Khai thác Kẻ tấn công có thể ghi đè lên dữ liệu và đánh cắp quyền điều khiển, điều khiển chạy một số chương trình Tấn công có thể làm crash ứng dụng DoS hoặc có thể remote excute.. X
Trang 1Kỹ thuật tấn công từ chối
dịch vụ
Kỹ thuật tấn công từ chối
dịch vụ
Trường Đại Học Công Nghệ Thông Tin
Giảng Viên : Th.s Tô Nguyễn Nhật Quang
Sinh Viên : Phạm nhật minh 08520234 Đỗ Công Thành 08520358
Lê Ngọc Phi 08520279
Lê Phước Đông 08530092
Bộ môn : Ứng Dụng Truyền Thông & An ninh
Thông Tin
Trang 2Nội Dung
DOS
1
DDOS và Botnet
2
Cách phòng chống
3
Demo tấn công
4
2
Trang 3Tổng quan tấn công DOS
Chúng cũng làm tiêu tốn
tài nguyên máy chủ
chẳng hạn như : thời gian
xử lý, bộ nhớ, ổ đĩa …
Các gói tin hợp lệ tiêu thụ tài nguyên mạng như bộ đệm của router, băng thông mạng …
User
Server Router
Trang 4Các hình thức tấn công Dos cơ bản
Smurf Attack Ping of Death
Teardrop Buffer overflow SYN Flood attack
DOS
4
Trang 5Smurf attack
ICMP
attacker
victim
Source IP : IP victim 192.168.1.2
192.168.1.3
192.168.1.4
Trang 6Ping of Death
30 000 bytes
30 000bytes cho mỗi fragment
Error !
Ví dụ : Ping -l 65500 address
-l : buffer size
6
Trang 73000-4999
Trang 8Buffer Overflow
Lỗi
Xảy ra khi có chương trình ghi lượng thông tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ.
Khai thác Kẻ tấn công có thể ghi đè lên dữ liệu và đánh cắp quyền điều khiển, điều khiển chạy
một số chương trình
Tấn công có thể làm crash ứng dụng (DoS) hoặc có
thể remote excute.
Hacker Để có thể thực hiên tấn công này, hacker cần hiểu biết về OS, tổ chức bộ nhớ, CPU
Trang 9SYN Flood
- Khi 2 hệ thống kết nối TCP với nhau, chúng sẽ bắt tay 3 bước
- Lợi dụng cơ chế này kẻ tấn công sẽ thực hiện tấn công
SYN Flood
SYN SYN-ACK
ACK
Cơ chế bắt tay 3 bước
Trang 10SYN Flood
SYN
SYN-ACK SYN
SYN-ACK
10
Half-open
connections
queue
Trang 11Giới thiệu DDOS
Trang 12Xây dựng mạng botnet
- Để tạo một mạng botnet kẻ tấn công có nhiều phương thức khác nhau chẳng hạn như dùng trojan để phát tán trên
internet.
12 Botnet
Hacker có thể điều khiển
Trang 13Điều khiển mạng Agent
Agent Handler
Model
Tấn công DDoS dựa trên nền tảng IRC:
Attacker
Trang 14Agent Handle modle
14
Trang 15Internet Relay Chat(IRC)-Based
Trang 16Phân loại tấn công DDOS
16
Trang 17Phát hiện và phòng chống
Ngưỡng giới
hạn khả năng
đáp ứng
Theo dõi địa chỉ IP nguồn
Phát hiện
Trang 18Ngưỡng giới hạn đáp ứng
Sử dụng thuật
toán Adaptive
Threshold
dùng để phát
hiện sự không
bình thường dựa
trên sự vi phạm
một ngưỡng khả
năng đáp ứng
của lưu lượng
mạng
Sử dụng thuật
toán Adaptive
Threshold
dùng để phát
hiện sự không
bình thường dựa
trên sự vi phạm
một ngưỡng khả
năng đáp ứng
của lưu lượng
mạng
Bước 1
Dựa vào việc kiểm tra phép đo lưu lượng có vượt qua một ngưỡng giới hạn cụ thể hay không
Dựa vào việc kiểm tra phép đo lưu lượng có vượt qua một ngưỡng giới hạn cụ thể hay không
Bước 2
Nếu vượt qua, chứng tỏ đã có một cuộc tấn công xảy ra
Nếu vượt qua, chứng tỏ đã có một cuộc tấn công xảy ra
Bước 3
19
Trang 19Theo dõi địa chỉ IP nguồn
Sử dụng thuật
toán SIM để tiến
hành theo dõi,
đánh giá, phân
tích các địa chỉ
IP trong khoảng
thời gian.
Đưa các địa chỉ
IP vào trong IP
address
database (IAD).
Sử dụng thuật
toán SIM để tiến
hành theo dõi,
đánh giá, phân
tích các địa chỉ
IP trong khoảng
thời gian.
Đưa các địa chỉ
IP vào trong IP
address
database (IAD).
off-line training
SIM tiến hành thống kê những lưu lượng đến trong các khoảng thời gian So
khớp các địa chỉ
IP đến trong IAD
để tìm ra những
IP mới
Sử dụng thuật toán CUSUM để đánh giá các IP mới
SIM tiến hành thống kê những lưu lượng đến trong các khoảng thời gian So
khớp các địa chỉ
IP đến trong IAD
để tìm ra những
IP mới
Sử dụng thuật toán CUSUM để đánh giá các IP mới
Detection and learning
Detection and learning
Khi sự thay đổi vượt qua ngưỡng giới hạn chứng tỏ đã có một cuộc tấn công xảy ra
Khi sự thay đổi vượt qua ngưỡng giới hạn chứng tỏ đã có một cuộc tấn công xảy ra
Result
Trang 20www.uit.edu.vn
Thank You !
21