MỞ ĐẦU Tấn công từ chối dịch vụ DDOS là cơn “ác mộng” dài tập thường kỳ của các tổ chức, doanh nghiệp không kể lớn hay nhỏ. Đáng buồn là hiện vẫn chưa có giải pháp ngăn chặn triệt để đối với kiểu tấn công khó chịu này, chúng ta chỉ có thể hạn chế phần nào thiệt hại hay giảm bớt cường độ tấn công mà thôi. Tấn công DDOS thường được thực hiện bởi hackers có tổ chức nhằm khủng bố không gian mạng, kiếm lợi nhuận hoặc đôi khi để cho vui. Trong năm 2020 khi ngày càng có nhiều trường học đang thực hiện đào tạo trực tuyến để đảm bảo an toàn cho học sinh trong đại dịch COVID19 thì các tổ chức giáo dục đã trở thành mục tiêu chính cho các cuộc tấn công từ chối dịch vụ (DDOS). Nhóm nghiên cứu của Kaspersky đã phân tích và so sánh các cuộc tấn công DDOS ảnh hưởng đến giáo dục trong tổng số các cuộc tấn công DDOS được Hệ thống DDOS Interlligence của Kaspersky phát hiện trong Quý I năm 2019 và Quý I năm 2020. Theo đó, số lượng các cuộc tấn công DDOS ảnh hưởng đến giáo dục tăng 550% trong tháng 12020 so với cùng kỳ năm 2019. Các nhà nghiên cứu cũng cảnh báo các mối đe dọa được ngụy trang dưới dạng các ứng dụng và nền tảng học tập trực tuyến như Blackboard, Zoom, Google Classroom, Cousera, edX và Google Meet. Ghi nhận từ hệ thống của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Bộ Thông tin và Truyền thông cho thấy, trong tháng 122020, tổng số cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam dẫn đến sự cố là 315 cuộc. Trước tình hình đó nhóm chúng em quyết định tìm hiểu cơ chế tấn công, mô phỏng lại quá trình tấn công từ chối dịch vụ DDOS qua đó có thể đưa ra được các giải pháp ngăn chặn hoặc giảm thiểu tác hại mà nó gây ra.. Nhóm thực hiện LỜI CẢM ƠN Lời đầu tiên, chúng em xin cảm ơn các thầy cô tại Khoa Khoa học máy tính Đại học công nghệ thông tin và truyền thông Việt Hàn đã giảng dạy, truyền đạt cho chúng em những kiến thức nền tảng cơ bản, những kinh nghiệm thực tế, định hướng giúp đỡ chúng em trong quá trình học tập nghiên cứu tìm hiểu đề tài. Chúng em xin cảm ơn thầy Dương Hữu Ái đã trực tiếp hướng dẫn, thầy Nguyễn Anh Tuấn trực tiếp giảng dạy môn Lập trình mạng. Đã cung cấp kiến thức nền tảng các giao thức mạng, giải đáp các vướng mắc và đưa ra những lời khuyên, định hướng phát triển trong quá trình thực hiện triển khai đề tài. Trong quá trình thực hiện đề tài chúng em đã cố gắng hoàn thành trong phạm vi kiến thức mình tích lũy và học tập được, tuy nhiên để hiểu hết được các kiến thức đó chúng em cần phải nổ lực hơn nữa, dành nhiều thời gian nghiên cứu và cố gắng hơn. Trong quá trình làm đề tài vì kiến thức và kinh nghiệm còn ít nên chắc chắn không tránh khỏi những lỗi thiếu sót. Vì vậy chúng em rất mong nhận được sự góp ý chỉ bảo nhiều hơn từ phía các thầy, cô để chúng em có thể phát triển hơn nữa đề tài của mình, làm chủ kiến thức. Một lần nữa chúng em xin chân thành cảm ơn.. Nhóm thực hiện NHẬN XÉT …………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… Giảng viên hướng dẫn TS. Dương Hữu Ái MỤC LỤC Trang MỞ ĐẦU 3 Phần 1 Giới thiệu 8 1.1 Tổng quan an toàn mạng và tấn công mạng 8 1.1.1 Nguy cơ đe dọa an ninh, an toàn thông tin 8 1.1.2 Những vấn đề cần để đảm bảo an ninh và an toàn mạng 8 1.1.3 Đối tượng tấn công mạng 9 1.1.3 Các lỗ hổng trong bảo mật và phương thức tấn công mạng 9 1.2 Giới thiệu cách thức tấn công DOSDDOS 11 1.2.1 Các khái niệm trong tấn công DOSDDOS 11 1.2.2 Phân loại tấn công DOSDDOS 12 1.2.3 Sự khác biệt giữa DOS và DDOS 12 1.2.4 Các loại hình tấn công DOSDDOS phổ biến 14 1.2.5 Tác hại của tấn công DOSDDOS đối với hệ thống mạng 15 1.2.6 Vị trí nghiên cứu trong đề tài đối với mô hình mạng 17 1.3 Cấu trúc đồ án 18 Phần 2 Cơ sở lý thuyết 19 2.1 Các giao thức IP, TCP, UDP 19 2.2 Cơ chế hoạt động hình thức tấn công SYN Flood 22 2.3 Cơ chế hoạt động của hình thức tấn công UDP Flood 24 Phần 3 Giải quyết vấn đề 26 3.1 Phân tích yêu cầu 26 3.2 Xây dựng chương trình, công cụ DOSDDOS 26 3.2.1 Chương trình tấn công DOSDDOS (Code ) 26 3.2.2 Các bước thực hiện tấn công một Server 28 Phần 4 Kết quả thực hiện 30 4.1 Kết quả đạt được và đánh giá 30 4.2 Các giải pháp phòng chống DOSDDOS 31 PHỤ LỤC 33 DANH MỤC TÀI LIỆU THAM KHẢO 34 DANH MỤC HÌNH Hình 1 Internet Protocol 19 Hình 2 Giao thức truyền TCP 20 Hình 3 Giao thức truyền UDP 21 Hình 4 Cơ chế tấn công SYNFlood 23 Hình 5 Cơ chế tấn công UDP Flood 25 Hình 6 Quét cổng Active bằng Nmap 28 Hình 7 Nhập thông tin, lựa chọn giao thức và số packets cần send 29 Hình 8 Nhập thông tin và số packets cần send 29 Hình 9 Bandwidth của host sau khi DOS UDP Flood 30 Hình 10 Bandwidth của host sau khi DDOS SYN Attack 30 Phần 1 Giới thiệu 1.1 Tổng quan an toàn mạng và tấn công mạng 1.1.1 Nguy cơ đe dọa an ninh, an toàn thông tin Trong thời đại công nghệ, thông tin cá nhân và cơ sở dữ liệu ngày càng khó bảo đảm an toàn do sự xâm nhập của các hình thức tấn công mạng khác nhau. Trong đó có thể kể đến như truy cập trái phép, tấn công từ chối dịch vụ dẫn đến nguy cơ để lộ thông tin, gây hậu quả nghiệm trọng cho hệ thống hoặc thất thoát tài sản. Nguy cơ mất an toàn thông tin do nhiều nguyên nhân, đối tượng tấn công đa dạng… Thiệt hại từ những vụ tấn công mạng là rất lớn, đặc biệt là những thông tin thuộc lĩnh vực kinh tế, an ninh, quốc phòng… Do đó, việc xây dựng hàng rào kỹ thuật để ngăn chặn những truy cập trái phép trở thành nhu cầu cấp bách trong các hoạt động truyền thông. Theo số liệu thống kê về hiện trạng bảo mật mới nhất công bố của Symantec, Việt Nam đứng thứ 11 trên toàn cầu về các hoạt động đe dọa tấn công mạng. Những xu hướng đe dọa bảo mật ngày càng gia tăng nổi bật hiện nay mà các tổ chức tại Việt Nam cần quan tâm là: tấn công có chủ đích cao cấp, các mối đe dọa trên thiết bị di động, những vụ tấn công độc hại và mất cắp dữ liệu. Thực tế, nguy cơ mất an ninh an toàn mạng máy tính còn có thể phát