Bài tập lớn môn mạng và truyền thông (8)

TỔNG QUAN VỀ DDOS

DDoS là gì?

DDoS (Distributed Denial of Service) là một hình thức tấn công mạng gây ra tình trạng từ chối dịch vụ phân tán, làm cho người dùng không thể truy cập vào máy chủ, dịch vụ hoặc mạng bị tấn công Tấn công này hoạt động bằng cách làm quá tải tài nguyên của hệ thống, tương tự như việc phương tiện giao thông không thể di chuyển vào làn đường bị ùn tắc.

Cuộc tấn công DDoS (Distributed Denial of Service) tương tự như tấn công DoS, nhưng khác biệt ở chỗ DDoS sử dụng nhiều thiết bị và nguồn lực để tấn công mục tiêu, thay vì chỉ từ một máy chủ duy nhất.

Mục đích của các cuộc tấn công DDoS

Nạn nhân của các cuộc tấn công DDoS thường là các máy chủ web của những tổ chức lớn như ngân hàng, công ty truyền thông, mạng xã hội và cả các cơ quan chính phủ Để ngăn chặn các cuộc tấn công này, trước tiên cần hiểu rõ các động lực thúc đẩy việc thực hiện chúng, trong đó có nhiều mục đích khác nhau.

Tấn công DDoS thường đi đôi với tấn công ransomware, một loại phần mềm độc hại mã hóa dữ liệu hoặc khóa quyền truy cập thiết bị của người dùng, được biết đến như phần mềm tống tiền, ví dụ như WannaCry Những kẻ tấn công thường là thành viên của các nhóm tội phạm có tổ chức, và các doanh nghiệp đối thủ cũng có thể thực hiện tấn công DDoS nhằm giành lợi thế cạnh tranh.

Bất đồng về ý thức hệ và chính trị xã hội thường dẫn đến các cuộc tấn công nhằm vào các cơ quan quản lý và nhóm biểu tình Những cuộc tấn công này thường nhằm hỗ trợ một hệ thống chính trị hoặc tôn giáo cụ thể, điển hình như cuộc tấn công DDoS đối với Nga trong bối cảnh chiến tranh Ukraina năm 2022.

Chiến thuật tấn công DDoS thường chỉ là một phần trong các chiến dịch lớn hơn với mục đích cao hơn Trong những trường hợp này, tấn công DDoS có thể được kết hợp với các cuộc tấn công vật lý hoặc các loại tấn công phần mềm khác để đạt hiệu quả tối đa.

Các cuộc tấn công DDoS có thể gây ra thiệt hại nghiêm trọng cho các doanh nghiệp và ngành công nghiệp, khi chúng thu thập thông tin quan trọng và làm gián đoạn trải nghiệm người dùng Ví dụ, các vụ tấn công vào Sony năm 2014 và British Airways đã dẫn đến sự sụt giảm trong sự tin tưởng của khách hàng vào các thương hiệu này do tình trạng mất kết nối.

• Tống tiền: Tương tự như các cuộc tấn công ransomeware, DDoS có thể được tiến hành nhằm phục vụ lợi ích cá nhân mà chủ yếu là tống tiền

• Tấn công chính trị: Một số cuộc tấn công DDoS nhằm gây mất trật tự trị an hoặc gây rối loạn trong quân sự.

Thực trạng tấn công DDoS

Tấn công từ chối dịch vụ (DDoS) ngày càng trở nên phổ biến, nhằm gián đoạn dịch vụ trực tuyến mà không thay đổi hay đánh cắp thông tin Những cuộc tấn công này có thể làm tê liệt hệ thống trong suốt thời gian diễn ra, gây ra nhiều khó khăn cho các tổ chức và doanh nghiệp Kẻ tấn công DDoS sử dụng một lượng lớn máy tính bị chiếm quyền điều khiển để đồng loạt truy cập vào dịch vụ trực tuyến, dẫn đến tình trạng quá tải và không thể phục vụ khách hàng.

