Cùng với sự ra đời và phát triển của máy tính thì mạng máy tính cũng không kém phần phát triển. Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn. Do đó đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết. Xuất phát từ vấn đề đó, nhóm em đã tìm hiểu và nghiên cứu đề tài: “Tìm hiểu và thử nghiệm tấn công SYN Flood”. Báo cáo trình bày những vấn đề về giới thiệu về tấn công từ chối dịch vụ và thử nghiệm tấn công SYN Flood
Trang 1MỤC LỤC
Trang 2DANH MỤC NHỮNG TỪ VIẾT TẮT
DOS Denial of Service
DDOS Distributed Denial of Service
DRDOS Distributed Reflection Denial of ServiceIRC Internet Relay Chat
UDP User Datagram Protocol
TCP Transmission Control Protocol
Trang 3LỜI NÓI ĐẦU
1 Tính cấp thiết
Ngày nay trong bất kỳ lĩnh vực nào cũng cần đến máy tính, máy tính rấthữu ích với đời sống con người Chính nhờ sự có mặt của máy tính và sự pháttriển của nó đã làm cho hầu hết các lĩnh vực trong xã hội phát triển vượt bậc,nhanh chóng và thần kỳ
Cùng với sự ra đời và phát triển của máy tính thì mạng máy tính cũngkhông kém phần phát triển Bên cạnh đó, các hình thức phá hoại mạng cũng trởnên tinh vi và phức tạp hơn Do đó đối với mỗi hệ thống, nhiệm vụ bảo mậtđược đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết Xuấtphát từ vấn đề đó, nhóm em đã tìm hiểu và nghiên cứu đề tài: “Tìm hiểu và thửnghiệm tấn công SYN Flood” Báo cáo trình bày những vấn đề về giới thiệu vềtấn công từ chối dịch vụ và thử nghiệm tấn công SYN Flood
Do còn thiếu kinh nghiệm thực tiễn nên báo cáo này không tránh khỏinhững thiếu sót Rất mong được sự đóng góp ý kiến của quý thầy cô và bạn bè
để báo cáo này được hoàn thiện hơn
2 Mục tiêu của Chuyên đề
- Tìm hiểu tổng quan tấn công từ chối dịch vụ
- Tìm hiểu về SYN Flood
- Nghiên cứu xây dựng mô phỏng tấn công SYN Flood
3 Đối tượng nghiên cứu
- Tấn công SYN Flood
4 Phạm vi nghiên cứu
- Tấn công từ chối dịch vụ
- Tấn công SYN Flood
5 Phương pháp nghiên cứu
* Phương pháp nghiên cứu tài liệu
- Phương pháp này được áp dụng để tìm hiểu, phân tích các tài liệu liênquan đến đề tài nghiên cứu Trong đó, chúng tôi áp dụng phương pháp này vàocác tài liệu về tấn công từ chối dịch vụ, tấn công SYN Flood
- Nguồn tài liệu:
Trang 4+ Từ các hệ thống giáo trình SYN Flood.
+ Từ các nghiên cứu của những người nghiên cứu trước đó, các sách, tạpchí, các ngân hàng đề tài khoa học có liên quan đến đề tài
+ Từ các thông tin trên mạng Internet
* Phương pháp nghiên cứu thực nghiệm
- Thử nghiệm và đánh giá kết quả một số phương pháp đề xuất:
+ Thu thập các phương pháp tấn công SYN Flood
+ Đánh giá và phân tích kết quả
6 Nội dung nghiên cứu
Chương 1 Tổng quan tấn công từ chối dịch vụ
Chương 2 Tổng quan về kỹ thuật tấn công SYN Flood
Chương 3 Thử nghiệm tấn công SYN Flood
Trang 5CHƯƠNG 1 TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ 1.1 Khái niệm tấn công từ chối dịch vụ
Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến
sự phát triển bùng nổ của công nghệ thông tin, truyền thông Đặc biệt sự pháttriển của các trang mạng (websites) và các ứng dụng trên các trang mạng đãcung cấp nhiều tiện ích cho người sử dụng từ tìm kiếm, tra cứu thông tin đếnthực hiện các giao dịch cá nhân, trao đổi kinh doanh, mua bán, thanh toán hànghoá, dịch vụ, thực hiện các dịch vụ công Tuy nhiên, trong sự phát triển mạnh
mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề đảmbảo an toàn, an ninh thông tin cũng trở thành một trong những thách thức lớn.Một trong những nguy cơ tác động đến việc đảm bảo an toàn thông tin trongnhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn công từ chốidịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hoặc gây rối loạnhoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số
Hình 1.1.1.1.1 Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ (hay còn gọi là DoS - Denial of Service) là mộttrong những thủ đoạn nhằm ngăn cản những người dùng hợp pháp khả năng truycập và sử dụng vào một dịch vụ nào đó DoS có thể làm ngưng hoạt động củamột máy tính, một mạng nội bộ thậm chí cả một hệ thống mạng rất lớn Về bảnchất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyênmạng như băng thông, bộ nhớ và làm mất khả năng xử lý các yêu cầu dịch vụ
từ các khách hàng khác Tấn công DoS nói chung không nguy hiểm như cáckiểu tấn công khác, vì kẻ tấn công ít có khả năng thâm nhập hay chiếm đượcthông tin dữ liệu của hệ thống Tuy nhiên, nếu máy chủ tồn tại mà không thểcung cấp thông tin, dịch vụ cho người sử dụng thì sự tồn tại này là không có ýnghĩa, đặc biệt là các hệ thống phục vụ các giao dịch điện tử thì thiệt hại là vôcùng lớn Đối với hệ thống máy chủ được bảo mật tốt, khó thâm nhập, việc tấncông từ chối dịch vụ DoS được các hacker sử dụng như là “cú chót” để triệt hạ
