BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THƠNG I  Chuyên đề Tấn công từ chối dịch vụ DoS/DDoS Nhóm 21 Giảng viên hướng dẫn: TS Hồng Trọng Minh Sinh viên thực hiện: Nguyễn Trung Hải – B18DCVT128 Phạm Văn Quyết – B18DCVT344 Nguyễn Như Minh Vương – B18DCVT448 Hà Nội – 2022 MỤC LỤC LỜI NÓI ĐẦU THUẬT NGỮ VIẾT TẮT Chương 1: Giới thiệu chung công từ chối dịch vụ DoS/DDoS 1.1 Khái niệm 1.1.1 Tấn công từ chối dịch vụ DoS 1.1.2 Tấn công từ chối dịch vụ phân tán DDoS 1.2 Mục đích 1.3 Đặc điểm 1.4 Dấu hiệu nhận biết 1.5 Cách thức hoạt động 1.6 Một số ví dụ công DoS/DDoS Việt Nam giới Chương 2: Cách thức công DoS/DDoS vào websites 2.1 Cách thức công DoS/DDoS 2.1.1 Tấn công làm cạn kiệt băng thông 2.1.2 Tấn công làm cạn kiệt tài nguyên 12 2.1.3 Tấn công sở hạ tầng 13 2.1.4 Tấn công Zero-day 13 2.2 Cách công vào websites 13 2.2.1 Tấn công vào máy chủ cài webserver 14 2.2.2 Tấn công trực tiếp vào Websites 15 Chương 3: Các giải pháp phịng tránh cơng DoS/DDoS 16 3.1 Tối thiểu hóa số lượng Agent 16 3.2 Tìm vơ hiệu hóa Handler 17 3.3 Phát dấu hiệu công 17 3.4 Làm suy giảm hay dừng công 17 3.5 Chuyển hướng công 18 KẾT LUẬN 20 TÀI LIỆU THAM KHẢO 21 LỜI NÓI ĐẦU Trong thập kỷ gần đây, chứng kiến phát triển bùng nổ công nghệ thông tin truyền thông Đặc biệt phát triển mạng lưới Internet kéo theo hàng loạt trang mạng (websites) ứng dụng trang mạng cung cấp nhiều tiện ích cho người sử dụng từ tìm kiếm, tra cứu thơng tin đến thực giao dịch cá nhân, trao đổi kinh doanh, mua bán, toán hàng hoá, dịch vụ, thực giao dịch vụ cơng cộng… Có thể nói Internet trở thành thứ gần gữi cấp thiết sống Tuy nhiên, phát triển mạnh mẽ mạng Internet công nghệ thông tin nói chung, vấn đề an tồn, an ninh, bảo mật thông tin trở thành vấn đề thách thức lớn Thách thức lớn có nhiều kẻ xấu tìm cách khai thác thơng tin cá nhân, thông tin quan trọng người dùng qua cách thức khác Một cách thức hoạt động công từ chối dịch vụ (DDoS), thủ đoạn phổ biến tội phạm nhằm cản trở gây rối loạn hoạt động mạng máy tính, mạng viễn thông, mạng internet, thiết bị số Ngày nay, sống hàng ngày ta bắt gặp công, phá hoại DDoS nhằm vào trang mạng Chính phủ, trang mạng báo điện tử, doanh nghiệp, công ty hay trang web trường học gây nhiều hậu nghiêm trọng tải sản lẫn uy tín Dù có cơng tác đấu tranh phòng, chống loại hành vi nhiều vấn đề bất cập Các lực lượng cảnh sát phòng, chống tội phạm sử dụng công nghệ cao lực chuyên trách đấu tranh phịng, chống tội phạm sử dụng cơng nghệ cao người dùng sử dụng mạng Internet cần cung cấp cho thân kiến thức cách phòng tránh kẻ có ý đồ xấu Vì vậy, nhóm em lựa chọn đề tài: “Tấn cơng từ chối dịch vụ DoS/DDoS”, với mục đích tìm hiểu, bổ sung kiến thức công từ chối dịch vụ để thân người có thêm kinh nghiệm, kiến thức đối phó với loại hình công mạng THUẬT NGỮ VIẾT TẮT Tên viết tắt CPU DDoS DNS DoS HTTP HVA ICMP IP MIB Tên đầy đủ Central Processing Unit Distributed Denial of Service Domain Name System Denial of Service Hypertext Transfer Protocol Hacker Vietnam Association Internet Control Message Protocol TCP UDP Internet Protocol Management Information Base Simple Network Management Protocol Transmission Control Protocol User Datagram Protocol URL Uniform Resource Locator SNMP US-CERT United States Computer Emergency Readiness Team Định nghĩa Bộ xử lý trung tâm Tấn công từ chối dịch vụ phân tán Hệ thống phân giải tên miền Tấn công từ chối dịch vụ Giao thức truyền tải siêu văn Hiệp hội hacker Việt Nam Giao thức thơng báo kiểm sốt internet Giao thức internet Cơ sở thông tin quản lý Giao thức quản lý mạng đơn giản Giao thức điều khiển truyền vận Giao thức liệu người dùng Hệ thống định vị tài nguyên thống Nhóm sẵn sàng khẩn cấp máy tính Hoa Kỳ Chương 1: Giới thiệu chung công từ chối dịch vụ DoS/DDoS 1.1 Khái niệm 1.1.1 Tấn công từ chối dịch vụ DoS Tấn công từ chối dịch vụ DoS công nhằm làm sập máy chủ mạng, khiến người dùng khác truy cập vào máy chủ/mạng Kẻ cơng thực điều cách "tuồn" ạt lưu lượng liệu gửi thơng tin kích hoạt cố đến máy chủ, hệ thống mạng mục tiêu, từ khiến người dùng hợp pháp (nhân viên, thành viên, chủ tài khoản) truy cập dịch vụ, tài ngun họ mong đợi Hình 1.1: cơng từ chối dịch vụ DoS Nạn nhân công DoS thường máy chủ web tổ chức cao cấp ngân hàng, doanh nghiệp thương mại, công ty truyền thơng, trang báo, mạng xã hội Ví dụ, bạn nhập vào URL website vào trình duyệt, lúc bạn gửi yêu cầu đến máy chủ trang để xem Máy chủ xử lý số yêu cầu định khoảng thời gian, kẻ công gửi ạt nhiều yêu cầu đến máy chủ làm bị tải yêu cầu bạn không xử lý Đây kiểu “từ chối dịch vụ” làm cho bạn khơng thể truy cập đến trang Kẻ cơng sử dụng thư rác để thực công tương tự tài khoản email bạn Dù bạn có tài khoản email công ty hay dùng dịch vụ miễn phí Gmail bị giới hạn số lượng liệu tài khoản Bằng cách gửi nhiều email đến tài khoản bạn, kẻ công làm đầy hịm thư đến ngăn chặn bạn nhận mail khác 1.1.2 Tấn công từ chối dịch vụ phân tán DDoS Tấn công từ chối dịch vụ phân tán DDoS nỗ lực làm sập dịch vụ trực tuyến cách làm tràn ngập với lưu lượng liệu từ nhiều nguồn Hình 1.2: Tấn cơng từ chối dịch vụ phân tán DDoS Khi DDoS, kẻ cơng sử dụng máy tính bạn để cơng vào máy tính khác Bằng cách lợi dụng lỗ hổng bảo mật không hiểu biết, kẻ giành quyền điều khiển máy tính bạn Sau chúng sử dụng máy tính bạn để gửi số lượng lớn liệu đến website gửi thư rác đến địa email Đây kiểu cơng phân tán kẻ cơng sử dụng nhiều máy tính, bao gồm có máy tính bạn để thực cơng DoS Mặc dù DDoS cung cấp chế độ cơng phức tạp dạng công mạng khác, chúng ngày mạnh mẽ tinh vi Có ba loại cơng bản:  Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng  Protocol: Tập trung vào việc khai thác tài nguyên máy chủ  Application: Tập trung vào ứng dụng web xem loại công tinh vi nghiêm trọng Như ta thấy cơng từ chối dịch vụ phân tán DDoS nguy hiểm khó ngắn chặn so với DoS So với DoS có hệ thống nhắm mục tiêu vào hệ thống nạn nhân thí DDoS, hệ thống nạn nhân khơng bị công từ mà bị nhiều hệ thống cơng Khơng vây với cơng DDoS cịn thực hiên nhiều vị trí bới nhiều hệ thống kiến cho cơng DDoS diễn nhanh hơn, nguy hiểm khó ngăn chặn DoS Recommended for you Document continues below BOOK Summaries - Summary Investments 10 Investments 100% (2) RSM330 Notes 46 Investments (formerly MGT330H1) 100% (2) Summary investments book investments bodie kane marcus Financial Economics 100% (1) 1Dgm Eila SLG 4Jh Ip Wmix 1g d333392 f152948 d695f2aef74a4b49f1 Google-UX-Design-… An toàn ứng dụng web sở liệu 80% (5) 1.2 Mục đích Với việc làm cho hệ thống bị cơng, bị q tải, cạn kiệt tài ngun DoS/DDoS gây tác hại cho cá nhân tổ chức như:     Hệ thống, máy chủ bị DoS/DDoS sập khiến người dùng không