Giáo trình CEH v7 tiếng việt chương 10 denial of service

Trang 3 Việt Hàn IT 3Mục tiêu của moduleTấn công DoS và DDoS là gì? Làm thế nào để tấn công DDoS?Dấu hiệu DoS Internet Relay ChatIRCKỹ thuật tấn công DoS Botnet Botnet ecosystemN

Từ chối dịch vụ(DoS)Module 10

Tin tức bảo mật

Việt Hàn IT 3

 Tấn công DoS và DDoS là gì?

 Làm thế nào để tấn công

DDoS?

 Dấu hiệu DoS

 Internet Relay Chat(IRC)

 Kỹ thuật tấn công DoS

 Công cụ bảo vệ DoS/DDoS

 Kiểm tra sự thâm nhập DoS

Tấn công từ chối dịch vụ phân tán là gì?

Mất lòng

tốt

Ngắt mạng

Mất tài

chính

Phá doanh nghiệp

Tấn công từ chối dịch vụ phân tán bao gồm vô số

thống để tấn công mục tiêu duy nhất, là nguyên nhân người sử dụng bị từ chối dịch vụ của hệ thống.

Để khởi động một cuộc tấn công DDoS, một kẻ tấn công sử dụng botnet

và tấn công một hệ thống duy nhất

Ảnh hưởng của DoS

Việt Hàn IT 7

Tấn công từ chối dịch vụ phân tán hoạt động

như thế nào?

Dấu hiệu cuộc tấn công DoS

Không thể truy cập bất kỳ website nào

Không thể dùng một website cụ

Việt Hàn IT 9

Tội phạm mạng đang ngày càng được liên kết với các tập đoàn tội

phạm có tổ chức để tận dụng lợi thế của các kỹ thuật tinh vi của họ

Những nhóm có tổ chức tội phạm mạng làm việc trên thiết lập thứ bậc vớimột mô hình chia sẻ doanh thu được xác định trước, giống như một tậpđoàn lớn cung cấp các dịch vụ phạm tội

Nhóm tổ chức tạo ra và thuê botnet để cung cấp các dịch vụ khác nhau, từviệc viết phần mềm độc hại, tấn công các tài khoản ngân hàng, để tạo ratấn công DoS lớn đối với bất kỳ mục tiêu với một mức giá

Theo Verizon 2010 dữ liệu báo cáo điều tra vi phạm, phần lớn các vi phạm

đã điều khiển bởi các nhóm có tổ chức và hầu như tất cả các dữ liệu bịđánh cắp (70%) là công việc của bọn tội phạm tổ chức bên ngoài

Sự tham gia ngày càng tăng của đoàn tổ chức tội phạm chiến tranh mạngđộng cơ chính trị và hacktivism là một vấn đề quan tâm cho các cơ quan anninh quốc gia

Sơ đồ tổ chức của tổ chức tội phạm mạng:

Boss

Underboss cung cấp, quản lý và điều khiển trojan

Kẻ tấn công crimeware sở hữu công

cụ trojan phân phối trên trang web

hợp pháp

Việt Hàn IT 11

 ICQ là chat client được dùng để chat với mọi người

 Nó gán một số định danh phổ cập (UIN) xác định

người dùng duy nhất giữa những người sử dụng ICQ

 Khi một người sử dụng ICQ kết nối với Internet, ICQ

khởi động và cố gắng để kết nối với máy chủ Mirabilis

(Mirabilis là công ty phát triển ICQ), là nơi cơ sở dữ liệu

chứa thông tin của tất cả người dùng ICQ

 Tại máy chủ Mirabilis, ICQ tìm kiếm yêu cầu số UIN

bên trong cơ sở dữ liệu của nó (một loại điện thoại của

thư mục), và cập nhật thông tin

 Bây giờ người dùng có thể liên hệ với người bạn của

mình bởi vì ICQ biết địa chỉ IP

Internet Relay Chat ( IRC )

IRC là hệ thống để trò chuyện bao gồm thiết lập nguyên tắc, quy ước và phần mềm client/server

Nó cho phép chuyển hướng kết nối máy tính tới máy tính với mục đích dễ dàng chia sẽ giữa clients

Một vài website (như là Talk City) hoặc mạng IRC (như là Undernet) cung cấp server và hỗ trợ người sử dụng tải IRC clients tới PC của họ

