Các loại tấn công từ chối dịch vụ

Các loại tấn công từ chối dịch vụ

Các loại tấn công từ chối dịch vụ

Giáo viên hướng dẫn:

Đề tài:Bảo mật mạng và hệ thống

 DoS

 Giới thiệu về DOS

 Định nghĩa DOS

 Các dạng tấn công DOS

 Một số tool có thể sử dụng tấn công DOS

 Nguyên nhân

Nguyên nhân:

Mục tiêu tấn công:

web lớn và các tổ chức thương mại điện tử trên Internet.

nhiều giờ.

Vậy DOS là gì?

 DOS viết tắt của Denial Of Services.

chậm đi đáng kể đối với người dùng bình thường bằng cách chiếm giữ tài nguyên của hệ thống.

thực của hệ thống nhưng nó có thể làm gián đoạn các dịch

vụ mà hệ thống đó cung cấp.

Server busy

 Kẻ tấn công gửi những gói tin IP lớn hơn số lương bytes

cho phép của IP là 65.536 bytes.

thực hiện ở layer II.

65.536 bytes Nhưng hệ điều hành không thể nhận biết được

độ lớn của gói tin này và sẽ bị khởi động lại, hay đơn giản là

sẽ bị gián đoạn giao tiếp.

phép thì tương đối dễ dàng.

 Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần.

 Kẻ tấn công sử dụng sử dụng gói IP với các thông số rất khó hiểu để chia IP

 Khi hệ điều hành nhận được các gói tin đã được chia nhỏ sẽ không hiểu được, hệ thống cố gắng build lại gói tin và điều đó chiếm một phần tài nguyên hệ thống

 Nếu quá trình đó liên tục xảy ra hệ thống không còn tài nguyên

để phục vụ các ứng dụng khác

giả sử rằng 4000 bytes này được chia thành 3 gói nhỏ(packet):

packet thứ nhất sẽ mang các 1bytes dữ liệu từ 1 đến 1500

packet thứ hai sẽ mang các bytes dữ liệu từ 1501 đến 3000

packet thứ ba sẽ mang các bytes dữ liệu còn lại, từ 3001 đến 4000

Khi các packets này đến đích, hệ thống đích sẽ dựa vào offset của các gói packets để sắp xếp lại cho đúng với thứ tự ban đầu: packet thứ nhất -> packet thứ hai -> packet thứ ba

Buffer Overflow xảy ra khi một chương trình phải ghi thông tin xuống buffer nhiều hơn khoảng trống trong bộ nhớ quy định cho nó.

chương trình, điều khiển cho chương trình chạy đoạn mã của attacker thay vì đoạn mã của chương trình.

Được xem là một trong những kiểu tấn công DoS kinh điển nhất Lợi dụng sơ hở của thủ tục TCP khi “bắt tay

ba lần”, mỗi khi client (máy khách) muốn thực hiện kết nối(connection) với server (máy chủ) thì nó thực hiện việc bắt tay ba lần (three – wayshandshake) thông qua các gói tin (packet).

 Bước 1 : Client (máy khách) sẽ gửi các gói tin (packet

chứa SYN) đến máy chủ để yêu cầu kết nối.

 Bước 2 : Khi nhận được gói tin này, server sẽ gửi lại gói tin SYN/ACK để thôngbáo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên cho việc yêu cầu này Server sẽ giành một phần tài nguyên hệ thống như bộ nhớ đệm(cache) để nhận và truyền dữ liệu Ngoài

ra, các thông tin khác của client như địa chỉ IP và cổng (port) cũng được ghi nhận

 Bước 3 : Cuối cùng, client hoàn tất việc bắt tay ba lần

bằng cách hồi âm lại gói tin chứa ACK cho server và tiến hành kết nối

 Do TCP là giao thức hướng kết nối nên trong lần bắt tay thứ hai,server gửi các gói tin SYN/ACK trả lời lại client mà không nhận lại được hồi âm của client để hoàn tất quá trình kết nối thì server nó vẫn bảo lưu nguồn tài nguyên chuẩn bị kết nối đó và lập lại việc gửi gói tin SYN/ACK cho client đến khi nào nhận

