LỜI NÓI ĐẦU Hiện nay, sự phát triển không ngừng của công nghệ thông tin và mạng máy tính đã mang lại cho con người nhiều tiện ích trong cuộc sống nhất là trong lĩnh vực trao đổi thông tin. Trong khi những người dùng bình thường sử dụng mạng Internet để trao đổi thông tin thì một số kẻ lại ra sức phá hoại hệ thống mạng nhằm nhiều mục đích khác nhau. Điều này đã làm ảnh hưởng không tốt tới sự trong sạch của mạng Internet và hoạt động của những người dùng Internet chân chính. Để bảo vệ được một hệ thống mạng trong sạch và phục vụ tốt nhu cầu của người dùng thì người quản trị mạng phải nắm chắc các kiến thức về an ninh mạng. Trong số những loại tấn công nguy hiểm trên mạng thì tấn công DoSDDoS là một loại tấn công vào hàng nguy hiểm hàng đầu vì nó khiến cho máy chủ có thể bị tê liệt về phần mềm hoặc phần cứng và không thể đáp ứng các yêu cầu của các người dùng khác. Nắm rõ nguyên tắc “Tấn công để biết cách phòng chống tấn công” nhóm chúng em đã chọn đề tài nghiên cứu về tấn công DoSDDoS và cách phòng chống loại tấn công này. .... ...................................... ......
Trang 1KHOA: KHOA HỌC MÁY TÍNH -
Chúc Trần Trung
Đà Nẵng, ngày 02 tháng 01 năm 2012
Trang 2LỜI NÓI ĐẦU
Hiện nay, sự phát triển không ngừng của công nghệ thông tin và mạng máy tính đãmang lại cho con người nhiều tiện ích trong cuộc sống nhất là trong lĩnh vực trao đổithông tin Trong khi những người dùng bình thường sử dụng mạng Internet để trao đổithông tin thì một số kẻ lại ra sức phá hoại hệ thống mạng nhằm nhiều mục đích khácnhau Điều này đã làm ảnh hưởng không tốt tới sự trong sạch của mạng Internet và hoạtđộng của những người dùng Internet chân chính Để bảo vệ được một hệ thống mạngtrong sạch và phục vụ tốt nhu cầu của người dùng thì người quản trị mạng phải nắm chắccác kiến thức về an ninh mạng
Trong số những loại tấn công nguy hiểm trên mạng thì tấn công DoS/DDoS là mộtloại tấn công vào hàng nguy hiểm hàng đầu vì nó khiến cho máy chủ có thể bị tê liệt vềphần mềm hoặc phần cứng và không thể đáp ứng các yêu cầu của các người dùng khác.Nắm rõ nguyên tắc “Tấn công để biết cách phòng chống tấn công” nhóm chúng em đãchọn đề tài nghiên cứu về tấn công DoS/DDoS và cách phòng chống loại tấn công này
Hy vọng rằng với phần trình bày của nhóm chúng em sau đây sẽ góp phần nào giúpcho các nhà quản trị mạng có thể phần nào hiểu hơn về các kiểu tấn công DoS/DDoScũng như các biện pháp phòng chống tốt nhất cho mạng của mình
Nhóm xin gửi lời cảm ơn chân thành đến thầy giáo Lê Tự Thanh và tập thể lớp đãgiúp đỡ nhóm hoàn thành bài báo cáo này
Nhóm 10 – MM03C
Trang 3Mục lục
Mục lục 2
Danh mục hình ảnh 4
LỜI NÓI ĐẦU 5
CHƯƠNG 1 TÌM HIỂU VỀ AN NINH MẠNG 6
1.1 Những số liệu thống kê về tội phạm mạng 6
