Tiểu luận môn ứng dụng truyền thông và an toàn thông tin chủ đề tấn công DOS DDOS

t n công Smurf ấn công DOS : - Kiểu tấn công này cần một hệ thống rất quan trọng là mạng khuyếch đại - Hacker dùng địa chỉ của máy tính cần tấn công để gửi gói tin ICMP echo cho toàn

SV1 : 08520234_Phạm Nhật Minh SV2 : 08520358_Đỗ Công Thành SV3 : 08520279_Lê Ngọc Phi SV4 : 08520092_Lê Phước Đông

M c l c ục lục ục lục

I Lý thuyết : 2

1 Tấn công DOS : 2

2 Tấn công DDOS : 2

3 Kết quả của các cuộc tấn công : 2

3.1 Đối với tấn công DOS : 2

3.2 Đối với tấn tấn công DDOS : 3

II Mô hình triển khai tấn công : 3

1 Tấn công DOS : 3

2 Tấn công DDOS : 5

III Triển khai tấn công : 5

1 Tấn công DOS : 5

2.Tấn công DDOS : 10

IV Nhận xét và giải pháp phòng chống : 15

1 ưu điểm của cuộc tấn công : 15

2 Khuyết điểm : 15

3 Giải pháp phòng chống : 15

I Lý thuy t : ết :

1 T n công DOS : ấn công DOS :

1.1 t n công slow read ấn công DOS :

- Trong phần này em xin giới thiệu về tấn công Slow Read Denial of Service attack là một loại tấn công DOS dựa vào lỗ hổng của dịch vụ http trên server bị tấn công.

- Cuộc tấn công khai thác một lỗ hổng mà hầu như các máy chủ web server mắc phải là không hạn chế thời gian kết nối của một luồng dữ liệu đi vào Với khả năng kéo dài kết nối TCP hầu như là mãi mãi

- Nó có khả năng tranh chấp các kết nối của ứng dụng

- Khả năng kéo dài kết nối TCP thì được mô tả trong một vài lỗ hổng được báo cáo dưới đây:

MS09-048, CVE-2008-4609, CVE-2009-1925, CVE-2009-1926

- Điều kiện tiên quyết để tấn công thành công là :

 Server phải chấp nhận kết nối với một cửa sổ quảng cáo(trường window size) nhỏ hơn bộ đệm socket server gửi Nó càng nhỏ càng tốt.

 Kẻ tấn công yêu cầu cần có một tài nguyên mà không phù hợp với bộ đệm của server gửi Ở đây thường sử dụng giữa 64kb và 128kb Để làm đầy bộ đệm của socket server có thể sử dụng việc tạo ống dẫn HTTP(-k tham số của slowhttptest)

1.2 t n công Smurf ấn công DOS :

- Kiểu tấn công này cần một hệ thống rất quan trọng là mạng khuyếch đại

- Hacker dùng địa chỉ của máy tính cần tấn công để gửi gói tin ICMP echo cho toàn bộ mạng (broadcast)

- Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn tấn công

2 T n công DDOS : ấn công DOS :

2.1 đi u khi n qua web ều khiển qua web ển qua web.

- Attacker sẽ thiết lập một webserver để đưa ra các lệnh điều khiển mạng botnet để thực hiện các cuộc tấn công

- Attacker cần tạo ra mạng botnet để điều khiển tấn công thông qua việc phát tán Trojan Các Trojan có nhiệm vụ kết nối đến webserver và chờ lệnh từ attacker thông qua

webserver

- Attacker sẽ điều khiển mạng botnet này để thực hiện tấn công DDOS dựa vào mạng botnet để gửi số lượng lớn các request đến server tấn công

- Nó làm cho server bị tấn công sẽ bị cạn kiệt nguồn tài nguyên(băng thông, bộ nhớ, CPU

xử lý…) và không thể đáp ứng yêu cầu của người dùng được nữa

2.2 đi u khi n qua kênh IRC ều khiển qua web ển qua web.

-Tương tự như DDOS điều khiển qua web , thay vì sử dụng web để điều khiển con bot thì chúng ta dùng kênh IRC để điều khiển

3 K t qu c a các cu c t n công : ết : ả của các cuộc tấn công : ủa các cuộc tấn công : ộc tấn công : ấn công DOS :

3.1 Đ i v i t n công DOS : ối với tấn công DOS : ới tấn công DOS : ấn công DOS :

- Làm cho server bị crack hoặc bị treo

3.2 Đ i v i t n t n công DDOS : ối với tấn công DOS : ới tấn công DOS : ấn công DOS : ấn công DOS :

- Kết quả của cuộc tấn công này là attacker có thể điều khiển, ăn cắp các thống tin quan trọng … các máy bị nhiễm trojan do attacker phát tán

