HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN Đề tài: Tìm hiểu dạng cơng DDoS Sinh viên thực hiện: TRẦN CAO MINH BÁCH AT150204 VŨ THỊ ÁNH AT150504 TRẦN THỊ DUNG AT150310 Nhóm Giảng viên hướng dẫn: ThS NGUYỄN MẠNH THẮNG Hà Nội, 09-2021 LỜI NĨI ĐẦU Với cơng nghệ phát triển tại, sở công nghệ thông tin xuất nhiều Đi với cơng ảnh hưởng đến việc đảm bảo tính sẵn sàng sản phẩm công nghệ thông tin Và DDoS loại công Việc ảnh hưởng nhiều đến sở hạ tầng công nghệ thông tin không phát triển kịp với thời đại công nghệ Nhiều công nhiều nhắm vào mục đích phá hoại dẫn đến ảnh hưởng nhiều đến kinh tế Bên cạnh mà giới ngày nhiều kết nối với sử dụng đến Internet Việc server khơng có khả hồi đáp cho người dùng hợp pháp mục tiêu kẻ công phương pháp DDoS Đề tài đề tài hay, đề cập đến vấn đề cũ vấn đề nhức nhối vấn đề mà nhà quản lý sở hạ tầng, nhân viên giám sát hệ thống phải cảnh giác cao độ LỜI CAM ĐOAN Tôi Trần Cao Minh Bách, mã số sinh viên AT150204, sinh viên lớp AT15B, khóa AT15 Người hướng dẫn ThS Nguyễn Mạnh Thắng Tôi xin thay mặt, cam đoan toàn nội dung trình bày đồ án Tìm hiểu dạng cơng DDoS kết q trình tìm hiểu nghiên cứu Các liệu nêu đồ án hoàn toàn trung thực, phản ánh kết đo đạc thực tế Mọi thông tin trích dẫn tuân thủ quy định sở hữu trí tuệ; tài liệu tham khảo liệt kê rõ ràng Tơi xin chịu hồn tồn trách nhiệm với nội dung viết đồ án Hà Nội, ngày 13 tháng 09 năm 2021 Người cam đoan Trần Cao Minh Bách MỤC LỤC DANH MỤC HÌNH VẼ i TÓM TẮT ĐỒ ÁN .ii CHƯƠNG 1: CÁC NỘI DUNG CƠ BẢN CỦA TẤN CÔNG DDOS 1.1 Tình hình chung giới 1.2 Khái niệm DDoS 1.3 Các giai đoạn công DDoS 1.3.1 Giai đoạn chuẩn bị 1.3.2 Giai đoạn xác định mục tiêu thời điểm công 1.3.3 Giai đoạn phát động cơng xóa dấu vết 1.4 Phân loại công từ chối dịch vụ phân tán 1.5 Mạng BOTNET 1.5.1 Khái niệm mạng Botnet 1.5.2 Mạng Internet Relay Chat 1.5.3 Botnet Mirai 1.5.4 Chương trình Bot BotNet 1.5.5 Mạng IRC Botnet 1.5.6 Các bước xây dựng mạng Botnet 1.5.7 Mơ hình cơng DDoS 10 1.5.8 Mơ hình cơng Agent – Hander 11 1.5.9 Mơ hình công IRC - Based 12 CHƯƠNG 2: CÁC KỸ THUẬT TẤN CÔNG DDOS 15 2.1 Tấn công làm cạn kiệt băng thông (Band with Deleption) 15 2.1.1 Tấn công tràn băng thông (Flood attack) 15 2.1.2 Tấn công khuếch đại (Amplification attack) 20 2.2 Tấn công làm cạn kiệt tài nguyên (Resoure Deleption) 24 2.2.1 Tấn công tràn SYN 24 2.2.2 SYN-ACK Flood 27 2.2.3 ACK & PUSH ACK Flood 27 2.2.4 Fragmented ACK Flood 28 2.2.5 Spoofed Session Flood 28 2.2.6 LAND attack 28 2.3 2.3.1 Các biến thể công DDOS 28 Tấn công kiểu Flash DDOS 28 2.3.2 Tấn công kiểu DRDoS 29 2.3.3 Tấn công DDoS điện thoại di động 30 2.3.4 Tấn công Ping of Death Attack 31 2.3.5 IP Null Attack 32 2.3.6 Recursive HTTP GET Flood 32 2.3.7 NXNS Attack 32 2.4 Công cụ công DDOS phổ biến 34 2.4.1 Công cụ công LOIC (Low Orbit Ion Canon) 34 2.4.2 Công cụ công XOIC 35 2.4.3 Công cụ công HULK (HTTP Unbearable Load King) 35 2.4.4 Công cụ công DDOSIM – Layer DDOS Simulator 35 2.4.5 Công cụ công R-U-Dead-Yet 36 2.4.6 Công cụ công PyLoris 36 2.4.7 Công cụ công OWASP DOS HTTP POST 36 2.4.8 Công cụ công DAVOSET 36 2.4.9 Công cụ công GoldenEye HTTP 36 KẾT LUẬN 37 Kết luận chung 37 Hướng phát triển 37 Tài liệu tham khảo 38 Phân công công việc 39 DANH MỤC HÌNH VẼ Hình Hình Hình Hình Hình 1: 2: 3: 4: 5: Mơ hình công DDoS Sơ đồ phân loại DDoS attack theo mục đích cơng Mơ hình mạng IRC Sơ đồ mơ hình công DDoS 10 Kiến trúc mơ hình cơng Agent- Handler 11 Hình Hình Hình Hình 6: 7: 8: 9: Kiến trúc mơ hình công IRC- Based 12 Mơ hình cơng Peer-to-Peer 13 Sơ đồ công kiểu tràn băng thông 15 Các tầng giao thức TCP/IP 16 Hình Hình Hình Hình Hình 10: 