1.1.1 Báo cáo phát hiện tội phạm trên Internet 6
1.1.2 Dữ liệu điều tra về vi phạm hồ sơ 6
1.1.3 Các loại dữ liệu bị đánh cắp từ các tổ chức 7
1.2 KHÁI NIỆM VỀ HACKING 7
1.2.1 Các thuật ngữ quan trọng 7
1.2.2 Các yếu tố bảo mật thông tin 8
1.2.3 Tính xác thực và không chối bỏ 8
1.2.4 Những vấn đề trong bảo mật 9
1.2.5 Ảnh hưởng của hacking 9
1.2.6 Hacker là ai 10
1.3 Các giai đoạn hacking 11
1.3.1 Giai đoạn 1 – Thăm dò 11
1.3.2 Giai đoạn 2 – Quét dò tìm 12
1.3.3 Giai đoạn 3 – Truy cập 12
1.3.4 Giai đoạn 4 – Duy trì truy cập 13
1.3.5 Giai đoạn 5 – Che dấu sự theo dõi 13
CHƯƠNG 2 DENIAL OF SERVICE (DOS) 14
2.1 Lịch sử của tấn công DoS 14
2.1.1 Mục tiêu 14
2.1.2 Các cuộc tấn công 14
2.2 Định nghĩa về tấn công DoS 14
2.2.1 Các mục đích của tấn công DoS 15
2.2.2 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS 15
2.3 Các dạng tấn công 16
2.3.1 Tấn công Smurf 16
2.3.2 Tấn công Buffer overflow 17
Trang 42.3.4 Tấn công Teardrop 18
2.3.5 Tấn công SYN 18
CHƯƠNG 3 DISTRIBUTED DENIAL OF SERVICE (DDOS) 20
3.1 Lịch sử của tấn công DDoS 20
3.1.1 Mục tiêu 20
3.1.2 Các cuộc tấn công 20
3.2 Định nghĩa về tấn công DDoS 21
3.2.1 Định nghĩa 21
3.2.2 Các đặc tính của tấn công DDoS 21
3.2.3 Tấn công DDoS không thể ngăn chặn hoàn toàn 21
3.2.4 Kẻ tấn công khôn ngoan 22
3.4 Internet Relay Chat (IRC) 25
3.5 Botnets 26
3.5.1 Ý nghĩa của mạng BOT 26
3.5.2 Mạng BOT 27
3.5.3 Mạng Botnet 28
3.5.4 Mục đích sử dụng mạng Botnets 28
3.5.5 Các dạng của mạng BOT 29
3.5.6 Các bước xây dựng mạng BotNet? Cách phân tích mạng Bot 30
3.5.7 Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot 32
CHƯƠNG 4 CÁC KỸ THUẬT PHÒNG CHỐNG DoS/DDoS 33
4.1 Các kỹ thuật phát hiện: 34
4.1.1 Hồ sơ hóa hoạt động 34
4.1.2 Phân tích sóng 34
4.1.3 Phát hiện tuần tự điểm thay đổi 34
4.2 Các biện pháp phòng chống và đối phó với tấn công DoS/DDoS 35
4.2.1 Tối thiểu hóa số lượng Agent: 35
4.2.2 Tìm và vô hiệu hóa các Handler: 35
4.2.3 Hấp thụ tấn công 35
4.2.4 Cắt giảm các dịch vụ 36
4.2.5 Tắt các dịch vụ 36
4.3 Phát hiện dấu hiệu của một cuộc tấn công: 36
4.3.1 Agress Filtering: 36
Trang 54.4 Làm suy giảm hay dừng cuộc tấn công: 36
4.4.1 Load balancing: 37
4.4.2 Throttling: 37
4.4.3 Drop request: 37
4.4.4 Honeyspots: 37
4.5 Giai đoạn sau tấn công: 38
4.5.1 Traffic Pattern Analysis: 38
4.5.2 Packet Traceback: 38
4.5.3 Event Logs: 38
4.6 Bảo vệ tấn công DoS/DDoS từ cấp ISP 38
4.7 Kiểm tra khả năng chịu đựng của hệ thống 39
4.7.1 Kiểm tra thâm nhập tấn công từ chối dịch vụ 39
4.7.2 DoS Pen testing 39
KẾT LUẬN 40
Danh mục hình ản Hình 1 1 Sơ đồ thống kê phát hiện tội phạm trên Internet qua các năm 6
Hình 1 2 Biểu đồ điều tra về vi phạm hồ sơ 6
Hình 1 3 Biểu đồ các loại dữ liệu bị đánh cắp 7
