LỜI NÓI ĐẦU Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào có hệ thống mạng dù lớn hay nhỏ. Hiện nay, các hacker trong và ngoài nước luôn tìm cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ. Những thông tinnhạy cảm thường ảnh hưởng tới sống còn của công ty. Chính vì vậy, các nhà quản trịmạng luôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và cố gắng hoàn thiệnhệ thống mình để bớt lỗ hổng. Tuy nhiên, một kiểu tấn công rất cổ điển là tấnncông từ chối dịch vụ chưa bao giờ mất đi tính nguy hiểm đối với hệ thống mạng. Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục. DoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàn cuộc tấn công. Với yêu cầu cấp thiết như vậy, nhóm em xin trình bày về đề tài “Tìm hiểu về kỹ thuật tấn công từ chối dịch vụ DoS” . Mục đích giúp mọi người có thể hiểu được các kiểu tấn công và từ đó đưa ra cách phòng chống Dos MỤC LỤC I.Tấn Công Mạng4 1.Tấn công mạng là gì?4 2.Mục đích của tấn công mạng4 II.Tấn công từ chối dịch vụ DOS5 1.Giới thiệu về DOS5 2.Các mục đích của tấn công DOS5 3.Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS6 4.Dấu hiệu khi bị tấn công DoS6 5.Hậu quả khi bị tấn công Dos6 III.Các kỹ thuật tấn công DOS cơ bản7 1.Winnuke7 2.Ping of death8 3.Teardrop9 4.SYN Attack10 5.Land Attack11 IV.CÁCH PHÒNG CHỐNG DOS12 1.Cách phòng chống ở các máy bị tấn công12 2.Phát hiện tiềm năng tấn công12 3.Cách làm giảm các cuộc tấn công13 V.Demo tấn công mạng DOS14 1.1Tài nguyên14 1.2Triển khai14 1.3Phòng thủ15 VI.Tài liệu tham khảo18 I.Tấn Công Mạng 1.Tấn công mạng là gì? -Tấn công mạng là hình thức tấn công xâm nhập vào một hệ thống mạng máy tính, cơ sở dữ liệu, hạ tầng mạng, website, thiết bị của một cá nhân hoặc một tổ chức nào đó. -Các hình thức tấn công mạng: oTấn công mạng (penetration testing) là phương pháp Hacker mũ trắng xâm nhập vào một hệ thống mạng, thiết bị, website để tìm ra những lỗ hổng, các nguy cơ tấn công nhằm bảo vệ cá nhân hoặc tổ chức. oTấn công mạng (network attack) là hình thức, kỹ thuật Hacker mũ đen tấn công vào một hệ thống để thay đổi đối tượng, lấy cắp dữ liệu hoặc tống tiền. 2.Mục đích của tấn công mạng -Sử dụng trái phép tài khoản người dùng và đặc quyền -Đánh cắp phần cứng -Đánh cắp phần mềm -Chạy mã độc hại làm cho các hệ thống bị thiệt hại -Chạy mã độc hại và chiếm đoạt dữ liệu -Đánh cắp hoặc sửa đổi dữ liệu được lưu trữ -Sử dụng dữ liệu cho lợi ích tài chính hoặc hoạt động gián điệp công nghiệp -Thực hiện các hành động ngăn chặn người dùng hợp pháp có thẩm quyền truy cập vào các dịch vụ mạng và các nguồn lực -Thực hiện hành động để làm cạn kiệt tài nguyên mạng và băng thông. I.Tấn công từ chối dịch vụ DOS 1.Giới thiệu về DOS -Denial Of Services Attack (tấn công từ chối dịch vụ ) là kiểu tấn công rất lợi hại, với loại tấn công này, bạn chỉ cần một máy tính kết nối Internet là đã có thể thực hiện việc tấn công được máy tính của đối phương . -Thực chất của DoS attack là hacker sẽ chiếm dụng một lượng lớn tài nguyên trên server ( tài nguyên đó có thể là băng thông, bộ nhớ, cpu, đĩa cứng, ... ) làm cho server không thể nào đáp ứng các yêu cầu từ các máy của nguời khác ( máy của những người dùng bình thường ) và server có thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot. 2.Các mục đích của tấn công DOS -Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường. -Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ. -Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó -Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào. -Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị: oDisable Network - Tắt mạng oDisable Organization - Tổ chức không hoạt động oFinancial Loss – Tài chính bị mất 3.Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài nguyên chúng thường sử dụng để tấn công là gì: oBăng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS. oTấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp. Bạn thử tưởng tượng khi nguồn điện vào máy chủ web bị ngắt thì người dùng có thể truy cập vào máy chủ đó không. oPhá hoại hoặc thay đổi các thông tin cấu hình. 4.Dấu hiệu khi bị tấn công DoS -Thông thường thì hiệu suất mạng sẽ rất chậm -Không thể sử dụng internet. -Không truy cập được bất kỳ website nào -Tăng lượng thư rác nhanh chóng. 5.Hậu quả khi bị tấn công Dos -Làm giảm băng thông (tốc độ đường truyền mạng) -Làm hư hỏng phần vật lý của mạng máy tính -Không thể kết nối với thông tin bên ngoài mạng nội bộ -Phá vỡ cấu hình thông tin định tuyến -Máy tính, PC bị chậm chờn, đơ, không hoạt động bình thường -Có thể bị tắc nghẽn mạng trầm trọng nếu nhiễm Dos II.Các kỹ thuật tấn công DOS cơ bản 1.Winnuke DoS attack loại này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x. Hacker sẽ gởi các gói tin với dữ liệu "Out of Band" đến cổng 139 của máy tính đích.( Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các gói tin có cờ Out of Band được bật ). Khi máy tính của victim nhận được gói tin này, một màn hình xanh báo lỗi sẽ được hiển thị lên với nạn nhân do chương trình của Windows nhận được các gói tin này nhưng nó lại không biết phản ứng với các dữ liệu Out Of Band như thế nào dẫn đến hệ thống sẽ bị crash . 2.Ping of death Tấn công Ping of Death (hay PoD) có thể làm tê liệt cả mạng lưới dựa trên lỗ hổng của hệ thống TCP/IP. Kích thước tối đa cho 1 gói dữ liệu là 65,535 bytes. Nếu ta gửi các gói tin lớn hơn nhiều so với kích thước tối đa thông qua lệnh “ping” đến máy đích thì sẽ làm máy tính đích bị treo. Nhưng gửi 1 gói tin lớn hơn kích thước quy định là điều trái với luật của giao thức TCP/IP,vì vậy Hacker đã khéo léo gửi các gói tin trên các đoạn phân mảnh. Khi máy tính victim ráp các phân mảnh dữ liệu thì sẽ nhận thấy gói tin quá lớn. Điều này sẽ gây ra lỗi tràn bộ đệm và treo các thiết bị. Nhưng đến nay thì hầu hết các thiết bị được sản xuất sau năm 1998 đã miễn dịch với loại tấn công này. 3.Teardrop Như ta đã biết , tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình : dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu . Lợi dụng sơ hở đó , ta chỉ cần gởi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn ! 4.SYN Attack Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ IP nguồn không có thực. Hệ thống đích khi nhận được các SYN packets này sẽ gởi trở lại các địa chỉ không có thực đó và chờ đợi để nhận thông tin phản hồi từ các địa chỉ IP giả . Vì đây là các địa chỉ IP không có thực, nên hệ thống đích sẽ sẽ chờ đợi vô ích và còn đưa các "request"chờ đợi này vào bộ nhớ , gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi thông tin phản hồi không có thực này . Nếu ta gởi cùng một lúc nhiều gói tin có địa chỉ IP giả như vậy thì hệ thống sẽ bị quá tải dẫn đến bị crash hoặc boot máy tính . Một cách để ngăn ngừa kiểu tấn công SYN attack là đơn giản loại bỏ các gói TCP header trong đó chỉ có cờ SYN được thiết lập. Nói cách khác, loại bỏ tất cả các gói tin đầu tiên trong một kết nối TCP mới. Trong nhiều trường hợp, một router không nên cho phép các kết nối TCP được thiết lập bởi client. Trong trường hợp này, việc lọc các TCP segment ban đầu giúp ngăn ngừa SYN attack. 5.Land Attack
