DDOS- Để tạo một mạng botnet kẻ tấn công có nhiều phương thức khác nhau chẳng hạn như dùng trojan để phát tán trên internet.. Slow – Read attackSlow Read Denial of Service attack Choph
Trang 1www.uit.edu.vn
Kỹ thuật tấn công từ chối dịch vụ
Trường Đại Học Công Nghệ Thông Tin
Giảng Viên : Th.s Tô Nguyễn Nhật Quang
Sinh Viên : Phạm nhật minh 08520234 Đỗ Công Thành 08520358
Lê Ngọc Phi 08520279
Lê Phước Đông 08530092
Bộ môn : Ứng Dụng Truyền Thông & An
Ninh Thông Tin
1
Trang 2Nội Dung
Lý thuyết
1
Mô hình triển khai tấn công
2
Triển Khai tấn công
3
Phòng chống
4
2
Trang 3I Lý thuyết
DOS
và DDOS
Smurf
Slow-read
IRC Handler Master
Trang 41 Smurf attack
ICMP
attacker
victim
Source IP : IP victim
5
192.168.1.2
192.168.1.3
192.168.1.4
Trang 52 DDOS
- Để tạo một mạng botnet kẻ tấn công có nhiều phương thức khác nhau chẳng hạn như dùng trojan để phát tán trên
internet.
12
Botnet
Hacker có thể điều khiển
Trang 6II MÔ hình triển khai tấn công
Smurf
Slow – Read attack
DDOS
Trang 72 Slow – Read attack
Slow Read Denial of Service attack
Chopho.vn 192.168.91.167
- Công cụ thực hiện tấn công : Slow-Read DoS attack dùng để gửi các
request TCP đến server tấn công
- Môi trường thực hiện tấn công : hệ thống linux và cần có môi trường biên dịch gcc
- Attacker gửi rất nhiều request TCP đến server tấn công và các kết nối
TCP này sẽ bị kéo dài làm server phải chờ đợi để kết thúc 1 kết nối
TCP, điều này làm cho cho máy server cạn kiệt tài nguyên
Trang 83 DDOS
192.168.91.1
Mô hình triển khai tấn công DDOS
192.168.91.1
Zing.vn
192.168.91.150
1
2
3 4
Trang 9II MÔ hình triển khai tấn công
Smurf
Slow – Read attack DDOS - IRC
DDOS – Handler Master
Trang 10IV Nhận xét và giải pháp phòng chống
Phòng chống
Nhược điểm
Ưu điểm
Trang 111 Ưu điểm :
Đơn giản và ai
cũng có khả
năng thực hiện
một cuộc tấn
công này
Tấn công rất hiệu quả và mạnh khi mạng botnet càng lớn
Trang 12ery.com
Company Logo
2 Khuyết điểm
DOS
Đối với tấn công này dựa vào lỗi dịch vụ, lỗi hệ điều
hành, giao thức …
Khuyết điểm
DDOS
Việc tạo ra mạng mạng botnet lớn
là khó khăn
Trang 13www.themegall ery.com
Company Logo
3 Phòng chống DOS
Kiểm soát các luồng dữ liệu ra vào
Triển khai các hệ thống phòng thủ IDS,IPS Xây dựng firewall lọc các gói tin bất thường Tắt bớt các dịch vụ không cần thiết
Liên tục cập nhập các bản vá lỗi mới
Trang 144 Phòng chống DDOS
Ngưỡng giới
hạn khả năng
đáp ứng
Theo dõi địa chỉ IP nguồn
DDOS
Trang 15Ngưỡng giới hạn
Sử dụng thuật
toán Adaptive
Threshold
dùng để phát hiện
sự không bình
thường dựa trên
sự vi phạm một
ngưỡng khả năng
đáp ứng của lưu
lượng mạng
Sử dụng thuật
toán Adaptive
Threshold
dùng để phát hiện
sự không bình
thường dựa trên
sự vi phạm một
ngưỡng khả năng
đáp ứng của lưu
lượng mạng
Bước 1
Dựa vào việc kiểm tra phép đo lưu lượng có vượt qua một ngưỡng giới hạn cụ thể hay không
Dựa vào việc kiểm tra phép đo lưu lượng có vượt qua một ngưỡng giới hạn cụ thể hay không
Bước 2
Nếu vượt qua, chứng tỏ đã có một cuộc tấn công xảy ra.
Nếu vượt qua, chứng tỏ đã có một cuộc tấn công xảy ra.
Bước 3
19
Trang 16Theo dõi IP nguồn
Sử dụng thuật toán SIM để tiến hành theo dõi, đánh giá, phân tích các địa chỉ
IP trong khoảng thời gian
Đưa các địa chỉ
IP vào trong IP address
database (IAD)
Sử dụng thuật toán SIM để tiến hành theo dõi, đánh giá, phân tích các địa chỉ
IP trong khoảng thời gian
Đưa các địa chỉ
IP vào trong IP address
database (IAD)
off-line training
SIM tiến hành thống kê những lưu lượng đến trong các khoảng thời gian So khớp các địa chỉ IP đến trong IAD để tìm
ra những IP mới
Sử dụng thuật toán CUSUM để đánh giá các IP mới
SIM tiến hành thống kê những lưu lượng đến trong các khoảng thời gian So khớp các địa chỉ IP đến trong IAD để tìm
ra những IP mới
Sử dụng thuật toán CUSUM để đánh giá các IP mới
Detection and learning
Khi sự thay đổi vượt qua ngưỡng giới hạn chứng tỏ đã
có một cuộc tấn công xảy ra
Khi sự thay đổi vượt qua ngưỡng giới hạn chứng tỏ đã
có một cuộc tấn công xảy ra
Result
Trang 17www.uit.edu.vn
www.uit.edu.vn
Thank You !
21