được hồi đáp của máy client

 Điểm mấu chốt là ở đây là làm cho client không hồi đáp cho Server Và có hàng nhiều,nhiều client như thế trong khi server vẫn lặp lại việc gửi packet ACK đó và giành tài nguyên để chờ trong lúc tài nguyên của hệ thống là có

giới hạn! Các hacker tấn công sẽ tìm cách để đạt đến giới hạn đó

 Nếu quá trình đó kéo dài, server sẽ nhanh chóng trở nên quá tải, dẫn đến tình trạng crash(treo) nên các yêu cầu hợp

lệ sẽ bị từ chối không thể đáp ứng được Có thể hình dung quátrình này cũng giống như khi máy tính cá nhân (PC) hay bị “treo” khi mở cùng lúc quá nhiều chương trình

cùng lúc vậy

Hacker sẽ giả địa chỉ IP gói tin Khi một gói tin SYN với IP giả mạo được gửi đến server và server sẽ cấp

vùng tài nguyên cho đường truyền này, đồng thời ghi

nhận toàn bộ thông tin và gửi gói SYN/ACK ngược lại cho Client

Vì địa chỉ IP của client là giả mạo nên sẽ không có

client nào nhận được SYN/ACK packet này để hồi đáp cho máy chủ Sau một thời gian không nhận được gói tin ACK từ client, server nghĩ rằng gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, cứ như thế, các kết nối (connections) tiếp tụcmở

 Nếu như kẻ tấn công tiếp tục gửi nhiều gói tin SYN đến server thì cuối cùng server đã không thể tiếp nhận thêm kết nối nào nữa, dù đó là các yêu cầu kết nối hợp

lệ Việc không thể phục nữa cũng đồng nghĩa với việc máy chủ không thể cung cấp dich vụ.

Land Attack

 Là một dạng của SYN attack(thay ip giả chính là ip victim)

DNS Attack

 Giao thức DNS là giao thức phân giải địa chỉ, dùng để

ánh xạ giữa tên miền (domain name) địa chỉ Internet (IP) Theo giao thức này, máy chủ DNS khi nhận được yêu cầu phân giải địa chỉ (request) từ máy trạm, nó sẽ tra cứu

trong bộ đệm (cache) và trả về địa chỉ IP tương ứng với tên miền mà máy trạm yêu cầu Tuy nhiên, nếu không tìm thấy trong bộ đệm, máy chủ DNS sẽ chuyển tiếp yêu cầu phân giải tới một máy chủ DNS khác và đây chính là lỗ hổng mà hacker sẽ khai thác

Cấu trúc của gói tin DNS

 1 Transaction ID : nó là một số ngẫu nhiên (random) dùng để

so khớp với truy vấn phản hồi trở lại Khi client nhận được một phản hồi (respone) từ server, nó sẽ kiểm tra xem số transaction

ID này có trùng với số transaction ID mà nó đã gửi đi ban đầu hay không.

2 Additional Resource Record structures : phần này là thông tin resource record được thêm vào để gửi cho máy nhận (receiver)

 Lưu ý : nếu có 2 phản hồi (responces), trình tự tiếp nhận của client sẽ diễn ra như sau : cái nào đến trước

sẽ được chấp nhận trước, sau đó bỏ thông tin đã

nhận trước đó khi nhận được cái sau Đây thật sự là điểm yếu để tấn công đầu độc cache

 Tiêu chí để xác định xem những phản hồi (responces)

có hợp lệ hay không đó là dựa trên các thông số ban đầu của các yêu cầu (requests) mà client đó đã gửi đi Client chỉ chấp nhận những phản hồi với cùng một địa chỉ IP, số cổng (port number) và số transaction ID ban đầu do client đã gửi đi Ví dụ theo bảng sau thì gói tin phản hồi sẽ được chấp nhận :

Tấn công đầu độc cache (cache

poisoning attack)

 Như đã đề cập trong phần lý thuyết bên trên, các DNS

Server sau khi trả lời thông tin đã phân giải được vào

cache (cache trên DNS Server), mục đích là để tối ưu cho việc phân giải lần sau Lợi dụng cơ chế này, các attacker tiến hành đầu độc cache của DNS Server

Cách thực hiện : thiết lập một DNS Server giả mạo với các

 1 Thiết lập 1 DNS Server giả mạo, ví dụ tên của

.