Trang 1VIỆN ĐẠI HỌC MỞ HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO BÀI TẬP LỚN MÔN: AN NINH MẠNG MÁY TÍNH
Đề tài : Tìm hiểu về kỹ thuật tấn công từ chối dịch vụ DoS
Giảng viên hướng dẫn: T.s Nguyễn Đức Tuấn
Sinh viên thực hiện:
Nhóm : Ngô Tuấn Thành – 15A06
Nguyễn Vương Tài Mẫn – 15A06
Hà Nội - 2019
Trang 2LỜI NÓI ĐẦU Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào
có hệ thống mạng dù lớn hay nhỏ Hiện nay, các hacker trong và ngoài nước luôn tìm cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ Những thông tinnhạy cảm thường ảnh hưởng tới sống còn của công ty Chính
vì vậy, các nhà quản trịmạng luôn cố gắng bảo vệ hệ thống của mình tốt nhất
có thể và cố gắng hoàn thiệnhệ thống mình để bớt lỗ hổng
Tuy nhiên, một kiểu tấn công rất cổ điển là tấnncông từ chối dịch vụ chưa bao giờ mất đi tính nguy hiểm đối với hệ thống mạng Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian
để khắc phục DoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàn cuộc tấn công Với yêu cầu cấp thiết như vậy, nhóm em xin
trình bày về đề tài “Tìm hiểu về kỹ thuật tấn công từ chối dịch vụ DoS”
Mục đích giúp mọi người có thể hiểu được các kiểu tấn công và từ đó đưa ra cách phòng chống Dos
Trang 3MỤC LỤC
I Tấn Công Mạng 4
1 Tấn công mạng là gì? 4
2 Mục đích của tấn công mạng 4
II Tấn công từ chối dịch vụ DOS 5
1 Giới thiệu về DOS 5
2 Các mục đích của tấn công DOS 5
3 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS 6
4 Dấu hiệu khi bị tấn công DoS 6
5 Hậu quả khi bị tấn công Dos 6
III Các kỹ thuật tấn công DOS cơ bản 7
1 Winnuke 7
2 Ping of death 8
3 Teardrop 9
4 SYN Attack 10
5 Land Attack 11
IV CÁCH PHÒNG CHỐNG DOS 12
1 Cách phòng chống ở các máy bị tấn công 12
2 Phát hiện tiềm năng tấn công 12
3 Cách làm giảm các cuộc tấn công 13
V Demo tấn công mạng DOS 14
1.1 Tài nguyên 14
1.2 Triển khai 14
1.3 Phòng thủ 15
VI Tài liệu tham khảo 18
Trang 4I Tấn Công Mạng
1 Tấn công mạng là gì?
- Tấn công mạng là hình thức tấn công xâm nhập vào một hệ thống mạng máy tính, cơ sở dữ liệu, hạ tầng mạng, website, thiết bị của một cá nhân hoặc một tổ chức nào đó
- Các hình thức tấn công mạng:
o Tấn công mạng (penetration testing) là phương pháp Hacker mũ trắng xâm nhập vào một hệ thống mạng, thiết
bị, website để tìm ra những lỗ hổng, các nguy cơ tấn công nhằm bảo vệ cá nhân hoặc tổ chức
o Tấn công mạng (network attack) là hình thức, kỹ thuật Hacker mũ đen tấn công vào một hệ thống để thay đổi đối tượng, lấy cắp dữ liệu hoặc tống tiền
2 Mục đích của tấn công mạng
- Sử dụng trái phép tài khoản người dùng và đặc quyền
- Đánh cắp phần cứng
- Đánh cắp phần mềm
- Chạy mã độc hại làm cho các hệ thống bị thiệt hại
- Chạy mã độc hại và chiếm đoạt dữ liệu
- Đánh cắp hoặc sửa đổi dữ liệu được lưu trữ
- Sử dụng dữ liệu cho lợi ích tài chính hoặc hoạt động gián điệp công nghiệp
- Thực hiện các hành động ngăn chặn người dùng hợp pháp có thẩm quyền truy cập vào các dịch vụ mạng và các nguồn lực
- Thực hiện hành động để làm cạn kiệt tài nguyên mạng và băng thông
Trang 5I Tấn công từ chối dịch vụ DOS
1 Giới thiệu về DOS
- Denial Of Services Attack (tấn công từ chối dịch vụ ) là kiểu tấn công rất lợi hại, với loại tấn công này, bạn chỉ cần một máy tính kết nối Internet là đã có thể thực hiện việc tấn công được máy tính của đối phương
