BÀI TẤN CÔNG TỪ CHỐI DỊCH VỤ Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội 1 Nội dung • Khái niệm chung • Một số kỹ thuật cơng DoS điển hình • Phịng chống cơng DoS 2 DOS LÀ GÌ? Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội 3 DoS gì? • Denial of Service: Ngăn cản dịch vụ cung cấp tới người dùng bình thường • Cách thức thực hiện: Gửi lượng liệu đủ lớn làm tải nút thắt cổ chai (bottleneck) hệ thống  Lưu lượng công lớn băng thông mục tiêu,  Số lượng gói tin lớn khả xử lý mục tiêu  Có thể kết hợp khai thác lỗ hổng phần mềm cung cấp dịch vụ  Các kỹ thuật DoS tìm cách khuếch đại lưu lượng • DDoS-Distributed DoS: công thực nhiều nguồn khác nhau:  Thường sử dụng botnet • Có thể xảy tất tầng hệ thống mạng 4 Phân loại • Tấn cơng vật lý: gây cố nguồn điện, kết nối mạng • Tấn công băng thông: gửi liên tục lượng lớn gói tin làm tràn ngập băng thơng nạn nhân  Thường sử dụng kỹ thuật khuếch đại  Ví dụ: Ping of Death, Smurf attack, DNS Amplification, UDP Flood • Tấn cơng tài ngun hệ thống: Gửi lượng lớn yêu cầu làm cạn kiệt tài nguyên nạn nhân  Thường khai thác điểm yếu giao thức  Ví dụ: Tear drop, TCP SYN Flood, HTTP Flood, DHCP Starvation • Tấn cơng dựa khai thác lỗ hổng phần mềm  Buffer Overflow  Integer Overflow  Format String 5 Sự phát triển hình thức DoS – Point-to-point DoS • TCP SYN floods, Ping of death, etc Time – – – – – Reflection/Amplification DoS Coordinated DoS Multi-stage DDoS Sử dụng P2P botnets botnet Amplification attacks 6 Reflection/Amplification DoS Kẻ cơng gửi gói tin giả mạo nạn nhân tới mạng khuếch đại Mạng khuếch đại gửi liệu trả lời cho nạn nhân Nạn nhân bị đánh sập phải xử lý lượng liệu cực lớn Attacker’s machine Reflectors (Amplifiers) Victim 7 Coordinated DoS • Hình thức mở rộng DoS Attackers’ machines • Phối hợp nhiều nguồn công khác – Thường sử dụng dịch vụ IRC Victims 8 Triển khai DDoS Attacker’s machine Masters (C&C server) Slaves (botnet) Victim 9 Triển khai DDoS Attacker’s machine Masters (C&C servers) Slaves (botnet) Lây nhiễm Điều khiển Lưu lượng công Victim 10 10 Triển khai DDoS sử dụng P2P botnet Zombies (P2P) Attackers Attackers Attackers Lan truyền P2P Điều khiển Lưu lượng công Victim 11 11 Distributed Reflection DoS (DRDoS) • Relector: nút mạng có khả gửi hồi đáp nhận thông điệp yêu cầu  Trên lý thuyết, tất giao thức có hồi đáp lợi dụng • DRDoS gửi yêu cầu tới reflector với địa nguồn địa nạn nhân  Reflector gửi thông điệp hồi đáp cho nạn nhân • DrDoS thường sử dụng giao thức mà thơng điệp hồi đáp có kích thước lớn nhiều thông điệp yêu cầu khuếch đại lưu lượng • Tại DRDOS nguy hiểm?  Che giấu nguồn cơng  Khơng cần địi hỏi số lượng bot lớn 12 12 DRDoS 13 13 Tại DoS khó phịng chống? • Kỹ thuật cơng đơn giản • Mạng Internet khơng thiết kế để chống lại cơng DoS • Dễ dàng để xâm nhập điều khiển máy tính người dùng đầu cuối  2010: BredoLab(30tr bot), Mariposa(12tr.), Conficker(10tr.)  