Hình 2 1 Dạng tấn công Smurf sử dụng gói ICMP làm ngập các giao tiếp khác 17
Hình 3 1 Mô hình Agent Handler 22
Hình 3 2 Mô hình Tấn công DDoS dựa trên nền tảng IRC 23
Hình 3 3 Sơ đồ tấn công gây hết băng thông truy cập đến máy chủ 24
Hình 3 5 Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot 32
Hình 4 1 Các giai đoạn chi tiết trong phòng chống DDoS 33
Trang 6CHƯƠNG 1 TÌM HIỂU VỀ AN NINH MẠNG
1.1 Những số liệu thống kê về tội phạm mạng
1.1.1 Báo cáo phát hiện tội phạm trên Internet
Hình 1 1 Sơ đồ thống kê phát hiện tội phạm trên Internet qua các năm
1.1.2 Dữ liệu điều tra về vi phạm hồ sơ
Trang 71.1.3 Các loại dữ liệu bị đánh cắp từ các tổ chức
Hình 1 3 Biểu đồ các loại dữ liệu bị đánh cắp
1.2 KHÁI NIỆM VỀ HACKING
1.2.1 Các thuật ngữ quan trọng
- Giá trị của hack: Nó là quan niệm giữa các tin tặc, một cái gì đó có giá trị thực và
tạo nên sự thú vị
- Mục tiêu của việc đánh giá: Một hệ thống, sản phẩm hoặc một thành phần được
xác định, phải chịu một đánh giá về an ninh theo yêu cầu
- Tấn công: Một cuộc tấn công vào hệ thống an ninh bắt nguồn từ một mối đe dọa.
Một vụ tấn công là bất kỳ một hành động vi phạm nào
- Khai thác: Một định nghĩa về phá vỡ sự an toàn của một hệ thống CNTT thông
qua lỗ hổng bảo mật
- A Zero-day: Một mối đe dọa khi cố gắng khai thác các lỗ hổng mà người khác
không biết hoặc không được tiết lộ với các nhà phát triển phần mềm
Trang 8- Bảo mật: Trạng thái an toàn của thông tin và cơ sở hạ tầng, trong đó khả năng bị
mất cắp, giả mạo, sự gián đoạn thông tin và dịch vụ được giữ ở mức thấp hoặc có thểchấp nhận được
- Mối đe dọa: Một hành động hay sự kiện mà có thể ảnh hưởng đến an ninh Một lời
đe dọa là một hành vi tiềm tàng của bảo mật
- Tính dễ tổn thương: Là sự tồn tại của một điểm yếu, thiết kế hoặc triển khai có thể
dẫn đến một sự kiện bất ngờ và không mong muốn ảnh hưởng đến an ninh của hệ thống
- Daisy Chaining: Tin tặc thường biến mất khi hành vi trộm cắp cơ sở dữ liệu hoàn
thành Sau đó quay lại để che đậy hành vi của mình bằng cách phá hủy các nhật ký
1.2.2 Các yếu tố bảo mật thông tin
- Tính bảo mật: Đảm bảo rằng thông tin chỉ có thể truy cập với duy nhất những
người có thẩm quyền truy cập nó Lộ thông tin bí mật có thể xảy ra do xử lý dữ liệukhông đúng hoặc bị hack
- Tính toàn vẹn: Là tính không bị hiệu chỉnh của dữ liệu, đảm bảo thông tin đủ
chính xác để có thể dựa vào nó
- Tính sẵn sàng: Đảm bảo rằng các hệ thống chịu trách nhiệm cung cấp, lưu trữ và
xử lý thông tin có thể truy cập khi cần thiết bởi người sử dụng có thẩm quyền
1.2.3 Tính xác thực và không chối bỏ
- Tính xác thực
+ Xác thực dùng để chỉ các đặc tính của một tài liệu, thông tin liên lạc hoặc bất kỳ
dữ liệu đảm bảo chất lượng là chính xác hay không bị hỏng từ bản gốc