hệ thống đó
Trang 6Tất cả các hệ thống máy tính đều chỉ có một giới hạn nhất định nên nó chỉ
có thể đáp ứng một yêu cầu dịch vụ giới hạn nào đó mà thôi Như vậy, hầu hếtcác máy chủ đều có thể trở thành mục tiêu tấn công của DoS Tùy cách thứcthực hiện mà DoS được biết dưới nhiều tên gọi khác nhau; tuy nhiên, phổ biến,nguy hiểm nhất có thể kể đến một số dạng sau:
Tấn công từ chối dịch vụ cổ điển DoS
Tấn công từ chối dịch vụ cổ điển DoS là một phương pháp tấn công từ chốidịch vụ xuất hiện đầu tiên với các kiểu tấn công như Smurf Attack, Tear Drop,SYN Attack… Các kiểu tấn công này thường được áp dụng đối với đối tượngtấn công là hệ thống máy chủ bảo mật kém, băng thông (bandwidth) yếu, thậmchí trong nhiều trường hợp, đối tượng tin tặc có thể sử dụng đường truyền có tốc
độ vừa phải cũng có thể thực hiện thành công các kiểu tấn công này
Trong tấn công từ chối dịch vụ, kẻ tấn công cố gắng ngăn cản người dùngtruy cập thông tin hoặc dịch vụ Bằng cách nhằm vào các máy tính và sử dụngmạng máy tính mà bạn đang dùng, kẻ tấn công có thể ngăn cản truy cập email,website, tài khoản trực tuyến (ví dụ như ngân hàng) và các dịch vụ khác
Một kiểu Dos rõ ràng và phổ biến nhất là một kẻ tấn công “làm lụt” mạngbằng thông tin Khi bạn nhập vào URL của một website vào trình duyệt, lúc đóbạn đang gửi một yêu cầu đến máy chủ của trang này để xem Máy chủ chỉ cóthể xử lý một số yêu cầu vì vậy nếu một kẻ tấn công làm quá tải máy chủ vớinhiều yêu cầu thì có thể yêu cầu của bạn không được xử lý Đây là kiểu “từ chốidịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó
Kẻ tấn công có thể sử dụng thư rác để thực hiện các tấn công tương tự trêntài khoản email của bạn Dù bạn có một tài khoản email được cung cấp bởi nhânviên của bạn hay có sẵn qua một dịch vụ miễn phí như Yahoo hay Hotmail thìvẫn bị giới hạn số lượng dữ liệu trong tài khoản Bằng cách gửi nhiều email đếntài khoản của bạn, kẻ tấn công có thể tiêu thụ hết phần nhận mail và ngăn chặnbạn nhận được các mail khác
Tấn công từ chối dịch vụ phân tán DDoS
Tấn công từ chối dịch vụ phân tán DDoS, so với tấn công DoS cổ điển, sứcmạnh tăng gấp nhiều lần Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếmdụng băng thông (bandwidth) gây nghẽn mạch hệ thống, dẫn đến ngưng hoạtđộng hệ thống Để thực hiện DDoS, kẻ tấn công tìm cách chiếm dụng và điềukhiển nhiều máy tính/mạng máy tính trung gian được gọi là botnet (đóng vai trò
là zombie) từ nhiều nơi để đồng loạt gửi ào ạt các gói tin (packet) với số lượngrất lớn nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền của mộtmục tiêu xác định nào đó
Trang 7Hình 1.1.1.1.2 Tấn công từ chối dịch vụ phân tán(DDoS)
Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS
Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS lại là kiểu tấn côngmới nhất, mạnh nhất trong các kiểu tấn công DoS Trong suốt quá trình máy chủ
bị tấn công bằng DRDoS, không một máy khách nào có thể kết nối được vàomáy chủ đó Tất cả các dịch vụ chạy trên nền TCP/IP như DNS, HTTP, FTP,POP3 đều bị vô hiệu hóa Về cơ bản, DRDoS là sự phối hợp giữa hai kiểu DoS
và DDoS Nó có kiểu tấn công SYN với một máy tính đơn, vừa có sự kết hợpgiữa nhiều máy tính để chiếm dụng băng thông như kiểu DDoS Kẻ tấn côngthực hiện bằng cách giả mạo địa chỉ của máy chủ mục tiêu rồi gửi yêu cầu SYNđến các máy chủ lớn như Yahoo, Microsoft, Google để các máy chủ này gửicác gói tin SYN/ACK đến máy chủ mục tiêu Quá trình cứ lặp lại liên tục vớinhiều máy chủ lớn tham gia nên máy chủ mục tiêu nhanh chóng bị quá tải, băngthông (bandwitch) bị chiếm dụng bởi máy chủ lớn, dẫn đến máy chủ mục tiêukhông thể hoạt động bình thường
Các tấn công này phải được đồng bộ hoá một cách thủ công bởi nhiều kẻtấn công để tạo ra một sự phá huỷ có hiệu quả Sự dịch chuyển đến việc tự động
Trang 8hoá sự đồng bộ, kết hợp này và tạo ra một tấn công song song lớn trở nên phổbiến từ 1997, với sự ra đời của công cụ tấn công DDoS đầu tiên được công bốrộng rãi, Trinoo Nó dựa trên tấn công UDP Flood và các giao tiếp master-slave(khiến các máy trung gian tham gia vào trong cuộc tấn công bằng cách đặt lênchúng các chương trình được điều khiển từ xa) Trong những năm tiếp theo, vàicông cụ nữa được phổ biến – TFN (tribe Flood network), TFN2K, vafStacheldraht.