truy cập Doanh nghiệp sở hữu máy chủ, hệ thống bị doanh thu, chưa kể đến khoản chi phí cần phải bỏ để khắc phục cố Khi mạng sập, công việc yêu cầu mạng thực hiện, làm gián đoạn công việc, ảnh hưởng đến hiệu suất công việc Nếu người dùng truy cập website bị sập ảnh hưởng đến danh tiếng công ty, website sập thời gian dài người dùng bỏ đi, lựa chọn dịch vụ khác thay Đối với vụ cơng DDoS kỹ thuật cao dẫn đến việc lấy trộm tiền bạc, liệu khách hàng công ty 1.3 Đặc điểm Để nhận biết hệ thống có bị cơng DOS/DDOS hay khơng, chúng rút hai đặc điểm bật sau :  Vấn đề quan trọng nhóm người tự động cơng máy chủ máy tính từ nhiều máy tính lúc Lượng liệu khổng lồ khiến tài nguyên máy chủ không đủ, khiến máy chủ bị sập ngừng hoạt động Các tài nguyên máy tính chủ bị cạn kiệt nghiêm trọng, tức sử dụng CPU tăng lên, vấn đề tải nhớ sử dụng băng thông tăng lên, v.v  Băng thông tài nguyên hữu ích mạng máy tính Việc sử dụng băng thông yếu tố quan trọng hơn, truyền thông tin qua mạng Khi công DDoS phát động mạng, việc sử dụng băng thơng tăng lên làm chậm q trình truy cập liệu tồn mạng 1.4 Dấu hiệu nhận biết US-CERT xác định dấu hiệu công từ chối dịch vụ gồm:     Mạng thực thi chậm khác thường mở tập tin hay truy cập vào website Không thể sử dụng website cụ thể Không thể truy cập bất ki website Tăng lượng thư rác nhận Không phải tất dịch vụ nhừng hoạt động cho dù kết hoạt động nguy hại công từ chối dịch vụ DoS/DDoS dẫn tới vấn đề mạng hệ thống bị ttấn cơng Ví dụ DoS/DDoS làm việc sưe dụng băng thông mạng tăng lên không làm tổn hại đến hệ thống bị cơng mà cịn làm tổn hại đến tồn mạng Hai cơng có điểm khác biệt sau: Thiết bị công Vị trí cơng Thời gian cơng Lưu lượng truy cập công Khả ngăn chặn công Khả theo dõi công DoS Chỉ thiết bị tống công vào hệ thống nạn nhân Hệ thống bị công Load từ gói liệu gửi từ vị trí Chậm Một lượng nhỏ lưu lượng công Dễ dàng bị ngăn chặn dụng hệ thống DDoS Nhiều thiết bị lúc công hệ thống nạn nhân Hệ thống bị công Load từ gói liệu gửi từ nhiều vị trí Nhanh Một lượng lớn lưu lượng cơng Rất khó ngăn chặn nhiều thiết bị gửi gói tin từ nhiều vị trí Các cơng dễ theo Các cơng khó dõi theo dõi Bảng 1: so sánh công DoS DDoS 1.5 Cách thức hoạt động Tài nguyên mạng (chẳng hạn máy chủ web) có giới hạn thống yêu cầu mà chúng tham gia lúc Ngoài giới hạn dung lượng máy chủ, kênh kết nối máy chủ với internet có băng thơng dung lượng bị giới hạn Khi số lượng yêu cầu vượt giới hạn dung lượng thành phần sở hạ tầng, mức dịch vụ bị ảnh hưởng theo cách sau: Việc phản hồi yêu cầu chậm nhiều so với bình thường  Một số tất yêu cầu người dùng bị bỏ qua  Theo nguyên tắc chung, mục đích kẻ cơng tránh hồn tồn hoạt động bình thường tài nguyên web, hoàn toàn "từ chối" dịch vụ Kẻ cơng u cầu tốn để dừng cơng Trong số trường hợp, mục tiêu cơng DDoS làm uy tín gây thiệt hại cho hoạt động kinh doanh đối thủ cạnh tranh Để gửi số lượng cực lớn yêu cầu đến tài nguyên nạn nhân, tội phạm mạng thường thiết lập mạng bị nhiễm độc gồm máy tính bị nhiễm Khi kẻ phạm tội kiểm soát hành động máy tính bị nhiễm mạng nhiễm độc, quy mơ lớn cơng áp đảo tài nguyên web nạn nhân Ngoài ra, Các cơng thực nhằm vào thiết bị mạng bao gồm công vào thiết bị định tuyến, web, thư điện tử hệ thống DNS, 1.6 Một số ví dụ công DoS/DDoS Việt Nam giới Ngày 01/12/2005 Website Hacker lớn Việt Nam HVA bị công “chiêu thức” xFlash với tốc độ công khoảng 16.000 syn/s Đây vụ công Từ Chối Dịch Vụ Việt Nam Nguyễn Thành Công tức DantruongX (Đắk Lắk) công vào website công ty Việt Cơ vào ngày 12/03/2006 bị bắt vào ngày 28/04/2006.