- Attacker có thể điều khiển mạng botnet này để thực hiện tấn công DDOS đến các server

và làm cho server này cạn kiệt tài nguyên, ngưng hoạt động

II Mô hình tri n khai t n công : ển qua web ấn công DOS :

1 T n công DOS : ấn công DOS :

1.1 T n công Slow Read Denial of Service attack : ấn công DOS :

Hình 1.1 : mô hình triển khai tấn công Slow-Read DoS attack

- Công cụ sử dụng để thực hiện tấn công Slow-Read DoS attack dùng để gửi các request TCP đến server tấn công

- Công cụ có thể thực hiện tấn công chạy trên hệ thống linux và cần có môi trường biên dịch gcc

- Attacker gửi rất nhiều request TCP đến server tấn công và các kết nối TCP này sẽ bị kéo dài làm server phải chờ đợi để kết thúc 1 kết nối TCP, điều này làm cho cho máy server cạn kiệt tài nguyên

- Hình dưới đây minh họa cuộc tấn công slow – read DOS attack

 Số lượng request gửi đi là 1000 request

 Ở đây sử dụng request GET để thực hiện tấn công

 Số lượng kết nối cho mỗi giao là 200 kết nối/ 1 giây

 Tham giò kết nối máy server bị DOS, nếu không có phản ứng đã nhận sau 3 giây

- kết quả của cuộc tấn công :

 ở giây 181 : có 1000 kết nối

 số lượng kết nối đang chờ server giai quyết ở khoảng giây thứ 5-76 là tầm 600 kếtnối

 kết nối đã hoàn thành tầm 375 kết nối

 server vailable : server đáp ứng các kết nối đã hoạt động quá tải

1.2 t n công Smurf và Fraggle ấn công DOS :

- Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công

* Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping tới máy B máy B reply lại hoàn tất quá trình Khi tôi ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại tôi Nhưng giờ tôi thay đổi địa chỉ nguồn, thay địa chỉ nguồn là máy C và tôi ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C chứ không phải tôi và đó là tấn công Smurf.

- Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho mạng bị dớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ khác

- Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được kết nối với nhau (mạng BOT)

- tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn công Smurf

2 T n công DDOS : ấn công DOS :

- Mô hình triển khai tấn công

5 6 target server

- Zombie : là các máy tính(victim) mà bị nhiễm Trojan,bot … và bị hacker điều khiển.Số lượng zombie càng lớn thì cuộc tấn công càng mạng và nguy hiểm

III Tri n khai t n công : ển qua web ấn công DOS :

1 T n công DOS : ấn công DOS :

1.1 Tri n khai t n công Slow Read Denial of Service attack : ển qua web ấn công DOS :

- Để sử dụng tool trên cần 1 máy tính chạy hệ điều hành Linux

 Ở đây em sử dụng Backtrack 5r1 có địa chỉ IP: 192.168.91.167 để thực hiện tấn công

 Còn máy bị tấn công là window xp có địa chỉ IP : 192.168.91.150

- Giải nén tools slowhttptest-1.4.tar.gz bằng lệnh :

Tar –xzvf slowhttptest-1.4.tar.gz

Phát tán Trojan tạo mạng botnet

Bot cammad &

Bots kết nối server &

192.168.91.1

www.zing.vn

- sau khi giải nén

- thực hiện cài đặt, biên dịch source code chương trình bằng các lệnh sau :

- sau khi cài đặt xong chúng ta có thể sử dụng tools đã được cài đặt để tấn công Bằng cách sử dụng dòng lệnh sau :

./slowhttptest -c 1000 -X -g -o slow_read_stats -r 200 -w 512 -y 1024 -n 5 -z 32 -k 3 –u

http://192.168.91.150 -p 3

- các tham số :

 -X 1000 : bắt đầu tấn công slow-read với thử nghiệm với 1000 kết nối

 -r 200 : tạo 200 kết nối cho mỗi giây

 -w 512 -y 1024 : ban đầu gói tin SYN cho mỗi kết nối có giá trị ngẫu nhiên kích thước window size giữa 512 và 1024

 -n 5 -z 32 : ứng dụng sẽ đọc 32 byte cho mỗi 5 giây từ mỗi bộ đệm của socket nhận

 -k 3 : Để nhân kích thước tấn công, chúng ta sử dụng đường ống Tham số “-k 3” để yêu cầu tài nguyên trên server cùng 3 lần trên 1 socket

 -p 3 : tham giò kết nối máy server bị DOS, nếu không có phản ứng đã nhận sau 3 giây

- sử dụng wiresharke trên máy bị tấn công có IP : 192.168.91.150 để xem các gói tin mà máy tấn công thực hiện.