Tuy nhiên, chỉ từ cuối năm 1999 mới có những báo cáo về những tấn côngnhư vậy, và đề tài này được công chúng biết đến chỉ sau khi một cuộc tấn cônglớn vào các site công cộng tháng 2/2000 Trong thời gian 3 ngày, các siteYahoo.com, amazon.com, buy.com, cnn.com và eBay.com đã đặt dưới sự tấncông (ví dụ như Yahoo bị ping với tốc độ 1 GB/s) Người ta phát hiện rằngkhoảng 50 máy tính ở Stanford University và cả các máy tính ở University ofCalifornia at Santa Barbara nằm trong số các máy tính “zombie” gửi ping trongcác tấn công DoS này
Trong các tháng tiếp theo, các tấn công phổ biến khác được tổ chức chốnglại các site được sử dụng rộng rãi (thương mại và chính phủ):
Một nghiên cứu trong 3 tuần vào tháng 2/2001 cho thấy có khoảng 4000tấn công DoS mỗi tuần Hầu hết tấn công DoS không được công bố trên phươngtiện thông tin và cũng không bị truy tố
Tháng 5/2001, các hacker đã làm quá tải các router của Weather.com và củacông ty Web hosting của nó với các lưu thông giả Để chống lại cuộc tấn công,weather.com đã chuyển đến một router riêng và đã cài đặt phần mềm lọc để bảo
vệ các switch và server, cũng như phần mềm phát hiện xâm nhập để ghi lại tất cảcác hoạt động đang diễn ra Công ty này phải mất 7 giờ để đưa site hoạt động trởlại
5/2001 và 1/2002, Hai tấn công lớn vào website grc.com Các tấn công này
là duy nhất do các phân tích kỹ càng đã được thực hiện về chúng bởi SteveGibson, một trong những người chủ của site này Ông đã xuất bản hai bài báochi tiết, mô tả sự tiến hóa của các tấn công này, cách mà đội ngũ của ông phântích chúng và cách họ vượt qua chúng
4/2002, Hàng ngàn máy tính trên toàn thế giới đã làm ngập mọi website tintức gaming nổi tiếng với hàng trăm yêu cầu cho một file không xác định11081109.exe Tấn công đáng ngạc nhiên này đã làm down hầu hết các site tintức phổ biến, bao gồm Shacknews, Bluesnews, Gamespy và nhiều site khác.Ngay cả các site không phải gaming cũng bị ảnh hưởng, do hầu hết các điểmrouting lớn bị ngập hoặc shut down do lưu thông lớn
Vài tấn công này còn được thúc đẩy bởi động cơ chính trị - các ví dụ điểnhình có thể tìm thấy ở Trung Đông, những người ủng hộ Israel đã tiến hành mộttấn công DDoS lên site của Hezbollah vào 9/2000, ngược lại, những người ủng
hộ Palestin đã thành công trong việc làm “crashing” site của Bộ Ngoại giao
Trang 921/10/2016, Hacker vừa thực hiện vụ tấn công DDoS vào Dyn, công ty cóchức năng giúp người dùng kết nối tới các website, khiến người dùng không thểtruy cập các dịch vụ lớn như Twitter, Spotify và Airbnb.
1.3 Mục đích và động cơ tấn công DDoS
1.3.1 Mục đích tấn công DDoS
Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (Flood),khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác chongười dùng bình thường
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vàodịch vụ
Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cậpvào
Khi tấn công DoS xảy ra, người dùng có cảm giác khi truy cập vào dịch vụ
đó như bị:
+ Tắt mạng
+ Tổ chức không hoạt động
+ Tài chính bị mất
1.3.2 Động cơ tấn công DDoS
Động cơ của tin tặc tấn công DDoS khá đa dạng Tuy nhiên, có thể chia cácdạng tấn công DDoS dựa trên động cơ của tin tặc thành 5 loại chính:
Nhằm giành được các lợi ích tài chính, kinh tế: Tin tặc tấn công DDoSthuộc loại này thường có kỹ thuật tinh vi và nhiều kinh nghiệm tấn công vàchúng luôn là mối đe dọa thường trực đối với các công ty, tập đoàn lớn Các tấncông DDoS nhằm giành được các lợi ích tài chính là những tấn công nguy hiểm
và khó phòng chống nhất
Để trả thù: Tin tặc tấn công DDoS thuộc loại này thường là những cá nhânbất mãn và họ thực hiện tấn công để trả đũa những sự việc mà họ cho là bấtcông
Gây chiến tranh trên không gian mạng: Tin tặc tấn công DDoS thuộc loạinày thường thuộc về các tổ chức quân sự hoặc khủng bố của một nước thực hiệntấn công vào các hệ thống trọng yếu của một nước khác vì mục đích chính trị.Các đích tấn công thường gặp là các hệ thống mạng của các cơ quan chính phủ,các tổ chức tài chính ngân hàng, hệ thống cung cấp điện nước và các nhà cungcấp dịch vụ viễn thông Tin tặc loại này thường được đào tạo tốt và được sửdụng nguồn lực mạnh phục vụ tấn công trong thời gian dài Hậu quả của dạngtấn công này thường rất lớn, gây ngưng trệ nhiều dịch vụ và có thể gây thiệt hạilớn về kinh tế cho một quốc gia
Trang 10Do niềm tin ý thức hệ: Tin tặc tấn công DDoS thuộc loại này chiểm tỷtrọng lớn các cuộc tấn công DDoS và thường thực hiện tấn công do niềm tin ýthức hệ, bao gồm tấn công vì các mục đích chính trị, tôn giáo.
Để thử thách trí tuệ: Tin tặc tấn công DDoS thuộc loại này thường là nhữngngười trẻ tuổi thích thể hiện bản thân, thực hiện tấn công để thử nghiệm và họccách thực hiện các dạng tấn công khác nhau Loại tin tặc này đang tăng nhanhchóng do ngày nay có sẵn nhiều công cụ tấn công mạng rất dễ dùng và mộtngười nghiệp dư cũng có thể sử dụng để thực hiện thành công một tấn côngDDoS
1.4 Phân loại tấn công từ chối dịch vụ
1.4.1 Kiến trúc tấn công
Mặc dù có nhiều dạng tấn công DDoS được ghi nhận, nhưng tựu trung cóthể chia kiến trúc tấn công DDoS thành 2 loại chính:[1]