+ Vai trò chủ yếu của chứng thực bao gồm xác nhận rằng người dùng là ông hoặc bànào đó tuyên bố và đảm bảo thông tin là xác thực và không bị thay đổi hoặc giả mạo.+ Sinh trắc học, thẻ thông minh hoặc chứng thực số được sử dụng để đảm bảo tínhxác thực của dữ liệu, các giao dịch, thông tin liên lạc, tài liệu
Trang 9-Tính không chối bỏ
+ Nó đề cập đến khả năng để bảo đảm rằng một bêncủa hợp đồng hoặc giao tiếpkhông thể phủ nhận tính xác thực của chữ ký của họ trên một tài liệu hoặc gửi một thôngđiệp từ họ
+ Đó là một cách để bảo đảm rằng một người không thể phủ nhận họ đã gửi tin nhắn
và cũng không thể phủ nhận là đã nhận được tin nhắn
+ Chữ ký số và mã hóa thì được sử dụng để thiết lập tính xác thực và không chối bỏcủa tài liệu hoặc tin nhắn
1.2.4 Những vấn đề trong bảo mật
-Tam giác bảo mật
Mức độ bảo mật trong bất kỳ hệ thống nào, có thể được xác định bởi sức mạnh của
+ Tuân thủ các quy định của chính phủ
+ Tác động trực tiếp của vi phạm an ninh trên cơ sở tài sản và uy tín của công ty+ Khó khăn để tập trung bảo mật trong một môi trường tính toán phân tán
+ Sự phát triển của công nghệ tập trung vào tính dễ sử dụng
+ Tăng số lượng các ứng dụng dựa trên mạng
+ Tắng tính phức tạp của quản trị và quản lý cơ sở hạ tầng máy tính
1.2.5 Ảnh hưởng của hacking
Trang 10- Phá hủy dữ liệu và trộm cắp thông tin
- Tấn công sử dụng backdoors giống như Trojan, rootkits, virus để can thiệp sâu vào
- Theo nghiên cứu bảo mật của Symantec 2010, các cuộc tấn công của hacker vào
doanh nghiệp làm tổn thất 2,2 triệu độ trên năm
- Hành vi trộm cắp thông tin cá nhân của khách hàng có thể làm ảnh hưởng đến
danh tiếng của doanh nghiệp và sẽ bị kiện
- Hacking có thể sử dụng để ăn cắp và phân phối lại tài sản trí tuệ dẫn đến mất mát
trong kinh doanh
- Kẻ tấn công có thể ăn cắp bí mật của công ty và bán chúng cho đối thủ cạnh tranh,
thông tin tài chính quan trọng và bị rò rỉ cho các đối thủ
- Botnets có thể được sử dụng để khởi động các loại Dos khác nhau và các cuộc tấn
công dựa trên web có thể dẫn đến làm giảm thời gian và mất mát đáng kể doanh thu củadoanh nghiệp
1.2.6 Hacker là ai
- Đó là một người thông minh có kỹ năng máy tính tuyệt vời, với khả năng tạo ra và
khám phá phần mềm và phần cứng của máy tính
- Đối với một số tin tặc, hacking là một sở thích để xem nhiều máy tính và mạng
của họ có thể được thâm nhập vào hay không
- Mục đích của họ có thể đạt được kiến thức hoặc làm những việc bất hợp pháp
Trang 11- Một số hacking với mục đích xấu đằng sau các cuộc phiêu lưu của họ, chẳng hạn
như ăn cắp dữ liệu kinh doanh, thông tin thẻ tín dụng, số an ninh xã hội, mật khẩu, email,vv
-Các loại hacker