11: 12: 13: 14: Cấu trúc gói tin UDP 16 Sơ đồ công tràn UDP 17 Cấu trúc tổng quát gói tin ICMP 19 Sơ đồ công khuếch đại 20 Sơ đồ công kiểu Smurf 21 Hình Hình Hình Hình Hình 15: 16: 17: 18: 19: Sơ đồ công kiểu Fraggle 22 Sơ đồ công NTP 22 Sơ đồ công CHARGEN Flood 23 Sơ đồ hoạt động TCP 24 Sơ đồ trình bắt tay bước 26 Hình Hình Hình Hình Hình 20: 21: 22: 23: 24: Tấn công tràn SYN 27 Sơ đồ công Flash DDOS 29 Sơ đồ Ping of Death Attack 31 Sơ đồ công NXNS 32 Công cụ công LOIC 34 Hình 25: Cơng cụ công XOIC 35 i TÓM TẮT ĐỒ ÁN Đây báo cáo liên quan đến khái niệm chung DDoS Bên cạnh khái niệm loại công phổ biến nay, hacker sử dụng để công khai thác từ Với cấu trúc phần gồm: Chương 1: CÁC NỘI DUNG CƠ BẢN CỦA TẤN CÔNG DDOS Bao gồm tình hình chung giới cơng nghệ thơng tin với công DDoS, khái niệm chung thành phần tạo nên công DDoS thực tế Các khái niệm cung cấp nhìn chung DDoS Chương 2: CÁC KỸ THUẬT TẤN CƠNG DDOS Các kỹ thuật cơng đề cập chương này, từ kỹ thuật trở thành lỗi thời đến kỹ thuật cập nhật Bên cạnh đó, chương đề cập đến việc sử dụng phần mềm để khai thác lỗ hổng, nhằm tạo cơng DoS hay DDoS cách hồn tồn dễ dàng môi trường lab ii CHƯƠNG 1: CÁC NỘI DUNG CƠ BẢN CỦA TẤN CƠNG DDOS 1.1 Tình hình chung giới Các công DoS bắt đầu vào khoảng đầu năm 90 Đầu tiên, chúng hoàn toàn “nguyên thủy”, bao gồm kẻ công khai thác băng thông tối đa từ nạn nhân, ngăn người khác phục vụ Điều thực chủ yếu cách dùng phương pháp đơn giản Ping Floods, SYN Floods UDP Floods Sau đó, công trở nên phức tạp hơn, cách giả làm nạn nhân, gửi vài thông điệp nhằm để máy khác làm ngập máy nạn nhân với thông điệp trả lời (Smurf attack, IP spoofing…) Các cơng phải đồng hố cách thủ công nhiều kẻ công để tạo phá huỷ có hiệu Sự dịch chuyển đến việc tự động hoá đồng bộ, kết hợp tạo công song song lớn trở nên phổ biến từ 1997, với đời công cụ công DDoS công bố rộng rãi, Trinoo Nó dựa cơng UDP flood giao tiếp master-slave (khiến máy trung gian tham gia vào công cách đặt lên chúng chương trình điều khiển từ xa) Trong năm tiếp theo, vài công cụ phổ biến – TFN (tribe flood network), TFN2K Stacheldraht Tuy nhiên, từ cuối năm 1999 có báo cáo công vậy, đề tài công chúng biết đến sau công lớn vào site công cộng vào tháng 2/2000 - 2/2000, Yahoo! ( Một trang web tiếng ) bị công từ chối dịch vụ ngưng trệ hoạt động vòng đồng hồ Website Mail Yahoo GeoCities bị công từ 50 địa IP khác với yêu cầu chuyển vận lên đến gigabit/s - 8/2 nhiều Web site lớn Buy.com, Amazon.com, eBay, Datek, MSN, CNN.com bị công từ chối dịch vụ - Lúc tối ngày 9/2/2000 Website Excite.com đích vụ cơng từ chối dịch vụ, liệu gửi tới tấp vòng kết thúc Từ cơng DoS thường xun xảy ví dụ : - Vào ngày 15/8/2003, Microsoft chịu đợt công DoS cực mạnh làm gián đoạn websites vòng - Vào lúc 15:09 GMT ngày 27/3/2003: toàn phiên tiếng Anh website AlJazeera bị công làm gián đoạn nhiều 1.2 Khái niệm DDoS Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service attack- DDoS attack) hành động ngăn cản người dùng hợp pháp dịch vụ truy cập sử dụng dịch vụ đó, cách làm cho server khơng thể đáp ứng yêu cầu sử dụng dịch vụ từ client Nguồn công không đến từ máy tính Internet, mà đến từ hệ thống nhiều máy tính với địa IP khác (điểm khác công DoS DDoS) Mô hình cơng DDoS Xuất lần vào năm 1999, so với công DoS cổ điển, sức mạnh DDoS cao nhiều, nguồn cơng khơng đến từ máy tính cơng Dos mà đến từ Mơ hình cơng DDoS nhiều máy tính Hầu hết cơng DDoS nhằm vào việc chiếm dụng băng thông gây nghẽn mạng dẫn đến hệ thống ngưng hoạt động Tuy nhiên với phát triển thiết bị phần cứng hệ thống phịng thủ, dạng cơng DDoS ngày phức tạp Mơ hình cơng DDoS thơng