Các cuộc tấn công DDoS đang gia tăng cả về quy mô lẫn số lượng, theo phân tích và dự báo của Cisco về số lượng các cuộc tấn công DDoS có khả năng xảy ra trên Internet trong thời gian tới.

Các cuộc tấn công DDoS hiện nay ngày càng tinh vi, không chỉ dừng lại ở lớp thứ 3 mà còn diễn ra ở lớp ứng dụng Theo Neustar, trong quý I năm 2019, có tới 77% các cuộc tấn công sử dụng hai hoặc nhiều vector tấn công (multivector).

Sự phát triển của trí tuệ nhân tạo (AI) và học máy đã cung cấp cho hacker những công cụ mới để thực hiện các cuộc tấn công DDoS Cụ thể, các botnet DDoS hiện nay sử dụng phương pháp học máy để khảo sát và phân tích các mạng phức tạp, từ đó xác định những hệ thống dễ bị tấn công Hơn nữa, AI còn được áp dụng để tự động điều chỉnh chiến lược tấn công, giúp hacker tránh bị phát hiện.

Các cuộc tấn công DDoS thường nhắm vào các tổ chức và doanh nghiệp lớn có tầm ảnh hưởng Một trong những vụ tấn công DDoS đáng chú ý là cuộc tấn công vào Amazon Web Service (AWS) vào tháng 2/2020, được coi là mạnh mẽ nhất từ trước tới nay nhằm vào một khách hàng sử dụng nền tảng AWS.

Dịch vụ trực tuyến của Sony, bao gồm Playstation Network và Sony Entertainment Network, đã từng bị tin tặc tấn công Trước đó, nhiều nền tảng mạng xã hội như Instagram, Facebook và WhatsApp cũng đã gặp sự cố không thể truy cập vào năm 2009 Ngoài ra, Wikipedia, trang bách khoa toàn thư mở nổi tiếng, cũng từng trải qua tình trạng tương tự.

12 tình trạng tương tự vào tháng 9/2017, gây ảnh hưởng tới việc truy cập của hàng trăm nghìn người dùng

Vào năm 2022, Maria Zakharova, người phát ngôn Bộ Ngoại giao Nga, thông báo rằng trang web của bộ này đã liên tục chịu đựng các cuộc tấn công từ chối dịch vụ DDoS suốt cả ngày lẫn đêm.

Theo báo cáo của Nexusguard Limited vào tháng 5/2019, Việt Nam đang ở trong tình trạng đáng lo ngại liên quan đến tấn công DDoS trên toàn cầu Dữ liệu thống kê cho thấy, Việt Nam xếp hạng thứ

6 về nguồn tấn công DDoS trên toàn cầu sau Trung Quốc, Mỹ, Pháp, Nga và Brazil

Trong khu vực Châu Á Thái Bình Dương, Việt Nam xếp thứ hai về nguồn tấn công DDoS với tỷ lệ 9,52%, chỉ sau Trung Quốc và đứng trên Ấn Độ, Indonesia Theo báo cáo của Nexusguard, các doanh nghiệp tại Việt Nam chịu ảnh hưởng nặng nề từ các cuộc tấn công từ chối dịch vụ trong giai đoạn từ ngày 1/1 đến 15/4/2019, với VNPT, Viettel, FPT và Vietnamobile là những đơn vị bị tấn công nhiều nhất.

Vào năm 2008 và 2012, Bkav đã trải qua các cuộc tấn công từ chối dịch vụ mặc dù đã thiết lập hệ thống tường lửa Kẻ tấn công đã lôi kéo bạn bè cài đặt virus tại các cửa hàng game và Internet công cộng, từ đó virus được phát tán qua USB Qua phương pháp này, thủ phạm đã xây dựng một mạng botnet với khoảng 1.000 máy tính ma và sử dụng nó như một công cụ DDoS.

Vào tháng 11 năm 2021, một thiếu niên 16 tuổi đã thực hiện cuộc tấn công vào trang báo điện tử VOV thuộc Đài tiếng nói Việt Nam, gây ra tình trạng không thể truy cập trang web này.