sinh ngay từ bên trong. Nguy cơ mất an ninh từ bên trong xảy ra thường lớn hơn nhiều, nguyên nhân chính là do người sử dụng có quyền truy nhập hệ thống nắm được điểm yếu của hệ thống hay vô tình tạo cơ hội cho những đối tượng khác xâm nhập hệ thống. Sự phát triển không ngừng của lĩnh vực công nghệ thông tin đã tạo điều kiện thuận lợi cho mọi mặt của đời sống xã hội, bên cạnh những thuận lợi, thì nguy cơ về mất an toàn, bảo mật thông tin dữ liệu cũng tăng lên. Hệ thống máy tính luôn bị đe dọa bởi các nguy cơ mất an toàn. Chính vì thế chúng ta phải có các biện pháp bảo vệ hệ thống tránh khỏi các nguy cơ đó. 1.1.2 Những vấn đề cần để đảm bảo an ninh và an toàn mạng Vấn đề đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời. Thông thường yêu cầu về bảo mật được coi là yêu cầu quan trọng đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin không bí mật, thì yêu cầu về tính toàn vẹn cũng rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó. Vấn đề thứ hai là về tài nguyên hệ thống, sau khi những kẻ tấn công đã làm chủ được hệ thống chúng sẽ sử dụng các máy này để chạy các chương trình như dò tìm mật khẩu để tấn công vào hệ thống mạng. Vấn đề thứ ba là danh tiếng một khi dữ liệu bị đánh cắp thì việc nghi ngờ nhau trong tổ chức là điều không tránh khỏi, vì vậy sẽ ảnh hưởng đến danh tiếng của tổ chức rất nhiều. 1.1.3 Đối tượng tấn công mạng Là đối tượng sử dụng kỹ thuật về mạng để dò tìm các lỗ hổng bảo mật trên hệ thống để thực hiện xâm nhập và chiếm đoạt thông tin bất hợp pháp. Các đối tượng tấn công mạng: Hacker: Xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của hệ thống. Masquerader: Giả mạo thông tin, địa chỉ IP, tên miền, định danh người dùng… Eavesdropping: Là đối tượng nghe trộm thông tin trên mạng để lấy cắp thông tin. 1.1.3 Các lỗ hổng trong bảo mật và phương thức tấn công mạng Các loại lỗ hổng bảo mật: Có thể phân theo 3 cấp độ Lỗ hổng loại A: Cảnh báo nguy hiểm cho phép người ngoài hệ thống có thể truy cập hợp pháp vào hệ thống dẫn đến phá hủy hệ thống. Những lỗ hổng này có sẵn trên phần mềm mà người quản trị không nhận biết. Lỗ hổng loại B: Mức độ nguy hiểm trung bình thường có trong các ứng dụng trên hệ thống. Lỗ hổng này cho phép người dùng nội bộ có thể chiếm được quyền cao hơn hay truy cập không hợp pháp. Lỗ hổng loại C: Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ, ngưng trệ gián đoạn hệ thống không phá hỏng dữ liệu hoặc đoạt được quyền truy cập. Các hình thức tấn công mạng phổ biến 2020 SQL Injection Attack: Cuộc tấn công SQL injection đã trở thành một vấn đề phổ biến đối với các trang web dựa trên cơ sở dữ liệu. Các cuộc tấn công này xảy ra khi một truy vấn SQL được thực thi bởi tội phạm mạng và được cấp cho cơ sở dữ liệu, được chuyển từ máy khách đến máy chủ thông qua dữ liệu đầu vào. Lệnh SQL được đưa vào đầu vào mặt phẳng dữ liệu, thường thay vì mật khẩu hoặc thông tin đăng nhập. Điều này cho phép tội phạm mạng chạy các lệnh SQL được xác định trước của riêng chúng. Khi một cuộc tấn công SQL injection thành công, thông tin nhạy cảm có thể bị đọc, bị đánh cắp, sửa đổi, chèn, cập nhật hoặc xóa. Những kẻ tấn công mạng cũng có thể thực thi các quy trình quản trị, như tắt máy, trên cơ sở dữ liệu; khôi phục nội dung từ bất kỳ tệp nhất định nào; và thậm chí ra lệnh cho hệ điều hành. Phishing và Spear Phishing Attacks: Một cuộc tấn công lừa đảo đòi hỏi tội phạm mạng gửi các email có vẻ là từ các nguồn đáng tin cậy. Mục đích của kiểu tấn công này là lấy thông tin nhạy cảm của một người hoặc tác động họ làm điều gì đó. Chẳng hạn, nó có thể có một tệp đính kèm tải phần mềm độc hại xuống thiết bị khi được mở. Ngoài ra, nó có thể cung cấp một liên kết đến một trang web giả mạo để thuyết phục ai đó cung cấp thông tin của họ hoặc lừa họ tải xuống phần mềm độc hại. Spear phishing được nhắm mục tiêu nhiều hơn. Những cuộc tấn công này yêu cầu những kẻ tấn công tiến hành nghiên cứu các mục tiêu của chúng, để chúng có thể tạo ra một email cá nhân và phù hợp. Điều này làm cho việc chống lừa đảo bằng giáo rất khó chống lại . Ví dụ: trường “từ” trong email có thể là giả mạo, khiến người nhận tin rằng thư là từ một người nào đó mà họ biết; hoặc email có thể giả mạo là từ chủ nhân của một người, yêu cầu cấp tiền. Một kỹ thuật lừa đảo phổ biến khác là sao chép một trang web hợp pháp, do đó lừa một người nhập thông tin đăng nhập hoặc thông tin cá nhân của họ. Phần mềm độc hại: Là phần mềm không mong muốn được cài đặt trên hệ thống hoặc thiết bị của bạn mà bạn không biết hoặc không cho phép. Phần mềm độc hại thường xâm nhập vào hệ thống bằng cách gắn chính nó vào mã xác thực và lan truyền. Nó có thể ẩn trong các ứng dụng hoặc tự nhân bản qua internet (hệ thống hoặc trình lây nhiễm bản ghi khởi động, virus macro, trình lây nhiễm tệp, trojan, virus ẩn, bom logic, ransomware, phần mềm gián điệp, phần mềm quảng cáo, ...). Botnet: Mạng botnet bao gồm các máy tính hoặc thiết bị cá nhân hợp tác để đạt được một nhiệm vụ cụ thể . Gọi nó là “botnet” vì các chương trình này, còn được gọi là bot hoặc rô bốt, tồn tại trên một mạng thiết bị. Botnet được tội phạm mạng sử dụng để thúc đẩy một loạt các cuộc tấn công mạng. Chúng có thể giúp kẻ tấn công mạng tạo điều kiện cho một cuộc tấn công từ chối dịch vụ, chẳng hạn như tấn công làm ngập trang web với lưu lượng truy cập được thiết kế để đưa nó vào ngoại tuyến. Các cuộc tấn công như vậy có thể khiến doanh nghiệp thiệt hại hàng triệu đô la, tiền phạt và khách hàng. Botnet cũng được sử dụng để đánh cắp mật khẩu và thông tin nhạy cảm , phát tán thư rác và phát tán vi rút. Botnet là công cụ phổ biến cho tội phạm mạng vì chúng rẻ và hiệu quả . Để bảo vệ doanh nghiệp của bạn khỏi các mạng botnet, bạn nên sử dụng một giải pháp bảo mật CNTT toàn diện. Các cuộc tấn công tạo kịch bản trang web: Các cuộc tấn công tập