùng nên sử dụng mật khẩu mạnh và phức tạp, cùng với các biện pháp bảo mật bổ sung như xác thực hai yếu tố.
Gửi tin nhắn spam (mail rác) đến các tài khoản Gmail mà không có sự cho phép của người nhận gây ra những trải nghiệm tiêu cực cho người dùng.
Thêm hàm main vào và bắt đầu tiến hành tấn công spam email
Hình 3.3 Hàm main để nhập thông tin
Hình 3.4 Kết quả thực thi code spam Email
Hình 3.5 Kết quả spam email trả về hòm thư
Khi nhập đúng thông tin và mật khẩu email, chương trình sẽ chạy và spam thư tới email được chỉ định.
+ Ứng dụng thực tế và kết luận: Ứng dụng thực tế:
Spam email thường được sử dụng cho các mục đích không mong muốn như:
- Tiếp thị không đúng cách: Gửi hàng loạt email quảng cáo sản phẩm hoặc dịch vụ mà người nhận không quan tâm.
- Lừa đảo và phishing: Gửi email giả mạo nhằm lừa đảo người nhận để họ tiết lộ thông tin cá nhân hoặc tài khoản.
- Phân phối mã độc: Chứa liên kết hoặc tệp đính kèm độc hại để lây nhiễm virus hoặc malware vào máy tính của người nhận.
Spam email không chỉ gây phiền toái mà còn tiềm ẩn nguy cơ bảo mật nghiêm trọng và có thể ảnh hưởng tiêu cực đến uy tín của doanh nghiệp Điều này cho thấy spam email không chỉ là một vấn đề cá nhân, mà còn là mối đe dọa lớn đối với an ninh và danh tiếng của tổ chức.
Mục tiêu của việc điều khiển một số máy bot là gửi nhiều yêu cầu kết nối SYN đến một máy chủ mạng hoặc một địa chỉ IP cụ thể Hành động này nhằm gây quá tải cho hệ thống mạng, khiến nó không thể phản hồi các yêu cầu từ những máy tính khác.
Bước 1: Tìm các port đang mở trên Window Server 2012 nmap 192.168.70.147
Bước 2: Bắt đầu tấn công:
Trên Kali linux chạy chương trình đã xây dựng ở Syn-flood
Dùng công cụ Wireshark để bắt các gói tin
Mở máy Windows Server 2012 kiểm tra kết quả CPU
Tại đây, thấy đã kết nối thành công tới bot ( địa chỉ ip như hình trên ) Tiến hành gửi câu lệnh tấn công Syn-Flood tới máy mục tiêu.
Hình 3.6 Gửi lệnh để bot tiến hành tấn công Syn-Flood
Hình 3.7 Quá trình gửi nhận các gói tin
Hình 3.8 CPU tăng lên đột ngột bất thường
Sau khi lệnh được gửi, máy bot sẽ liên tục phát gói SYN tới máy mục tiêu đã chỉ định, gây ra tình trạng quá tải cho máy này Hành động này dẫn đến một cuộc tấn công từ chối dịch vụ (DDoS).
+ Ứng dụng thực tế và kết luận: Ứng dụng thực tế:
Tấn công từ chối dịch vụ (DoS) thường được thực hiện thông qua phương pháp SYN flood, nhằm khiến máy chủ không thể phục vụ người dùng hợp lệ.
Làm quá tải hệ thống: Bằng cách gửi một lượng lớn yêu cầu kết nối
SYN là một loại tấn công mà kẻ tấn công có thể làm quá tải tài nguyên hệ thống của máy chủ mục tiêu, dẫn đến hiệu suất giảm đáng kể hoặc khiến dịch vụ trở nên không khả dụng.
Tấn công SYN flood có khả năng chiếm giữ tài nguyên của máy chủ mục tiêu, gây cản trở cho người dùng hợp lệ trong việc truy cập vào dịch vụ hoặc tài nguyên mạng.
Kẻ tấn công có thể lợi dụng tấn công SYN flood để thực hiện các cuộc tấn công lớn hơn hoặc nhằm mục đích làm nhiễm độc dữ liệu mạng.
Kiểm tra bảo mật là một quy trình quan trọng, trong đó các nhà nghiên cứu có thể áp dụng tấn công SYN flood để đánh giá tính ổn định và bảo mật của hệ thống mạng, giúp phát hiện và khắc phục các lỗ hổng bảo mật.
Tấn công SYN flood là một phương thức tấn công mạng phổ biến, nhắm vào dịch vụ và hệ thống mạng Kẻ tấn công gửi một lượng lớn yêu cầu kết nối SYN mà không hoàn thành, gây ra trạng thái từ chối dịch vụ (DoS) hoặc làm quá tải hệ thống mục tiêu.