Đây vụ công Việt Nam bị pháp luật xử lý DantruongX tác giả loại code DDoS mạnh Việt Nam nay, với 10 PC đánh sập website 10 phút Ngày 31/7/2006, sinh viên năm thứ bị đơn vị phịng chống tội phạm cơng nghệ cao thuộc C15 Bộ Cơng an bắt giữ tiến hành cơng từ chối dịch vụ Kẻ “thủ ác” quản trị số diễn đàn âm nhạc lợi dụng PC thành viên để đánh phá website “nạn nhân” thời gian dài Hacker trẻ tuổi dùng phương pháp xFlash để công máy chủ công ty phần mềm Nhân Hòa thời gian dài Tháng – 1999 Trang chủ FBI ngừng họat động cơng DDoS 8-2-2000 nhiều Web site lớn Buy.com, Amazon.com, eBay, Datek, MSN CNN.com bị công từ chối dịch vụ Lúc 10h 30 ngày 7-2-2000 Yahoo bị công từ chối dịch vụ ngưng trệ hoạt động vòng đồng hồ Web site Mail Yahoo GeoCities bị công từ 50 địa IP khác với yêu cầu chuyển vận lên đến 1Gbps Chương 2: Cách thức công DoS/DDoS vào websites 2.1 Cách thức cơng DoS/DDoS Với loại hình cơng từ chối dịch vụ DDoS có nhiều cách để phân loại theo cách đơn giản nhất, chia làm loại dựa theo mục đích công: “Tấn công làm cạn kiệt băng thông; công làm cạn kiệt tài nguyên; công sở hạ tầng; cơng Zero-day” Hình 2.1: Phân loại kiểu công DdoS 2.1.1 Tấn công làm cạn kiệt băng thông Tấn công làm cạn kiệt băng thông (BandWith Depletion) thiết kế nhằm làm tràn ngập mạng mục tiêu với lưu lượng liệu không cần thiết, với mục đích làm giảm tối thiểu khả lưu lượng liệu hợp lệ đến hệ thống cung cấp dịch vụ mục tiêu Có hai lại công làm cạn kiệt băng thông:  Tấn công tràn băng thông (Flood attack)  Tấn công khuếch đại (Amplification attack) a Tấn công tràn ngập băng thông Trong phương pháp này, Agent gửi lượng lớn IP traffic làm hệ thống dịch vụ mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái hoạt động bão hoà Làm cho người dùng thực hệ thống không sử dụng dịch vụ Hình 2.2: Mơ hình minh họa công tràn ngập băng thông Trong công tràn băng thơng chia thành hai loại:  UDP Flood Attack: Kẻ công gửi số lượng lớn packets User Datagram Protocol (UDP) đến server để công, lượng request vượt ngưỡng cho phép dẫn đến khả xử lý yêu cầu user, lúc xảy tình trạng từ chối dịch vụ  ICMP Flood Attack:Kẻ công cố gắng tràn ngập thiết bị mục tiêu gói tin ICMP request/reply, mục tiêu phải xử lý trả lời gói tin, sử dụng tài nguyên máy tính người dùng hợp lệ khơng thể phục vụ 10 Hình 2.3: Mơ hình UDP Flood Attack Hình 2.4: Mơ hình ICMP Flood Attack 11 b Tấn công khuếch đại Amplification Attack nhắm đến việc sử dụng chức hỗ trợ địa IP broadcast router nhằm khuếch đại hồi chuyển công Chức cho phép bên gửi định địa IP broadcast cho toàn subnet bên nhận thay nhiều địa Router có nhiệm vụ gửi đến tất địa IP subnet packet broadcast mà nhận Hình 2.5: Mơ hình cơng khuếch đại Kẻ cơng gửi broadcast packet trực tiếp hay thơn gqua số Agent nhằm làm gia tăng cường độ công Nếu kẻ công trực tiếp gửi packet, lợi dụng hệ thống bên broadcast network Agent Có thể chia Amplificaiton attack làm loại:  Smuft attack: Kẻ công nhắm đến server gói tin ICMP theo cách gửi yêu cầu IP giả mạo máy chủ nạn nhân gửi gói tin đến máy mạng, máy sau nhận u cầu phản hồi lại gói tin trả lời đến máy nạn nhân mở