Sau khi người sử dụng tải ứng dụng client, họ bắt đầu chat nhóm (gọi là kênh) hoặc gia nhập một nhóm có trước

Kênh IRC đang được ưu chuộng là #hottub và #riskybus

Giao thức IRC dùng giao thức điều khiển truyền vận (có thể

Việt Hàn IT 13

Kỹ thuật tấn công DoS

switches và routers dothống kê quan trọng trong

Yêu cầu dịch vụ tấn công tràn ngập servers với kết nối tốc độ cao

từ nguồn hợp lệ

Victim sẽ không nhận đáp ứng bởi

vì địa chỉ nguồn là giả mạo

Lưu ý: Tấn công này khai thác cách thức bắt tay ba bước

Làm ngập SYN

 Thực hiện tràn ngập SYN dựa

vào thuận lợi lỗ hổng bằng bắt tay

ba bước TCP

 Khi Host B nhận yêu cầu SYN từ

A, nó phải giữ đường đi một phần

mở kết nối trên "hàng đợi lắng

nghe" tối thiểu 75 giây

 Một host nguy hiểm có thể khám

phá kích cỡ nhỏ để lắng nghe theo

hàng bằng cách gửi nhiều yêu cầu

SYN tới host, nhưng không bao giờ

trả lời bằng SYN/ACK

 Victim lắng nghe hàng đợi nhanh

chóng bị lấp đầy

 Khả năng loại bỏ một host từ

mạng tối thiểu là 75 giây có thể

được dùng như tấn công DoS

Thiết lập kết nốibình thường

Việt Hàn IT 19

 Kiểu tấn công ICMP là thủ

phạm gửi số lượng lớn của gói

tin giả mạo địa chỉ nguồn tới

server đích để phá hủy nó và

gây ra ngừng đáp ứng yêu cầu

TCP/IP

 Sau khi đến ngưỡng ICMP

đạt đến, các router từ chối yêu

cầu phản hồi ICMP từ tất cả địa

chỉ trên cùng vùng an toàn cho

phần còn lại

Kẻ tấn công gửi yêu cầu ICMP ECHO với địa chỉ nguồn giả mạo

Phản hồi yêu cầu ICMP hợp lệ từ địa chỉ trên vùng an toàn

Tấn công điểm nối điểm

 Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình điểm nối điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website giả mạo của victim.

 Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kết nối trực tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức.

 Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại website.

Việt Hàn IT 21

Tấn công DoS liên tục, được biết như

phlashing, nghĩa là tấn công gây thiệt hại cho hệ thống phần cứng mà không phục hồi được

Không giống như tấn công DoS khác, nó

phá hoại hệ thống phần cứng, yêu cầu victim thay thế hoặc cài đặt lại phần cứng

1 Tấn công thực hiện dùng phương pháp như "xây dựng hệ thống”

2 Dùng phương pháp này, kẻ tấn công gửi cập nhập phần cứng lừa đảo tới victim

Gửi email, IRC chats, tweets, video với nội dung lừa đảo để cập nhập phần cứng

Kẻ tấn công truy cập tới máy tính của victim (Mã nguy hiểm chạy trên

hệ thống victim)

làm ảnh hưởng tới hệthống máy tính

Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:

 Tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ

 Ngắt dịch vụ cụ thể của hệ thống hoặc con người, ví dụ: khóa người dùng cố gắng truy cập lại khi đăng nhập không có giá trị

 Làm tắt nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ công nguy hiểm SQL

Kẻ tấn công khai thác mã

Việt Hàn IT 23

 Bots là phần mềm ứng dụng chạy công việc tự động qua internet và thực hiện lặp lại nhiệm vụ đơn giản, như là gián điệp web và tìm bộ máy đánh chỉ số.

 Botnet là một mạng lớn thỏa thuận hệ thống và được dùng bởi kẻ xâm nhập để tạo ra tấn công DoS

Việt Hàn IT 25

Tội phạm mạng liên lạc hệ thống IT ( Server, Software, và dịch vụ)

Tải lên trojan để trộm dữ liệu và nhận lệnh từ trung tâm lệnh và điều khiển trojan

Thỏa hiệp các website hợp lệ

Trung tâm lệnh và điều khiển trojan

Hệ thống botnet

Việt Hàn IT 27

Posion ivy: Trung tâm điều khiển lệnh botnet

Việt Hàn IT 29

 PlugBot là dự án phần cứng botnet

 Nó là một sự xâm nhập thiết bị thử nghiệm chuyển đổi (bot) được thiết kế để

sử dụng bí mật trong thời gian thử nghiệm thâm nhập vật lý.