Xu hướng mới: sử dụng thiết bị IoT (VD: Mirai-300K) • Rất khó phân biệt lưu lượng cơng lưu lượng người dùng thơng thường • Thiếu phối hợp ISP • Rất khó để triển khai biện pháp phòng chống 14 14 Một số cơng DoS điển hình Thời gian Mục tiêu Lưu lượng Kỹ thuật 03/2013 Spamhaus ~300 Gbps DNS Amp Attack 09/2016 Blog Brian Krebs ~600 Gbps SYN, GET, POST Flooding 09/2016 OVH Công ty hosting Pháp ~1 Tbps Multiple type 03/2018 Đối tác Arbor Network ~ 1.7 Tbps Memcached amplification 02/2020 Amazon Web Service ~2.3 Tbps Multiple type Xem thêm: • pic.twitter.com/XmlwAU9JZ6 • Kaspersky DDOS intelligence report • Verisign DDoS Trends Report 15 15 MỘT SỐ KỸ THUẬT TẤN CƠNG DOS Bùi Trọng Tùng, Viện Cơng nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội 16 16 MỘT SỐ KỸ THUẬT TẤN CƠNG DOS Bùi Trọng Tùng, Viện Cơng nghệ thơng tin Truyền thông, Đại học Bách khoa Hà Nội 17 17 Teardrop • Lợi dụng chế phân mảnh giao thức IP  Offset cho biết vị trí mảnh tin gói tin ban đầu 1399 Offset = 0/8 = 0 1400 2800 3999 1400 2799 Offset = 1400/8 = 175 2800 3999 Offset = 2800/8 = 350 Kẻ cơng gửi mảnh có giá trị Offset chồng lên 18 18 Tấn cơng lợi dụng giao thức ICMP • Ping of Death: gửi liên tục gói tin ICMP có kích thước tối đa (xấp xỉ 64 KB) • Smurf attack 19 19 TCP SYN Flooding • Kẻ cơng gửi hàng loạt gói tin SYN với địa nguồn địa IP giả • Server gửi lại SYN/ACK, chuẩn bị tài nguyên để trao đổi liệu, chờ ACK thời gian time-out  công thành công thời gian time-out làm cạn kiệt tài nguyên ứng dụng, máy chủ vật lý Client (initiator) Server Server chờ ACK từ client Kẻ công không gửi lại ACK 20 10 20 Low rate TCP SYN Flood C S SYNC1 SYNC2 SYNC3 SYNC4 SYNC5 • Lợi dụng: sau gửi gói tin SYN/ACK để chấp nhận kết nối, nạn nhân lưu giữ trạng thái kết nối hàng đợi  Đặt time-out • Kỹ thuật cơng: gửi số lượng gói tin SYN đủ lớn thời gian time-out để làm đầy hàng đợi Kích thước hàng đợi mặc định:  Linux 1.2.x: 10  WinNT 4.0:  FreeBSD 2.1.5: 128 21 21 Phòng chống LR SYN Flood • Giải pháp tồi: tăng kích thước hàng đợi, giảm thời gian chờ time-out • Giải pháp khác: lọc theo địa IP  Nếu tồn nút mạng sử dụng địa IP giả mạo gói tin SYN, nhận gói tin SYN/ACK, nút mạng gửi gói tin RST tới nạn nhân  nạn nhân xóa kết nối khỏi hàng đợi kẻ cơng sử dụng địa IP chắn chưa sử dụng Giải pháp phịng chống: bỏ qua gói tin SYN có địa IP nguồn địa chưa sử dụng • Đánh giá tính hiệu quả? 22 11 22 SYN cookie • Giải pháp hiệu để chống LR SYN Flood • Server khơng lưu giữ trạng thái kết nối • Gửi gói tin SYN/ACK với giá trị Seq# SYN cookie  T (5bit): đếm bit tăng sau 64s(chống công phát lại)  MSS(3 bit): giá trị MSS sử dụng  L = MACkey(SAddr, SPort, DAddr, DPort, SNC, T)  SNC : Seq# gói tin SYN gửi từ client • Client thông thường gửi lại: Ack# = SYN Cookie + • Server xác thực: (SYN Cookie) xor (SYN Cookie + 1) chỉ khởi tạo socket cấp phát tài nguyên để xử lý kết nối xác thực thành cơng • Khơng hiệu để chống Massive Connection Flood • Seq# dễ đốn 23 23 Phịng chống Massive SYN Flood • Sử dụng Content Delivery Network(Prolexic, CloudFlare) • Ý tưởng: chuyển tiếp kết nối TCP thiết lập tới hệ thống Lots-of-SYNs Lots-of-SYN/ACKs Prolexic Proxy Few ACKs Forward to site Web site • Tấn cơng TCP Connection Flood? 24 12 24 Kỹ thuật công opt-ack • Lợi dụng chế kiểm soát tắc nghẽn TCP: “Càng nhiều ACK báo nhận, tốc độ gửi cao” A B Nếu B “thuyết phục” A gửi với tốc độ cao A tự cơng DoS 25 25 Kỹ thuật cơng opt-ack A(victim) B(attacker) Nếu B đốn giá trị SEQ thời điểm A gửi, B gửi ACK sớm hơn.