1.4.1.1 Kiến trúc tấn công DDoS trực tiếp:
1 Kiến trúc tấn công DDoS trực tiếp
Theo đó tin tặc (Attacker) trước hết thực hiện chiếm quyền điều khiển hàngngàn máy tính có kết nối Internet, biến các máy tính này thành các Zombie –những máy tính bị kiểm soát và điều khiển từ xa bởi tin tặc Tin tặc thường điềukhiển các Zombie thông qua các máy trung gian (Handler) Hệ thống cácZombie chịu sự điều khiển của tin tặc còn được gọi là mạng máy tính ma haybotnet Theo lệnh gửi từ tin tặc, các Zombie đồng loạt tạo và gửi các yêu cầutruy nhập giả mạo đến hệ thống nạn nhân (Victim), gây ngập lụt đường truyềnmạng hoặc làm cạn kiệt tài nguyên của máy chủ, dẫn đến ngắt quãng hoặcngừng dịch vụ cung cấp cho người dùng
1.4.1.2 Kiến trúc tấn công DDoS gián tiếp hay phản chiếu:
Tương tự như kiến trúc tấn công DDoS trực tiếp, tin tặc (Attacker) trướchết thực hiện chiếm quyền điều khiển một lượng rất lớn máy tính có kết nốiInternet, biến các máy tính này thành các Zombie, hay còn gọi la Slave Tin tặc
Trang 11tin tặc, các Slave đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo với địa chỉnguồn của các gói tin là địa chỉ của máy nạn nhân (Victim) đến đến một số lớncác máy khác (Reflectors) trên mạng Internet Các Reflectors gửi phản hồi(Reply) đến máy nạn nhân do địa chỉ của máy nạn nhân được đặt vào yêu cầugiả mạo Khi các Reflectors có số lượng lớn, số phản hồi sẽ rất lớn và gây ngậplụt đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn đếnngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng Các Reflectors bị lợidụng để tham gia tấn công thường là các hệ thống máy chủ có công suất lớn
1 Kiến trúc tấn công DDoS gián tiếp
1.4.2 Phân loại tấn công DDoS
Các cuộc tấn công DDoS thường được tin tặc thực hiện bằng cách huyđộng một số lượng rất lớn các máy tính có kết nối Internet bị chiếm quyền điềukhiển, tập hợp các máy này được gọi là mạng máy tính ma hay mạng bot, hoặcbotnet Các máy của botnet có khả năng gửi hàng ngàn yêu cầu giả mạo mỗigiây đến hệ thống nạn nhân, gây ảnh hưởng nghiêm trọng đến chất lượng dịch
vụ cung cấp cho người dùng Do các yêu cầu của tấn công DDoS được gửi rảirác từ nhiều máy ở nhiều vị trí địa lý nên rất khó phân biệt với các yêu cầu củangười dùng hợp pháp Một trong các khâu cần thiết trong việc đề ra các biệnpháp phòng chống tấn công DDoS hiệu quả là phân loại các dạng tấn côngDDoS và từ đó có biện pháp phòng chống thích hợp Một cách khái quát, tấncông DDoS có thể được phân loại dựa trên 6 tiêu chí chính:
Trang 121.4.2.1 Dựa trên phương pháp tấn công,
Dựa trên mức độ tự động,
Dựa trên giao thức mạng,
Dựa trên phương thức giao tiếp,
Dựa trên cường độ tấn công
Dựa trên việc khai thác các lỗ hổng an ninh
1.4.2.2 Dựa trên phương pháp tấn công
Phân loại DDoS dựa trên phương pháp tấn công là một trong phương phápphân loại cơ bản nhất Theo tiêu chí này, DDoS có thể được chia thành 2 dạng:Tấn công gây ngập lụt (Flooding attacks): Trong tấn công gây ngập lụt, tintặc tạo một lượng lớn các gói tin tấn công giống như các gói tin hợp lệ và gửiđến hệ thống nạn nhân làm cho hệ thống không thể phục vụ người dùng hợppháp Đối tượng của tấn công dạng này là băng thông mạng, không gian đĩa,thời gian của CPU,…
Tấn công logic (Logical attacks): Tấn công logic thường khai thác các tínhnăng hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống nạnnhân, nhằm làm cạn kiệt tài nguyên hệ thống Ví dụ tấn công TCP SYN khaithác quá trình bắt tay 3 bước trong khởi tạo kết nối TCP, trong đó mỗi yêu cầukết nối được cấp một phần không gian trong bảng lưu yêu cầu kết nối trong khichờ xác nhận kết nối Tin tặc có thể gửi một lượng lớn yêu cầu kết nối giả mạo,các kết nối không thể thực hiện, chiếm đầy không gian bảng kết nối và hệ thốngnạn nhân không thể tiếp nhận yêu cầu kết nối của người dùng hợp pháp
1.4.2.3 Dựa trên mức độ tự động
Theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng:
Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống tìm lỗ hổng, độtnhập vào hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công Chỉ nhữngtấn công DDoS trong giai đoạn đầu mới được thực hiện thủ công
Tấn công bán tự động: Trong dạng này, mạng lưới thực hiện tấn côngDDoS bao gồm các máy điều khiển (master/handler) và các máy agent (slave,deamon, zombie, bot) Các giai đoạn tuyển chọn máy agent, khai thác lỗ hổng vàlây nhiễm được thực hiện tự động Trong đoạn tấn công, tin tặc gửi các thông tinbao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian duy trì tấn công vàđích tấn công đến các agent thông qua các handler Các agent sẽ theo lệnh gửicác gói tin tấn công đến hệ thống nạn nhân
Tấn công tự động: Tất cả các giai đoạn trong quá trình tấn công DDoS, từtuyển chọn máy agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đềuđược thực hiện tự động Tất cả các tham số tấn công đều được lập trình sẵn vàđưa vào mã tấn công Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin tặc
Trang 13và mạng lưới tấn công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các máyagent.