Việt Hàn IT 31

là Anonymous được biết đến với hàng loạt

các cuộc tấn công được gọi là " Operation

 IRC server được dùng - irc.anonops.net

Một giấu tên "hacktivist" viết trên diễn đàn 4chan:

"Lâu hơn nữa, chúng tôi đốt cháy MasterCard"

Người khác kêu gọi: "Giữ cuộc tấn công, chúng ta

hãy làm cho nó một cuộc chiến tranh, không phải

là một cuộc chiến như những gì thường xảy ra "

Tấn công DDoS

Việt Hàn IT 33

Công cụ tấn công DDoS: LOIC

Thụy Sĩ

 Tấn công chống lại Visa và MasterCard

trong một thời gian đã xảy ra vấn đề với một

số chủ thẻ tín dụng.

gigabits mỗi giây của lưu lượng truy cập.

gục Mastercard và 1000 với visa (10GB dữ

liệu mỗi giây) Công cụ loic là một botnet tình

nguyện kết nối đến một máy chủ từ xa

mà chỉ đạo các cuộc tấn công Hiện nay,

có 40.000 người kết nối với botnet

Việt Hàn IT 35

Hacker quảng cáo link để download botnet

Việt Hàn IT 37

Công cụ tấn công DoS

Việt Hàn IT 39

Kỹ thuật phát hiện

 Kỹ thuật phát hiện dựa trên nhận biết và phân biệt nhờ tăng lên dòng dữ liệu không hợp lệ và trường hợp flask từ lưu lượng gói tin hợp lệ.

 Tất cả kỹ thuật phát hiện định nghĩa tấn công như không bình thường và đáng chú ý độ lệch từ khoảng thời gian lưu lượng mạng trạng thái thống kê bình thường

Tín hiệu phân tích dựa trên wavelet

Phát hiện thay đổi điểmHoạt động định

hình

Việt Hàn IT 41

Một tấn công được nhận biết bằng:

 Tăng hoạt động giữa các clusters

 Tăng toàn bộ số lượng clusters rõ ràng (tấn công DDoS)

Nó là tốc độ trung bình lưu lượng mạng bao gồm gói tin liên tiếp với trường gói tin giống

nhau

Hoạt động định hình thu được bằng cách giám sát thông tin header của gói tin trong mạng

Phân tích wavelet

Phân tích wavelet được

mô tả là tín hiệu vào đầu

cuối bao gồm quang phổ

Wavelets cung cấp đồng bộ thời gian và

hiện diện

Việt Hàn IT 43

Phát hiện thay đổi điểm theo trình tự

Bạn cũng có thể dùng nhận biết worm thông thường

bằng hoạt động scanning

Để nhận diện và định vị cuộc tấn công DoS các thuật toán cusum xác định độ lệch trong mức trung bình thực tế cục bộ

so với dự kiến ​​trong chuỗi thời gian giao thông

Họ bắt đầu lọc lưu lượng dữ liệu tới đích bằng địa chỉ, cổng hoặc giao thức và lưu trữ kết quả thành chuỗi thời gian

Thuật toán phát hiện thay đổi điểm mô tả lưu lượng thống

kê nguyên nhân thay đổi bởi cuộc tấn công

Biện pháp đối phó chiến lược DoS/ DDoS

Hấp thụ cuộc tấn công

Dùng khả năng phụ để

hấp thụ tấn công; Nó yêu

cầu kế hoạch trước

Nó yêu cầu tài nguyên

phụ

Làm giảm dịch vụ

Nhận biết dịch vụ nguy hiểm và dừng dịch vụ không nguy hiểm

Tắt dịch vụ

Tắt tất cả dịch vụ cho tới khi cuộc tấn công giảm bớt

Làm lệch cuộc tấn công

Làm dịu tấn công

Sau tấn công: pháp lý

Tắt dịch vụ không cần thiết, gỡ bỏ ứng dụng không sử dụng, và quét tất cả files nhận

từ nguồn bên ngoài

Cấu hình và thường xuyên

cập nhập xây dựng cơ cấu

phòng thủ trên lõi phần cứng

và phần mềm hệ thống

Biện pháp đối phó DoS/ DDoS:

