Nhận xét:- Đây là hình thức tấn công dựa vào điểm yếu của giao thức gửi tin đáng tin cậy TCP.. Nhận xét Smurf AttackLà hình thức tấn công kinh điển, cách thức rất độc đáo lợi dụng đặc tí
Trang 1HỆ THỐNG VIỄN THÔNG
Giảng viên:
Ths Huỳnh Thụy Bảo Trân
Nguyễn Văn Giang
Trang 2Nhóm 7:
Nguyễn Ngọc Hoàng 0912160
Nguyễn Hoàng 0912162
Nguyễn Thái Hòa 0912167
Cao Thanh Phương 0912349
TÌM HIỂU VỀ DOS VÀ DDOS
Trang 6Tìm hiểu tấn công DOS và DDOS
Khái niệm
Phân loại
Phòng chống
Trang 7Khái niệm
DOS: Denial of Service
DDOS: Distributed Denial of Service
Trang 10Đoạn code bị khai thác lỗi tràn bộ đệm
int main(int argc, char **argv) {
Trang 14Phân loại theo đặc điểm của hệ thống
Trang 15Phân loại theo cách thức tấn công
Thông qua kết nối
Lợi dụng tài nguyên của nạn nhân để tấn công
Sử dụng băng thông (DDOS)
Sử dụng tài nguyên khác
Trang 16Thông qua kết nối
SYN Flood Attack
Trang 17SYN Flood Attack
Trang 21Nhận xét:
- Đây là hình thức tấn công dựa vào điểm yếu của
giao thức gửi tin đáng tin cậy (TCP)
- Các gói tin SYN là một phần của lưu lượng bình
thường, hàng ngày Vì vậy rất khó cho các thiết bị
có thể lọc kiểu lưu lượng này
Trang 22Cách phòng tránh SYN Flood
Trang 27Lợi dụng tài nguyên của nạn nhân để
tấn công
Land Attack
UDP flood
Trang 28UDP flood
Trang 30Nhận xét UDP flood
- Là hình thức tấn công phổ thông như SYN flood
- UDP là thành phần của lưu lượng mạng hàng ngày, nên cần cân nhắc
những biện pháp phòng chống khác nhau
Trang 31Cách phòng chống UDP Flood
Trang 33Ta còn có thể dùng giao thức Discard được định nghĩa trong RFC 863.
Giao thức này cho phép khi dữ liệu được gửi tới Server sẽ bị loại bỏ mà không hồi đáp
Với các OS kiểu Unix thì Discard được tắt mặc định, cấu hình trong
/etc/inetd.conf.
Trang 34Sử dụng tài nguyên khác
Smurf Attack
Tear Drop
Trang 35Smurf Attack
Trang 37Phòng chống Smurf Attack
Cấu hình router không hồi đáp ping request hoặc broadcast
Trang 38Phòng chống Smurf Attack
Trang 39Nhận xét Smurf Attack
Là hình thức tấn công kinh điển, cách thức rất độc đáo (lợi dụng đặc tính Request & Reponse của của network) nhưng dễ phòng tránh
Hiện nay không được quan tâm nhiều
Trang 40Sử dụng băng thông
DDoS (Distributed Denial of Service)
Trang 41Botnet
Trang 42Giới thiệu về Botnet
Để quá trình tấn công từ chối dịch vụ thành công thì nhất thiết có có một hệ thống zombie mạnh mẽ
Các zombie này sống trong một mạng, được gọi là botnet
Trang 43Khái niệm
Botnet là một thuật ngữ được lấy từ ý tưởng của cụm từ “bots network” dùng
để chỉ một mạng lưới các bot
Một bot đơn giản là một chương trình máy tính được điều khiển bởi ai đó hoặc
từ một nguồn nào bên ngoài
Trang 44Phân loại
DNS bot
IRC bot
Trang 45DNS bot
DNS Bot là phương pháp điều khiển bot trên nền web
Đầu tiên tại host điều khiển botmaster sẽ taọ một tệp lệnh (vd: list.txt) và bot sẽ download tệp này
Sau khi download thành công sẽ tiến hành phân tích chỉ thị và thực thi chỉ thị tại máy bị nhiễm (zombie)
Trang 46DNS bot
Ưu điểm: Thực hiện dễ dàng, điều khiển đơn giản chỉ cần một host bất kỳ là có
thể điều khiển được, bot thực hiện được công việc ngay cả khi chủ bot offline
Hạn chế: sự trao đổi thông tin qua lại giữa master và bot bị hạn chế.
Trang 47IRC
Trang 48IRC bot
Là phương pháp điều khiển qua các mạng chat IRC
Bot sử dụng winsock gửi các tệp lệnh IRC để nhận lệnh từ từ master qua một port đã định sẵn khi cấu hình bot
Sau khi đã vào (join) kênh (chanel) được ấn định, bot sẽ nhận lệnh từ master thông qua kết nối IRC
Trang 49IRC bot
Ưu điểm: Dễ dàng trong việc trao đổi thông tin qua lại giữa master và bot
Nhược điểm: Phụ thuộc vào các IRC Server và người quản trị của IRC Server
bởi các lưu lượng do bot tạo ra rất nhanh và rất đáng ngờ, dễ bị phát hiện
Trang 50Vai trò của botnet
Trang 51Các yếu tố một cuộc tấn công
Đầu tiên kẻ tấn công sẽ phát tán mã độc (vd: trojan horse) vào nhiều máy tính.Các máy tính bị tấn công gọi là zombie sẽ tự động kết nối tới botnet server nhận lệnh điều khiển
Trang 52Các yếu tố một cuộc tấn công
Bot Server có thể là một máy công cộng, một webserver hoặc IRC, nhưng cũng
có thể là máy chuyên dụng do kẻ tấn công cài đặt lên một trong các máy bị
chiếm quyền điều khiển
Các máy tính bị tấn công gọi là zombie sẽ tự động kết nối tới botnet server nhận lệnh điều khiển
Các bot chạy trên máy tính bị chiếm quyền điều khiển, hình thành một mạng Botnet
Trang 53Các yếu tố một cuộc tấn công
Trang 54Để duy trì sự kiểm soát trên các zombie, attacker thường sử dụng một kĩ thuật gọi là botnet hardening
Kĩ thuật này được thiết kế sao cho có thể chuyển các zombie sang một botnet server dự phòng khác
Trang 55Phòng vệ trước botnet
Ý thức người dùng tiềm năng Zombie
Trang 57Nhận xét về tấn công từ chối dịch vụ
Trang 58Cám ơn thầy cô và các bạn đã theo dõi!