(Tại cần đốn đúng?) “Hay quá! Mình gửi nhanh nữa.” X Thậm chí, gói tin bị tắc nghẽn khơng ảnh hưởng tới kịch công, miễn B gửi ACK 26 13 26 Hệ số khuếch đại • Kỹ thuật cơng opt-ack có khả khuếch đại lưu lượng cơng gói tin ACK có kích thước nhỏ nhiều so với gói tin mang liệu mà nạn nhân phải gửi • Hơn nữa, TCP sử dụng ACK tích lũy • Số lượng gói tin ACK lớn mà kẻ cơng gửi: ă ℎơ ủ ( ) × (14 + 20 + 20) Tiêu đề Ethernet Tiêu đề TCP Tiêu đề IP • Lưu lượng lớn nạn nhân gửi nhận ACK í ℎ ℎướ ổ × (14 + 20 + 20 + ) 27 27 Hệ số khuếch đại – Ví dụ • Mỗi gói tin ACK kẻ cơng gửi: 54 byte • Lưu lượng nạn nhân phải gửi:  Kích thước cửa sổ mặc định: 65.536 byte  Kích thước MSS mặc định: 1460 65536 × 14 + 20 + 20 + 1460 ≈ 68.000 1460 • Hệ số khuếch đại í ℎ ℎướ ổ × (14 + 20 + 20 + × (14 + 20 + 20) ) • Với thơng số trên, hệ số khuếch đại ≈ 1258 lần • Hệ số khuếch đại tăng lên hai bên thỏa thuận sử dụng giá trị MSS nhỏ 88 • Hệ số khuếch đại tăng nạn nhân hỗ trợ chế mở rộng cửa sổ(window scaling) 28 14 28 Phòng chống cơng opt-ack • Sử dụng giá trị thử thách ngẫu nhiên(challenge nonces) gói tin gửi Yêu cầu client phải gửi ACK với giá trị đáp ứng  Khơng khả thi(Tại sao?) • Hạn chế băng thơng cho liên kết TCP  Khơng hiệu quả(Tại sao?) • Thiết lập lại kết nối gửi ACK cửa sổ  Làm tăng nguy công RTS Injection  khơng phù hợp • Tạm giữ, khơng gửi gói tin ngẫu nhiên 29 29 Phịng chống cơng opt-ack • Tạm giữ, khơng gửi gói tin ngẫu nhiên  Nếu bên gửi bình thường, không gửi ACK báo nhận  Nếu bên gửi công, gửi ACK báo nhận thành công  Đánh giá giải pháp? A Honest receiver A Skips Skips SEQ# = 2801 SEQ# = 2801 Atacker Aha, you cheat! 30 15 30 DNS Amplification • Lợi dụng:  DNS sử dụng giao thức UDP không cần thiết lập kết nối  Kích thước DNS Response lớn hớn nhiều DNS Query DNS Query SrcIP: victim (60 bytes) DoS Source EDNS Reponse (3000 bytes) DNS Server DoS victim • 2006: 580 nghìn DNS resolver miễn phí Internet • 2013: 21.7 triệu DNS resolver miễn phí • Thực tương tự với dịch vụ: NTP(x557), SNMPv2(x6.3), NetBIOS(3.8), SSDP(x30.8)… 31 31 Phát giảm thiểu • Hạn chế hoạt động Open DNS Resolver  Chỉ trả lời truy vấn xuất phát từ mạng  Hạn chế số lượng thông điệp DNS Response gửi tới client • Chặn truy vấn có địa IP khơng nằm mạng 32 16 32 Các kỹ thuật thực HTTP Flood • Basic HTTP Floods: gửi yêu cầu truy cập liên tục tới trang giống • Randomized HTTP Floods: gửi yêu cầu truy cập tới trang cách ngẫu nhiên Cache-bypass HTTP Floods: sử dụng kỹ thuật vượt qua chế cache máy chủ WordPress XMLRPC Floods: lợi dụng có chế pingback WordPress để thực kỹ thuật công phản hồi 33 33 Randomized HTTP Flood • Gửi số lượng lớn HTTP Request tới Webserver • Ví dụ: cơng vào Github năm 2015 honest end user github.com popular server inject imageFlood.js imageFlood.js function imgflood() { var TARGET = 'victim-website.com/index.php?’ var rand = Math.floor(Math.random() * 1000) var pic = new Image() pic.src = 'http://'+TARGET+rand+'=val' } setInterval(imgflood, 10) 34 17 34 Randomized HTTP Floods – Ví dụ 35 35 Tại Layer DoS khó bị phát • Layer DoS dựa giao thức HTTP, thực công qua kết nối TCP thiết lập:  Không thể sử dụng kỹ thuật phát ngăn chặn TCP  Địa IP tồn thực gói tin IP hợp lệ  khơng thể phát dựa phân tích bất thường gói tin IP • Lưu lượng cơng thấp • Truy cập công không khác biệt nhiều với truy cập thông thường 36 18 36 SSL/TLS handshake Client Hello Server Hello (pub-key) RSA Encrypt Web Server Client key exchange RSA Decrypt Lợi dụng đặc điểm trình bắt tay SSL/TLS: tốc độ giải mã chậm 10 lần tốc độ mã hóa • Liên tục gửi thơng điệp u cầu nạn nhân thực lại giai đoạn thỏa