rộng tán công lên dẫn đến máy chủ tải từ chối dịch vụ xảy  Fraggle attack: Kẻ công sử dụng lượng lớn lưu lượng UDP vào mạng phát sóng router Nó giống công Smurf, sử dụng UDP nhiều ICMP 2.1.2 Tấn công làm cạn kiệt tài nguyên Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack) kiểu cơng kẻ cơng gửi packet dùng protocol sai chức thiết kế, hay gửi packet với dụng ý làm tắc nghẽn tài nguyên mạng làm cho tài nguyên không phục vụ người dùng thông thường khác 12 a Protocol Exploit Attack Kẻ công lợi dụng điểm yếu chuỗi kết nối TCP kết nối khơng hồn thành hồn chỉnh tiêu thụ tất tài nguyên có sẵn server để làm cho server khơng có đủ lưu lượng để truy cập hợp pháp Kẻ cơng áp đảo server mục tiêu cách gửi liên tục nhiều tin yêu cầu kết nối SYN, khiến máy Client đáp ứng lưu lượng đáp ứng chậm chạp Có hai loại Protocol Exploit Attack:  TCP SYN Attack  PUSH ACK Attack b Malformed Packet Attack Malformed Packet Attack cách công dùng Agent để gửi packet có cấu trúc khơng chuẩn nhằm làm cho hệ thống nạn nhân bị treo Có hai loại Malformed Packet Attack:  IP address attack  IP packet options attack 2.1.3 Tấn công sở hạ tầng Loại công DDoS thảm khốc cơng sở hạ tầng Mục đích công làm hư hại yếu tố quan trọng Internet Do đó, khơng nhắm vào băng thơng mạng mà cịn tài nguyên (bộ nhớ, CPU) hệ thống đích 2.1.4 Tấn công Zero-day Zero-day DDoS Attacks tên đặt cho phương pháp công DDoS mới, khai thác lỗ hổng chưa vá Các tổ chức bảo mật công ty phần mềm tư nhân khác đưa khuyến khích phần thưởng để báo cáo lỗ hổng Tác động dấu hiệu loại công cho đếnn công thực 2.2 Cách công vào websites Hiện công DDoS nhắm vào trang web thực thường xuyên hình thức ngày phức tạp Dưới thống kê trang web bị công DoS/DDoS 13 Hình 2.6: Thống kê trang web bị công DDoS 2.2.1 Tấn công vào máy chủ cài webserver Để cơng vào website kẻ công thông thường nhắm đến máy chủ đặt website đó, số hình thức cơng phổ biến: a UDP Flood UDP (User Datagram Protocol) giao thức kết nối không tin cậy Một cơng gây ngập lụt UDP bắt đầu cách gửi số lượng lớn gói tin UDP tới cổng ngẫu nhiên máy chủ kết máy chủ sẽ:  Kiểm tra ứng dụng với cổng;  Thấy khơng có ứng dụng nghe cổng;  Trả lời ICMP Destination Unreachable gói Như vậy, hệ thống nạn nhân bị buộc nhận nhiều gói tin ICMP, dẫn đến khả xử lý yêu cầu khách hàng truy cập thông thường Những kẻ công giả mạo địa IP gói tin UDP, đảm bảo ICMP gói trở lại mức khơng tiếp nhận họ nặc danh hóa vị trí mạng họ Hầu hết hệ điều hành giảm nhẹ phần công cách hạn chế tốc độ phản ứng ICMP gửi b SYN Flood Kiểu công TCP SYN Flood kiểu công trực tiếp vào máy chủ cách tạo số lượng lớn kết nối TCP khơng hồn thành kết nối Một người dùng bình thường kết nối tới máy chủ ban đầu thực Request TCP SYN lúc máy chủ khơng cịn khả đáp lại – kết nối không thực 14 c Reflected Attack Reflected Attack hay cịn gọi cơng ánh xạn thực cách gửi nhiều gói tin với địa giả mạo đến nhiều máy tính tốt Các máy tính nhận gói tin trả lời, tung tin trả lời tới địa nạn nhân bị giả mạo Tất nhiên máy tính cố gắng trả lời làm trang web bị ngập lụt đến tài nguyên máy chủ bị cạn kiệt d Unitentional DDoS Unitentional DDoS hay cịn gọi gia tăng khơng chủ ý Nó xảy có tăng đột biến lưu lượng web khiến máy chủ xử lý tất yêu cầu đến Càng nhiều lưu lượng truy cập xảy ra, nhiều tài nguyên sử dụng Điều khiến thời gian tải trang