Phát hiện và vô hiệu hóa handers

Phân tích lưu

lượng mạng

Nghiên cứu giao tiếp

giao thức và mô hình

giữa handlers và client

hoặc handlers và agents

Vô hiệu hóa một vàihandler có thể làm chonhiều agent khônghữu dụng, để cản trởcuộc tấn công DDoS

Giả mạo địa chỉ

nguồn

Có một xác suất lớngiả mạo địa chỉ nguồngói tin tấn công DDoS

sẽ không hiện giá trịđịa chỉ nguồn củamạng cụ thể

Biện pháp đối phó DoS/ DDoS:

Phát hiện tiềm năng tấn công

 Bộ lọc đi ra khôngchứng thực hoặc lưulượng nguy hiểmkhông được ra khỏimạng bên ngoài

Ngắt TCP

 Cấu hình ngắtTCP ngăn ngừa tấncông bằng cách ngắt

và yêu cầu kết nốiTCP hợp lệ

Việt Hàn IT 49

Biện pháp đối phó DoS/ DDoS:

Làm lệch hướng tấn công

 Hệ thống thiết lập với giới

hạn bảo mật, cũng biết như là

Biện pháp đối phó DoS/ DDoS:

Làm dịu cuộc tấn công

Cân bằng tải

 Nhà cung cấp tăng băng thông

trên kết nối quan trọng để ngăn

ngừa và giảm xuống tấn công.

 Nhân bản máy chủ có thể cung

cấp thêm bảo vệ an toàn

 Cân bằng tải cho mỗi server

trên cấu trúc nhiều server có thể

cải tiến hiệu suất bình thường

như là giảm ảnh hưởng của cuộc

tấn công DoS

Hoạt động điều chỉnh

 Thiết lập cách thức router truy cập một server với điều chỉnh logic lưu lượng đi vào tới mức

độ sẽ an toàn để server xử lý

 Bộ xử lý có thể ngăn ngừa tràn ngập thiệt hại tới server.

 Bộ xử lý này có thể mở rộng

để điều chỉnh luồng tấn công DDoS đối lập lưu lượng hợp pháp của người sử dụng cho kết quả tốt hơn

Việt Hàn IT 51

Phân tích router, firewall, và IDS

logs để nhận biết nguồn của lưu

lượng DoS Mặc dù kẻ tấn công

thông thường giả mạo địa chỉ

nguồn, dấu vết IP trả lại với trợ

giúp ngay lập tức của ISP và

thực thi pháp luật các cơ quan có

thể cho phép bắt các thủ phạm

Phân tích mẫu lưu lượng: Dữ liệu có thể được phân tích sau tấn công để tìm kiếm đặc điểm riêng biệt trong lưu lượng tấn công

Mẫu lưu lượng tấn công DDoS

có thể giúp người quản trị mạng

phát triển kỹ thuật lọc để ngăn

ngừa đi vào hoặc đi ra mạng

Dùng những đặc điểm, dữ liệu có thể được dùng để cập nhập cân bằng tải và điều chỉnh biện pháp đối phó

Kỹ thuật để phòng thủ chống lại botnet

Các gói tin cần phải được có nguồn gốc

hợp lệ, cho phép địa chỉ trống, bao gồm

tôpô và cấp phát không gian.

Bất kỳ lưu lượng vào không sử dụng

hoặc địa chỉ ip dành riêng là không thật

nên lọc tại ISP trước khi vào đường link

internet.

Lỗ đen là nơi trên một một mạng, nơi đó lưu lượng được chuyển tiếp hoặc hủy bỏ.

Kỹ thuật lọc này dùng giao thức cập nhập định tuyến để điều khiển bảng định tuyến tại biên một mạng để hủy lưu

lượng không thích nghi trước nó xâm nhập vào mạng của nhà cung cấp dịch vụ.

IPS cisco nhận đe dọa cập nhập từ

mạng Cisco SensorBase chứa thông tin

chi tiết nhân biệt mối đe dọa trên

internet, bao gồm tuần tự kẻ tấn công,

botnet harvester, malware bùng phát và

Bật bảo vệ IP nguồn trên switch ngăn ngừa một host gửi gói tin giả mạo trở thành bot.

