tiểu luận tìm hiểu về tấn công từ chối dịch vụ dos

ấn công kiểu SYN flood Lợi dụng cách thức hoạt động của kết nối TCP/IP, hacker bắt đầu quá trình thiết lập một kết nối TPC/IP tới mục tiêu muốn tấn công mà không gửi trả gói tin ACK, khi

ùi iệt à Phạm Ngọc uyên Lớp cao học: M13CQTE02-B

à Nội - 11/2014

MỤ LỤ

MỤ LỤ

DAN MỤ ÌN Ẽ

MỞ ĐẦ

NỘ D N N Ệ N ÓM 7

1 ấn công kiểu SYN flood 1

1.1 Những biện pháp đối phó với SYN flood 3

2 ấn công DNS 5

2.1 Các thành phần của DNS 6

2.2 Truyền thông DNS 6

2.3 Giả mạo DNS 8

2.4 Những vụ tấn công DNS 8

2.5 Biện pháp phòng chống tấn công DNS 9

3 ấn công SMURF 11

3.1 Các biện pháp đối phó Smurf 12

3.2 Những site Bị Tấn công 13

4 ấn công bằng O NE 14

4.1 Mạng BOTNET 14

4.2 Mục đích sử dụng mạng Botnets 14

4.3 Các dạng của mạng BOT 15

4.4 Các bước xây dựng mạng BotNet? Cách phân tích mạng Bot 15

4.5 Tấn công DDoS 16

4.6 Phân loại tấn công DDoS 17

DAN MỤ ÌN Ẽ

Hình 1.1: SYN Connection 1

Hình 1.2 SYN flood DoS attack 2

Hình 1.3 SYN flood DoS result 3

Hình 1.4 Hệ thống phát hiện và chống xâm nhập IDS 4

Hình 2.1 Truy vấn và đáp trả DNS 6

Hình 2.2 Các gói truy vấn và đáp trả DNS 7

Hình 2.3 Truy vấn và đáp trả DNS bằng đệ quy 8

Hình 2.4 Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID 8

Hình 4.1 Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot 16

Hình 4.2: Sơ đồ phân loại tấn công DDoS 17

Hình 4.3 Sơ đồ tấn công DDoS ở dạng Khuếch đại giao tiếp 18

MỞ ĐẦ

Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào

có hệ thống mạng dù lớn hay nhỏ Hiện nay, các hacker trong và ngoài nước luôn tìm cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ Những thông tin nhạy cảm thường ảnh hưởng tới sống còn của công ty Chính vì vậy, các nhà quản trị mạng luôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và cố gắng hoàn thiện hệ thống mình để bớt lỗ hổng

Tuy nhiên, một kiểu tấn công rất cổ điển là tấn công từ chối dịch vụ chưa bao giờ mất đi tính nguy hiểm đối với hệ thống mạng Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục DoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàn cuộc tấn công

Với yêu cầu cấp thiết như vậy, nhóm em chọn đề tài “Tìm hiểu về tấn công từ chối dịch vụ DoS” nhằm mục đích để hiểu được các kiểu tấn công và từ đó đưa ra

cách phòng chống DoS

ẢN NỘ D N N Ệ NHÓM 7

Chương 1: Tấn công kiểu SYN flood

1 ấn công kiểu SYN flood

Lợi dụng cách thức hoạt động của kết nối TCP/IP, hacker bắt đầu quá trình thiết lập một kết nối TPC/IP tới mục tiêu muốn tấn công mà không gửi trả gói tin ACK, khiến cho mục tiêu luôn rơi vào trạng thái chờ (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) và liên tục gửi gói tin SYN ACK để thiết lập kết nối Một cách khác là giả mạo địa chỉ IP nguồn của gói tin yêu cầu thiết lập kết nối SYN và cũng như trường hợp trên, máy tính đích cũng rơi vào trạng thái chờ vì các gói tin SYN ACK không thể

đi đến đích do địa chỉ IP nguồn là không có thật Kiểu tấn công SYN flood được các hacker áp dụng để tấn công một hệ thống mạng có băng thông lớn hơn hệ thống của hacker