Server của nạn nhân (server này tạm gọi là

ns.victim.com ), yêu cầu phân giải tên

www.attacker.com

.

trong cache) của nạn nhân sẽ liên lạc với DNS Server giả mạo của attacker là ns.attacker.com để lấy thông

 4 Ns.attacker.com trả lời cho địa chỉ

www.attacker.com = 44.44.44.44 đến ns.victim.com Tuy nhiên, cũng trong thời điểm đó, trong gói tin

reply trả về thì một record khác cũng được thêm vào chứa thông tin là www.cnn.com = 66.66.66.66 tại

vùng Additional Resource Record structures (xem lại cấu trúc gói tin DNS đã trình bày bên trên)

 5 Sau khi nhận được reply này từ máy

ns.attacker.com, ns.victim.com sẽ trả lời cho attacker

là www.attacker.com=44.44.44.44 Tuy nhiên, lúc này ns.victim.com đã cache lại thông tin về

www.attacker.com=44.44.44.44 và

 6 Thông tin record www.attacker.com sẽ được trả về cho kẻ tấn công, tuy nhiên đây không phải là mục tiêu chính của kẻ tấn công, mà mục tiêu chính là đặt

thông tin sai vào bộ nhớ cache của DNS Server nạn

nhân

 7 Khi nào record giả còn tồn tại trong cache của DNS Server nạn nhân, từ đây về sau, các truy vấn của

66.66.66.66, đây có thể là một máy tính được đặc

dưới sự kiểm soát của attacker

 Với mục đích đạt được như trên thì hacker có thể dẫn nạn nhân tới địa chỉ mà hacker đã kiểm soát(có thể là địa chỉ tài khoản ngân hàng, tài khoản ….) để ăn cắp thông tin.

 GIỚI THIỆU DDOS,ĐẶC ĐIỂM DDOS

 MÔ HÌNH VÀ PHÂN LOẠI CÁC KIỂU TẤN CÔNG DDOS

 PHÒNG CHỐNG DDOS

Internet Relay Chat (IRC)

 Là một hệ thống online chat

multiuser, IRC cho phép

User tạo một kết nối đến

multipoint(chanel) đến

nhiều user khác và chat thời

gian thực

 Ngoài chat, IRC còn dùng để

chia sẻ tập tin và tư liệu theo

hình thức mạng ngang hàng.

Bot(bắt nguồn tư robot)

 Là các chương trình tự động hóa thường xuyên được

 Một botnet bao gồm tối thiểu: 1 bot header hoăc

controller và 1 hoặc nhiều botclents(bot)

 Botnet được quản lý bởi 1 Botheader

 Botheader có thể điều khiển cả nhóm bot từ xa,

thường là qua một phương tiện chẳng hạn như IRC

 Được sử dụng cho 1 cuộc tấn công DDoS

 1 botnets tương đối nhỏ với 1ooo bots tạo 1 băng

thông lớn hơn kết nối Internet của danh nghiệp(1.000 PCs với mức trung bình 128KB / s có thể cung cấp

nhiều hơn 100Mbit / s )

 Với sự trợ giúp của Keylogger rất nhiều thông tin nhạy cảm của người dùng có thể

sẽ bị kẻ tấn công khai thác như tài khoản trên e-banking, cũng như nhiều tài khoản khác.

 Cài đặt và lây nhiễm chương trình độc hại

 Botnet có thể sử dụng để tạo ra mạng những mạng BOT mới.