minh, khơng chiếm dụng băng thơng, mà cịn khai thác lỗ hổng ứng dụng để công làm cạn kiệt tài nguyên hệ thống Những kiểu công đánh giá nguy hiểm hơn, chúng gây tổn hại trực tiếp đến sở liệu Mơ hình cơng DDoS 1.3 Các giai đoạn công DDoS 1.3.1 Giai đoạn chuẩn bị Chuẩn bị công cụ cho công, công cụ thông thường hoạt động theo mơ hình Client- Server Hacker viết phần mềm hay download cách dễ dàng mạng Tiếp theo, hacker chiếm quyền điều khiển máy tính mạng, tiến hành tải cài đặt ngầm chương trình độc hại máy tính Để làm điều này, hacker thường lừa cho người dùng click vào link quảng cáo có chứa Trojan, worm Kết thúc giai đoạn này, hacker có attack- network (một mạng máy tính ma phục vụ cho việc công DDoS) 1.3.2 Giai đoạn xác định mục tiêu thời điểm công Sau xác định mục tiêu cần công, hacker điều chỉnh attack-network chuyển hướng cơng mục tiêu Yếu tố thời điểm định mức độ thiệt hại cơng Vì vậy, phải hacker ấn định trước Giai đoạn phát động cơng xóa dấu vết Đúng thời điểm định trước, hacker phát động lệnh cơng từ máy Tồn attack - network (có thể lên đến hàng ngàn, hàng vạn máy) đồng loạt công mục tiêu, mục tiêu nhanh chóng bị cạn kiệt băng thơng khơng thể tiếp tục hoạt động Sau khoảng 1.3.3 thời gian cơng, hacker tiến hành xóa dấu vết truy ngược đến mình, việc địi hỏi trình độ cao hacker chuyên nghiệp 1.4 Phân loại công từ chối dịch vụ phân tán Các loại cơng DDoS có nhiều biến thể, nên việc phân loại có nhiều cách khác Tuy nhiên, giới chuyên môn thường chia kiểu công DDoS thành dạng chính, dựa vào mục đích kẻ công: - Tấn công DDoS làm cạn kiệt băng thông - Tấn công DDoS làm cạn kiệt tài nguyên hệ thống Sơ đồ phân loại DDoS attack theo mục đích cơng Ngồi việc phân loại trên, phân loại cơng DDoS dựa mơ hình OSI 07 tầng Xu hướng công DDoS cho thấy thủ phạm thường biến đổi cơng theo mơ hình OSI Các cơng phân loại sau: - Các công IP nhằm vào băng thông - công vào lớp Các công TCP máy chủ sockets - công vào lớp (tầng vận chuyển) - LISTEN: đợi yêu cầu kết nối từ TCP cổng xa (trạng thái thường TCP server đặt) - SYN-SENT: đợi TCP xa gửi gói tin TCP với cờ SYN ACK bật (trạng thái thường TCP client đặt) - SYN- RECEIVED: đợi TCP xa gửi lại tin báo nhận sau gửi cho TCP xa tin báo nhận kết nối (connection acknowledgment), trạng thái thường TCP server đặt - ESTABLISHED: cổng sẵn sàng gửi/nhận liệu với TCP xa ( trạng thái đặt TCP server client) - TIME-WAIT: đợi qua đủ thời gian để chắn TCP xa nhận tin báo nhận yêu cầu kết thúc kết nối (2) Q trình thiết lập kết nối TCP: Để thiết lập kết nối, TCP sử dụng quy tắc gọi bắt tay ba bước (three-way handshake) Trước client thử kết nối với server, server phải đăng ký cổng mở cổng cho kết nối, q trình gọi mở bị động Một mở bị động thiết lập client bắt đầu mở chủ động Để thiết lập kết nối, quy trình bắt tay ba bước xảy sau: - Client yêu cầu mở cổng dịch vụ cách gửi gói tin SYN (gói tin TCP) tới server, gói tin này, tham số sequence number gán cho giá trị ngẫu nhiên X - Server hồi đáp cách gửi lại phía client tin SYN-ACK, gói tin này, tham số acknowledgment number gán giá trị X+1, tham số sequence number gán ngẫu nhiên giá trị Y - Để hoàn tất trình bắt tay ba bước, client tiếp tục gửi tới server tin ACK, tin này, tham số sequence number gán cho giá trị X+1 tham số acknowledgment number gán giá trị Y+1 Tại thời điểm này, client server xác nhận rằng, kết nối thiết lập Trong điều kiện bình thường, gói tin SYN từ cổng cụ thể hệ thống A đến cổng cụ thể hệ thống B tình trạng LISTEN Vào thời điểm kết nối hệ thống B tình trạng SYN_RECEIVED Vào giai đoạn hệ thống B tìm cách gửi gói tin SYN/ACK cho hệ thống A Nếu ổn thỏa hệ thống