1.4.2.4 Dựa trên giao thức mạng
Dựa trên giao thức mạng, tấn công DDoS có thể chia thành 2 dạng:
Tấn công vào tầng mạng hoặc giao vận: Ở dạng này, các gói tin TCP, UDP
và ICMP được sử dụng để thực hiện tấn công
Tấn công vào tầng ứng dụng: Ở dạng này, các tấn công thường hướng đếncác dịch vụ thông dụng ứng với các giao thức tầng ứng dụng như HTTP, DNS vàSMTP Tấn công DdoS tầng ứng dụng cũng có thể gây ngập lụt đường truyền vàtiêu hao tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch vụ chongười dùng hợp pháp Dạng tấn công này rất khó phát hiện do các yêu cầu tấncông tương tự yêu cầu từ người dùng hợp pháp
1.4.2.5 Dựa trên phương thức giao tiếp
Thông thường, để thực hiện tấn công DDoS, tin tặc phải tuyển chọn vàchiếm quyền điều khiển một số lượng lớn các máy tính có kết nối Internet, vàcác máy tính này sau khi bị cài phần mềm agent trở thành các bots - công cụgiúp tin tặc thực hiện tấn công DDoS Tin tặc thông qua các máy điều khiển(master) giao tiếp với các bots để gửi thông tin và các lệnh điều khiển tấn công.Theo phương thức giao tiếp giữa các master và bots, có thể chia tấn công DDoSthành 4 dạng:
DDoS dựa trên agent-handler: Tấn công DDoS dựa trên dạng này bao gồmcác thành phần: clients, handlers và agents (bots/zombies) Tin tặc chỉ giao tiếptrực tiếp với clients Clients sẽ giao tiếp với agents thông qua handlers Nhậnđược lệnh và các thông tin thực hiện tấn công, agents trực tiếp thực hiện việc tấncông
DDoS dựa trên IRC: Internet Relay Chat (IRC) là một hệ thống truyềnthông điệp trực tuyến cho phép nhiều người dùng tạo kết nối và trao đổi cácthông điệp theo thời gian thực Trong dạng tấn công DDoS này tin tặc sử dụngIRC làm kênh giao tiếp với các agents, không sử dụng handlers
DDoS dựa trên web: Trong dạng tấn công này, tin tặc sử dụng các trangweb làm phương tiện giao tiếp qua kênh HTTP thay cho kênh IRC Các trangweb của tin tặc được sử dụng làm trung tâm điều khiển và lây nhiễm các phầnmềm độc hại, các công cụ khai thác các lỗ hổng an ninh, cài đặt các agentschiếm quyền điều khiển hệ thống máy tính và biến chúng thành các bots Cácbots có thể được xác lập cấu hình hoạt động từ đầu, hoặc chúng có thể gửi cácthông điệp đến trang web điều khiển thông qua các giao thức web phổ biến nhưHTTP và HTTPS
DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer –một giao thức ở tầng ứng dụng làm kênh giao tiếp Bản chất của các mạng P2P
là phân tán nên rất khó để phát hiện các bots giao tiếp với nhau thông qua kênhnày
Trang 141.4.2.6 Dựa trên cường độ tấn công
Dựa trên cường độ hoặc tần suất gửi yêu cầu tấn công, có thể phân loại tấncông DDOS thành 5 dạng:
Tấn công cường độ cao: Là dạng tấn công gây ngắt quãng dịch vụ bằngcách gửi cùng một thời điểm một lượng rất lớn các yêu cầu từ các máyagents/zombies nằm phân tán trên mạng
Tấn công cường độ thấp: Các agents/zombies được phối hợp sử dụng đểgửi một lượng lớn các yêu cầu giả mạo, nhưng với tần suất thấp, làm suy giảmdần dần hiệu năng mạng Dạng tấn công này rất khó bị phát hiện do lưu lươngtấn công tương tự như lưu lượng đến từ người dùng hợp pháp
Tấn công cường độ hỗn hợp: Là dạng kết hợp giữa tấn công cường độ cao
và tấn công cường độ thấp Đây là dạng tấn công phức hợp, trong đó tin tặcthường sử dụng các công cụ để sinh các gói tin tấn công gửi với tần suất cao vàthấp
Tấn công cường độ liên tục: Là dạng tấn công được thực hiện liên tục vớicường độ tối đa trong suốt khoảng thời gian từ khi bắt đầu đến khi kết thúc.Tấn công cường độ thay đổi: Đây là dạng tấn công có cường độ thay đổiđộng nhằm tránh bị phát hiện và đáp trả
1.4.2.7 Dựa trên các lỗ hổng an ninh
Dựa trên việc khai thác các điểm yếu và lỗ hổng an ninh, tấn công DDoS
có thể được phân loại thành 2 dạng:
Tấn công gây cạn kiệt băng thông: Các tấn công DDoS dạng này được thiết
kế để gây ngập lụt hệ thống mạng của nạn nhân bằng các yêu cầu truy nhập giảmạo, làm người dùng hợp pháp không thể truy nhập dịch vụ Tấn công dạng nàythường gây tắc nghẽn đường truyền bằng lượng yêu cầu giả mạo rất lớn gửi bởicác máy tính ma (zombie) của các botnets Dạng tấn công này cũng còn đượcgọi là tấn công gây ngập lụt hoặc tấn công khuếch đại
Tấn công gây cạn kiệt tài nguyên: Các tấn công DDoS dạng này được thiết
kế để tiêu dùng hết các tài nguyên trên hệ thống nạn nhân, làm cho nó không thểphục vụ các yêu cầu củangười dùng hợp pháp Dạng tấn công DDoS này có thểđược chia nhỏ thành 2 dạng:
+ Tấn công khai thác tính năng hoặc lỗi cài đặt của các giao thức: Tin tặckhai thác các lỗi hoặc các tính năng đặc biệt của các giao thức trên hệ thống nạnnhân để gây cạn kiệt tài nguyên
+ Tấn công sử dụng các gói tin được tạo đặc biệt: Kẻ tấn công tạo ra cácgói tin đặc biệt, như các gói sai định dạng, gói có khiếm khuyết, gửi đến hệthống nạn nhân Hệ thống nạn nhân có thể bị trục trặc khi cố gắng xử lý các góitin dạng này Ví dụ, trong tấn công Ping of Death, tin tặc gửi các gói tin ICMP
có kích thước lớn hơn 64KB gây lỗi các máy chạy hệ điều hành Windows XP
Trang 151.5 Nhận biết đang bị tấn công từ chối dịch vụ
Không phải sự sập đổ hoàn toàn nào của dịch vụ cũng là kết quả của mộttấn công từ chối dịch vụ Có nhiều vấn đề kỹ thuật với một mạng hoặc với cácquản trị viên đang thực hiện việc bảo trì và quản lý Mặc dù thế nhưng với cáctriệu chứng dưới đây bạn có thể nhận ra tấn công DoS hoặc DDoS:
- Thực thi mạng chậm một cách không bình thường (mở file hay truy cập website)
- Không vào được website bạn vẫn xem
- Không thể truy cập đến bất kỳ một website nào
- Số lượng thư rác tăng một cách đột biến trong tài khoản của bạn
1.6 Kỹ thuật tấn công DDoS
1.6.1 Tấn công băng thông
Tấn công băng thông nhằm làm tràn ngập mạng mục tiêu với những traffickhông cần thiết, với mục địch làm giảm tối thiểu khả năng của các traffic hợp lệđến được hệ thống cung cấp dịch vụ của mục tiêu.[2]
Có hai loại BandWith Depletion Attack:
- Flood Attack: Điều khiển các Agent gởi một lượng lớn traffic đến hệthống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông
- Amplification Attack: Điều khiển các Agent hay client tự gửi message đếnmột địa chỉ IP Broadcast, làm cho tất cả các máy trong Subnet này gửi messageđến hệ thống dịch vụ của mục tiêu Phương pháp này làm gia tăng traffic khôngcần thiết, làm suy giảm băng thông của mục tiêu
1.6.2 Tấn công tràn ngập yêu cầu dịch vụ
Một kẻ tấn công hoặc nhóm zombie cố gắng làm cạn kiệt tài nguyên máychủ bằng cách thiết lập và phá hủy các kết nối TCP Nó bắt đầu gửi yêu cầu trêntất cả kết nối và nguồn gốc từ server kết nối tốc độ cao
1.6.3 Tấn công tràn ngập SYN
Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sửdụng phương thức bắt tay giữa bên gởi và bên nhận trước khi truyền dữ liệu.Bước đầu tiên, bên gửi gởi một SYN REQUEST packet (Synchronize) Bênnhận nếu nhận được SYN REQUEST sẽ trả lời bằng SYN/ACK REPLY packet.Bước cuối cùng, bên gửi sẽ truyền packet cuối cùng ACK và bắt đầu truyền dữliệu
Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLYnhưng không nhận được ACK packet cuối cùng sau một khoảng thời gian quyđịnh thì nó sẽ resend lại SYN/ACK REPLY cho đến hết thời gian timeout Toàn
bộ tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACKpacket cuối cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout
Nắm được điểm yếu này, attacker gởi một SYN packet đến nạn nhân vớiđịa chỉ bên gởi là giả mạo, kết quả là nạn nhân gởi SYN/ACK REPLY đến một
Trang 16địa chỉ khác và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hếtthời gian timeout nạn nhân mới nhận ra được điều này và giải phóng các tàinguyên hệ thống Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượngnhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài nguyên.