Hình 1.1: SYN Connection

Ở những hoàn cảnh thông thường thì một gói tin SYN được gửi từ một cổng cụ thể trên hệ thống A tới một cổng cụ thể đang ở trong trạng thái NGHE (LISTENING) trên hệ thống B Ở điểm này thì kết nối tiềm năng này trên hệ thống B là một trạng thái SYN_RECV Ở giai đoạn này thì hệ thống B sẽ cố gửi lại một gói tin SYN/ACK tới hệ thống A Nếu mọi việc suôn sẻ thì hệ thống A sẽ gửi lại một gói

tin ACK và kết nối sẽ chuyển sang một trạng thái được thiết lập (ESTABLISHED)

Trong khi cơ chế này hầu như luôn hoạt động tốt thì kẻ tấn công có thể lợi dụng một số yếu điểm cố hữu trong hệ thống này để tạo ra một điều kiện DoS Vấn đề ở chỗ hầu hết các hệ thống phân bổ một số lượng xác định các nguồn lực khi lập nên

một kết nối tiềm năng hay một kết nối chưa được thiết lập đầy đủ Trong khi hầu hết

các hệ thống có thể duy trì được hàng trăm các kết nối đồng thời tới một cổng cụ thể (ví dụ như 80) thì có thể chỉ mất khoảng một tá các yêu cầu kết nối tiềm năng để làm yếu đi các nguồn lực được phân bổ để lập nên kết nối đó Điều này chính xác là cơ chế mà kẻ tấn công SYN sẽ dùng đến để vô hiệu hóa một hệ thống

Chương 1: Tấn công kiểu SYN flood

Hình 1.2 SYN flood DoS attack

Khi một vụ tấn công lũ SYN được khởi đầu thì kẻ tấn công sẽ gửi đi một gói tin SYN từ hệ thống A đến hệ thống B Tuy nhiên kẻ tấn công sẽ giả mạo địa chỉ nguồn của một hệ thống không tồn tại Hệ thống B lúc này sẽ cố gửi một gói tin SYN/ACK tới địa chỉ bị giả mạo Nếu hệ thống bị giả mạo có tồn tại thì thông thường nó sẽ phản hồi lại với một gói tin RST tới hệ thống B vì nó đã không khởi đầu quá trình kết nối Tuy nhiên phải nhớ là kẻ tấn công chọn một hệ thống mà không thể tiếp cận tới được Do vậy hệ thống B sẽ gửi một gói tin SYN/ACK và không bao giờ nhận một gói tin RST trở lại từ hệ thống A Kết nối tiềm năng này hiện đang ở trạng thái SYN_RECV và được xếp thành một dãy chờ kết nối Hệ thống này hiện có nhiệm vụ lập một kết nối và kết nối tiềm năng này sẽ chỉ được xếp bằng từ dãy chờ sau khi bộ phận định giờ thiết lập kết nối hết hạn Bộ phận định giờ kết nối thay đổi theo hệ thống nhưng có thể chỉ mất 75 giây hoặc tới 23 phút đối với một số thực thi IP bị phá vỡ Do dãy chờ kết nối thông thường rất nhỏ nên kẻ tấn công

có thể chỉ phải gửi một vài gói tin SYN cứ 10 giây một để vô hiệu hóa hoàn toàn một cổng cụ thể Hệ thống này bị tấn công sẽ không bao giờ có thể xóa được dãy chờ ùn đống trước khi nhận những yêu cầu SYN mới

Chương 1: Tấn công kiểu SYN flood

Hình 1.3 SYN flood DoS result

1.1 Những biện pháp đối phó với SYN flood

Để xác định được liêu bạn có bị tấn công hay không bạn có thể phát lệnh netstat nếu nó được hỗ trợ bởi hệ điều hành của bạn Nếu bạn thấy nhiều kết nối trong một trạng thái SYN_RECV thì nó có thể cho biết là một vụ tấn công SYN đang được tiến hành

Tiếp đến là bốn cách cơ bản để tiếp cận những cuộc tấn công lũ SYN Trong khi từng biện pháp có những ưu điểm và nhược điểm riêng thì chúng có thể được sử dụng nhằm giảm đi những hậu quả của một vụ tấn công SYN tập trung Hãy ghi nhớ khó khăn trong lần theo dấu vết cuộc tấn công trở lại kẻ xâm nhập vì nguồn gói tin đã bị giả mạo Tuy nhiên dostracker của MCI có thể trợ giúp trong nhiệm vụ này (nếu bạn

có quyền truy nhập vào từng cầu dẫn hop trong đường dẫn)