A gửi trả gói tin ACK, kết nối chuyển sang tình trạng ESTABLISHED Dù có nhiều lúc chế chẳng có vấn đề gì, hệ thống có điểm yếu cố hữu để kẻ cơng lợi dụng thực công DoS Vấn đề đa số hệ thống phân phối số lượng tài nguyên định thiết lập kết nối tiềm tàng kết nối chưa thiết lập hẳn (SYN_RECEIVED) Tuy hệ thống chấp nhận hàng trăm kết nối vào cổng cụ thể (ví dụ cổng 80), lấy khoảng chục yêu cầu kết nối hết tài nguyên phân phối cho thiết lập kết nối Sơ đồ trình bắt tay bước Đây điểm mà kẻ cơng lợi dụng để vơ hiệu hóa hệ thống Kẻ công (hệ thống A) gửi gói tin SYN đến nạn nhân (hệ thống B) giả mạo địa IP hệ thống C ( hệ thống C không tồn thực tế) Lúc hệ thống B xử lý nào? Hệ thống B gửi gói tin SYN/ACK đến hệ thống C Giả sử hệ thống C tồn tại, gửi gói tin RST (reset packet) cho hệ thống B (vì khơng khởi động kết nối) Nhưng hệ thống khơng có thật, mà hệ thống B chẳng nhận gói tin RST từ hệ thống C Lúc đó, B đặt kết nối vào hàng đợi (SYN_RECEIVED) Do hàng đợi kết nối thường nhỏ nên kẻ cơng cần gửi vài gói tin SYN sau khoảng 10 giây vơ hiệu hóa hồn tồn cổng! Khái niệm cơng tràn SYN (SYN Flood Attack) Tấn công tràn SYN (SYN flood attack) dạng công từ chối dịch vụ, kẻ công gửi thành công SYN request đến hệ thống đích SYN flood kiểu cơng phổ biến Nó làmSơviệc định nguyên sau nhận SYN, trước nhận ACK đồ server trình bắt tayvị3 tài bước Kẻ công làm tràn ngập hệ thống nạn nhân với gói tin SYN Điều dẫn đến máy nạn nhân nhiều thời gian mở số lượng lớn phiên TCP, gửi SYN-ACK, đợi đáp ứng ACK không đến Bộ đệm phiên giao dịch TCP máy nạn nhân bị tràn, ngăn không cho phiên TCP thực mở SYN đến gửi tín hiệu kết nối trạng thái SYN - RECEIVED, trạng thái thời gian để chờ đợi xác nhận kết nối gói SYN/ACK Vì lý này, số kết nối với cổng (port) định trạng thái SYN - RECEIVED bị giới hạn Lợi dụng cách thức hoạt động phương thức TCP/IP, hacker bắt đầu trình thiết lập kết nối TCP/IP với mục tiêu muốn công mà khơng gửi trả gói tin ACK, khiến cho mục tiêu ln rơi vào trạng thái chờ đợi (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) liên tục gửi gói tin SYN/ACK để thiết lập kết nối Một cách khác giả mạo địa IP gói Sơ đồ q trình bắt tay bước tin yêu cầu thiết lập kết nối, trường hợp trên, máy tính đích rơi vào trạng thái chờ đợi gói tin SYN/ACK khơng thể đến đích IP đích khơng có thật Kiểu công tràn SYN hacker áp dụng để cơng hệ thống mạng có băng thơng lớn hệ thống hacker Một bị công tràn SYN, hệ thống bị công nhận vơ số gói SYN gửi đến, khả trả lời hệ thống lại có hạn hệ thống từ chối truy cập hợp pháp Tấn công tràn SYN 2.2.2 SYN-ACK Flood Theo logic kiểu công vector lợi dụng giao tiếp TCP máy chủ tạo gói tin SYN-ACK để xác nhận yêu cầu user Để thực công Hacker làm tải tài nguyên CPU RAM máy chủ cách gửi gói tin SYN-ACK giả mạo 2.2.3 ACK & PUSH ACK Flood Giao thức TCP yêu cầu giao thức bắt tay ba bước thiết lập kết nối máy chủ máy khách gói ACK PUSH ACK gửi qua lại phiên làm việc kết thúc Máy chủ bị công dạng xác định nguồn gốc gói tin bị làm sai lệch địa máy chủ lúc lãng phí khả xử lý cố gắng xác định cách xử lý chúng Tấn công tràn SYN 2.2.4 Fragmented ACK Flood Cuộc công knockoff kỹ thuật ACK & PUSH ACK Flood đề cập Nó tập trung vào việc xóa mạng đích với số lượng gói ACK bị phân mảnh tương đối nhỏ, có kích thước tối đa phép, thường 1500 byte gói Các thiết bị mạng định tuyến hết tài nguyên cố gắng lắp ráp lại gói Hơn nữa, gói bị phân mảnh vượt qua radar hệ thống ngăn chặn xâm nhập (IPS) Firewall 2.2.5 Spoofed Session Flood Để phá vỡ công cụ bảo vệ hệ thống mạng Firewall chả hạn, Hacker giả mạo phiên TCP hiệu cách gửi gói SYN giả mạo, loạt gói ACK gói