 Phishing

 Mạng botnet còn được sử dụng để phishing mail nhằm lấy các thông tin nhạy cảm của người dùng.

 ….

Cấu trúc của một botnet điển hình

Types of Bots

 Agobot/Phatbot/Forbot/XtremBot

 -Đây là những bot được viết bằng C++ trên nền tảng Cross-platform và

mã nguồn được tìm trên GPL Agobot được viết bởi Ago nick name được người ta biết đến là Wonk, một thanh niên trẻ người Đức – đã bị bắt hồi tháng 5 năm 2004 với tội danh về tội phạm máy tính.

 Agobot có khả năng sử dụng NTFS Alternate Data Stream (ADS) và như một loại Rootkit nhằm ẩn các tiến trình đang chạy trên hệ thống

 SDBot/RBot/UrBot/UrXBot

 SDBot được viết bằng ngồn ngữ C và cũng được public bởi GPL Nó đươc coi như là tiền thân của Rbot, RxBot, UrBot, UrXBot, JrBot

 mIRC-based Bots - GT-Bots

 GT được viết tắt từ Global Threat và tên thường được sử dụng cho tất cả các mIRC-scripted bots Nó có khả năng sử dụng phần mềm IM là mIRC

để thiết lập một số script và một số đoạn mã khác

Cách lây nhiễm của bot(Agobot’s)

 Bước 1: Cách lây nhiễm vào máy tính

 Đầu tiên kẻ tấn công lừa cho người dùng chạy file “chess.exe”, một Agobot thường copy chúng vào hệ thống và sẽ thêm các thông số trong Registry để đảm bảo sẽ chạy cùng với hệ thống khi khởi động Trong Registry có các vị trí cho các ứng dụng

chạy lúc khởi động tại.

 HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

 Bước 2: Cách lây lan và xây dựng tạo mạng BOTNET

 - Sau khi trong hệ thống mạng có một máy tính bị nhiễm Agobot, nó sẽ tự động tìm kiếm các máy tính khác trong hệ thống và lây nhiễm sử dụng các lỗ hổng trong tài nguyên được chia sẻ trong hệ thống mạng.

 - Chúng thường cố gắng kết nối tới các dữ liệu share mặc định dành cho các ứng dụng quản trị (administrator or administrative) ví dụ như: C$, D$, E$ và print$ bằng cách đoán usernames và password để có thể truy cập được vào một hệ thống khác

và lây nhiễm.

 - Agobot có thể lây lan rất nhanh bởi chúng có khả năng tận dụng các điểm yếu trong hệ điều hành Windows, hay các ứng dụng, các dịch vụ chạy trên hệ thống.

Cách lây nhiễm của bot(Agobot’s)

 Bước 3: Kết nối vào IRC.

 Bước tiếp theo của Agobot sẽ tạo ra một IRC-Controlled Backdoor

để mở các yếu tố cần thiết, và kết nối tới mạng Botnet thông qua IRC-Controll, sau khi kết nối nó sẽ mở những dịch vụ cần thiết để khi có yêu cầu chúng sẽ được điều khiển bởi kẻ tấn công thông qua kênh giao tiếp IRC.

 Bước 4: Điều khiển tấn công từ mạng BotNet.

 - Kẻ tấn công điều khiển các máy trong mạng Agobot download những file exe về chạy trên máy.

 - Lấy toàn bộ thông tin liên quan và cần thiết trên hệ thống mà kẻ tấn công muốn.

 - Chạy những file khác trên hệ thống đáp ứng yêu cầu của kẻ tấn công.

 - Chạy những chương trình DDoS tấn công hệ thống khác.

Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot.