Tăng Kích cỡ Dãy chờ Kết nối

Trong khi mỗi ngăn xếp IP của nhà cung cấp hơi khác nhau một chút thì việc điều chỉnh kích cỡ của dãy chờ kết nối nhằm giúp cải thiện những tác động của một

vụ tấn công lũ SYN là điều hoàn toàn có thể Điều này là hữu ích song không phải

là biện pháp tối ưu nhất, vì nó sử dụng các nguồn lực hệ thống bổ sung và có thể ảnh hưởng đến hoạt động

Giảm Khoảng thời gian chết Khi hiết lập Kết nối

Việc giảm khoảng thời gian chết khi thiết lập kết nối cũng có thể giúp giảm

Chương 1: Tấn công kiểu SYN flood

những tác động của một vụ tấn công SYN mặc dù nó vẫn chưa phải là biện pháp tối

ưu

Update phần mềm của nhà cung cấp nhằm phát hiện những nguy cơ tấn công SYN flood

Ở thời điểm này thì hầu hết các hệ điều hành hiện đại đã được triển khai các

cơ chế dò và phòng tránh lũ SYN Hãy xem CERT phần CA-96:21, "Những vụ tấn công Giả mạo IP và Gây lũ TCP SYN," và tìm danh sách các những cách giải quyết

và sửa chữa tạm thời của hệ điều hành

Do những vụ tấn công SYN đã trở nên lấn lướt trên toàn Mạng nên những biện pháp khác cũng đã được phát triển nhằm đối phó với điều kiện DoS này Ví dụ

như những kerrnel Linux hiện đại 2.0.30 và sau đó là cài một tùy chọn có tên SYN cookie Nếu như tùy chọn này được hiệu lực hóa thì kernel sẽ dò và ghi lại những vụ

tấn công SYN có thể xảy ra Sau đó nó sẽ sử dụng một giao thức thách thức mật mã

có tên là SYN cookie nhằm cho phép những người sử dụng an toàn để tiếp tục kết nối

Những hệ điều hành khác như Windows NT 4.0 SP2 và các phiên bản tiếp theo nhờ đến một cơ chế ghi ngược động Khi dãy chờ kết nối xuống dưới ngưỡng đã định được cấu hình từ trước thì hệ thống sẽ tự động phân bổ các nguồn lực bổ sung Do vậy mà dãy chờ kết nối không bao giờ bị quá tải

Sử dụng IDS trong mạng Mạng

Một số sản phẩm IDS mạng có thể dò và tích cực phản hồi lại trước những

vụ tấn công SYN Một vụ tấn công SYN có thể bị dò bằng một trận lũ các gói tin SYN

mà không có những phản hồi đi kèm Một IDS có thể gửi các gói tin RST tới hệ thống

bị tấn công tương ứng với yêu cầu SYN ban đầu Hành động này có thể hỗ trợ cho

hệ thống bị tấn công trong việc giải thoát dãy chờ kết nối

Hình 1.4 Hệ thống phát hiện và chống xâm nhập IDS

Chương 2: Tấn công DNS

2 ấn công DNS

Tiêu chuẩn Domain Name System (DNS) - Giao thức Hệ thống tên miền là một tiêu chuẩn do Nhóm chuyên trách kỹ thuật Internet - Internet Engineering Task Force (IETF) phát hành

Vào năm 1983, hai nhà khoa học máy tính người Mỹ là Jonathan Bruce Postel (Jon Postel), từ Đại học California, thành phố Los Angeles và Paul Mockapetris từ Đại học California, thành phố Irvine đã phát minh ra và đã viết những đặc tả đầu tiên cho

hệ thống tên miền Tiếp đó, tháng 11/1983, những đặc tả kỹ thuật DNS ban đầu được công bố bởi IETF trong RFC 882 để mô tả các định nghĩa và ứng dụng và RFC 883 để

mô tả những đặc tả kỹ thuật và cài đặt giao thức Sau đó những đặc tả này đã được IETF thay thế lần lượt bởi RFC 1034 và RFC 1035 vào tháng 11/1987 Đi kèm với

cấp cao gốc định sẵn); RFC 1591 ban hành tháng 03/1994 (Đại diện và Cấu trúc hệ thống tên miền); RFC 1912 ban hành tháng 02/1996 (Các lỗi cấu hình và quản lý DNS

DNS) Ngoài ra có một số RFC được đề xuất hỗ trợ cho DNS cũng được IETF xây

hành tháng 03/2005)