lệnh trên nhiều trang web, còn được gọi là các cuộc tấn công XSS, sử dụng tài nguyên web của bên thứ ba để thực thi các tập lệnh trong chương trình có thể tập lệnh hoặc trình duyệt web của một người. Các cuộc tấn công XSS liên quan đến việc kẻ tấn công đưa một tải trọng bị nhiễm JavaScript độc hại vào cơ sở dữ liệu của trang web. Nếu nạn nhân dự định truy cập một trang trên trang web này, trang đó sẽ được truyền tải trọng như một phần của nội dung HTML. Điều này sau đó được truyền đến trình duyệt của nạn nhân dự định, trình duyệt này sẽ kích hoạt tập lệnh. Các cuộc tấn công DOSDDOS: Ở đây chúng ta sẽ tìm hiểu chi tiết về cơ chế tấn công và mô phỏng cuộc tấn công DOSDDOS 1.2 Giới thiệu cách thức tấn công DOSDDOS 1.2.1 Các khái niệm trong tấn công DOSDDOS DOS (Denial Of Service): Dịch ra tiếng Việt là từ chối dịch vụ. Tấn công từ chối dịch vụ DOS là cuộc tấn công nhằm làm sập một máy chủ hoặc mạng, khiến người dùng khác không thể truy cập vào máy chủ của mạng đó. Kẻ tấn công thực hiện điều này bằng cách gửi ồ ạt các yêu cầu hoặc gửi thông tin có thể kích hoạt sự cố đến máy chủ, hệ thống hoặc mạng mục tiêu, từ đó khiến người dùng hợp pháp (nhân viên, thành viên, chủ tài khoản) không thể truy cập dịch vụ, tài nguyên họ mong đợi. Mục đích cuối cùng là làm cho server không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các client. Nạn nhân của tấn công DOS thường là máy chủ web của các tổ chức cao cấp như ngân hàng, doanh nghiệp thương mại, tổ chức giáo dục, công ty truyền thông, các trang báo, mạng xã hội... Ví dụ, khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi một yêu cầu đến máy chủ của trang này để xem. Máy chủ chỉ có thể xử lý một số yêu cầu nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công gửi ồ ạt nhiều yêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu của bạn không được xử lý. Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó. Kẻ tấn công có thể sử dụng thư rác để thực hiện các tấn công tương tự trên tài khoản email của bạn. Dù bạn có một tài khoản email của trường, của công ty hay dùng dịch vụ miễn phí như Gmail thì vẫn bị giới hạn số lượng dữ liệu trong tài khoản. Bằng cách gửi nhiều email đến tài khoản của bạn, kẻ tấn công có thể làm đầy hòm thư đến và ngăn chặn bạn nhận được các mail khác. DDOS (Distributed Denial Of Service): Nghĩa tiếng Việt là từ chối dịch vụ phân tán. Tấn công DDOS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập nó với các yêu cầu được gửi đến từ nhiều nguồn. Khi DDOS, kẻ tấn công có thể sử dụng máy tính của bạn để tấn công vào các máy tính khác. Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thể giành quyền điều khiển máy tính của bạn. Sau đó chúng sử dụng máy tính của bạn để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến địa chỉ email nào đó. Đây là kiểu tấn công phân tán vì kẻ tấn công sử dụng nhiều máy tính, bao gồm có cả máy tính của bạn để thực hiện tấn công DOS. Mặc dù DDOS cung cấp một chế độ tấn công ít phức tạp hơn các dạng tấn công mạng khác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn. 1.2.2 Phân loại tấn công DOSDDOS Có ba loại tấn công cơ bản: Volume based attacks: Loại tấn công sử dụng lưu lượng truy cập cao để làm ngập băng thông mạng. Protocol attacks: Loại tấn công tập trung vào việc khai thác nguồn tài nguyên máy chủ. Application attacks: Tấn công nhắm vào các ứng dụng web và được coi là một loại tấn công tinh vi và nghiêm trọng nhất. 1.2.3 Sự khác biệt giữa DOS và DDOS Tấn công DOS nghĩa là một máy tính gửi một lượng lớn lưu lượng truy cập đến máy tính của nạn nhân và đánh sập nó. Tấn công DOS là một cuộc tấn công trực tuyến được sử dụng để làm cho trang web không khả dụng với người dùng, khi được thực hiện trên một trang web. Cuộc tấn công này làm cho máy chủ của một trang web được kết nối với Internet sập bằng cách gửi một lượng lớn lưu lượng truy cập đến nó. Còn trong cuộc tấn công DDOS, các cuộc tấn công được thực hiện từ nhiều địa điểm khác nhau bằng cách sử dụng nhiều hệ thống. Điểm khác biệt trong các cuộc tấn công như sau: DOS DDOS Chỉ một hệ thống nhắm mục tiêu vào hệ thống nạn nhân. Nhiều hệ thống tấn công hệ thống nạn nhân. PC bị nhắm mục tiêu được load từ gói dữ liệu gửi từ một vị trí duy nhất. Nhiều hệ thống tấn công hệ thống nạn nhân. Tấn công DOS chậm hơn so với DDOS. Tấn công DDOS nhanh hơn tấn công DOS. Có thể bị chặn dễ dàng vì chỉ sử dụng một hệ thống. Rất khó để ngăn chặn cuộc tấn công này vì nhiều thiết bị đang gửi gói tin và tấn công từ nhiều vị trí. Trong cuộc tấn công DOS, chỉ một thiết bị duy nhất được sử dụng với các công cụ tấn công DOS. Trong cuộc tấn công DDOS, nhiều bot được sử dụng để tấn công cùng một lúc. Các cuộc tấn công DOS rất dễ theo dõi. Các cuộc tấn công DDOS rất khó theo dõi. Lưu lượng truy cập trong cuộc tấn công DOS ít hơn so với DDOS. Các cuộc tấn công DDOS cho phép kẻ tấn công gửi một lượng lớn lưu lượng truy cập đến mạng nạn nhân. Các loại hình tấn công DOS 1. Tấn công tràn bộ đệm 2. Tấn công Ping of Death hoặc ICMP flood 3. Tấn công Teardrop Attack Các loại hình tấn công DDOS 1. Tấn công Volumetric 2. Tấn công Fragmentation Attack 3. Application Layer Attack 1.2.4 Các loại hình tấn công DOSDDOS phổ biến SYN Flood: Khai thác điểm yếu trong chuỗi kết nối TCP, được gọi là bắt tay ba chiều. Máy chủ sẽ nhận được một thông điệp đồng bộ (SYN) để bắt đầu bắt tay. Máy chủ nhận tin nhắn bằng cách gửi cờ báo nhận (ACK) tới máy lưu trữ ban đầu, sau đó đóng kết nối. Tuy nhiên, trong một SYN Flood, tin nhắn giả mạo được gửi đi và kết nối không đóng dẫn đến dịch vụ sập. UDP Flood: User Datagram Protocol (UDP) là một giao thức mạng không session ( không cần thiết lập kết nối). Một UDP Flood nhắm đến các cổng ngẫu nhiên trên máy tính hoặc mạng với các gói tin UDP. Máy chủ kiểm tra ứng dụng tại các cổng đó nhưng không