Tấn công DDoS

 Trên Internet tấn công Distributed Denial of Service

là một dạng tấn công từ nhiều máy tính tới một đích,

nó gây ra từ chối các yêu cầu hợp lệ của các user bình thường Bằng cách tạo ra những gói tin cực nhiều

đến một đích cụ thể, nó có thể gây tình trạng tương

tự như hệ thống bị shutdown

Các đặc tính của tấn công DDoS

 - Nó được tấn công từ một hệ thống các máy tính cực lớn trên

Internet, và thường dựa vào các dịch vụ có sẵn trên các máy tính

trong mạng botnet

 - Các dịch vụ tấn công được điều khiển từ những “primary victim” trong khi các máy tính bị chiếm quyền sử dụng trong mạng Bot được

sử dụng để tấn công thường được gọi là “secondary victims”.

 - Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ IP trên Internet.

 - Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn.

 - Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS, và điều này càng nguy hiểm hơn khi chúng sử dụng một hệ

thống mạng Bot trên internet thực hiện tấn công DoS và đó được gọi

là tấn công DDoS.

Tấn công DDoS không thể ngăn chặn hoàn toàn

 - Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên các máy tính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng Botnet gồm nhiều máy tính kết nối tới Internet.

 - Một tấn công DDoS được thực hiện sẽ rất khó để ngăn chặn hoàn toàn.

 - Những gói tin đến Firewall có thể chặn lại, nhưng hầu hết chúng đều đến từ những địa chỉ IP chưa có trong các Access Rule của Firewall và là những gói tin hoàn toàn hợp lệ.

 - Nếu địa chỉ nguồn của gói tin có thể bị giả mạo, sau khi bạn không nhận được sự phản hồi từ những địa chỉ nguồn thật thì bạn cần phải thực hiện cấm giao tiếp với địa chỉ nguồn đó.

 - Tuy nhiên một mạng Botnet bao gồm từ hàng nghìn tới vài trăm nghìn địa chỉ IP trên Internet và điều đó là vô cùng khó khăn để ngăn chặn tấn công.

Những mô hình tấn công DDoS

 Agent Handler Model gồm 3 thành phần: Agent,

Những mô hình tấn công DDoS

 Agent Handler Model

Những mô hình tấn công DDoS

 Tấn công DDoS dựa trên nền tảng IRC cũng tương tự như

Agent – Handler network nhưng mô hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent (không sử dụng Handler) Sử dụng mô hình này, attacker còn

có thêm một số lợi thế khác như:

 + Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vô cùng khó khăn

 + IRC traffic có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ

 + Không cần phải duy trì danh sách các Agent, hacker chỉ cần logon vào IRC server là đã có thể nhận được report về trạng

thái các Agent do các channel gửi về.

 + IRC cũng là một môi trường file sharing tạo điều kiện phát tán các Agent code lên nhiều máy khác.

Những mô hình tấn công DDoS

 Tấn công DDoS dựa trên nền tảng IRC

Phân loại tấn công DDoS

 Tấn công gây hết băng thông

truy cập tới máy chủ.

Tấn công khuếch đại các giao tiếp

Tấn công Reflective DNS

(reflective – phản chiếu)

 - Một Hacker có thể sử dụng mạng botnet để gửi rất nhiều yêu cầu tới máy chủ DNS.

 - Những yêu cầu sẽ làm tràn băng thông mạng của các máy chủ DNS,

 - Việc phòng chống dạng tấn công này có thể dùng Firewall ngăn cấm những giao tiếp từ các máy tính được phát hiện ra.

 - Nhưng việc cấm các giao tiếp từ DNS Server sẽ có nhiều vấn đề lớn Một DNS Server có nhiệm vụ rất quan trọng trên Internet.

 - Việc cấm các giao tiếp DNS đồng nghĩa với việc cấm người dùng bình thường gửi mail và truy cập Website.

 - Một yêu cầu về DNS thường chiếm bằng 1/73 thời gian của gói tin trả lời trên máy chủ Dựa vào yếu tố này nếu dùng một Tools chuyên nghiệp để làm tăng các yêu cầu tới máy chủ DNS sẽ khiến máy chủ DNS bị quá tải và không thể đáp ứng cho các người dùng bình

thường được nữa.