RST (reset FIN (connection termination)) Chiến thuật cho phép Hacker lừa hệ thống phòng thủ giữ tab lưu lượng truy cập đến thay phân tích lưu lượng truy cập trở lại 2.2.6 LAND attack Để thực công Local Area Network Denial(Land), Hacker gửi SYN message chỉnh sửa địa IP nguồn đích giống Khi máy chủ cố gắng trả lời tin nhắn này, vào vòng lặp cách tạo lại câu trả lời cho điều dẫn đến kịch lỗi máy chủ đích cuối bị sập 2.3 Các biến thể công DDOS 2.3.1 Tấn công kiểu Flash DDOS Để thực công DDoS, hacker cần phải nắm quyền điều khiển nhiều máy tính tốt Sau đó, hacker trực tiếp phát động công hàng loạt từ xa thông qua kênh điều khiển Với quy mô mạng lưới công bao gồm hàng trăm ngàn máy tính, kiểu cơng đánh gục hệ thống Kết hợp với khả giả mạo địa IP, kiểu công khó để lần dấu vết kẻ cơng Tuy nhiên, DDoS có số nhược điểm sau: - Mạng lưới công mạng cố định cơng xảy đồng loạt nên điều tra tìm ngược kẻ cơng Phần mềm cài lên Agent giống dùng làm chứng kết tội kẻ công - Để phát động công, hacker phải trực tiếp kết nối đến mạng lưới máy tính ma thời điểm cơng, bị phát - Phía nạn nhân điều chỉnh hệ thống phịng vệ để ngăn chặn DDoS Sơ đồ công Flash DDOS Lưu ý: Biến thể khơng cịn tồn trình Flash dừng cung cấp, từ cách cơng khơng cịn thực tế Flash DDoS có số đặc tính khiến cho việc ngăn chặn phát gần không thể: -Kẻ công không cần phải nắm quyền điều khiển cài DDoS software vào Agent Thay vào đó, user với trình duyệt có hỗ trợ Flash player trở thành công cụ công -Số lượng Agent tùy thuộc vào số lượng user truy xuất website bị hacker “nhúng” nội dung flash, số lượng thay đổi theo thời gian hồn tồn khơng thể kiểm sốt - Khơng có q trình gửi lệnh nhận báo cáo hacker mạng lưới cơng, tồn lệnh công “nhúng” nội dung flash - Việc cơng diễn khơng cần có mệnh lệnh User load nội dung flash về, chạy máy họ trở thành attack Agent, liên tục gửi request đến nạn nhân 2.3.2 Tấn công kiểu DRDoS Sơ công đồ tấntừcông Tấn chốiFlash dịch DDOS vụ phản xạ phân tán (Distributed Reflection Denial of ServiceDRDoS) kiểu công nguy hiểm họ DDoS Nếu thực hacker có trình độ kinh nghiệm hạ gục hệ thống giới phút chốc Mục tiêu DRDoS chiếm toàn băng thông hệ thống nạn nhân, tức làm nghẽn hoàn toàn đường kết nối từ máy chủ vào internet làm tiêu hao tài nguyên máy chủ Trong suốt q trình máy bị cơng DRDoS, khơng máy khách kết nối vào máy chủ Tất dịch vụ chạy TCP/IP DNS, HTTP, FTP bị vơ hiệu hóa Về bản, DRDoS kết hợp kiểu DoS DDoS Nó vừa có kiểu cơng tràn SYN với máy tính đơn lẻ DoS, vừa có kết hợp nhiều máy tính để chiếm dụng băng thông DDoS Để thực DRDoS, kẻ công thực cách giả mạo địa IP mục tiêu gửi yêu cầu SYN đến server có tốc độ đường truyền lớn Google, Yahoo để server gửi gói tin SYN/ACK đến mục tiêu Các server lớn với đường truyền mạnh vơ tình đóng vai trị zombie cho kẻ cơng DDoS Q trình gửi lặp lại liên tục với nhiều địa IP giả từ kẻ công, với nhiều server lớn tham gia nên server mục tiêu nhanh chóng bị tải, băng thơng bị chiếm dụng server lớn Tính “nghệ thuật” cách công cần có máy tính với tốc độ kết nối trung bình (256Kbps), hacker lành nghề hạ gục server giây lát mà không cần chiếm đoạt thêm máy làm phương tiện để thực công! 2.3.3 Tấn công DDoS điện thoại di động Tương tự với DDoS web, phương thức công DDoS điện thoại di động khiến thuê bao liên tục phải nhận gọi đến Các thuê bao hợp lệ khác khơng thể gọi tới th bao bị cơng máy ln bận Th bao nạn nhân khó thực gọi ln có điện thoại gọi đến Ngoài ra, phổ biến thiết bị truy cập mạng cầm tay, điện thoại thơng minh (Smart Phone), máy tính bảng mở đường cho nhiều hình thức cơng Để tiến hành công, Hacker thường tạo Botnet di động Botnet