1 Tấn công tràn ngập SYN
1.6.4 Tấn công tràn ngập ICMP
Kiểu tấn công ICMP là thủ phạm gửi số lượng lớn của gói tin giả mạo địachỉ nguồn tới server đích để phá hủy nó và gây ra ngừng đáp ứng yêu cầuTCP/IP
Sau khi đến ngưỡng ICMP đạt đến, các router từ chối yêu cầu phản hồiICMP từ tất cả địa chỉ trên cùng vùng an toàn cho phần còn lại
1 Tấn công tràn ngập ICMP
Trang 171.6.5 Tấn công điểm nối điểm
Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hìnhđiểm nối điểm chia sẻ file trung tâm gây ngắt kết nối từ mạng của họ và kết nốitới website giả mạo của victim
Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kết nối trực tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức.Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hạiwebsite
1.6.6 Tấn công cố định DoS
Tấn công cố định DoS hay PDoS còn được gọi như phlashing, là một cuộctấn công gây tổn thương một hệ thống nhiều đến nổi nó đòi hỏi phải thay thếhoặc cài đặt lại phần cứng, Không giống như các cuộc tấn công DDoS, PDoSmột cuộc tấn công khai thác lỗ hổng bảo mật cho phép quản trị từ xa trên cácgiao diện quản lý phần cứng của nạn nhân, chẳng hạn như router, máy in, hoặcphần cứng mạng khác
Tấn công thực hiện dùng phương pháp như "xây dựng hệ thống” Dùngphương pháp này, kẻ tấn công gửi cập nhập phần cứng lừa đảo tới victim
1.6.7 Tấn công tràn ngập ở cấp độ dịch vụ
Tấn công làm tràn ở cấp độ ứng dụng là kết quả mất dịch vụ của mạng đặcbiệt như là: email, tài nguyên mạng, tạm thời ngừng ứng dụng và dịch vụ Dùng kiểu tấn công này, kẻ tấn công phá hủy mã nguồn chương trình và file làmảnh hưởng tới hệ thống máy tính
Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:
Tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ
Ngắt dịch vụ cụ thể của hệ thống hoặc con người
Làm tắc nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ côngnguy hiểm SQL
1.7 Mô hình mạng botnet
1.7.1 Khái niệm mạng Botnet
Botnet là từ chỉ một tập hợp các rô bôt phần mềm hoặc các con bot hoạtđộng một cách tự chủ Từ này còn được dùng để chỉ một mạng các máy tính sửdụng phần mềm tính toán phân tán
1.7.2 Hoạt động
Tuy từ "botnet" có thể dùng để chỉ một nhóm bot bất kỳ, chẳng hạn IRCbot, từ này thường được dùng để chỉ một tập hợp các máy tính đã bị tấn công vàthỏa hiệp và đang chạy các chương trình độc hại, thường là sâu máy tính, trojanhorse hay backdoor, dưới cùng một hạ tầng cơ sở lệnh và điều khiển Mộtchương trình chỉ huy botnet có thể điều khiển cả nhóm bot từ xa, thường là qua
Trang 18một phương tiện chẳng hạn như IRC, và thường là nhằm các mục đích bất chính.Mỗi con bot thường chạy ẩn và tuân theo chuẩn RFC 1459 (IRC) Thôngthường, kẻ tạo botnet trước đó đã thỏa hiệp một loạt hệ thống bằng nhiều công
cụ đa dạng (tràn bộ nhớ đệm ) Các bot mới hơn có thể tự động quét môitrường của chúng và tự lan truyền bản thân bằng cách sử dụng các lỗ hổng anninh và mật khẩu yếu Nếu một con bot có thể quét và tự lan truyền qua càngnhiều lỗ hổng an ninh, thì nó càng trở nên giá trị đối với một cộng đồng điềukhiển botnet
1 Hoạt động Botnet
Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngàycàng ẩn kĩ Do đa số các mạng IRC truyền thống thực hiện các biện pháp cấmtruy nhập đối với các botnet đã từng ngụ tại đó, những người điều khiển botnetphải tự tìm các server cho mình Một botnet thường bao gồm nhiều kết nối,chẳng hạn quay số, ADSL và cáp, và nhiều loại mạng máy tính, chẳng hạn mạnggiáo dục, công ty, chính phủ và thậm chí quân sự Đôi khi, một người điều khiểngiấu một cài đặt IRC server trên một site công ty hoặc giáo dục, nơi các đườngkết nối tốc độ cao có thể hỗ trợ một số lớn các bot khác Chỉ đến gần đây,phương pháp sử dụng bot để chỉ huy các bot khác mới phát triển mạnh, do đa sốhacker không chuyên không đủ kiến thức để sử dụng phương pháp này
1.7.3 Tổ chức mạng Botnet
Các server botnet thường liên kết với nhau, sao cho một nhóm có thể chứa
từ 20 máy riêng biệt tốc độ cao đã bị phá hoại, các máy này nối với nhau với vaitrò các server nhằm mục tiêu tạo môi trường dư thừa lớn hơn Các cộng đồngbotnet thực tế thường bao gồm một hoặc nhiều người điều khiển - những người
tự coi là có quyền truy nhập hợp lệ tới một nhóm bot Những điều khiển viênnày hiếm khi có các hệ thống chỉ huy phân cấp phức tạp trong họ; họ dựa vàocác quan hệ thân hữu cá nhân Mâu thuẫn thường xảy ra giữa những điều khiểnviên về chuyện ai có quyền đối với máy nào, và những loại hành động nào làđược phép hay không được phép làm