tìm thấy ứng dụng nào. HTTP Flood: Gần giống như các yêu cầu GET hoặc POST hợp pháp được khai thác bởi một hacker. Nó sử dụng ít băng thông hơn các loại tấn công khác nhưng nó có thể buộc máy chủ sử dụng các nguồn lực tối đa. Ping of Death: Điều khiển các giao thức IP bằng cách gửi những đoạn mã độc đến một hệ thống. Đây là loại DDOS phổ biến cách đây hai thập kỷ nhưng đã không còn hiệu quả vào thời điểm hiện tại. Smurf Attack: Khai thác giao thức Internet (IP) và ICMP (Internet Control Message Protocol) sử dụng một chương trình phần mềm độc hại gọi là smurf. Nó giả mạo một địa chỉ IP và sử dụng ICMP, sau đó ping các địa chỉ IP trên một mạng nhất định. Fraggle Attack: Sử dụng một lượng lớn lưu lượng UDP vào mạng phát sóng của router. Nó giống như một cuộc tấn công Smurf, sử dụng UDP nhiều hơn là ICMP. Slowloris: Cho phép kẻ tấn công sử dụng nguồn lực tối thiểu trong một cuộc tấn công và các mục tiêu trên máy chủ web. Khi đã kết nối với mục tiêu mong muốn, Slowloris giữ liên kết đó mở càng lâu càng tốt với HTTP tràn ngập. Kiểu tấn công này đã được sử dụng trong một số DDOSing kiểu hacktivist (tấn công vì mục tiêu chính trị) cao cấp, bao gồm cuộc bầu cử tổng thống Iran năm 2009. Việc giảm thiểu ảnh hưởng với loại hình tấn công này là rất khó khăn. Application Layer Attacks: Khai thác lỗ hổng trong các ứng dụng. Mục tiêu của loại tấn công này không phải là toàn bộ máy chủ, mà là các ứng dụng với những điểm yếu được biết đến. NTP Amplification: Khai thác các máy chủ NTP (Network Time Protocol), một giao thức được sử dụng để đồng bộ thời gian mạng, làm tràn ngập lưu lượng UDP. Đây là reflection attack bị khuếch đại. Trong reflection attack bất kỳ nào đều sẽ có phản hồi từ máy chủ đến IP giả mạo, khi bị khuếch đại, thì phản hồi từ máy chủ sẽ không còn tương xứng với yêu cầu ban đầu. Vì sử dụng băng thông lớn khi bị DDOS nên loại tấn công này có tính phá hoại và volumne cao. Advanced Persistent DOS (APDOS): Là một loại tấn công được sử dụng bởi hacker với mong muốn gây ra những thiệt hại nghiêm trọng. Nó sử dụng nhiều kiểu tấn công được đề cập trước đó HTTP Flood, SYN Flood, v.v...) và thường nhắm tấn công theo kiểu gửi hàng triệu yêu cầugiây. Các cuộc tấn công của APDOS có thể kéo dài hàng tuần, phụ thuộc vào khả năng của hacker để chuyển đổi các chiến thuật bất cứ lúc nào và tạo ra sự đa dạng để tránh các bảo vệ an ninh. Zeroday DDOS Attacks: Là tên được đặt cho các phương pháp tấn công DDOS mới, khai thác các lỗ hổng chưa được vá. HTTP GET: Là một kiểu tấn công lớp ứng dụng (Application Layer attack), quy mô nhỏ hơn và được nhắm tới những mục tiêu hơn. Application Level Attacks khai thác lỗ hổng trong các ứng dụng. Mục tiêu của loại tấn công này không phải là toàn bộ máy chủ, mà là các ứng dụng với những điểm yếu được biết đến. Kiểu tấn công này sẽ nhắm vào Lớp thứ 7 trong mô hình OSI. Đây là lớp có lưu lượng mạng cao nhất, thay vì hướng vào lớp thứ 3 thường được chọn làm mục tiêu trong các cuộc tấn công Bulk Volumetric. HTTP GET khai thác quy trình trình của một trình duyệt web hoặc ứng dụng HTTP nào đó và yêu cầu một ứng dụng hoặc máy chủ cho mỗi yêu cầu HTTP, đó là GET hoặc POST. HTTP Flood: Gần giống như các yêu cầu GET hoặc POST hợp pháp được khai thác bởi một hacker. Nó sử dụng ít băng thông hơn các loại tấn công khác nhưng nó có thể buộc máy chủ sử dụng các nguồn lực tối đa. Rất khó để chống lại kiểu tấn công này vì chúng sử dụng các yêu cầu URL tiêu chuẩn, thay vì các tập lệnh bị hỏng hoặc khối lượng lớn.
Trang 1ĐẠI HỌC ĐÀ NẴNG KHOA KHOA HỌC MÁY TÍNH
ĐỒ ÁN CƠ SỞ 4
ĐỀ TÀI: TÌM HIỂU CƠ CHẾ VÀ MÔ PHỎNG
CÔNG CỤ TẤN CÔNG DOS/DDOS
Giảng viên hướng dẫn : TS DƯƠNG HỮU ÁI
Đà Nẵng, tháng 12 năm 2020
Trang 2ĐẠI HỌC ĐÀ NẴNG KHOA KHOA HỌC MÁY TÍNH
ĐỒ ÁN CƠ SỞ 4
ĐỀ TÀI: TÌM HIỂU CƠ CHẾ VÀ MÔ PHỎNG
CÔNG CỤ TẤN CÔNG DOS/DDOS
Trang 3MỞ ĐẦU
Tấn công từ chối dịch vụ DDOS là cơn “ác mộng” dài tập thường kỳ của các tổ chức,doanh nghiệp không kể lớn hay nhỏ Đáng buồn là hiện vẫn chưa có giải pháp ngăn chặntriệt để đối với kiểu tấn công khó chịu này, chúng ta chỉ có thể hạn chế phần nào thiệt hạihay giảm bớt cường độ tấn công mà thôi Tấn công DDOS thường được thực hiện bởihackers có tổ chức nhằm khủng bố không gian mạng, kiếm lợi nhuận hoặc đôi khi để chovui
Trong năm 2020 khi ngày càng có nhiều trường học đang thực hiện đào tạo trực tuyến
để đảm bảo an toàn cho học sinh trong đại dịch COVID-19 thì các tổ chức giáo dục đã trởthành mục tiêu chính cho các cuộc tấn công từ chối dịch vụ (DDOS) Nhóm nghiên cứu củaKaspersky đã phân tích và so sánh các cuộc tấn công DDOS ảnh hưởng đến giáo dục trongtổng số các cuộc tấn công DDOS được Hệ thống DDOS Interlligence của Kaspersky pháthiện trong Quý I năm 2019 và Quý I năm 2020 Theo đó, số lượng các cuộc tấn công DDOSảnh hưởng đến giáo dục tăng 550% trong tháng 1/2020 so với cùng kỳ năm 2019 Các nhànghiên cứu cũng cảnh báo các mối đe dọa được ngụy trang dưới dạng các ứng dụng và nềntảng học tập trực tuyến như Blackboard, Zoom, Google Classroom, Cousera, edX và GoogleMeet
Ghi nhận từ hệ thống của Trung tâm Giám sát an toàn không gian mạng quốc gia(NCSC) thuộc Bộ Thông tin và Truyền thông cho thấy, trong tháng 12/2020, tổng số cuộctấn công mạng vào các hệ thống thông tin tại Việt Nam dẫn đến sự cố là 315 cuộc
Trước tình hình đó nhóm chúng em quyết định tìm hiểu cơ chế tấn công, mô phỏnglại quá trình tấn công từ chối dịch vụ DDOS qua đó có thể đưa ra được các giải pháp ngănchặn hoặc giảm thiểu tác hại mà nó gây ra./
Nhóm thực hiện
Trang 4LỜI CẢM ƠN
Lời đầu tiên, chúng em xin cảm ơn các thầy cô tại Khoa Khoa học máy tính - Đại họccông nghệ thông tin và truyền thông Việt - Hàn đã giảng dạy, truyền đạt cho chúng emnhững kiến thức nền tảng cơ bản, những kinh nghiệm thực tế, định hướng giúp đỡ chúng emtrong quá trình học tập nghiên cứu tìm hiểu đề tài