hết hạn cuối server không phản hồi ngừng kết nối e Slowloris Loại công từ chối dịch vụ phân tán khó để phát hạn chế Sự việc đáng ý vụ tất công bầu cử tổng thống Iran năm 2009 Loại cơng có kĩ thuật tương tự SYN flood (tạo nửa kết nối để làm cạn kiệt tài nguyên máy chủ) diễn lớp HTTP (lớp ứng dụng) Để công, tin tặc gửi yêu cầu HTTP đến máy chủ, khơng gửi tồn u cầu, mà gửi phần (và bổ sung nhỏ giọt, để khỏi bị ngắt kết nối) Với hàng trăm kết nối vậy, tin tặc tốn tài nguyên, đủ để làm treo máy chủ, tiếp nhận kết nối từ người dùng hợp lệ 2.2.2 Tấn công trực tiếp vào Websites Cách công trực tiếp vào website thường dùng cho công nhỏ lẻ nhắm vào lỗ hổng ứng dụng web điển hình cách công sau: a Application Level Attacks Application Level Attacks nhằm vào mục tiêu ứng dụng có nhiều lỗ hổng Thay cố gắng lụt tồn máy chủ, kẻ công tập trung công vào một vài ứng dụng Các ứng dụng email dựa web, WordPress, Joomla phần mềm diễn đàn ví dụ điển hình mục tiêu cụ thể ứng dụng b Degradation of Service Attacks Degradation of Service Attacks hay gọi cơng làm suy giảm dịch vụ Mục đích công làm chậm thời gian đáp ứng website Thông thường công DDoS nhằm mục đích khiến trang web khơng thể thực tác vụ thông thường Nhưng mục tiêu kiểu công để làm chậm thời gian phản hồi xuống mức hầu hết người sử dụng trang web Máy tính Zombie sử dụng để làm tràn máy tính mục tiêu với lưu lượng truy cập độc hại, gây vấn đề hiệu suất thời gian tải trang Những loại cơng khó bị phát mục tiêu 15 khơng phải để đưa trang web ngừng kết nối, để làm giảm hiệu suất Chúng thường bị lẫn lộn với gia tăng lưu lượng sử dụng website Chương 3: Các giải pháp phòng tránh cơng DoS/DDoS Nhìn chung cơng từ chối dịch vụ khơng q khó thực khó phịng chống tính bất ngờ thường phịng chống chế độ bị động Việc đối phó tăng cường “phần cứng” giải pháp tốt, thường xuyên theo dõi để ngăn chặn kịp thời từ gói tin IP từ nguồn khơng tin cậy hiệu  Mơ hình hệ thống cần phải xây dựng cách hợp lý, tránh phụ thuộc lẫn mức Vì phận gặp cố làm ảnh hưởng đến toàn hệ thống  Nâng cấp hệ thống máy chủ  Thiết lập mật mạnh để bảo vệ thiết bị tài nghuyên quan trọng  Thiết lập mức xác thực nguời sử dụng, đặc biệt xác thực cập nhật thông tin định tuyến router  Xây dụng hệ thông lọc thông tin router firewall hệ thống bảo vệ cống lại SYN flood  Chỉ kích hoạt dịch vụ cần thiết vơ hiệu hóa dịch vụ khơng cần thiết không sử dụng  Xây dụng biện pháp kiểm tra hoạt động hệ thống để phát hành động bất thường  Liên tục cập nhật, nghiên cứu, kiểm tra để phát lỗ hổng bảo mật đưa biện pháp khắc phục kịp thời  Xây dựng triển khai hệ thống dự phòng  Nếu nhận thấy bị công lỗi phần mềm hay thiết bị cần cập nhật sửa lỗi thay cho hệ thống 3.1 Tối thiểu hóa số lượng Agent Phía người sử dụng: Người dùng internet tự đề phịng khơng để bị lợi dụng công hệ thống khác Để đạt điều ý thức kỹ thuật phòng chống phải phổ biến rộng rãi cho người dùng internet Cuộc cơng mạng khơng hình thành khơng có người dùng trở thành agent Người dùng phải liên tục thực trình bảo mật máy tính mình, họ phải tự kiểm tra hành động máy tính 16 Phía nhà cung cấp dịch vụ: Thay đổi cách tính tiền truy cập theo lưu lượng làm cho người dùng lưu ý đến họ gửi họ tăng cường phát hành động công DDoS tự động nâng cao Một số giải pháp tích hợp sẵn khả ngăn ngừa việc cài đặt số mã độc vào hardware