Mục tiêu thiết kế chính của DNS là để tham chiếu đến các nguồn tài nguyên Để tránh những vấn đề gây ra bởi việc mã hóa những ký tự đặc biệt, tên được yêu cầu không nên chứa định danh mạng, địa chỉ mạng, lộ trình hoặc thông tin tương tự liên quan đến tên DNS là một hệ thống đặt tên phân tán có phân cấp cho các máy tính, dịch vụ hoặc bất kỳ tài nguyên nào kết nối với Internet hoặc mạng riêng DNS liên kết

đa dạng thông tin với tên miền được gán cho mỗi chủ thể tham gia Một dịch vụ tên miền xử lý những truy vấn các tên miền thành các địa chỉ IP để xác định vị trí các thiết

bị và các dịch vụ máy vi tính trên toàn cầu

Thuật ngữ "tên miền" được sử dụng trong mô tả DNS ở đây để tham chiếu đến một tên có cấu trúc, các tên được phân cách bằng dấu chấm, ví dụ "ISI.EDU“ Mục đích của tên miền là cung cấp một cơ chế để đặt tên cho các tài nguyên sử dụng trong các máy chủ, các mạng máy tính, tập các giao thức và các tổ chức quản lý khác nhau Một “miền“ được xác định bởi một tên miền Một miền A là miền con của miền B nếu miền A thuộc miền B Ví dụ A.B.C.D là một miền con của B.C.D, C.D, D

DNS chủ yếu sử dụng giao thức UDP trên cổng số 53 để phục vụ các yêu cầu dịch vụ Truy vấn DNS bao gồm một yêu cầu UDP duy nhất từ các máy khách, theo

và lá của cây không gian tên miền gồm tập các thông tin Một truy vấn xác định tên của tên miền cần xử lý và mô tả thông tin tài nguyên mong muốn Ví dụ: Internet sử dụng một vài tên miền của mình để xác định các máy chủ, các truy vấn tìm các tài nguyên địa chỉ trả lại địa chỉ IP máy chủ

 Máy chủ tên (Name Servers) là các chương trình máy chủ lưu trữ thông tin về cấu trúc cây không gian tên miền Một máy chủ tên có thể lưu cấu trúc hay tập thông tin về bất kì phần nào của cây không gian tên miền

 Bộ phân giải (Resolvers) là chương trình máy tính sẽ trích xuất thông tin từ các máy chủ tên phản hồi lại các yêu cầu của máy khách Chương trình phân giải phải có khả năng truy cập vào ít nhất một máy chủ tên và sử dụng thông tin của máy chủ để trả lời một truy vấn trực tiếp hay điều chuyển truy vấn sang máy chủ tên khác

2.2 ruyền thông DNS

Máy chủ DNS làm việc bằng cách lưu một cơ sở dữ liệu các entry (được gọi là bản ghi tài nguyên) địa chỉ IP để bản đồ hóa tên DNS, truyền thông các bản ghi tài nguyên đó đến máy khách và đến máy chủ DNS khác Kiến trúc máy chủ DNS trong toàn doanh nghiệp và Internet là một thứ khá phức tạp Như một vấn đề của thực tế, bạn có thể hình dung chúng như các quyển sổ chuyên dụng cho kiến trúc DNS Chúng tôi sẽ không đi vào giới thiệu các khía cạnh về kiến trúc hay thậm chí các kiểu lưu lượng DNS khác nhau, mà chỉ giới thiệu một phiên giao dịch DNS cơ bản, bạn có thể thấy điều đó trong hình

Hình 2.1 Truy vấn và đáp trả DNS

Chương 2: Tấn công DNS

DNS hoạt động theo hình thức truy vấn và đáp trả (query/response) Một máy khách cần phân giải DNS cho một địa chỉ IP nào đó sẽ gửi đi một truy vấn đến máy chủ DNS, máy chủ DNS này sẽ gửi thông tin được yêu cầu trong gói đáp trả của nó Đứng trên phối cảnh máy khách, chỉ có hai gói xuất hiện lúc này là truy vấn và đáp trả

Hình 2.2 Các gói truy vấn và đáp trả DNS

Kịch bản này sẽ có đôi chút phức tạp khi xem xét đến sự hồi quy DNS Nhờ có cấu trúc thứ bậc DNS của Internet, các máy chủ DNS cần có khả năng truyền thông với nhau để đưa ra câu trả lời cho các truy vấn được đệ trình bởi máy khách Nếu tất cả đều diễn ra thuận lợi như mong đợi, máy chủ DNS bên trong của chúng ta sẽ biết tên