Trong kỷ nguyên công nghệ Internet, các tổ chức và doanh nghiệp không chỉ phải tận dụng những cơ hội mà còn cần chuẩn bị kỹ lưỡng để đối phó với những thách thức mới Việc đảm bảo an toàn thông tin và bảo mật dữ liệu là vô cùng quan trọng để duy trì sự tin cậy và uy tín trong môi trường trực tuyến.

Để đối phó với những “mặt tối” của công nghệ, việc tăng cường an ninh mạng và bảo mật thông tin là vô cùng cần thiết Các tổ chức và cá nhân cần chú trọng hơn đến việc bảo vệ dữ liệu và thông tin cá nhân trước những mối đe dọa ngày càng gia tăng.

Phân loại các kiểu tấn công DDoS

Hiện nay, có nhiều kiểu tấn công DDoS phổ biến, được phân loại thành hai loại chính: tấn công làm cạn kiệt băng thông và tấn công làm cạn kiệt tài nguyên Dưới đây là sơ đồ phân loại các kiểu tấn công DDoS.

4.1 Tấn công làm cạn kiệt băng thông (BandWith Depletion Attack)

Tấn công làm cạn kiệt băng thông (Bandwidth Depletion Attack) nhằm mục đích làm ngập mạng mục tiêu bằng lưu lượng không cần thiết, từ đó giảm thiểu khả năng tiếp nhận của các lưu lượng hợp lệ đến hệ thống cung cấp dịch vụ.

4.1.1 Tấn công tràn băng thông (Flood Attack)

Trong kiểu tấn công này, các tác nhân gửi lượng lớn lưu lượng IP để làm chậm hoạt động của hệ thống dịch vụ mục tiêu, gây ra tình trạng treo hoặc bão hòa Hệ quả là người dùng thực sự không thể sử dụng dịch vụ của hệ thống.

Có thể chia Flood Attack thành hai loại:

- UDP Flood Attack: UDP – User Datagram Protocol được hiểu là giao thức kết nối không tin cậy Theo đó, UDP Flood sẽ tấn công gây ngập lụt UDP

Tin tặc sử dụng phương thức tấn công bằng cách gửi một số lượng lớn gói tin UDP đến các cổng ngẫu nhiên trên máy chủ Khi máy chủ nhận được các gói tin này, nó sẽ kiểm tra và phản hồi bằng gói tin ICMP Destination Unreachable Khi số lượng yêu cầu UDP vượt quá ngưỡng cho phép, máy chủ sẽ không thể xử lý các yêu cầu, dẫn đến tình trạng từ chối dịch vụ (DoS).

Cuộc tấn công ICMP Flood Attack, hay còn gọi là ping flood, xảy ra khi kẻ tấn công cố gắng làm ngập một thiết bị mục tiêu bằng các gói tin yêu cầu và phản hồi ICMP Thiết bị mục tiêu buộc phải xử lý và phản hồi từng gói tin, dẫn đến việc tiêu tốn tài nguyên máy tính cho đến khi người dùng hợp lệ không còn khả năng được phục vụ.

4.1.2 Khuếch đại giao tiếp (Amplification attack)

Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ IP broadcast của các router nhằm khuếch đại và hồi chuyển cuộc tấn công

Chức năng này cho phép bên gửi chỉ định một địa chỉ IP broadcast cho toàn bộ subnet bên nhận, thay vì phải chỉ định nhiều địa chỉ khác nhau Nhiệm vụ của router là gửi dữ liệu đến tất cả các địa chỉ IP trong subnet đó.

- Fraggle Attack: sử dụng một phần mềm độc hại để giả mạo địa chỉ IP và gửi một lượng lớn UDP đến máy chủ, gây quá tải hệ thống

Smurf Attack là một kiểu tấn công mạng, trong đó kẻ tấn công sử dụng giao thức Internet Control Message Protocol (ICMP) để làm sập máy chủ mục tiêu Kẻ tấn công điều khiển các agent hoặc client gửi tin nhắn đến một địa chỉ IP broadcast, khiến tất cả các máy trong subnet gửi tin nhắn đến hệ thống dịch vụ của mục tiêu Hành động này tạo ra lưu lượng truy cập không cần thiết, làm giảm băng thông của máy chủ mục tiêu và dẫn đến tình trạng không thể truy cập.