Chúng em xin cảm ơn thầy Dương Hữu Ái đã trực tiếp hướng dẫn, thầy Nguyễn Anh
Tuấn trực tiếp giảng dạy môn Lập trình mạng Đã cung cấp kiến thức nền tảng các giao thức
mạng, giải đáp các vướng mắc và đưa ra những lời khuyên, định hướng phát triển trong quátrình thực hiện triển khai đề tài
Trong quá trình thực hiện đề tài chúng em đã cố gắng hoàn thành trong phạm vi kiếnthức mình tích lũy và học tập được, tuy nhiên để hiểu hết được các kiến thức đó chúng emcần phải nổ lực hơn nữa, dành nhiều thời gian nghiên cứu và cố gắng hơn Trong quá trìnhlàm đề tài vì kiến thức và kinh nghiệm còn ít nên chắc chắn không tránh khỏi những lỗi thiếusót Vì vậy chúng em rất mong nhận được sự góp ý chỉ bảo nhiều hơn từ phía các thầy, cô đểchúng em có thể phát triển hơn nữa đề tài của mình, làm chủ kiến thức Một lần nữa chúng
em xin chân thành cảm ơn./
Nhóm thực hiện
Trang 5NHẬN XÉT
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
Giảng viên hướng dẫn
TS Dương Hữu Ái
Trang 6MỤC LỤC
Trang
MỞ ĐẦU 3
Phần 1 Giới thiệu 8
1.1 Tổng quan an toàn mạng và tấn công mạng 8
1.1.1 Nguy cơ đe dọa an ninh, an toàn thông tin 8
1.1.2 Những vấn đề cần để đảm bảo an ninh và an toàn mạng 8
1.1.3 Đối tượng tấn công mạng 9
1.1.3 Các lỗ hổng trong bảo mật và phương thức tấn công mạng 9
1.2 Giới thiệu cách thức tấn công DOS/DDOS 11
1.2.1 Các khái niệm trong tấn công DOS/DDOS 11
1.2.2 Phân loại tấn công DOS/DDOS 12
1.2.3 Sự khác biệt giữa DOS và DDOS 12
1.2.4 Các loại hình tấn công DOS/DDOS phổ biến 14
1.2.5 Tác hại của tấn công DOS/DDOS đối với hệ thống mạng 15
1.2.6 Vị trí nghiên cứu trong đề tài đối với mô hình mạng 17
1.3 Cấu trúc đồ án 18
Phần 2 Cơ sở lý thuyết 19
2.1 Các giao thức IP, TCP, UDP 19
2.2 Cơ chế hoạt động hình thức tấn công SYN Flood 22
2.3 Cơ chế hoạt động của hình thức tấn công UDP Flood 24
Phần 3 Giải quyết vấn đề 26
3.1 Phân tích yêu cầu 26
3.2 Xây dựng chương trình, công cụ DOS/DDOS 26
3.2.1 Chương trình tấn công DOS/DDOS (Code ) 26
3.2.2 Các bước thực hiện tấn công một Server 28
Phần 4 Kết quả thực hiện 30
4.1 Kết quả đạt được và đánh giá 30
4.2 Các giải pháp phòng chống DOS/DDOS 31
PHỤ LỤC 33
DANH MỤC TÀI LIỆU THAM KHẢO 34
Trang 7DANH MỤC HÌNH
Hình 1 Internet Protocol 19
Hình 2 Giao thức truyền TCP 20
Hình 3 Giao thức truyền UDP 21
Hình 4 Cơ chế tấn công SYN-Flood 23
Hình 5 Cơ chế tấn công UDP Flood 25
Hình 6 Quét cổng Active bằng Nmap 28
Hình 7 Nhập thông tin, lựa chọn giao thức và số packets cần send 29
Hình 8 Nhập thông tin và số packets cần send 29
Hình 9 Bandwidth của host sau khi DOS UDP Flood 30
Hình 10 Bandwidth của host sau khi DDOS - SYN Attack 30
Trang 8Phần 1 Giới thiệu
1.1 Tổng quan an toàn mạng và tấn công mạng
1.1.1 Nguy cơ đe dọa an ninh, an toàn thông tin
Trong thời đại công nghệ, thông tin cá nhân và cơ sở dữ liệu ngày càng khó bảo đảm
an toàn do sự xâm nhập của các hình thức tấn công mạng khác nhau Trong đó có thể kể đếnnhư truy cập trái phép, tấn công từ chối dịch vụ dẫn đến nguy cơ để lộ thông tin, gây hậu quảnghiệm trọng cho hệ thống hoặc thất thoát tài sản
Nguy cơ mất an toàn thông tin do nhiều nguyên nhân, đối tượng tấn công đa dạng…Thiệt hại từ những vụ tấn công mạng là rất lớn, đặc biệt là những thông tin thuộc lĩnh vựckinh tế, an ninh, quốc phòng… Do đó, việc xây dựng hàng rào kỹ thuật để ngăn chặn nhữngtruy cập trái phép trở thành nhu cầu cấp bách trong các hoạt động truyền thông
Theo số liệu thống kê về hiện trạng bảo mật mới nhất công bố của Symantec, ViệtNam đứng thứ 11 trên toàn cầu về các hoạt động đe dọa tấn công mạng Những xu hướng đedọa bảo mật ngày càng gia tăng nổi bật hiện nay mà các tổ chức tại Việt Nam cần quan tâmlà: tấn công có chủ đích cao cấp, các mối đe dọa trên thiết bị di động, những vụ tấn công độchại và mất cắp dữ liệu Thực tế, nguy cơ mất an ninh an toàn mạng máy tính còn có thể phátsinh ngay từ bên trong Nguy cơ mất an ninh từ bên trong xảy ra thường lớn hơn nhiều,nguyên nhân chính là do người sử dụng có quyền truy nhập hệ thống nắm được điểm yếucủa hệ thống hay vô tình tạo cơ hội cho những đối tượng khác xâm nhập hệ thống
Sự phát triển không ngừng của lĩnh vực công nghệ thông tin đã tạo điều kiện thuậnlợi cho mọi mặt của đời sống xã hội, bên cạnh những thuận lợi, thì nguy cơ về mất an toàn,bảo mật thông tin dữ liệu cũng tăng lên Hệ thống máy tính luôn bị đe dọa bởi các nguy cơmất an toàn Chính vì thế chúng ta phải có các biện pháp bảo vệ hệ thống tránh khỏi cácnguy cơ đó
1.1.2 Những vấn đề cần để đảm bảo an ninh và an toàn mạng
Vấn đề đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên hệ thống máytính cần được bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời Thôngthường yêu cầu về bảo mật được coi là yêu cầu quan trọng đối với thông tin lưu trữ trênmạng Tuy nhiên, ngay cả khi những thông tin không bí mật, thì yêu cầu về tính toàn vẹn
Trang 9cũng rất quan trọng Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất vàthời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó.
Vấn đề thứ hai là về tài nguyên hệ thống, sau khi những kẻ tấn công đã làm chủ được
hệ thống chúng sẽ sử dụng các máy này để chạy các chương trình như dò tìm mật khẩu đểtấn công vào hệ thống mạng
Vấn đề thứ ba là danh tiếng một khi dữ liệu bị đánh cắp thì việc nghi ngờ nhau trong
tổ chức là điều không tránh khỏi, vì vậy sẽ ảnh hưởng đến danh tiếng của tổ chức rất nhiều
1.1.3 Đối tượng tấn công mạng
Là đối tượng sử dụng kỹ thuật về mạng để dò tìm các lỗ hổng bảo mật trên hệ thống
để thực hiện xâm nhập và chiếm đoạt thông tin bất hợp pháp
Các đối tượng tấn công mạng:
Hacker: Xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu
hoặc khai thác các điểm yếu của hệ thống
Masquerader: Giả mạo thông tin, địa chỉ IP, tên miền, định danh người dùng… Eavesdropping: Là đối tượng nghe trộm thông tin trên mạng để lấy cắp thông tin.