+ Mũ đen: Cá nhân có kỹ năng tính toán phi thường, để làm các hoạt động nguyhiểm hoặc phá hoại và cũng được biết đến như kẻ phá hoại
+ Mũ trắng: Cá nhân có kỹ năng hacker và sử dụng chúng nhằm mục đích phòng thủ
và cũng được biết đến như những người bảo mật
+ Mũ nâu: Cá nhân làm việc cả trong tấn công và phòng thủ ở những thời điểm khácnhau
+ Hacker tự sát: Cá nhân nhằm mục đích mang lại cơ sở quan trọng cho một
“nguyên nhân” nào đó Và họ cũng không phải lo lắng về các hành động của họ
-Tin tặc
+ Tin tặc làm ra các chương trình hack, đặc biệt là defacing và vô hiệu hóa các trangweb
+ Phát triển mạnh trong môi trường dễ dàng truy cập
+ Nhằm gửi một tin nhắn thông qua các hoạt động hacking của họ và đạt được khảnăng hiển thị của họ
+ Các mục tiêu phổ biến bao gồm các cơ quan chính phủ, các tập đoàn đa quốc gia,hoặc tổ chức nào đó được coi là xấu hay sai bởi các nhóm hoặc cá nhân
+ Nó vẫn là một thực tế, tuy nhiên, truy cập trái phép là phạm tội, không có gì làmmục đích
1.3 Các giai đoạn hacking
Trang 121.3.1 Giai đoạn 1 – Thăm dò
- Thăm dò đề cập đến gian đoạn chuẩn bị của một kẻ tấn công khi tìm kiếm thu thập
thông tin về một mục tiêu trước khi tung ra một cuộc tấn công
- Có thể là điểm lợi nhuận trong tương lai, lưu ý để dễ dàng chấp nhận cho một cuộc
tấn công khi mục tiêu được biết đến trên một quy mô rộng
- Thăm dò phạm vi mục tiêu có thể bao gồm khách hàng, nhân viên của các tổ chức,
Ví dụ: Các cuộc gọi đến bàn trợ giúp hoặc bộ phận kỹ thuật
1.3.2 Giai đoạn 2 – Quét dò tìm
- Trước khi tấn công: Quét đề cập đến giai đoạn trước khi tấn công khi kẻ tấn công
quát mạng lưới thông tin cụ thể trên cơ sở thu thập thông tin trong quá trình trinh sát
- Quét: Quét có thể bao gồm sử dụng trình quay số, quét cổng, lập bản đồ mạng,
quét rộng, quét lỗ hổng
- Trích xuất thông tin: Kẻ tấn công khai thác thông tin như tên máy tính, địa chỉ IP
và tài khoản người dùng để khởi động tấn công
Trang 131.3.3 Giai đoạn 3 – Truy cập
- Được truy cập đến điểm mà kẻ tấn công có được quyền truy cập vào hệ điều hành
hoặc các ứng dụng trên máy tính hoặc mạng
- Kẻ tấn công có thể leo thang để có được quyền điều khiển hoàn toàn hệ thống,
trong quá trình hệ thống trung gian kết nối với nó cũng bị tổn hại
- Kẻ tấn công có thể được truy cập ở mức hệ điều hành, mức độ ứng dụng, hoặc
mức độ mạng
- Ví dụ: bao gồm password cracking, buffer overflows, denial of service, session
hijacking, etc…
1.3.4 Giai đoạn 4 – Duy trì truy cập
- Duy trì truy cập đến giai đoạn khi kẻ tấn công cố gắng giữ lại quyền sở hữu hệ
thống
- Kẻ tấn công có thể ngăn chặn các hệ thống thuộc sở hữu của kẻ tấn công khác
bằng cách đảm bảo truy cập độc quyền của họ với backdoor, rootkits, Trojan
- Kẻ tấn công sử dụng hệ thống bị xâm nhập để khởi động các cuộc tấn công sau đó.