software hệ thống Về phía người dùng họ nên cài đặt cập nhật liên tục software như: antivirus, anti_trojan server patch hệ điều hành 3.2 Tìm vơ hiệu hóa Handler Một số nhân tố vô quan trọng cơng mạng người cơng (Handler) Nếu phát vơ hiệu hóa người cơng khả thành cơng anti-DDoS cao Bằng cách theo dõi Handler Client hay Handler Agent, ta phát vị trí người công Do người công quản lý nhiều lên triệt tiêu người có nghĩa loại bỏ số hành động công mạng 3.3 Phát dấu hiệu cơng Có kỹ thuật để phát công gồm: Agress Filtering MIB Statistics Phát Agress Filtering: Kỹ thuật kiểm tra xem gói tin có đủ tiêu chuẩn để khỏi mạng hay không dựa sở lối vào mạng biết địa IP máy subnet Các gói tin từ bên gửi với địa nguồn không hợp lệ bị giữ lại để điều tra nguyên nhân Nếu kỹ thuật áp dụng tất mạng internet giả mạo IP không tồn Kỹ thuật MIB Statistics: Trong Management Information Base (MIB) giao thức SNMP định tuyến ln có thơng tin biến thiên trạng thái mạng Nếu ta giám sát chặt chẽ thống kê giao thức ICMP, UDP TCP ta có khả phát thời điểm bắt đầu công để tạo tiền đề cho việc xử lý cơng 3.4 Làm suy giảm hay dừng cơng Có chế làm giảm hay dừng công: Load balancing, Throttling, Drop request Cơ chế Load balancing: Thiết lập chế công cho máy chủ trọng điểm làm tăng thời gian chống chọi hệ thống với công DDoS Tuy nhiên điều khơng có nhiều ý nghĩa mặt thực tiễn quy mơ cơng khơng có giới hạn 17 Cơ chế Throttling: Thiết lập chế điều tiết định tuyến, quy định khoảng tải hợp lý mà máy chủ bên xử lý Phương pháp dùng để ngăn chặn cơng DDoS lưu lượng không cho phép người dùng truy cập dịch vụ Hạn chế kỹ thuật không phân biệt loại lưu lượng, làm dịch vụ bị gián đoạn với người dùng, lưu lượng DDoS xâm nhập vào mạng dịch vụ với số lượng hữu hạn Cơ chế Drop request: Thiết lập Drop request vi phạm số quy định như: thời gian trễ kéo dài, tốn nhiều thời gian xử lý, gây bế tắc hệ thống Kỹ thuật triệt tiêu khả làm cạn lực hệ thống, nhiên giới hạn số hoạt động thông thường hệ thống, cần cân nhắc trước sử dụng 3.5 Chuyển hướng công Một kỹ thuật nghiên cứu kỹ thuật Honey Pots Một kỹ thuật thiết kế nhằm đánh lừa attacker công vào hệ thống mà không ý đến hệ thống quan trọng thật Honey Pots hiệu việc phát xử lý xâm nhập, Honey Pots thiết lập sẵn chế giám sát báo động Ngoài ra, Honey Pots cịn có giá trị việc học hỏi rút kinh nghiệm từ kẻ công, Honey Pots ghi nhận chi tiết hoạt động kẻ công hệ thống Nếu kẻ công bị đánh lừa cài đặt hành động hay điều khiển lên Honey Pots khả triệt tiêu tồn công cao Các cơng DDoS gây tình trạng khơng có sẵn dịch vụ cho người dùng hợp pháp Họ việc phân tích tổng thể tác phẩm Trong công DDoS, kẻ xâm nhập kẻ công thực công từ nhiều địa điểm thay địa điểm Một số hệ thống cục bị kẻ cơng kiểm sốt lại Ban đầu kẻ công thỏa hiệp giành quyền kiểm soát hệ thống cục Một hệ thống bị xâm nhập gọi hệ thống trình xử lý Sau đó, phần mềm sử dụng để giành quyền kiểm sốt hệ thống biên dịch khác đóng với máy chủ nạn nhân Các hệ thống gọi nô lệ tác nhân DDoS Chúng tiếp tục khởi động nhiều công vào máy chủ nạn nhân a Giới thiệu hệ thống Honey Pots Tin tặc ln tìm kiếm lỗ hổng hệ thống để thực công Hệ thống khơng bảo vệ đầy đủ trở thành mục tiêu dễ dàng cho tin tặc Theo thuật ngữ máy tính, Honey Pots chế bảo mật mà quản trị viên bẫy tin tặc công mạng thực cách vơ ích Honey Pots cung