để bản đồ hóa địa chỉ IP cho máy chủ bên trong mạng nội bộ, tuy nhiên không thể mong đợi nó biết địa chỉ tương quan giữa Google hoặc Dell Đây là nơi sự đệ quy đóng vai trò quan trọng Sự đệ quy diễn ra khi một máy chủ DNS truy vấn máy chủ DNS khác với tư cách máy khách tạo yêu cầu Về bản chất, cách thức này sẽ biến một máy chủ DNS thành một máy khách

để gói dữ liệu đó được chấp nhận bởi mục tiêu Chúng ta sẽ hoàn tất quá trình này bằng cách thực hiện hai bước với một công cụ đơn giản Đầu tiên, chúng ta cần giả mạo ARP cache thiết bị mục tiêu để định tuyến lại lưu lượng của nó qua host đang tấn công của mình, từ đó có thể chặn yêu cầu DNS và gửi đi gói dữ liệu giả mạo Mục đích của kịch bản này là lừa người dùng trong mạng mục tiêu truy cập vào website độc thay vì website mà họ đang cố gắng truy cập

lý những yêu cầu về những vùng và một vùng hoặc miền không được phụ vụ bởi nameserver thì nameserver sẽ truyền một truy vấn tới nameserver có thẩm quyền thì nameserver đầu tiên sẽ gửi trả lời trở lại bên yêu cầu

Ví dụ: kẻ tấn công có thể cố thuyết phục một nameserver mục tiêu giấu kín

IP không tồn tại Khi những người sử dụng nameserver yếu muốn tới trang

Ngoài ra việc giả mạo DNS là một kỹ thuật MITM được sử dụng nhằm cung cấp thông tin DNS sai cho một host để khi người dùng duyệt đến một địa chỉ nào đó, ví dụ, www.bankofamerica.com có IP XXX.XX.XX.XX, thì cố gắng này sẽ được gửi đến một địa chỉ www.bankofamerica.com giả mạo cư trú ở địa chỉ IP YYY.YY.YY.YY, đây là địa chỉ mà kẻ tấn công đã tạo trước để đánh cắp các thông tin tài khoản ngân hàng trực tuyến từ người dùng Tấn công này có thể thực hiện khá dễ dàng và trong bài này chúng ta sẽ đi nghiên cứu cách làm việc của nó, cách nó thực hiện tấn công thế nào và cuối cùng là cách chống trả ra sao

2.5 iện pháp phòng chống tấn công DNS

Việc phòng chống tấn công việc giả mạo DNS khó vì có khá ít các dấu hiệu tấn công Thông thường, bạn không hề biết DNS của mình bị giả mạo cho tới khi điều đó xảy ra Những gì bạn nhận được là một trang web khác hoàn toàn so với những gì mong đợi Trong các tấn công với chủ đích lớn, rất có thể bạn sẽ không hề biết rằng mình đã bị lừa nhập các thông tin quan trọng của mình vào một website giả mạo cho tới khi nhận được cuộc gọi từ ngân hàng hỏi tại sao bạn lại rút nhiều tiền đến vậy Mặc

dù khó nhưng không phải không có biện pháp nào có thể phòng chống các kiểu tấn công này, đây là một sô thứ bạn cần thực hiện:

Bảo vệ các máy tính bên trong của bạn: Các tấn công giống như trên thường

được thực thi từ bên trong mạng của bạn Nếu các thiết bị mạng của an toàn thì sẽ bạn

sẽ giảm được khả năng các host bị thỏa hiệp và được sử dụng để khởi chạy tấn công

giả mạo.Không dựa vào DNS cho các hệ thống bảo mật, trên các hệ thống an toàn và

có độ nhạy cảm cao, không duyệt Internet trên nó là cách thực hiện tốt nhất để không

sử dụng đến DNS Nếu bạn có phần mềm sử dụng hostname để thực hiện một số công việc của nó thì chúng cần phải được điều chỉnh những gì cần thiết trong file cấu hình thiết bị.Sử dụng IDS: Một hệ thống phát hiện xâm nhập, khi được đặt và triển khai đúng, có thể vạch mặt các hình thức giả mạo ARP cache và giả mạo DNS.Sử dụng

DNSSEC: DNSSEC là một giải pháp thay thế mới cho DNS, sử dụng các bản ghi