Lọc nguồn ip uy tín

trên Cisco IPS

Cung cấp dịch vụ phòng chống DDoS từ ISP

Việt Hàn IT 53

Hiệu quả của cơ chế mã hóa cần đề xuất cho mỗi công nghệ băng thông rộng

Cải tiến giao thức định tuyến được kỳ vọng, đặc biệt là cho nhiều hop WMN

Tắt những dịch vụ không sử dụng và không bảo mật

Cập nhập kernel tới phiên bản mới nhất

Ngăn ngừa truyền địa chỉ gói tin lậu ở mức độ ISP

Thực hiện nhận biệt vô tuyến ở lớp vật lý để xử lý gây nhiễu và xáo trộn cuộc tấn công

Khóa tất cả gói tin có nguồn đi vào từ cổng dịch vụ để khóa lưu lượng ánh

xạ từ server

Biện pháp đối phó DoS/ DDoS

Cấu hình firewall để từ chối dòng truy cập giao thức điều khiển

thông điệp internet (ICMP)

Ngăn ngừa dùng chức năng không cấp thiết như get, strcpy,

Đảm bảo an toàn cho người quản trị từ xa và kiểm tra kết nối

Ngăn chặn địa chị trả lại không bị ghi đè

Dữ liệu được xử lý bởi kẻ tấn công nên dừng lại trước khi chạy

Thực hiện triệt để giá trị nhập vào

Các card mạng là gateway của gói tin vì vậy nên dùng card

Việt Hàn IT 55

Nhiều ISP đơn giản khóa tất cả yêu cầu trong thời gian tấn công DDoS,

từ chối lưu lượng hợp pháp từ truy cập dịch vụ.

ISP đưa ra đám mây DDoS bảo vệ đường liên kết internet vì vậy họ không thể bão hòa bởi cuộc tấn công

Lưu lượng tấn công được chuyển hướng tới ISP trong cuộc tấn công

để lọc và gửi trở lại Quản trị mạng có thể yêu cầu ISP để khóa nguồn IP tác động và di chuyển trang web tới IP khác sau khi thực hiện lan truyền DNS

Kích hoạt ngắt TCP trên phần mềm IOS Cisco

Để bật ngắt TCP, dùng những lệnh ở chế độ cấu hình toàn cầu:

Ngắt TCP có thể diễn ra với mỗi chế độ ngắt chủ động hoặc bị động chế độ theo dõi Mặc định là chế độ ngắt

Câu lệnh sẽ thiết lập chế độ ngắt TCP ở chế độ cấu hình toàn cầu

Định nghĩa IP mở rộng trong danh sách truy cập Kích hoạt ngắt TCP

Thiết lập chế độ ngắt TCP

Việt Hàn IT 57

Bảo vệ nâng cao DDoS:

IntelliGuard hệ thống bảo vệ DDoS (DPS)

IntelliGuard DPS trợ giúp

làm dịu tấn công DDoS

được thiết kế tập trung vượt qua lưu lượng hợp pháp hơn là bỏ quả lưu lượng tấn công

Cấp bậc học bảo vệ chiến

lược nhận biết vị trí truy cập

bằng ưu tiên cho khách hàng

và xếp hạng truy cập của họ.

Quản lý lưu lượng đa cấp độ

cấu hình giới hạn lưu lượng

và đảm bảo cho việc quản lý lưu lượng cho mỗi thành phần của mạng

Việt Hàn IT 59

Công cụ bảo vệ DoS/ DDoS: NetFlow Analyzer

Công cụ bảo vệ DoS/ DDoS

Việt Hàn IT 61

Tấn công DoS: Kiểm tra thâm nhập

Hệ thống server dễ bị tấn công DoS thì nên kiểm tra thâm nhập để tìm hiểu để đối phó.

Một hệ thống dễ bị tấn công không thể xử lý số lượng lớn lưu lượng gửi và sau đó bị treo hoặc giảm tốc độ, do đó ngăn ngừa truy cập bằng cách chứng thực người sử dụng.

Kiểm tra thâm nhập xác định ngưỡng tối thiểu cuộc tấn công DoS trên hệ thống, nhưng người kiểm thử không chủ quan là hệ thống bền vững trước chống tấn công DoS.

Đối tượng chính để kiểm tra thâm nhập DoS làm tràn ngập lưu lượng hệ thống mục tiêu , tương tự như hàng trăm người liên tục yêu cầu dịch vụ, làm cho server hoạt động liên tục không có giá trị.