1.1.3 Các lỗ hổng trong bảo mật và phương thức tấn công mạng
- Các loại lỗ hổng bảo mật: Có thể phân theo 3 cấp độ
Lỗ hổng loại A: Cảnh báo nguy hiểm cho phép người ngoài hệ thống có thể truy cập
hợp pháp vào hệ thống dẫn đến phá hủy hệ thống Những lỗ hổng này có sẵn trên phần mềm
mà người quản trị không nhận biết
Lỗ hổng loại B: Mức độ nguy hiểm trung bình thường có trong các ứng dụng trên hệ
thống Lỗ hổng này cho phép người dùng nội bộ có thể chiếm được quyền cao hơn hay truycập không hợp pháp
Lỗ hổng loại C: Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ,
ngưng trệ gián đoạn hệ thống không phá hỏng dữ liệu hoặc đoạt được quyền truy cập
- Các hình thức tấn công mạng phổ biến 2020
SQL Injection Attack: Cuộc tấn công SQL injection đã trở thành một vấn đề phổ
biến đối với các trang web dựa trên cơ sở dữ liệu Các cuộc tấn công này xảy ra khi một truyvấn SQL được thực thi bởi tội phạm mạng và được cấp cho cơ sở dữ liệu, được chuyển từ
Trang 10máy khách đến máy chủ thông qua dữ liệu đầu vào Lệnh SQL được đưa vào đầu vào mặtphẳng dữ liệu, thường thay vì mật khẩu hoặc thông tin đăng nhập Điều này cho phép tộiphạm mạng chạy các lệnh SQL được xác định trước của riêng chúng.
Khi một cuộc tấn công SQL injection thành công, thông tin nhạy cảm có thể bị đọc,
bị đánh cắp, sửa đổi, chèn, cập nhật hoặc xóa Những kẻ tấn công mạng cũng có thể thực thicác quy trình quản trị, như tắt máy, trên cơ sở dữ liệu; khôi phục nội dung từ bất kỳ tệp nhấtđịnh nào; và thậm chí ra lệnh cho hệ điều hành
Phishing và Spear Phishing Attacks: Một cuộc tấn công lừa đảo đòi hỏi tội phạm
mạng gửi các email có vẻ là từ các nguồn đáng tin cậy Mục đích của kiểu tấn công này làlấy thông tin nhạy cảm của một người hoặc tác động họ làm điều gì đó Chẳng hạn, nó có thể
có một tệp đính kèm tải phần mềm độc hại xuống thiết bị khi được mở Ngoài ra, nó có thểcung cấp một liên kết đến một trang web giả mạo để thuyết phục ai đó cung cấp thông tincủa họ hoặc lừa họ tải xuống phần mềm độc hại
Spear phishing được nhắm mục tiêu nhiều hơn Những cuộc tấn công này yêu cầunhững kẻ tấn công tiến hành nghiên cứu các mục tiêu của chúng, để chúng có thể tạo ra mộtemail cá nhân và phù hợp Điều này làm cho việc chống lừa đảo bằng giáo rất khó chốnglại Ví dụ: trường “từ” trong email có thể là giả mạo, khiến người nhận tin rằng thư là từmột người nào đó mà họ biết; hoặc email có thể giả mạo là từ chủ nhân của một người, yêucầu cấp tiền Một kỹ thuật lừa đảo phổ biến khác là sao chép một trang web hợp pháp, do đólừa một người nhập thông tin đăng nhập hoặc thông tin cá nhân của họ
Phần mềm độc hại: Là phần mềm không mong muốn được cài đặt trên hệ thống
hoặc thiết bị của bạn mà bạn không biết hoặc không cho phép Phần mềm độc hại thườngxâm nhập vào hệ thống bằng cách gắn chính nó vào mã xác thực và lan truyền Nó có thể ẩntrong các ứng dụng hoặc tự nhân bản qua internet (hệ thống hoặc trình lây nhiễm bản ghikhởi động, virus macro, trình lây nhiễm tệp, trojan, virus ẩn,bom logic, ransomware, phầnmềm gián điệp, phần mềm quảng cáo, )
Botnet: Mạng botnet bao gồm các máy tính hoặc thiết bị cá nhân hợp tác để đạt được
một nhiệm vụ cụ thể Gọi nó là “botnet” vì các chương trình này, còn được gọi là bot hoặc
rô bốt, tồn tại trên một mạng thiết bị.Botnet được tội phạm mạng sử dụng để thúc đẩy mộtloạt các cuộc tấn công mạng Chúng có thể giúp kẻ tấn công mạng tạo điều kiện cho một
Trang 11cuộc tấn công từ chối dịch vụ, chẳng hạn như tấn công làm ngập trang web với lưu lượngtruy cập được thiết kế để đưa nó vào ngoại tuyến Các cuộc tấn công như vậy có thể khiếndoanh nghiệp thiệt hại hàng triệu đô la, tiền phạt và khách hàng.
Botnet cũng được sử dụng để đánh cắp mật khẩu và thông tin nhạy cảm , phát tán thưrác và phát tán vi rút Botnet là công cụ phổ biến cho tội phạm mạng vì chúng rẻ và hiệu quả Để bảo vệ doanh nghiệp của bạn khỏi các mạng botnet, bạn nên sử dụng một giải pháp bảomật CNTT toàn diện
Các cuộc tấn công tạo kịch bản trang web: Các cuộc tấn công tập lệnh trên nhiều
trang web, còn được gọi là các cuộc tấn công XSS, sử dụng tài nguyên web của bên thứ ba
để thực thi các tập lệnh trong chương trình có thể tập lệnh hoặc trình duyệt web của mộtngười Các cuộc tấn công XSS liên quan đến việc kẻ tấn công đưa một tải trọng bị nhiễmJavaScript độc hại vào cơ sở dữ liệu của trang web Nếu nạn nhân dự định truy cập mộttrang trên trang web này, trang đó sẽ được truyền tải trọng như một phần của nội dungHTML Điều này sau đó được truyền đến trình duyệt của nạn nhân dự định, trình duyệt này
sẽ kích hoạt tập lệnh
Các cuộc tấn công DOS/DDOS: Ở đây chúng ta sẽ tìm hiểu chi tiết về cơ chế tấn
công và mô phỏng cuộc tấn công DOS/DDOS
1.2 Giới thiệu cách thức tấn công DOS/DDOS
1.2.1 Các khái niệm trong tấn công DOS/DDOS
DOS (Denial Of Service): Dịch ra tiếng Việt là từ chối dịch vụ Tấn công từ chối dịch
vụ DOS là cuộc tấn công nhằm làm sập một máy chủ hoặc mạng, khiến người dùng kháckhông thể truy cập vào máy chủ của mạng đó Kẻ tấn công thực hiện điều này bằng cách gửi
ồ ạt các yêu cầu hoặc gửi thông tin có thể kích hoạt sự cố đến máy chủ, hệ thống hoặc mạngmục tiêu, từ đó khiến người dùng hợp pháp (nhân viên, thành viên, chủ tài khoản) không thểtruy cập dịch vụ, tài nguyên họ mong đợi Mục đích cuối cùng là làm cho server không thểđáp ứng được các yêu cầu sử dụng dịch vụ từ các client
Nạn nhân của tấn công DOS thường là máy chủ web của các tổ chức cao cấp nhưngân hàng, doanh nghiệp thương mại, tổ chức giáo dục, công ty truyền thông, các trang báo,mạng xã hội
Trang 12Ví dụ, khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửimột yêu cầu đến máy chủ của trang này để xem Máy chủ chỉ có thể xử lý một số yêu cầunhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công gửi ồ ạt nhiều yêu cầu đến máychủ sẽ làm nó bị quá tải và yêu cầu của bạn không được xử lý Đây là kiểu “từ chối dịch vụ”
vì nó làm cho bạn không thể truy cập đến trang đó
Kẻ tấn công có thể sử dụng thư rác để thực hiện các tấn công tương tự trên tài khoảnemail của bạn Dù bạn có một tài khoản email của trường, của công ty hay dùng dịch vụmiễn phí như Gmail thì vẫn bị giới hạn số lượng dữ liệu trong tài khoản Bằng cách gửinhiều email đến tài khoản của bạn, kẻ tấn công có thể làm đầy hòm thư đến và ngăn chặnbạn nhận được các mail khác
DDOS (Distributed Denial Of Service): Nghĩa tiếng Việt là từ chối dịch vụ phân tán.