- Một gói tin được máy tấn công sử dụng để tấn công :

Chúng ta phân tích gói tin sau đây để thấy các tham số mà máy tấn công đã sử dụng ở trên

 Timestamp value : 231872

 window scale : 3

- đây là ảnh kết thúc tấn công

2.2 t n công Smurf ấn công DOS :

- sau khi biên dịch song ta chạy chương trình tấn công Smurf

chỉ của victim

hoặc yahoo

Chương trình đang chạy và tấn công địa chỉ victim là 192.168.1.1 các máy trong miền sub IP 192.168.1.0/24 sau khi nhận gói ICMP broadcast thì sẽ phản hồi đến victim và dẫn đến việc quá tải trên máy của nạn nhân

2.T n công DDOS : ấn công DOS :

2.1 đi u khi n qua web ều khiển qua web ển qua web.

- webserver có IP : 192.168.91.1

- máy bị dính bot có IP : 192.168.91.150 sử dụng hệ điều hành window xp sp3

- Đầu tiên kẻ tấn công cần thiết lập 1 webserver để điều khiển botnet

- Máy bị tấn công : www.zing.vn

- Sau đó attacker cần tạo mạng botnet, ở đây attacker có thể sử dụng phương thức đính kèm con bot vào 1 chương trình hợp pháp mà người sử dụng hay dùng.

- Ở đây để đính kèm con bot vào 1 chương trình khác em sử dụng chương trình “ Senna Spy One EXE maker 2000” Con bot sẽ được đính kèm với chương trinh IDM Khi người dùng cài chương trình IDM thì con Bot cũng sẽ được tự động cài theo

- khi chạy 1 chương trình thì bot này sẽ tự động cài đặt và chạy ẩn trong hệ thống Và đưới đây

là hình ảnh con bot được cài đặt khi người dùng double click vào chương trình IDM mà attacker

đã đính kèm bot vào

- Sau khi máy victim bị nhiễm con bot thì con bot sẽ thực hiện mở các kết nối về webserver để chờ lệnh Lúc này webserver sẽ xuất hiện con bot cho attacker điều khiển

- Attacker dùng webserver này gửi 1 lệnh tấn công website: zing.vn (có ip là 120.138.69.70) cho các botnet.

- dưới đây là các gói tin của máy bot khi bị attacker gửi lệnh tấn công trang “zing.vn”

2.2 đi u khi n qua kênh IRC ều khiển qua web ển qua web.

bot được bật lên nó sẽ tự động kết nối đến kênh IRC này và chúng ta có thể kết nối đến kênh IRC

#lephi để điều khiển bot

thì mới điều khiển được bot

IV Nh n xét và gi i pháp phòng ch ng : ận xét và giải pháp phòng chống : ả của các cuộc tấn công : ối với tấn công DOS :.

1 u đi m c a cu c t n công : ưu điểm của cuộc tấn công : ển qua web ủa các cuộc tấn công : ộc tấn công : ấn công DOS :

- Đối với tấn công DOS dạng Slow Read Denial of Service attack thì đơn giản và ai cũng

có khả năng thực hiện một cuộc tấn công này

- Đối với tấn công DDOS thì việc tấn công rất hiệu quả và mạnh vì nó dựa vào số lượng botnet, nếu botnet càng đông thì cuộc tấn công càng mạnh và server bị tấn công sẽ nhanh chóng ngừng hoạt động

2 Khuy t đi m : ết : ển qua web.

- Đối với tấn công DOS dạng Slow Read Denial of Service attack để server ngừng hoạt động thì server đó cần sử dụng các dịch vụ apache bản 2.2 trở về trước Nên nếu server

đã cập nhập bản cho lỗ hổng này thì cuộc tấn công trên sẽ bị vô hiệu hóa Và server bị tấncông sẽ hoạt động lại nếu cuộc tấn công kết thúc

- Đối với tấn công DDOS thì cần tạo mạng botnet lớn và việc tạo botnet thì không đơn giản vì các người dùng có thể sử dụng các chương trình diệt virus,Trojan …nên việc pháttán Trojan để tạo mạng botnet cũng khó khăn

3 Gi i pháp phòng ch ng : ả của các cuộc tấn công : ối với tấn công DOS :.

- Đối với tấn công DOS thì lien tục cập nhập các bản vá lỗi mới nhất của các dịch vụ, phầnmềm Tắt các dịch vụ không cần thiết khi hoạt động …

- Đối với tấn công DDOS thì việc ngăn chặn triệt để các cuộc tấn công này là không thể.Tuy nhiên chúng ta có thể phòng chống các cuộc tấn công này bằng cách xây dựng các hệ thống như :

 Ngưỡng giới hạn đáp ứng của server nếu vượt quá ngưỡng này thì server bị tấn công

 Theo dõi nguồn IP : Sử dụng thuật toán để phân tích lưu lượng đến và đi trong khoảng thời gian để và từ đó đưa ra đánh giá xem IP đó có phải là 1 botnet không

 Theo dõi lưu lượng đến và đi : phân tích lưu lượng đến và đi của server, số lượng request trong 1 khoảng thời gian