di động thực mang đến lợi đáng kể so với Botnet truyền thống Điện thoại thông minh bị tắt nguồn, khiến Botnet đáng tin cậy hầu hết truy cập sẵn sàng đợi dẫn Tác vụ thông thường mà botnet thực bao gồm gửi thư rác hàng loạt, công DDoS gián điệp thông tin cá nhân hàng loạt Tất hoạt động khơng địi hỏi hiệu suất cao thực dễ dàng điện thoại thông minh Phần mềm độc hại Obad phát đáng ý lĩnh vực di động phân tán nhiều phương pháp, có botnet thiết lập sẵn Điện thoại thông minh tảng Android bị lây nhiễm Trojan- SMS.AndroidOs.Opfake.a biến thành nơi nhân bản, gửi tin nhắn văn có chứa liên kết độc hại đến tất số điện thoại có thiết bị nạn nhân Điều giống với cơng máy tính cá nhân dịch vụ phổ biến cung cấp chương trình huy Botnet (botnet-herder) Phần mềm độc hại có lẽ phần mềm linh hoạt tìm thấy nay, gồm tổng cộng ba lỗ hổng: backdoor, tin nhắn Trojan SMS, khả bot nhiều chức khác 2.3.4 Tấn công Ping of Death Attack Ping of Death kỹ thuật công làm tải hệ thống mạng cách gửi gói tin ICMP có kích thước vượt q 65.536 byte đến mục tiêu Do kích thước lớn kích thước cho phép gói tin IP nên chia nhỏ gửi phần đến máy đích Khi đến mục tiêu, ráp lại thành gói tin hồn chỉnh, có kích thước mức cho phép, gây tràn nhớ đệm bị treo Theo báo cáo kỹ thuật công bố tuần này, kỹ thuật cơng BlackNurse cịn biết đến tên truyền thống hơn: “tấn công gây lụt ping” dựa truy vấn ICMP Type (hay lỗi Đích tới Khơng thể truy cập – Destination Unreachable) Code (lỗi Cổng Không thể truy cập – Port Unreachable) Được mệnh danh kỹ thuật công BlackNurse – Y Tá Đen hay công tốc độ thấp “Ping of Death“, kỹ thuật sử dụng để phát động hàng loạt công từ chối dịch vụ DDoS khối lượng thấp cách gửi gói tin ICMP hay “ping” để làm ngập xử lý máy chủ Ngay máy chủ trang bị thiết bị tường lửa tiếng, chúng bị đánh gục kẻ công khai thác kỹ thuật Sơ đồ Ping of Death Attack Một số máy tính ngưng hoạt động, reboot bị crash gởi gói data ping với kích thước lớn đến chúng Ở kiểu DDoS attack Ping of Death , ta cần gửi gói liệu có kích thước lớn thơng qua lệnh ping đến máy đích hệ thống họ bị treo Nhưng kiểu cơng khơng cịn khả dụng tường lửa hệ thống phát xâm nhập chống công thuộc dạng 2.3.5 IP Null Attack Kiểu công thực cách gửi loạt gói tin chứa IPv4 headers không hợp lệ Thủ thuật Hacker để giá trị headers NULL Một số máy chủ khơng thể xử lý gói tin hỏng cách lãng phí tài nguyên chúng cố gắng tìm cách xử lý chúng dẫn đến tình trạng từ chối dịch vụ 2.3.6 Recursive HTTP GET Flood Để trì cơng, Hacker tạo request tới tất đường link website máy chủ sau kiểm tra câu trả lời lặp lại yêu cầu đường link trang web để làm cạn kiệt tài nguyên máy chủ Việc khai thác trông giống truy vấn hợp pháp khó xác định để ngăn chặn cơng kiểu 2.3.7 NXNS Attack NXNS Attack hoạt động cách gửi yêu cầu truy cập tên miền kẻ cơng kiểm sốt (ví dụ: "attacker.com") đến máy chủ phân giải DNS tồn lỗ hổng, máy chủ chuyển tiếp truy vấn DNS đến máy chủ có thẩm quyền kẻ cơng kiểm sốt Thay trả lại địa cho máy chủ có thẩm quyền thực tế, máy chủ có thẩm quyền kẻ cơng kiểm sốt trả lời truy vấn DNS với danh sách tên máy chủ giả tên miền phụ kiểm soát mà trỏ đến tên miền DNS nạn nhân Sau đó, máy chủ DNS chuyển tiếp truy vấn đến tất tên miền phụ không tồn tại, tạo lưu lượng truy cập lớn đến trang web nạn nhân Sơ đồ công NXNS Tra cứu DNS đệ quy xảy máy chủ DNS giao tiếp với nhiều máy chủ DNS có thẩm quyền theo trình tự phân cấp để xác định địa IP liên kết với tên miền (ví dụ www.google.com) trả lại cho máy khách Quá trình phân giải thường bắt đầu trình phân giải DNS điều khiển ISP máy chủ DNS công cộng, Cloudflare (1.1.1.1) Google (8.8.8.8), tùy