- Kẻ tấn công có thể tải lên, tải xuống, hoặc thao tác dữ liệu, ứng dụng và cấu hình
trên hệ thống
1.3.5 Giai đoạn 5 – Che dấu sự theo dõi
- Bao gồm các công việc liên quan đến việc che dấu các hoạt động được thực hiện
bởi một kẻ tấn công để che giấu hành vi độc hại
- Ý định của kẻ tấn công bao gồm: Tiếp tục truy cập vào hệ thống của nạn nhân, xóa
các bằng chứng có thể làm mình bị truy tố
Kẻ tấn công ghi đè lên các máy chủ, hệ thống và các ứng dụng để tránh bị nghi ngờ
Trang 14CHƯƠNG 2 DENIAL OF SERVICE (DOS) 2.1 Lịch sử của tấn công DoS.
2.2 Định nghĩa về tấn công DoS.
- Tấn công DoS là kiểu tấn công vô cùng nguy hiểm, để hiểu được nó ta cần phảilắm rõ định nghĩa của tấn công DoS và các dạng tấn công DoS
- Tấn công DoS là một kiểu tấn công mà một người làm cho một hệ thống không thể
sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bìnhthường, bằng cách làm quá tải tài nguyên của hệ thống
- Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng cốgắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người dùngbình thường đó là tấn công Denial of Service (DoS)
- Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thốngnhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp Như định nghĩatrên DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhất của hệ thống đểtấn công, những mục đích của tấn công DoS:
Trang 152.2.1 Các mục đích của tấn công DoS.
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệthống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bìnhthường
- Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịchvụ
- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
- Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào
- Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó nhưbị:
+ Disable Network - Tắt mạng
+ Disable Organization - Tổ chức không hoạt động
+ Financial Loss – Tài chính bị mất
2.2.2 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS.
Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tàinguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường đượcvậy các tài nguyên chúng thường sử dụng để tấn công là gì:
- Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên
- Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Timehay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS
- Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà,
hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp Bạn thửtưởng tượng khi nguồn điện vào máy chủ web bị ngắt thì người dùng có thể truy cập vàomáy chủ đó không
Trang 16- Phá hoại hoặc thay đổi các thông tin cấu hình.
- Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…
- Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làmcho mạng bị dớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ khác
- Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được kết nốivới nhau (mạng BOT)
- Tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn công Smurf
Trang 17Hình 2 1 Dạng tấn công Smurf sử dụng gói ICMP làm ngập các giao tiếp khác
2.3.2 Tấn công Buffer overflow.
- Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thôngtin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ
- Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và đánhcắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã nguy hiểm -Tấn công Buffer Overflow tôi đã trình bày cách khai thác lỗi này trong bài viết trước vềhacking windows cũng trên trang www.vnexperts.net
- Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể sẽ xảy
ra quá trình tràn bộ nhớ đệm
2.3.3 Tấn công Ping of Death.
- Kẻ tấn công gửi những gói tin IP lớn hơn số lương bytes cho phép của tin IP là
Trang 18- Quá trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở layer II.
- Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes Nhưng hệđiều hành không thể nhận biết được độ lớn của gói tin này và sẽ bị khởi động lại, hay đơngiản là sẽ bị gián đoạn giao tiếp
- Để nhận biết kẻ tấn công gửi gói tin lớn hơn gói tin cho phép thì tương đối dễdàng
2.3.4 Tấn công Teardrop.
- Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ
- Kẻ tấn công sử dụng sử dụng gói IP với các thông số rất khó hiểu để chia ra cácphần nhỏ (fragment)
- Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểu được, hệthống cố gắng build lại gói tin và điều đó chiếm một phần tài nguyên hệ thống, nếu quátrình đó liên tục xảy ra hệ thống không còn tài nguyên cho các ứng dụng khác, phục vụcác user khác