Trang 191.7.4 Xây dựng và khai thác
Ví dụ này minh họa cách thức một botnet được tạo và dùng để gửi thư rác(spam)
1 Cách thức một Botnet được tạo và spam
Một điều phối viên botnet phát tán virus hoặc sâu máy tính, làm nhiễm cácmáy tính cá nhân chạy Windows của những người dùng bình thường, dữ liệu củavirus hay sâu đó là một ứng dụng trojan - con bot
Tại máy tính bị nhiễm, con bot đăng nhập vào một server IRC nào đó (hay
là một web server) Server đó được coi là command – and – control server(C&C)
Một người phát tán spam mua quyền truy nhập botnet từ điều phối viên
- Người phát tán spam gửi các lệnh qua IRC server tới các máy tính bịnhiễm, làm cho các máy tính này gửi các thông điệp rác tới các máy chủ thưđiện tử
Các botnet được khai thác với nhiều mục đích khác nhau, trong đó có cáctấn công từ chối dịch vụ, tạo và lạm dụng việc gửi thư điện tử để phát tán thư rác(xem Spambot), click fraud, và ăn trộm các số serial của ứng dụng, tên đăngnhập, và các thông tin tài chính quan trọng chẳng hạn như số thẻ tín dụng Cộngđồng điều khiển botnet luôn có một cuộc đấu tranh liên tục về việc ai có đượcnhiều bot nhất, nhiều băng thông nhất, và số lượng lớn nhất các máy tính "chấtlượng cao" bị nhiễm, chẳng hạn như máy tính tại trường đại học, các công ty,hay thậm chí cả trong các cơ quan chính phủ
1.8 Giải pháp phòng chống tấn công DDoS
Tấn công từ chối dịch vụ (DoS) là các cuộc tấn công trên hệ thống mạngnhằm ngăn cản những truy xuất tới một dịch vụ Tấn công DoS phá hủy dịch vụmạng bằng cách làm tràn ngập số lượng kết nối, quá tải server hoặc chươngtrình chạy trên server, tiêu tốn tài nguyên của server, hoặc ngăn chặn người dùnghợp lệ truy nhập tới dịch vụ mạng.[2]
Có rất nhiều các phương cách để thực hiện các cuộc tấn công từ chối dịch
vụ, vì thế cũng có rất nhiều cách phân loại DoS Cách phân loại phổ biến thườngdùng dựa vào giao thức trong hình thức tấn công của DoS, ví dụ như tràn ngập
Trang 20ICMP với Smurf, Ping of Death, khai thác điểm yếu của TCP trong hoạt độngcủa giao thức và phân mảnh gói tin với SYN Flood, LanD attacks, TearDrop haytrên mức dịch vụ như với Flash Crowds (ở Việt Nam thường biết đến với tên X-flash)
Phân loại theo phương thức tấn công, DoS có thể được thực hiện bằng mộtvài gói tin đơn lẻ gửi thẳng tới server gây rối loạn hoạt động (như slammerworm), hoặc kích hoạt để gửi từ nhiều nguồn (từ chối dịch vụ phân tán – DdoS).Tấn công có thể thực hiện trên mạng Internet (sử dụng ngay các web server),hoặc broadcast trong mạng bên trong (insider attacks – như với Blaster worm),trên mạng P2P (P2P index poinsioning) hay Wireless (WLAN authenticationrejection attack-spoof sender) Tuy nhiên, có thể thấy các cách phân loại trêndựa chủ yếu vào cách nhìn từ sự phát sinh tấn công, và vì thế, không hệ thốnghóa được phương thức phòng tránh
Một cách chung nhất, có 7 phạm trù các tổ chức cần xem xét khi đối phóvới các mối đe dọa về DoS như sau:
1.8.1 Phòng ngừa các điểm yếu của ứng dụng mạng.
Các điểm yếu trong tầng ứng dụng có thể bị khai thác gây lỗi tràn bộ đệmdẫn đến dịch vụ bị chấm đứt Lỗi chủ yếu được tìm thấy trên các ứng dụng mạngnội bộ của Windows, trên các chương trình webserver, DNS, hay SQL database.Cập nhật bản vá (patching) là một trong những yêu cầu quan trọng cho việcphòng ngừa Trong thời gian chưa thể cập nhật toàn bộ mạng, hệ thống phảiđược bảo vệ bằng bản vá ảo (virtual patch) Ngoài ra, hệ thống cần đặc biệt xemxét những yêu cầu trao đổi nội dung giữa client và server, nhằm tránh cho serverchịu tấn công qua các thành phần gián tiếp (ví dụ SQL injection)
1.8.2 Phòng ngừa việc tuyển mộ Zoombie.
Zombie là các đối tượng được lợi dụng trở thành thành phần phát sinh tấncông Một số trường hợp điển hình như thông qua rootkit (Sony hay Symantec),hay các thành phần hoạt động đính kèm trong mail, hoặc trang web, ví dụ như
sử dụng các file jpeg khai thác lỗi của phần mềm xử lý ảnh, các đoạn mã đínhkèm theo file flash, hoặc trojan cài đặt theo phishing, hay thông qua việc lây lanworm (Netsky, MyDoom, Sophos) Để phòng chống, hệ thống mạng cần cónhững công cụ theo dõi và lọc bỏ nội dung (content filtering) nhằm ngăn ngừaviệc tuyển mộ zombie của hacker