theo cấu hình hệ thống Trình phân giải chuyển yêu cầu đến máy chủ tên DNS có thẩm quyền khơng thể định vị địa IP cho tên miền định Nhưng máy chủ tên DNS có thẩm quyền không giữ ghi mong muốn, trả thơng báo ủy quyền có địa cho máy chủ có thẩm quyền mà trình phân giải DNS truy vấn Q trình phân cấp diễn trình phân giải DNS đến máy chủ có thẩm quyền cung cấp địa IP tên miền, cho phép người dùng truy cập trang web mong muốn Các nhà nghiên cứu nhận thấy việc bị khai thác để lừa trình phân giải đệ quy liên tục gửi số lượng lớn gói tin đến tên miền mục tiêu thay máy chủ có thẩm quyền hợp pháp Theo nhà nghiên cứu, để thực cơng thơng qua trình phân giải đệ quy, kẻ công phải sở hữu máy chủ có thẩm quyền, tức mua tên miền – vốn dễ dàng NXNSAttack hoạt động cách gửi yêu cầu truy cập tên miền kẻ cơng kiểm sốt (ví dụ: "attacker.com") đến máy chủ phân giải DNS tồn lỗ hổng, máy chủ chuyển tiếp truy vấn DNS đến máy chủ có thẩm quyền kẻ cơng kiểm sốt Thay trả lại địa cho máy chủ có thẩm quyền thực tế, máy chủ có thẩm quyền kẻ cơng kiểm sốt trả lời truy vấn DNS với danh sách tên máy chủ giả tên miền phụ kiểm soát mà trỏ đến tên miền DNS nạn nhân Sau đó, máy chủ DNS chuyển tiếp truy vấn đến tất tên miền phụ không tồn tại, tạo lưu lượng truy cập lớn đến trang web nạn nhân Các nhà nghiên cứu cho biết cơng khuếch đại số lượng gói trao đổi trình phân giải đệ quy lên tới 1.620, khơng làm ngập trình phân giải DNS với nhiều yêu cầu mức chúng xử lý, mà cịn làm ngập tên miền mục tiêu với yêu cầu không cần thiết làm sập trang web Hơn nữa, sử dụng botnet Mirai làm máy khách DNS tăng thêm quy mô công Các quản trị viên mạng chạy máy chủ DNS khuyến cáo cập nhật phần mềm trình phân giải DNS lên phiên Với máy chủ DNS chạy Windows, Microsoft khuyến cáo kích hoạt RRL (Response Rate Limit – Hạn chế phản hồi) máy chủ DNS để khắc phục vấn đề 2.4 Công cụ công DDOS phổ biến 2.4.1 Công cụ công LOIC (Low Orbit Ion Canon) Đây công cụ công phổ biến cung cấp miễn phí mạng Internet Công cụ sử dụng kẻ cơng nhóm Anonymous để cơng hệ thống mạng công ty lớn năm 2013 Anonymous khơng sử dụng cơng cụ mà cịn dẫn dụ người sử dụng Internet vào mạng lưới IRC để lợi dụng cơng DDOS Cơng cụ lợi dụng để cá nhân riêng lẻ công máy chủ nhỏ Đây công cụ dễ dàng sử dụng cho người bắt đầu Kiểu cơng thực cách gửi gói tin UDP, TCP hay yêu cầu HTTP tới máy nạn nhân Kẻ công cần biết địa URL hay địa IP máy chủ Công cụ có chế độ HIVEMIND, sử dụng để điều khiển từ xa hệ thống LOIC để vận hành công Chức sử dụng để điều khiển máy tính khác nằm hệ thống zombie Cơng cụ sử dụng hai chức công DDOS chống lại công DDOS máy chủ trang mạng Nhược điểm LOIC không ẩn địa IP Nếu kẻ cơng có kế hoạch sử dụng LOIC để công, cần phải ý tới vấn đề Sử dụng proxy khơng giúp ích nhiều proxy khơng phải mục tiêu máy chủ Công cụ công LOIC Công cụ công LOIC 2.4.2 Công cụ công XOIC Công cụ thực công sở địa IP chọn cổng, giao thức để công XOIC cho mạnh LOIC XOIC sử dụng dễ dàng để công trang mạng máy chủ Công cụ viết kiểm tra phương thức Sau đến dạng cơng DDOS Cuối cách công sử dụng TCP/HTTP/UDP/ ICMP XOIC thường sử dụng để công trang mạng, máy chủ nhỏ Công cụ công XOIC 2.4.3 Công cụ công HULK (HTTP Unbearable Load King) HULK cơng cụ tinh vi, có khả tạo khối lượng truy cập lớn làm “ngẽn” máy chủ Công cụ sử dụng nhiều kỹ thuật khác để tránh bị phát cơng Nó tạo danh sách agent, agent gửi truy vấn ngẫu nhiên HULK có khả giả mạo danh tính vượt qua nhớ đệm để truy vấn trực tiếp vào kho liệu máy chủ Một thử nghiệm HULK máy chủ web IIS 7, ram gb HULK “hạ gục” máy chủ vịng phút 2.4.4 Cơng cụ công DDOSIM – Layer DDOS Simulator DDOSIM cơng cụ cơng