Tấn công DDOS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập nó vớicác yêu cầu được gửi đến từ nhiều nguồn
Khi DDOS, kẻ tấn công có thể sử dụng máy tính của bạn để tấn công vào các máytính khác Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻnày có thể giành quyền điều khiển máy tính của bạn Sau đó chúng sử dụng máy tính củabạn để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến địa chỉ email nào đó.Đây là kiểu tấn công phân tán vì kẻ tấn công sử dụng nhiều máy tính, bao gồm có cả máytính của bạn để thực hiện tấn công DOS
Mặc dù DDOS cung cấp một chế độ tấn công ít phức tạp hơn các dạng tấn công mạngkhác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn
1.2.2 Phân loại tấn công DOS/DDOS
Có ba loại tấn công cơ bản:
Volume based attacks: Loại tấn công sử dụng lưu lượng truy cập cao để làm ngập
băng thông mạng
Protocol attacks: Loại tấn công tập trung vào việc khai thác nguồn tài nguyên máy
chủ
Application attacks: Tấn công nhắm vào các ứng dụng web và được coi là một loại
tấn công tinh vi và nghiêm trọng nhất
Trang 131.2.3 Sự khác biệt giữa DOS và DDOS
Tấn công DOS nghĩa là một máy tính gửi một lượng lớn lưu lượng truy cập đến máytính của nạn nhân và đánh "sập" nó Tấn công DOS là một cuộc tấn công trực tuyến được sửdụng để làm cho trang web không khả dụng với người dùng, khi được thực hiện trên mộttrang web Cuộc tấn công này làm cho máy chủ của một trang web được kết nối với Internet
"sập" bằng cách gửi một lượng lớn lưu lượng truy cập đến nó
Còn trong cuộc tấn công DDOS, các cuộc tấn công được thực hiện từ nhiều địa điểmkhác nhau bằng cách sử dụng nhiều hệ thống
Điểm khác biệt trong các cuộc tấn công như sau:
Chỉ một hệ thống nhắm mục tiêu vào hệ
thống nạn nhân
Nhiều hệ thống tấn công hệ thống nạn nhân
PC bị nhắm mục tiêu được load từ gói dữ
liệu gửi từ một vị trí duy nhất
Nhiều hệ thống tấn công hệ thống nạn nhân
Tấn công DOS chậm hơn so với DDOS Tấn công DDOS nhanh hơn tấn công DOS
Trong cuộc tấn công DOS, chỉ một thiết bị
duy nhất được sử dụng với các công cụ tấn
DOS ít hơn so với DDOS
Các cuộc tấn công DDOS cho phép kẻ tấncông gửi một lượng lớn lưu lượng truy cậpđến mạng nạn nhân
Các loại hình tấn công DOS
1 Tấn công tràn bộ đệm
2 Tấn công Ping of Death hoặc ICMP flood
3 Tấn công Teardrop Attack
Các loại hình tấn công DDOS
1 Tấn công Volumetric
2 Tấn công Fragmentation Attack
3 Application Layer Attack
Trang 141.2.4 Các loại hình tấn công DOS/DDOS phổ biến
SYN Flood: Khai thác điểm yếu trong chuỗi kết nối TCP, được gọi là bắt tay ba
chiều Máy chủ sẽ nhận được một thông điệp đồng bộ (SYN) để bắt đầu "bắt tay" Máy chủnhận tin nhắn bằng cách gửi cờ báo nhận (ACK) tới máy lưu trữ ban đầu, sau đó đóng kếtnối Tuy nhiên, trong một SYN Flood, tin nhắn giả mạo được gửi đi và kết nối không đóngdẫn đến dịch vụ sập
UDP Flood: User Datagram Protocol (UDP) là một giao thức mạng không session
( không cần thiết lập kết nối) Một UDP Flood nhắm đến các cổng ngẫu nhiên trên máy tínhhoặc mạng với các gói tin UDP Máy chủ kiểm tra ứng dụng tại các cổng đó nhưng khôngtìm thấy ứng dụng nào
HTTP Flood: Gần giống như các yêu cầu GET hoặc POST hợp pháp được khai thác
bởi một hacker Nó sử dụng ít băng thông hơn các loại tấn công khác nhưng nó có thể buộcmáy chủ sử dụng các nguồn lực tối đa
Ping of Death: Điều khiển các giao thức IP bằng cách gửi những đoạn mã độc đến
một hệ thống Đây là loại DDOS phổ biến cách đây hai thập kỷ nhưng đã không còn hiệuquả vào thời điểm hiện tại
Smurf Attack: Khai thác giao thức Internet (IP) và ICMP (Internet Control Message
Protocol) sử dụng một chương trình phần mềm độc hại gọi là smurf Nó giả mạo một địa chỉ
IP và sử dụng ICMP, sau đó ping các địa chỉ IP trên một mạng nhất định
Fraggle Attack: Sử dụng một lượng lớn lưu lượng UDP vào mạng phát sóng của
router Nó giống như một cuộc tấn công Smurf, sử dụng UDP nhiều hơn là ICMP
Slowloris: Cho phép kẻ tấn công sử dụng nguồn lực tối thiểu trong một cuộc tấn công
và các mục tiêu trên máy chủ web Khi đã kết nối với mục tiêu mong muốn, Slowloris giữliên kết đó mở càng lâu càng tốt với HTTP tràn ngập Kiểu tấn công này đã được sử dụngtrong một số DDOSing kiểu hacktivist (tấn công vì mục tiêu chính trị) cao cấp, bao gồmcuộc bầu cử tổng thống Iran năm 2009 Việc giảm thiểu ảnh hưởng với loại hình tấn côngnày là rất khó khăn
Application Layer Attacks: Khai thác lỗ hổng trong các ứng dụng Mục tiêu của loại
tấn công này không phải là toàn bộ máy chủ, mà là các ứng dụng với những điểm yếu đượcbiết đến
Trang 15NTP Amplification: Khai thác các máy chủ NTP (Network Time Protocol), một giao
thức được sử dụng để đồng bộ thời gian mạng, làm tràn ngập lưu lượng UDP Đây làreflection attack bị khuếch đại Trong reflection attack bất kỳ nào đều sẽ có phản hồi từ máychủ đến IP giả mạo, khi bị khuếch đại, thì phản hồi từ máy chủ sẽ không còn tương xứng vớiyêu cầu ban đầu Vì sử dụng băng thông lớn khi bị DDOS nên loại tấn công này có tính pháhoại và volumne cao
Advanced Persistent DOS (APDOS): Là một loại tấn công được sử dụng bởi hacker
với mong muốn gây ra những thiệt hại nghiêm trọng Nó sử dụng nhiều kiểu tấn công được
đề cập trước đó HTTP Flood, SYN Flood, v.v ) và thường nhắm tấn công theo kiểu gửihàng triệu yêu cầu/giây Các cuộc tấn công của APDOS có thể kéo dài hàng tuần, phụ thuộcvào khả năng của hacker để chuyển đổi các chiến thuật bất cứ lúc nào và tạo ra sự đa dạng
để tránh các bảo vệ an ninh
Zero-day DDOS Attacks: Là tên được đặt cho các phương pháp tấn công DDOS