- Thực chất của DoS attack là hacker sẽ chiếm dụng một lượng lớn tài nguyên trên server ( tài nguyên đó có thể là băng thông, bộ nhớ, cpu, đĩa cứng, ) làm cho server không thể nào đáp ứng các yêu cầu từ các máy của nguời khác ( máy của những người dùng bình thường ) và server có thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot
2 Các mục đích của tấn công DOS
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường
- Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ
- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
- Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào
- Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị:
o Disable Network - Tắt mạng
o Disable Organization - Tổ chức không hoạt động
o Financial Loss – Tài chính bị mất
Trang 63 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS
Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài nguyên chúng thường sử dụng để tấn công là gì:
o Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS
o Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện, hệt hống làm mát
và nhiều tài nguyên khác của doanh nghiệp Bạn thử tưởng tượng khi nguồn điện vào máy chủ web bị ngắt thì người dùng có thể truy cập vào máy chủ đó không
o Phá hoại hoặc thay đổi các thông tin cấu hình
4 Dấu hiệu khi bị tấn công DoS
- Thông thường thì hiệu suất mạng sẽ rất chậm
- Không thể sử dụng internet
- Không truy cập được bất kỳ website nào
- Tăng lượng thư rác nhanh chóng
5 Hậu quả khi bị tấn công Dos
- Làm giảm băng thông (tốc độ đường truyền mạng)
- Làm hư hỏng phần vật lý của mạng máy tính
- Không thể kết nối với thông tin bên ngoài mạng nội bộ
- Phá vỡ cấu hình thông tin định tuyến
- Máy tính, PC bị chậm chờn, đơ, không hoạt động bình thường
- Có thể bị tắc nghẽn mạng trầm trọng nếu nhiễm Dos
Trang 7II Các kỹ thuật tấn công DOS cơ bản
1 Winnuke
DoS attack loại này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x Hacker sẽ gởi các gói tin với dữ liệu "Out of Band" đến cổng 139 của máy tính đích.( Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các gói tin có cờ Out of Band được bật )
Khi máy tính của victim nhận được gói tin này, một màn hình xanh báo lỗi sẽ được hiển thị lên với nạn nhân do chương trình của Windows nhận được các gói tin này nhưng nó lại không biết phản ứng với các dữ liệu Out Of Band như thế nào dẫn đến hệ thống sẽ bị crash
Trang 82 Ping of death
Tấn công Ping of Death (hay PoD) có thể làm tê liệt cả mạng lưới dựa trên lỗ hổng của hệ thống TCP/IP Kích thước tối đa cho 1 gói
dữ liệu là 65,535 bytes Nếu ta gửi các gói tin lớn hơn nhiều so với kích thước tối đa thông qua lệnh “ping” đến máy đích thì sẽ làm máy tính đích bị treo
Nhưng gửi 1 gói tin lớn hơn kích thước quy định là điều trái với luật của giao thức TCP/IP,vì vậy Hacker đã khéo léo gửi các gói tin trên các đoạn phân mảnh Khi máy tính victim ráp các phân mảnh dữ liệu thì sẽ nhận thấy gói tin quá lớn Điều này sẽ gây ra lỗi tràn bộ đệm
và treo các thiết bị
Nhưng đến nay thì hầu hết các thiết bị được sản xuất sau năm 1998
đã miễn dịch với loại tấn công này
Trang 93 Teardrop
Như ta đã biết , tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình : dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi Khi các mảnh này đến hệ thống
Trang 10đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu Lợi dụng sơ hở đó , ta chỉ cần gởi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn !
4 SYN Attack
Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ IP nguồn không có thực Hệ thống đích khi nhận được các SYN packets này sẽ gởi trở lại các địa chỉ không có thực
đó và chờ đợi để nhận thông tin phản hồi từ các địa chỉ IP giả
Trang 11Vì đây là các địa chỉ IP không có thực, nên hệ thống đích sẽ sẽ chờ đợi vô ích và còn đưa các "request"chờ đợi này vào bộ nhớ , gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi thông tin phản hồi không
có thực này Nếu ta gởi cùng một lúc nhiều gói tin có địa chỉ IP giả như vậy thì hệ thống sẽ bị quá tải dẫn đến bị crash hoặc boot máy tính
Một cách để ngăn ngừa kiểu tấn công SYN attack là đơn giản loại
bỏ các gói TCP header trong đó chỉ có cờ SYN được thiết lập Nói cách khác, loại bỏ tất cả các gói tin đầu tiên trong một kết nối TCP mới Trong nhiều trường hợp, một router không nên cho phép các kết nối TCP được thiết lập bởi client Trong trường hợp này, việc lọc các TCP segment ban đầu giúp ngăn ngừa SYN attack
5 Land Attack
Land Attack cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ IP không có thực, hacker sẽ dùng chính địa chỉ IP của hệ thống nạn nhân Điều này sẽ tạo nên một vòng lặp vô tận giữa trong
Trang 12chính hệ thống nạn nhân đó,giữa một bên cần nhận thông tin phản hồi còn một bên thì chẳng bao giờ gởi thông tin phản hồi đó đi cả
III CÁCH PHÒNG CHỐNG DOS
1 Cách phòng chống ở các máy bị tấn công
- Cài đặt phần mềm anti-virus, anti-Trojan và cập nhập bản mới
- Tăng nhận thức về vấn đề bảo mật và kỹ thuật ngăn chặn người
sử dụng từ tất cả nguồn trên internet
- Tắt dịch vụ không cần thiết, gỡ bỏ ứng dụng không sử dụng, và quét tất cả files nhận từ nguồn bên ngoài
- Cấu hình và thường xuyên cập nhập xây dựng cơ cấu phòng thủ trên lõi phần cứng và phần mềm hệ thống
2 Phát hiện tiềm năng tấn công
- Bộ lọc xâm nhâp: Bảo vệ từ tấn công tràn ngập có nguồn gốc từ các tiền tố hợp lệ Nó cho phép người khởi tạo truy tìm nguồn gốc thực sự
- Bộ lọc đi ra: Quét header gói tin của gói tin IP ra một mạng Bộ lọc đi ra không chứng thực hoặc lưu lượng nguy hiểm không được ra khỏi mạng bên ngoài
- Ngắt TCP: Cấu hình ngắt TCP ngăn ngừa tấn công bằng cách ngắt và yêu cầu kết nối TCP hợp lệ
Trang 133 Cách làm giảm các cuộc tấn công
- Nhà cung cấp tăng băng thông trên kết nối quan trọng để ngăn ngừa và giảm xuống tấn công
- Nhân bản máy chủ có thể cung cấp thêm bảo vệ an toàn
- Cân bằng tải cho mỗi server trên cấu trúc nhiều server có thể cải tiến hiệu suất bình thường như là giảm ảnh hưởng của cuộc tấn công DoS
- Thiết lập cách thức router truy cập một server với điều chỉnh logic lưu lượng đi vào tới mức độ sẽ an toàn để server xử lý
Trang 14IV Demo tấn công mạng DOS
1.1 Tài nguyên
- M1 (máy tấn công) : 192.168.136.137/Kali Linux
- M2 (máy bị tấn công) : 192.168.136.133/Kali Linux
1.2 Triển khai
- Máy tấn công sẽ sử dụng công cụ có sẵn trên Kali Linux là
Hping3 để tấn công gây lụt bằng các gói tin TCP :
-
-V : hiển thị thông số -c : số lượng gói tin -d : kích cỡ gói tin -S : cờ flag SYN
Trang 15- Khi đã bị tấn công, máy bị tấn công sẽ bị chiếm băng thông và làm hệ thống mạng bị ngập (flood)
- Tấn công này làm tiêu thụ tài nguyên của máy để xử lý các gói tin đến
1.3 Phòng thủ
- Khi bị tấn công, chúng ta có thể sử dụng công cụ Wireshark để
bắt gói tin di chuyển trong mạng
Trang 16Source : IP nguồn (kẻ tấn công) Destination : IP đích (kẻ bị tấn công)
Protocol : giao thức Length : độ dài gói tin
- Khi đã xác định được địa chỉ IP của kẻ tấn công Chúng ta sử
dụng iptables thêm các luật để ngăn chặn tấn công :
-A : thêm luật (append) -s : địa chỉ IP cần chặn -j : chuyển packet đến target DROP : thả packet ( không hồi âm cho client)
Trang 17- Kết quả sau khi đã cấu hình iptables Chúng ta thấy máy đã không còn gửi các gói tin đi
- Nhưng vẫn còn nhược điểm là vẫn nhận gói tin mà kẻ tấn công gửi tới
Trang 18V Tài liệu tham khảo
- https://vi.wikipedia.org/wiki/Tấn_công_từ_chối_dịch_vụ
- https://www.paloaltonetworks.com/cyberpedia/what-is-a-denial-of-service-attack-dos
- https://quantrimang.com/tim-hieu-ve-tan-cong-tu-choi-dich-vu-dos-34926
- https://securitydaily.net/tim-hieu-ve-tan-cong-tu-choi-dich-vu-dos/
-