1.8.3 Ngăn ngừa kênh phát động tấn công sử dụng công cụ.
Có rất nhiều các công cụ tự động tấn công DoS, chủ yếu là tấn công phântán DDoS như TFN, TFN2000 (Tribe Flood Network) tấn công dựa trên nguyên
lý Smurf, UDP, SYN, hay ICMP; Trinoo cho UDP Flood; Stacheldraht cho TCPACK, TCP NULL, HAVOC, DNS Flood, hoặc tràn ngập TCP với packetsheaders ngẫu nhiên Các công cụ này có đặc điểm cần phải có các kênh phátđộng để zombie thực hiện tấn công tới một đích cụ thể Hệ thống cần phải có sựgiám sát và ngăn ngừa các kênh phát động đó
Trang 211.8.4 Ngăn chặn tấn công trên băng thông.
Khi một cuộc tấn công DdoS được phát động, nó thường được phát hiệndựa trên sự thay đổi đáng kể trong thành phần của lưu lượng hệ thống mạng Ví
dụ một hệ thống mạng điển hình có thể có 80% TCP và 20% UDP và ICMP.Thống kê này nếu có thay đổi rõ rệt có thể là dấu hiệu của một cuộc tấn công.Slammer worm sẽ làm tăng lưu lượng UDP, trong khi Welchi worm sẽ tạo raICMP Flood Việc phân tán lưu lượng gây ra bởi các worm đó gây tác hại lênrouter, firewall, hoặc cơ sở hạ tầng mạng Hệ thống cần có những công cụ giámsát và điều phối băng thông nhằm giảm thiểu tác hại của tấn công dạng này
1.8.5 Ngăn chặn tấn công trên SYN.
SYN Flood là một trong những tấn công cổ nhất còn tồn tại được đến hiệntại, dù tác hại của nó không giảm Điểm căn bản để phòng ngừa việc tấn côngnày là khả năng kiểm soát được số lượng yêu cầu SYN-ACK tới hệ thống mạng
1.8.6 Phát hiện và ngăn chặn tấn công tới hạn số kết nối.
Bản thân các server có một số lượng tới hạn đáp ứng các kết nối tới nó.Ngay bản thân firewall (đặc biệt với các firewall có tính năng statefulinspection), các kết nối luôn được gắn liền với bảng trạng thái có giới hạn dunglượng Đa phần các cuộc tấn công đều sinh số lượng kết nối ảo thông qua việcgiả mạo Để phòng ngừa tấn công dạng này, hệ thống cần phân tích và chốngđược spoofing Giới hạn số lượng kết nối từ một nguồn cụ thể tới server(Quota)
1.8.7 Phát hiện và ngăn chặn tấn công tới hạn tốc độ thiết lập kết nối.
Một trong những điểm các server thường bị lợi dụng là khả năng các bộđệm giới hạn giành cho tốc độ thiết lập kết nối, dẫn đến quá tải khi phải chịu sựthay đổi đột ngột về số lượng sinh kết nối Ở đây việc áp dụng bộ lọc để giớihạn số lượng kết nối trung bình rất quan trọng Một bộ lọc sẽ xác định ngưỡngtốc độ kết nối cho từng đối tượng mạng Thông thường, việc này được bằng sốlượng kết nối trong thời gian nhất định để cho phép sự dao động trong lưulượng
1.9 Một số công cụ tấn công DoS điển hình
1.9.1 Tools DoS: Jolt2
Công cụ Jolt2 cho phép kẻ tấn từ chối dịch vụ (DoS) lên các hệ thống trênnền tảng Windows
Nó là nguyên nhân khiến máy chủ bị tấn công có CPU luôn hoạt động ởmức độ 100%, CPU không thể xử lý các dịch vụ khác Không phải trên nền tảngWindows như Cisco Router và một số loại Router khác cũng có thể bị lỗ hổngbảo mật này và bị tools này tấn công
Trang 221 Tools DoS: Bubonic.c
Trang 231.9.4 Tool DoS: Panther2
1 Công cụ Panther2
Tấn công từ chối dịch vụ dựa trên nền tảng UDP Attack được thiết kế dànhriêng cho kết nối 28.8 – 56 Kbps Nó có khả năng chiếm toàn bộ băng thông củakết nối này
Nó có khả năng chiếm băng thông mạng bằng nhiều phương pháp ví nhưthực hiện quá trình Ping cực nhanh và có thể gây ra tấn công DoS
1.9.5 Tool DoS: Crazy Pinger
Công cụ này có khả năng gửi những gói ICPM lớn tới một hệ thống mạng
từ xa
Trang 241 Công cụ Crazy Pinger
1.9.6 Tools DoS: FSMAX
Kiểm tra hiệu năng đáp ứng của máy chủ Nó tạo ra một file sau đó chạytrên Server nhiều lần lặp đi lặp lại một lúc
Tác dụng của tools này là tìm cách tấn công làm chàn bộ nhớ đệm và tấncông DoS tới máy chủ
1 Công cụ FSMAX
Trang 251.10 Một số công cụ tấn công DDoS điển hình.
1.10.1 LOIC
LOIC là ứng dụng tấn công từ chối dịch vụ, được viết bằng C# LOIC thựchiện tấn công từ chối dịch vụ tấn công (hoặc khi được sử dụng bởi nhiều cánhân, một cuộc tấn công DDoS) trên một trang web mục tiêu làm lũ lụt các máychủ với các gói tin TCP hoặc UDP với ý định làm gián đoạn dịch vụ của mộtmáy chủ cụ thể Công cụ LOIC là một botnet tình nguyện kết nối đến một máychủ từ xa mà chỉ đạo các cuộc tấn công Hiện nay, có 40.000 người kết nối vớibotnet
1 Công cụ LOIC
Hình 1.10.1.1.1 Dùng LOIC tấn công DDoS
1.10.2 DoSHTTP
DoSHTTP là một phần mềm sử dụng dễ dàng, mạnh mẽ để tấn công trànngập HTTP nhằm mục địch kiểm thử trên Windows DoSHTTP bao gồm xácnhận URL, chuyển hướng HTTP và giám sát hiệu suất Công cụ DoSHTTP có