mới, khai thác các lỗ hổng chưa được vá
HTTP GET: Là một kiểu tấn công lớp ứng dụng (Application Layer attack), quy mô
nhỏ hơn và được nhắm tới những mục tiêu hơn Application Level Attacks khai thác lỗ hổngtrong các ứng dụng Mục tiêu của loại tấn công này không phải là toàn bộ máy chủ, mà làcác ứng dụng với những điểm yếu được biết đến
Kiểu tấn công này sẽ nhắm vào Lớp thứ 7 trong mô hình OSI Đây là lớp có lưulượng mạng cao nhất, thay vì hướng vào lớp thứ 3 thường được chọn làm mục tiêu trong cáccuộc tấn công Bulk Volumetric HTTP GET khai thác quy trình trình của một trình duyệtweb hoặc ứng dụng HTTP nào đó và yêu cầu một ứng dụng hoặc máy chủ cho mỗi yêu cầuHTTP, đó là GET hoặc POST
HTTP Flood: Gần giống như các yêu cầu GET hoặc POST hợp pháp được khai thác
bởi một hacker Nó sử dụng ít băng thông hơn các loại tấn công khác nhưng nó có thể buộcmáy chủ sử dụng các nguồn lực tối đa Rất khó để chống lại kiểu tấn công này vì chúng sửdụng các yêu cầu URL tiêu chuẩn, thay vì các tập lệnh bị hỏng hoặc khối lượng lớn
1.2.5 Tác hại của tấn công DOS/DDOS đối với hệ thống mạng
1 Cuộc tấn công DDOS vào Google năm 2017
Trang 16Đội ngũ Google Cloud team mới đây đã tiết lộ những thông tin chính thức đầu tiên
về một cuộc tấn công DDOS lớn chưa từng có, nhắm mục tiêu trực tiếp đến các dịch vụ củaGoogle và diễn ra trong khoảng thời gian tháng 9 năm 2017 Cuộc tấn công DDOS này có
độ lớn ước tính lên tới 2,54 Tbps, khiến nó trở thành cuộc tấn công DDOS đáng sợ nhất từngđược ghi nhận trong lịch sử phát triển internet cho đến thời điểm hiện tại
2 Cuộc tấn công DDOS vào AWS năm 2020
Amazon Web Services (AWS), dịch vụ điện toán đám mây lớn nhất thế giới hiện tại,
đã bị tấn công DDOS vào tháng 02/2020 Đây là cuộc tấn công DDOS nghiêm trọng nhấttrong lịch sử và nhắm vào một khách hàng của AWS
Dựa vào kỹ thuật CLDAP, kẻ tấn công đã khuếch đại lượng dữ liệu được gửi tới địachỉ IP của nạn nhân lên từ 56 tới 70 lần Cuộc tấn công kéo dài trong 3 ngày và lúc đỉnhđiểm lưu lượng tấn công đạt 2.3 Tbps, một con số khủng khiếp
May mắn là Amazon đã có những biện pháp ngăn chặn để giảm thiểu thiệt hại tớimức thấp nhất Tuy nhiên, quy mô của cuộc tấn công có thể khiến các khách hàng suy nghĩlại về việc chọn lựa AWS ảnh hưởng tới doanh thu của Amazon sau này
3 Cuộc tấn công DDOS nhắm vào GitHub năm 2018
Vào ngày 28/02/2018, GitHub, một nền tảng dành cho các nhà phát triển phần mềm,
đã bị tấn công DDOS với tốc độ lên tới 1.35 Tbps, kéo dài trong khoảng 20 phút TheoGitHub, lưu lượng truy cập bắt nguồn từ hơn 1 nghìn hệ thống tự động (ASNs) khác nhautrên hàng chục nghìn endpoint đơn lẻ
Cuộc tấn công vào GitHub đáng chú ý vì có quy mô lớn và được dàn dựng bằng cáchkhai thác một lệnh tiêu chuẩn của Memcached, hệ thống caching cơ sở dữ liệu được dùngcho việc tăng tốc trang web và mạng Kỹ thuật tấn công DDOS dựa trên Memcached đặcbiệt hiệu quả vì khả năng khuếch đại lưu lượng truy cập đáng kinh ngạc, lên tới 51.000 lần
4 Cuộc tấn công DDOS nhắm OVH năm 2016
Cuộc tấn công của Mirai nhắm vào OVH, một trong những nhà cung cấp dịch vụ lưutrữ lớn nhất châu Âu OVH lưu trữ khoảng 18 triệu ứng dụng cho hơn 1 triệu khách hàng.Cuộc tấn công này nhắm vào một khách hàng của OVH, được thực hiện bởi khoảng 145.000botnet và tạo ra lưu lượng truy cập 1.1Tbps, kéo dài trong 7 ngày
Trang 17Botnet Mirai là một bước tiến quan trọng về sức mạnh của một cuộc tấn công DDOS.Quy mô và độ phức tạp của mạng Mirai chưa từng xuất hiện trước đây Độ lớn và mục tiêucủa Mirai cũng khác hẳn so với các cuộc tấn công DDOS trước đó.
5 Tấn công DDOS vào Dyn năm 2016
Ngày 21/10/2016, một nhà cung cấp dịch vụ tên miền (DNS) lớn, đã bị tấn công bởimột trận "lũ lụt" lưu lượng truy cập lên tới 1 Tbps, kỷ lục mới cho một cuộc tấn côngDDOS
Những cơn "sóng thần" lưu lượng truy cập đã đánh sập các dịch vụ của Dyn, khiếnmột số trang web nổi tiếng như GitHub, HBO, Twitter, Reddit, PayPal, Netflix và Airbnbkhông thể truy cập được Một phần của cuộc tấn công bao gồm hàng triệu IP riêng rẽ đượcliên kết với mạng botnet Mirai Việc giảm thiểu thiệt hại trở nên khó khăn hơn bởi Mirai hỗtrợ các cuộc tấn công phức tạp, đa vector
1.2.6 Vị trí nghiên cứu trong đề tài đối với mô hình mạng
Mô hình tham chiếu (OSI) là một mô hình lý thuyết do tổ chức tiêu chuẩn hóa Quốc
tế tạo ra, cho phép các hệ thống truyền thông đa dạng giao tiếp bằng cách sử dụng các giaothức chuẩn.OSI cung cấp một tiêu chuẩn cho các hệ thống máy tính khác nhau có thể giaotiếp với nhau Mô hình OSI có thể được xem như một ngôn ngữ chung cho mạng máy tính
Nó dựa trên khái niệm chia nhỏ hệ thống liên lạc thành bảy lớp trừu tượng, mỗi lớp xếpchồng lên nhau Mỗi lớp của mô hình OSI xử lý một công việc cụ thể và giao tiếp với cáclớp trên và dưới chính nó
Mặc dù Internet hiện đại không tuân thủ nghiêm ngặt mô hình OSI (nó tuân theo bộgiao thức Internet đơn giản hơn), mô hình OSI vẫn rất hữu ích để khắc phục sự cố mạng.Cho dù đó là một người không thể đưa máy tính xách tay của họ lên Internet, hay một trangweb đang ngừng hoạt động đối với hàng nghìn người dùng, mô hình OSI có thể giúp khắcphục sự cố và cô lập nguồn gốc của sự cố Nếu vấn đề có thể được thu hẹp trong một lớp cụthể của mô hình, thì có thể tránh được nhiều công việc không cần thiết
Các cuộc tấn công DDOS nhắm vào các lớp cụ thể của kết nối mạng; tấn công lớpứng dụng nhắm vào lớp 7 và lớp giao thức tấn công nhắm vào lớp 3 và 4
Trong đề tài này chúng em tập trung tìm hiểu và nghiên cứu cơ chế loại hình tấn công
SYN Flood và UDP Flood.