thuận giao thức(Client key exchange) • Phịng chống: tắt tính hỗ trợ thỏa thuận lại giao thức 37 37 PHÒNG CHỐNG VÀ GIẢM THIỂU TẤN CÔNG DOS Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội 38 19 38 Phòng chống cơng DoS • Chống cơng DoS vào phần cứng Hệ thống cất giữ: Phịng máy, tủ mạng, camera… • Chống công DoS khai thác lỗ hổng phần mềm: Kiểm thử xâm nhập (Penetration Testing) Cập nhật, vá lỗ hổng phần mềm • Chống cơng DoS vào tài ngun tính tốn: Triển khai firewall, IDPS Thiết lập thơng số cấu hình hệ thống Sử dụng kỹ thuật thách đố (Ví dụ: CAPTCHA) 39 39 Phịng chống cơng DoS • Chống cơng DoS vào băng thơng: Mở rộng băng thông Cân tải (Load Balancing) Đối với ISP: Chống công từ nguồn Triển khai firewall, IDPS • Phát nguồn cơng: Truy vết nguồn công Phát ngăn chặn mã độc botnet: triển khai IDPS, firewall 40 20 40 Kỹ thuật thách đố client • Ý tưởng: làm chậm lưu lượng cơng • Server u cầu client thực giải đố vấn đề tương đối khó Ví dụ:  Tìm X với C cho trước cho: LSBn ( SHA-1( C || X ) ) = 0n  Client phải vét cạn 2n giá trị  Ví dụ với n = 16, 0.3 giây để tìm X với CPU có tốc đọo 1GHz • Khi phát bị công, yêu cầu tất client kết nối tới phải giải đố 41 41 Kỹ thuật thách đố client – Ví dụ • Chống cơng TCP connection floods  C giá trị Seq gói tin SYN/ACK  Gói liệu client gửi tới phải trả lời giá trị X • Chống cơng vào trình bắt tay SSL/TLS  C SSL/TLS session ID  Server kiểm tra X client gửi tới trước giải mã • Tương tự,… 42 21 42 Kỹ thuật thách đố client – Hạn chế • Khó xác định giá trị n phù hợp ứng dụng client chạy nhiều tảng khác nhau:  PC  Smartphone  Thin PC (VD: thiết bị cảm biến)  Giải quyết: sử dụng tốn cần tài ngun nhớ thay tài nguyên CPU • Yêu cầu phải thay đổi ứng dụng phía(client-server) 43 43 Sử dụng CAPTCHAs • Ý tưởng: xác định yêu cầu kết nối có thực người dùng khởi tạo khơng • Ứng dụng: chống công DoS tầng ứng dụng (L7 DoS) 44 22 44 Kiểm tra địa nguồn • Hầu hết kỹ thuật công sử dụng địa giả mạo làm địa nguồn • Giải pháp ISP: chuyển tiếp gói tin có địa nguồn mạng ISP quản lý • Khó khăn:  Tất ISP phải triển khai giải pháp • Thực tế:  2014: 25% AS bị giả mạo, 13% không gian địa IP bị giả mạo  Tấn công vào Spamhaus(03/2013): kẻ công cần giả mạo dải địa IP 45 45 Truy vết cơng • Mục tiêu: Dựa lưu lượng cơng để xác định đường lưu lượng • Ý tưởng: ghi nhớ tuyến đường(các router chuyển tiếp) vào gói tin • Cơ sở:  Router khó bị cơng  tin tưởng  Tuyến đường thay đổi • Khó khăn: u cầu gói tin sử dụng nhiều byte để lưu trữ thơng tin 46 23 46 Cách thức giải • Mỗi gói tin cơng lưu thơng tin liên kết • Thông tin cần lưu: A1  Liên kết: start IP end IP  Khoảng cách: số hop tính từ địa A2 R6 A3 R7 A4 A5 R8 startIP liên kết • Xử lý router R: tạo kiện với xác suất p if (xảy kiện) startIP  R distance  else if distance = endIP  R R9 R10 R12 V distance  distance+1 47 47 Truy vết công – Ví dụ packet s e d R1 packet R2 R1 R3 packet R1 R2 packet R1 R2 48 24 48 Xây dựng đường công • Truy xuất thơng tin từ gói tin • Xây dựng đồ thị nạn nhân  Mỗi giá trị (start, end, distance) cung cấp thông tin chặng • Vấn đề: khơng có tác dụng với dạng công refletion 49 49 Bài giảng sử dụng số hình vẽ ví dụ từ giảng: • Computer and Network Security, Stanford University • Computer Security, Berkeley University • Introduction to Computer Security, Carnegie Mellon University 50 25 50