2.3.5 Tấn công SYN.
- Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công Để xử
lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối
- Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máychủ Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện Request TCPSYN và lúc này máy chủ không còn khả năng đáp lại - kết nối không được thực hiện
- Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP theo –Three-way
- Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn các gói TCPSYN tới máy chủ bị tấn công, địa chỉ IP nguồn của gói tin đã bị thay đổi và đó chính là
Trang 19- Quá trình TCP Three-way handshake được thực hiện: Khi máy A muốn giao tiếpvới máy B (1) máy A bắn ra một gói TCP SYN tới máy B – (2) máy B khi nhận được góiSYN từ A sẽ gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B gói ACK
và bắt đầu các giao tiếp dữ liệu
- Máy A và máy B sẽ dữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một quá trìnhTCP Three-way handshake lần nữa để thực hiện phiên kết nối tiếp theo để trao đổi dữliệu
- Thật không may kẻ tấn công đã lợi dụng kẽ hở này để thực hiện hành vi tấn côngnhằm sử dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu cầu Three-wayhandshake xuống rất nhỏ và không gửi lại gói ACK, cứ bắn gói SYN ra liên tục trongmột thời gian nhất định và không bao giờ trả lời lại gói SYN&ACK từ máy bị tấn công
- Với nguyên tắc chỉ chấp nhận gói SYN từ một máy tới hệ thống sau mỗi 75 giâynếu địa chỉ IP nào vi phạm sẽ chuyển vào Rule deny access sẽ ngăn cản tấn công này
Trang 20CHƯƠNG 3 DISTRIBUTED DENIAL OF SERVICE
- Vài ngày sau, một sự kiện tương tự diễn ra nhưng có phần “ồn ào” hơn do mộttrong các nạn nhân mới là hãng tin CNN, amazon.com, buy.com, Zdnet.com, E-trade.com, Ebay.com Tất cả các nạn nhân là những gã khổng lồ trên internet thuộc nhiềulĩnh vực khác nhau Theo Yankke Group, tổng thiệt hại do cuộc tấn công lên đến 1.2 triệuUSD, nhưng không đáng kể bằng sự mất mát về lòng tin của khách hàng, uy tín của cáccông ty là không thể tính được
- Làm đảo lộn mọi dự tính, thủ phạm là một cậu bé 15 tuổi người Canada, vớinickname “mafiaboy” Lại là một thiên tài bẩm sinh như Kevin Mitnick xuất hiện?Không Mafiaboy chỉ tìm tòi và download về một số chương trình công cụ của cáchacker Cậu đã dùng một công cụ DDos có tên là TrinOO để gây nên các cuộc tấn côngkiểu DDoS khủng khiếp trên Một điểm đáng lưu ý khác là Mafiaboy bị bắt do tự khoekhoang trên các chatroom công cộng, không ai tự truy tìm được dấu vết của cậu bé này
- Còn rất nhiều gã khổng lồ khác đã gục ngã dưới các cuộc tấn công kiểu DDoS sau
Trang 21nó nói lên một đặc điểm chết người của DDoS: “Rất dễ thực hiện, hầu như không thểtránh, hậu quả rất nặng nề”.
3.2 Định nghĩa về tấn công DDoS.
3.2.1 Định nghĩa.
là một dạng tấn công từ nhiều máy tính tới một đích, nó gây ra từ chối các yêu cầuhợp lệ của các user bình thường Bằng cách tạo ra những gói tin cực nhiều đến một đích
cụ thể, nó có thể gây tình trạng tương tự như hệ thống bị shutdown
3.2.2 Các đặc tính của tấn công DDoS.
- Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, và thườngdựa vào các dịch vụ có sẵn trên các máy tính trong mạng botnet
- Các dịch vụ tấn công được điều khiển từ những "primary victim" trong khi cácmáy tính bị chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn công thường đượcgọi là "secondary victims"
- Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiềuđịa chỉ IP trên Internet
- Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall Nếu
nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn
- Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS, và điềunày càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trên internet thựchiện tấn công DoS và đó được gọi là tấn công DDoS
3.2.3 Tấn công DDoS không thể ngăn chặn hoàn toàn.
- Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên các máytính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng Botnet gồmnhiều máy tính kết nối tới Internet
- Một tấn công DDoS được thực hiện sẽ rất khó để ngăn chặn hoàn toàn
