Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp.. Máy tính của bạn sẽ trở thành 1 phần của
Trang 1MỤC LỤC
1 KHÁI NIỆM CƠ BẢN 2
a Tấn công từ chối dịch vụ 2
b Tấn công từ chối dịch vụ phân tán 2
c Phân biệt tấn công DoS và tấn công DDoS 3
2 KỸ THUẬT TẤN CÔNG DOS 3
a Dấu hiệu khi bị tấn công DoS 3
b Các mục đích của tấn công DoS 4
c Lịch sử tấn công DoS 4
d Các kỹ thuật tấn công DoS 5
3 KỸ THUẬT TẤN CÔNG DDOS 8
a Giới thiệu về kỹ thuật tấn công DDoS 8
b Các đặc điểm của kỹ thuật tấn công DDoS 9
c Phân loại DDoS 9
d Các công cụ DDoS phổ biến hiện nay: 13
4 CÁCH PHÒNG NGỪA TẤN CÔNG DOS VÀ DDOS: 14
a Cách phòng ngừa cơ bản 14
b Phòng ngừa tấn công DDoS 14
Tài liệu tham khảo 17
Trang 21 KHÁI NIỆM CƠ BẢN
a T ấn công từ chối dịch vụ
DoS (Denial of Service) - tấn công từ chối dịch vụ là hình thức tấn công với mục đích làm gián đoạn dịch vụ của một trang web hoặc một hệ thống bằng nhiều phương thức khác nhau Kẻ tấn
công bằng một cách nào đó sẽ cố gắng ngăn cản không cho người dùng truy xuất thông tin, tài nguyên từ một dịch vụ hay một trang web nào bằng cách làm cho hệ thống gián đoạn, quá tải hoặc chậm đi
Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người dùng bình thường đó là tấn
công Denial of Service (DoS).
Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp Như định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhất của hệ thống để tấn công, những mục đích của tấn công DoS
Nạn nhân có thể là một máy chủ mạng, máy khách hoặc bộ định tuyến, một liên kết mạng hoặc mạng tổng thể, một người dùng Internet cá nhân hoặc một công ty kinh doanh sử dụng Internet, dịch vụ Internet, nhà cung cấp dịch vụ (ISP), quốc gia, hoặc bất kỳ sự kết hợp hoặc biến thể nào trong số này
b T ấn công từ chối dịch vụ phân tán
DDOS (Distributed Denial of Service) - Tấn công từ chối dịch vụ phân tán - là một hình thức
tấn công DOS phổ biến do mức độ và phạm vi ảnh hưởng rộng Bằng một cách nào đó, hacker sẽ chiếm được quyền điều khiển toàn bộ hệ thống của bạn để trở thành 1 phần trong hệ thống công
cụ tấn công Máy tính của bạn sẽ trở thành 1 phần của BOTNET (mạng máy tính ma) để thực hiện tấn công vào các dịch vụ như dịch vụ ngân hàng, gửi email rác, tấn công làm tràn bộ nhớ máy chủ…
Do sử dụng nhiều máy tính cùng lúc, vì vậy đây được gọi là hình thức tấn công từ chối dịch vụ phân tán
Trang 3c Phân bi ệt tấn công DoS và tấn công DDoS
Trong cuộc tấn công DoS, một máy tính hoặc một kết nối Internet được sử dụng làm ngập lụt máy chủ với các gói tin, với mục đích làm quá tải băng thông và tài nguyên máy chủ
Tấn công DDoS, sử dụng rất nhiều thiết bị và kết nối Internet, thường phân tán toàn cầu với hệ thống botnet Do đó tấn công DDoS thường khó đối phó hơn, nạn nhân sẽ bị tấn công bởi request
từ hàng trăm đến hàng ngàn nguồn khác nhau
2 KỸ THUẬT TẤN CÔNG DOS
a D ấu hiệu khi bị tấn công DoS
US-CERT xác định dấu hiệu của một vụ tấn cống từ chối dịch vụ gồm có:
Mạng thực thi chậm khác thường khi mở tập tin hay truy cập Website mà không do hạ tầng mạng
Không thể dùng một website cụ thể;
Không thể truy cập bất kỳ website nào;
Tăng lượng thư rác nhận được
Trang 4Không phải tất các dịch vụ đều ngừng chạy, thậm chí đó là kết quả của một hoạt động nguy hại, tất yếu của tấn công DoS Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy đang bị tấn công Ví dụ băng thông của router giữa Internet và LAN có thể bị tiêu thụ bởi tấn công, làm tổn hại không chỉ máy tính ý định tấn công mà còn là toàn thể mạng
b Các m ục đích của tấn công DoS
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng
sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường
- Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ
- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
- Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào
- Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị:
+ Disable Network - Tắt mạng
+ Disable Organization - Tổ chức không hoạt động
+ Financial Loss - Tài chính bị mất
- Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của
hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài nguyên chúng thường sử dụng để tấn công là gì:
- Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên
- Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc
dữ liệu đều là mục tiêu của tấn công DoS
- Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện,
hệ thống làm mát và nhiều tài nguyên khác của doanh nghiệp
- Phá hoại hoặc thay đổi các thông tin cấu hình
- Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…
c L ịch sử tấn công DoS
Các tấn công DoS bắt đầu vào khoảng đầu những năm 90 Đầu tiên, chúng hoàn toàn “nguyên thủy”, bao gồm chỉ một kẻ tấn công khai thác băng thông tối đa từ nạn nhân, ngăn những người
khác được phục vụ Điều này được thực hiện chủ yếu bằng cách dùng các phương pháp đơn giản như ping floods, SYN floods và UDP floods
Sau đó, các cuộc tấn công trở nên phức tạp hơn, bằng cách giả làm nạn nhân, gửi vài thông điệp
và để các máy khác làm ngập máy nạn nhân với các thông điệp trả lời (Smurf attack, IP spoofing…)
Trang 5- Các tấn công này phải được đồng bộ hoá một cách thủ công bởi nhiều kẻ tấn công để tạo ra một
sự phá huỷ có hiệu quả Sự dịch chuyển đến việc tự động hoá sự đồng bộ, kết hợp này và tạo ra một tấn công song song lớn trở nên phổ biến từ 1997, với sự ra đời của công cụ tấn công DDoS đầu tiên được công bố rộng rãi, đó là Trinoo Nó dựa trên tấn công UDP flood và các giao tiếp
master-slave (khiến các máy trung gian tham gia vào trong cuộc tấn công bằng cách đặt lên chúng các chương trình được điều khiển từ xa) Trong những năm tiếp theo, vài công cụ nữa được phổ biến – TFN (tribe flood network), TFN2K, vaf Stacheldraht.
- Tuy nhiên, chỉ từ cuối năm 1999 mới có những báo cáo về những tấn công như vậy, và đề tài này được công chúng biết đến chỉ sau khi một cuộc tấn công lớn vào các site công cộng tháng 2/2000 Trong thời gian 3 ngày, các site Yahoo.com, amazon.com, buy.com, cnn.com và
eBay.com đã đặt dưới sự tấn công (ví dụ như Yahoo bị ping với tốc độ 1 GB/s).
Từ đó các cuộc tấn công Dos thường xuyên xảy ra
- Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đám như Facebook, Twitter, LiveJournal và một số website của Google được thực hiện chỉ để "khóa miệng" một blogger có tên Cyxymu ở Georgia
- Ngày 28/11/2010, WikiLeaks bị tê liệt vì DDoS ngay khi họ chuẩn bị tung ra những tài liệu mật của chính phủ Mỹ
- Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau khi tổ chức những cuộc tấn công tương tự vào Mastercard và PayPal để trả đũa cho việc chủ WikiLeaks bị tạm giam ở Anh
- Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công
- Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt vì DDoS
d Các k ỹ thuật tấn công DoS
i Tấn công băng thông
Tấn công băng thông nhằm làm tràn ngập mạng mục tiêu với những traffic không cần thiết, với mục địch làm giảm tối thiểu khả năng của các traffic hợp lệ đến được hệ thống cung cấp dịch vụ của mục tiêu
Có hai loại BandWith Depletion Attack:
+ Flood attack: Điều khiển các Agent gởi một lượng lớn traffic đến hệ thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông
+ Amplification attack: Điều khiển các agent hay client tự gửi message đến một địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi message đến hệ thống dịch vụ của mục tiêu Phương pháp này làm gia tăng traffic không cần thiết, làm suy giảm băng thông của mục tiêu
Trang 6ii Tấn công tràn ngập yêu cầu dịch vụ
Một kẻ tấn công hoặc nhóm zombie cố gắng làm cạn kiệt tài nguyên máy chủ bằng cách thiết lập
và phá hủy các kết nối TCP Nó bắt đầu gửi yêu cầu trên tất cả kết nối và nguồn gốc từ server kết nối tốc độ cao
iii Tấn công tràn ngập SYN
Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phương thức bắt tay giữa bên gởi và bên nhận trước khi truyền dữ liệu Bước đầu tiên, bên gửi gởi một SYN REQUEST packet (Synchronize) Bên nhận nếu nhận được SYN REQUEST sẽ trả lời bằng SYN/ACK REPLY packet Bước cuối cùng, bên gửi sẽ truyền packet cuối cùng ACK và bắt đầu truyền dữ liệu
Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY nhưng không nhận được ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽ resend lại SYN/ACK REPLY cho đến hết thời gian timeout Toàn bộ tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout Nắm được điểm yếu này, attacker gởi một SYN packet đến nạn nhân với địa chỉ bên gởi là giả mạo, kết quả là nạn nhân gởi SYN/ACK REPLY đến một địa chỉ khác và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết thời gian timeout nạn nhân mới nhận ra được điều này
và giải phóng các tài nguyên hệ thống Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài nguyên
Hình 1 Tấn công tràn ngập SYN
Trang 7iv Tấn công tràn ngập ICMP
Kiểu tấn công ICMP là thủ phạm gửi số lượng lớn của gói tin giả mạo địa chỉ nguồn tới server đích để phá hủy nó và gây ra ngừng đáp ứng yêu cầu TCP/IP
Sau khi đến ngưỡng ICMP đạt đến, các router từ chối yêu cầu phản hồi ICMP từ tất cả địa chỉ trên cùng vùng an toàn cho phần còn lại
Hình 2 Tấn công tràn ngập ICMP
v Tấn công điểm nối điểm
Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình điểm nối điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website giả mạo của victim
Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++ (kết nối trực tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức
Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại website
vi Tấn công cố định DoS
Tấn công cố định DoS hay PDoS còn được gọi như phlashing, là một cuộc tấn công gây tổn thương một hệ thống nhiều đến nổi nó đòi hỏi phải thay thế hoặc cài đặt lại phần cứng, Không giống như các cuộc tấn công DDoS, PDoS một cuộc tấn công khai thác lỗ hổng bảo mật cho
Trang 8phép quản trị từ xa trên các giao diện quản lý phần cứng của nạn nhân, chẳng hạn như router, máy in, hoặc phần cứng mạng khác
Tấn công thực hiện dùng phương pháp như "xây dựng hệ thống” Dùng phương pháp này, kẻ tấn công gửi cập nhập phần cứng lừa đảo tới victim
vii Tấn công tràn ngập ở cấp độ dịch vụ
Tấn công làm tràn ở cấp độ ứng dụng là kết quả mất dịch vụ của mạng đặc biệt như là: email, tài nguyên mạng, tạm thời ngừng ứng dụng và dịch vụ, Dùng kiểu tấn công này, kẻ tấn công phá hủy mã nguồn chương trình và file làm ảnh hưởng tới hệ thống máy tính
Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:
- Tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ
- Ngắt dịch vụ cụ thể của hệ thống hoặc con người
- Làm tắt nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ công nguy hiểm SQL
3 KỸ THUẬT TẤN CÔNG DDOS
a Gi ới thiệu về kỹ thuật tấn công DDoS
Trên Internet tấn công Distributed Denial of Service (DDoS) hay còn gọi là Tấn công từ chối
dịch vụ phân tán là một dạng tấn công từ nhiều máy tính tới một đích, nó gây ra từ chối các yêu cầu hợp lệ của các user bình thường Bằng cách tạo ra những gói tin cực nhiều đến một đích cụ thể, nó có thể gây tình trạng tương tự như hệ thống bị shutdown
Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng nếu nhìn dưới góc độ chuyên môn thì có thể chia các biến thề này thành hai loại dựa trên mục đích tấn công:
- Làm cạn kiệt băng thông
- Làm cạn kiệt tài nguyên hệ thống
Một cuộc tấn công từ chối dịch vụ có thể bao gồm cả việc thực thi malware nhằm:
- Làm quá tải năng lực xử lý, dẫn đến hệ thống không thể thực thi bất kì một công việc nào khác
- Những lỗi gọi tức thì trong microcode của máy tính
- Những lỗi gọi tức thì trong chuỗi chỉ thị, dẫn đến máy tính rơi vào trạng thái hoạt động không ổn định hoặc bị đơ
- Những lỗi có thể khai thác được ở hệ điều hành dẫn đến việc thiếu thốn tài nguyên hoặc
bị thrashing VD: như sử dụng tất cả các năng lực có sẵn dẫn đến không một công việc
thực tế nào có thể hoàn thành được
- Gây crash hệ thống
- Tấn công từ chối dịch vụ iFrame: trong một trang HTML có thể gọi đến một trang web nào đó với rất nhiều yêu cầu và trong rất nhiều lần cho đến khi băng thông của trang web
đó bị quá hạn
Trang 9b Các đặc điểm của kỹ thuật tấn công DDoS
- Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, và thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng botnet
- Các dịch vụ tấn công được điều khiển từ những "primary victim" trong khi các máy tính bị chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn công thường được gọi là "secondary victims".
- Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ IP trên Internet
- Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn
-Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS, và điều này càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trên internet thực hiện tấn công DoS và đó được gọi là tấn công DDoS
-Tấn công DDoS là không thể ngăn chặn hoàn toàn:Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên các máy tính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng Botnet gồm nhiều máy tính kết nối tới Internet Một tấn công DDoS được thực hiện sẽ rất khó để ngăn chặn hoàn toàn Những gói tin đến Firewall có thể chặn lại, nhưng hầu hết chúng đều đến từ những địa chỉ IP chưa có trong các Access Rule của Firewall và là những gói tin hoàn toàn hợp lệ Nếu địa chỉ nguồn của gói tin có thể bị giả mạo, sau khi bạn không nhận được sự phản hồi từ những địa chỉ nguồn thật thì bạn cần phải thực hiện cấm giao tiếp với địa chỉ nguồn đó.Tuy nhiên một mạng Botnet bao gồm từ hàng nghìn tới vài trăm nghìn địa chỉ IP trên Internet và điều đó là vô cùng khó khăn để ngăn chặn tấn công
c Phân lo ại DDoS
Các cuộc tấn công DDoS thường được tin tặc thực hiện bằng cách huy động một số lượng rất lớn các máy tính có kết nối Internet bị chiếm quyền điều khiển – tập hợp các máy này được gọi là mạng máy tính ma hay mạng bot, hoặc botnet Các máy của botnet có khả năng gửi hàng ngàn yêu cầu giả mạo mỗi giây đến hệ thống nạn nhân, gây ảnh hưởng nghiêm trọng đến chất lượng dịch vụ cung cấp cho người dùng Do các yêu cầu của tấn công DDoS được gửi rải rác từ nhiều máy ở nhiều vị trí địa lý nên rất khó phân biệt với các yêu cầu của người dùng hợp pháp Một trong các khâu cần thiết trong việc đề ra các biện pháp phòng chống tấn công DDoS hiệu quả là phân loại các dạng tấn công DDoS và từ đó có biện pháp phòng chống thích hợp Nhiều phương pháp phân loại tấn công DDoS Một cách khái quát, tấn công DDoS có thể được phân loại dựa trên 6 tiêu chí chính: (1) Dựa trên phương pháp tấn công, (2) Dựa trên mức độ tự động, (3) Dựa trên giao thức mạng, (4) Dựa trên phương thức giao tiếp, (5) Dựa trên cường độ tấn công
và (6) Dựa trên việc khai thác các lỗ hổng an ninh
i Dựa trên phương pháp tấn công
Phân loại DDoS dựa trên phương pháp tấn công là một trong phương pháp phân loại cơ bản nhất Theo tiêu chí này, DDoS có thể được chia thành 2 dạng:
Trang 101) Tấn công gây ngập lụt (Flooding attacks): Trong tấn công gây ngập lụt, tin tặc tạo một lượng lớn các gói tin tấn công giống như các gói tin hợp lệ và gửi đến hệ thống nạn nhân làm cho hệ thống không thể phục vụ người dùng hợp pháp Đối tượng của tấn công dạng này là băng thông mạng, không gian đĩa, thời gian của CPU,…
2) Tấn công logic (Logical attacks): Tấn công logic thường khai thác các tính năng hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống nạn nhân, nhằm làm cạn kiệt tài nguyên hệ thống Ví dụ tấn công TCP SYN khai thác quá trình bắt tay 3 bước trong khởi tạo kết nối TCP, trong đó mỗi yêu cầu kết nối được cấp một phần không gian trong bảng lưu yêu cầu kết nối trong khi chờ xác nhận kết nối Tin tặc có thể gửi một lượng lớn yêu cầu kết nối giả mạo các kết nối không thể thực hiện, chiếm đầy không gian bảng kết nối và hệ thống nạn nhân không thể tiếp nhận yêu cầu kết nối của người dùng hợp pháp
ii. Dựa trên mức độ tự động
Theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng:
1) Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống tìm lỗ hổng, đột nhập vào hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công Chỉ những tấn công DDoS trong giai đoạn đầu mới được thực hiện thủ công
2) Tấn công bán tự động: Trong dạng này, mạng lưới thực hiện tấn công DDoS bao gồm các máy điều khiển (master/handler) và các máy agent (slave, deamon, zombie, bot) Các giai đoạn tuyển chọn máy agent, khai thác lỗ hổng và lây nhiễm được thực hiện tự động Trong đoạn tấn công, tin tặc gửi các thông tin bao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian duy trì tấn công và đích tấn công đến các agent thông qua các handler Các agent sẽ theo lệnh gửi các gói tin tấn công đến hệ thống nạn nhân
3) Tấn công tự động: Tất cả các giai đoạn trong quá trình tấn công DDoS, từ tuyển chọn máy agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đều được thực hiện tự động Tất cả các tham số tấn công đều được lập trình sẵn và đưa vào mã tấn công Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin tặc và mạng lưới tấn công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các máy agent