cấp dịch vụ mạng chương trình ứng dụng thu hút tin tặc cứu hệ thống sản xuất khỏi thiệt 18 hại xảy Trong thực tế, người dùng thu thập cơng nghệ phía máy chủ phía máy khách để tạo Honey Pots b Sự đời hệ thống Honey Pots Honey Pots tạo hai mặt:  Tạo Honey Pots phí máy chủ: Ý tưởng dụ kẻ công tách phận hệ thống máy tính giữ chúng tránh xa máy chủ khác mạng  Tạo Honey Pots phí máy khách: Honey Pots bắt trước phần mềm sử dụng máy chủ c Triển khai hệ thống Honey Pots Honey Pots thực lĩnh vực:  Phía trước tường lửa: Bằng cách đặt phía trước tường lửa, đảm bảo tính bảo mật mạng nội xâm phạm lúc tường lửa ngăn chặn công vào mạng nội  Đặt phía sau tường lửa: Cách cho phép kiểm sốt cơng bên bên ngồi hình thức Vấn đề mà phương pháp đưa yêu cầu cấu hình cụ thể để truy cập vào Honey Pots nhwung khơng truy cập vào mạng, điều gây lỗi bảo mật trình lọc lưu lượng  Trong mạng ngoại vi: Bằng cách đặt đây, tách Honey Pots khỏi mạng nội liên kết với máy chủ khả cho phép phát cơng bên bên ngồi với thay đổi nhỏ tường lửa 19 KẾT LUẬN Do DDoS phương thức công mạng phổ biến nay, với đa dạng cách thức công ngày có nhiều biến thể tinh vi hơn, mức độ tàn phá cao hơn, khiến cho việc phòng chống DDoS ngày trở nên khó khăn nhiều Người dùng người ngăn chặn hành vi công từ chối dịch vụ phải đề phòng, cảnh giác bổ sung kiến thức nguy an ninh, an toàn mạng Các công DoS DDoS vấn đề lặp lặp lại, đặc biệt có số cơng cụ hỗ trợ việc thực thi nó, gây số lượng trường hợp khơng thiết phải nhỏ Ngoài ra, trang web biết đến bị ảnh hưởng, vấn đề dễ dàng trở thành chương trình nghị tin tức Điều khiến quan niệm sai lầm định ngày lan rộng Ví dụ, mục tiêu địa điểm tổ chức tài chính, người ta lo sợ liệu khách hàng bị thu thập Tuy nhiên, DDoS công máy chủ "sập" Để nắm bắt liệu, làm suy yếu trang web, cần phải có số loại xâm nhập, điều khó nhiều Đáng nói tổ chức thuộc quy mơ người dùng gia đình thực số hành động để giúp ngăn chặn vấn đề kiểu: cập nhật phần mềm, bảo vệ hệ thống giải pháp bảo mật (tường lửa, chống vi-rút, v.v.) thực biện pháp chăm sóc khác ngăn chặn máy tính khỏi bị sử dụng "thây ma" cơng, tình chí làm tăng mức tiêu thụ tài nguyên lưu lượng truy cập internet 20 TÀI LIỆU THAM KHẢO [1] https://en.wikipedia.org/wiki/Denial-of-service_attack [2] https://www.security.org/vpn/ddos/ [3] https://123docz.net/document/1255049-network-security-defense-against-dosddos-attacks-pdf.htm [4] https://www.abbreviationfinder.org/blog/dos-attacks-denial-of-service-and-ddosdistributed-dos/ [5] Information Security Handbook (Internet of Evething (IoE)) 2022.pdf [6] https://www.academia.edu/40692942/MITIGATING_DoS_DDoS_ATTACKS_US ING_ IPTABLES [7] https://www.senki.org/ddos-attack-preparation-workbook/history-of-denial-ofservices-dos-attacks/ 21 ... Chương 1: Giới thiệu chung công từ chối dịch vụ DoS/ DDoS 1.1 Khái niệm 1.1.1 Tấn công từ chối dịch vụ DoS 1.1.2 Tấn công từ chối dịch vụ phân tán DDoS 1.2 Mục đích... máy tính Hoa Kỳ Chương 1: Giới thiệu chung công từ chối dịch vụ DoS/ DDoS 1.1 Khái niệm 1.1.1 Tấn công từ chối dịch vụ DoS Tấn công từ chối dịch vụ DoS công nhằm làm sập máy chủ mạng, khiến người... tán DDoS Tấn công từ chối dịch vụ phân tán DDoS nỗ lực làm sập dịch vụ trực tuyến cách làm tràn ngập với lưu lượng liệu từ nhiều nguồn Hình 1.2: Tấn cơng từ chối dịch vụ phân tán DDoS Khi DDoS,