DDOS phổ biến Nó sử dụng với mạng lưới máy chủ zombie Tất máy chủ zombie tạo kết nối TCP đầy đủ đến máy mục tiêu DDOSIM viết C++ chạy hệ thống Linux Các tính DDOSIM gồm: - Giả lập số zombie công - Sử dụng địa IP ngẫu nhiên; Sử dụng kiểu công kết nối TCP Tấn công lớp ứng dụng HTTP DDOS sử dụng truy vấn hợp lệ HTTP DDOS sử dụng truy vấn không hợp lệ SMTP DDOS - Làm tràn kết nối TCP cổng ngẫu nhiên 2.4.5 Công cụ công R-U-Dead-Yet Tor’s Hammer công cụ viết Python Công cụ chạy thông mạng TOR ẩn danh thực công Đây cơng cụ thực hiệu có khả làm tê liệt Apache IIS server vòng vài giây 2.4.6 Công cụ công PyLoris PyLoris thường sử dụng để kiểm tra máy chủ Nó sử dụng để thực công DDOS số dịch vụ mạng Công cụ sử dụng proxy SOCKS kết nối SSL để thực cơng Nó có nhằm tới mục tiêu giao thức khác như: HTTP, FPT, SMTP, IMAP Telnet Phiên công cụ kèm với giao diện đơn giản dễ sử dụng Không giống cơng cụ cơng DDOS, cơng cụ trực tiếp truy cập dịch vụ 2.4.7 Công cụ công OWASP DOS HTTP POST Đây công cụ hiệu công DDOS Ngồi ra, cơng cụ cịn sử dụng để kiểm tra máy chủ web có khả chống lại cơng DDOS hay khơng Bên cạnh đó, OWASP DOS HTTP POST tạo cho công DDOS trang mạng 2.4.8 Công cụ công DAVOSET DAVOSET công cụ lợi dụng lỗ hổng XML, kết hợp với việc tạo mạng lưới zombies để công Công cụ thường xuyên cung cấp sẵn khoảng 170 zombie 2.4.9 Công cụ công GoldenEye HTTP Đây công cụ đơn giản hiệu công DDOS; phát triển Python GoldenEye HTTP sử dụng để kiểm tra khả chống lại công DDOS KẾT LUẬN Kết luận chung - Đưa khái niệm lý thuyết cơng DDOS - Phân loại phân tích kiểu công DDOS Hướng phát triển Nghiên cứu vấn đề DDOS nghiên cứu động, liên tục Kẻ cơng ln tìm cách đổi hình thức kỹ thuật để đối phương bất ngờ, khơng kịp đối phó Trong khi, kỹ thuật phịng chống, chưa có giải pháp thật hữu hiệu Bài tốn phịng chống tốn khó khơng tổ chức sử dụng Internet mà quốc gia, tập đồn lớn, đặc biệt DDOS có nguy ngày phổ biến, trở thành loại “vũ khí” đe dọa an ninh, kinh tế quốc gia Tài liệu tham khảo [1] Phyllis, J (n.d.) A Survey: DDOS Attack on Internet of Things [2] AL-Musawi, B Q (n.d.) MITIGATING DoS/DDoS ATTACKS USING IPTABLES [3] Day, N (n.d.) Analyzing behavior of DDoS attacks to identify DDoS detection features in SDN [4] Sekar, V (n.d.) Large-scale Automated DDoS detection System [5] Specht, S M (n.d.) Distributed Denial of Service: Taxonomies of Attacks, Tools and Countermeasures [6] Tzvetanov, K (n.d.) DDoS Tutorial [7] Zaroo, P (n.d.) A Survey of DDoS attacks and some DDoS defense mechanisms [8] DDoS HANDBOOK (n.d.) [9] Yadav, V (n.d.) Detection techniques of DDoS attacks: A survey [10] Chakunta Venkata Guru Rao, Manoj Kumar Singh,Gubbala China Satyanarayana (n.d.) A Survey on Defense Mechanisms countering DDoS Attacks in the Network [11] K Munivara Prasad, A Rama Mohan Reddy & K.Venugopal Rao (n.d.) DoS and DDoS Attacks: Defense, Detection and Traceback Mechanisms -A Survey Phân công cơng việc Trần Cao Minh Bách Leader Tìm kiếm tài liệu Dựng lab Vũ Thị Ánh - Làm slide báo cáo Trần Thị Dung - Làm slide báo cáo ... giới công nghệ thông tin với công DDoS, khái niệm chung thành phần tạo nên công DDoS thực tế Các khái niệm cung cấp nhìn chung DDoS Chương 2: CÁC KỸ THUẬT TẤN CÔNG DDOS Các kỹ thuật công đề cập... 2: CÁC KỸ THUẬT TẤN CƠNG DDOS 2.1 Tấn công làm cạn kiệt băng thông (Band with Deleption) 2.1.1 Tấn công tràn băng thông (Flood attack) Trong công tràn băng thông, Agent gửi lượng lớn gói tin. .. CHƯƠNG 2: CÁC KỸ THUẬT TẤN CÔNG DDOS 15 2.1 Tấn công làm cạn kiệt băng thông (Band with Deleption) 15 2.1.1 Tấn công tràn băng thông (Flood attack) 15 2.1.2 Tấn công khuếch