4.2 Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack)

Tấn công làm cạn kiệt tài nguyên (Resource Depletion Attack) là một hình thức tấn công mạng, trong đó kẻ tấn công gửi các gói tin sử dụng các giao thức không đúng chức năng thiết kế, hoặc gửi gói tin với mục đích làm tắc nghẽn tài nguyên mạng Hành động này dẫn đến việc các tài nguyên không thể phục vụ cho người dùng thông thường, gây ra sự gián đoạn trong hoạt động mạng.

Tấn công làm cạn kiệt tài nguyên (Resource Depletion Attack) được chia thành hai loại chính: tấn công khai thác giao thức (Protocol Exploit Attack) và tấn công gói không đúng định dạng (Malformed Packet Attack).

4.2.1 Tấn công khai thác giao thức (Protocol Exploit Attack)

SYN Flood là một kiểu tấn công khai thác lỗ hổng trong giao thức TCP thông qua quá trình bắt tay ba bước Trong giao tiếp mạng thông thường, máy chủ nhận một thông điệp SYN để bắt đầu quá trình kết nối, sau đó gửi lại cờ ACK và đóng kết nối Tuy nhiên, trong cuộc tấn công SYN Flood, tin tặc gửi liên tục các thông điệp giả mạo, khiến cho kết nối không được đóng lại, dẫn đến tình trạng dịch vụ bị sập.

Cuộc tấn công ACK & PUSH ACK Flood xảy ra trong phiên TCP-SYN, khi các gói ACK và PUSH ACK truyền tải thông tin giữa máy chủ và máy khách Trong loại tấn công này, một số lượng lớn gói ACK giả mạo được gửi đến máy chủ mục tiêu, nhằm làm giảm hiệu suất và khả năng xử lý của nó.

Các gói không liên kết với phiên nào trong danh sách kết nối của máy chủ, khiến máy chủ phải dành nhiều tài nguyên hơn để xử lý các yêu cầu này Hệ quả là máy chủ trở nên không khả dụng cho các yêu cầu hợp pháp do tài nguyên bị cạn kiệt cho đến khi cuộc tấn công kết thúc.

4.2.2 Tấn công gói không đúng định dạng (Malformed Packet Attack)

Malformed Packet Attack là một phương thức tấn công sử dụng các Agent để gửi những gói tin có cấu trúc không đúng chuẩn, với mục đích làm treo hệ thống của nạn nhân.

Có hai loại Malformed Packet Attack:

Cuộc tấn công IP packet options thực hiện việc ngẫu nhiên hóa các lựa chọn trong gói IP và thiết lập tất cả các bit QoS lên 1 Hành động này khiến cho hệ thống của nạn nhân phải tốn nhiều thời gian để phân tích, và nếu sử dụng một số lượng lớn Agent, nó có thể làm cho hệ thống nạn nhân vượt quá khả năng xử lý.

- IP address attack: dùng packet có địa chỉ gửi và nhận giống nhau làm cho hệ điều hành của nạn nhân không xử lý nổi và bị treo

4.3 Các loại tấn công DDoS khác

Tin tặc thực hiện tấn công bằng cách gửi một lượng lớn yêu cầu HTTP không hoàn chỉnh đến server, đồng thời duy trì số kết nối tối đa trong thời gian dài Khi webserver đạt giới hạn kết nối, máy chủ sẽ từ chối các yêu cầu kết nối mới, bao gồm cả những yêu cầu từ người dùng bình thường.

Botnet

Botnet, hay còn gọi là "Mạng lưới Bots", là một tập hợp các máy tính bị kiểm soát từ xa để thực hiện các nhiệm vụ nhất định Mỗi máy tính trong mạng này hoạt động như một "bot", bị kẻ xấu điều khiển để phát tán malware, spam hoặc nội dung độc hại nhằm thực hiện các cuộc tấn công Ngoài ra, botnet cũng có thể được hiểu là một nhóm các rô bốt phần mềm hoạt động tự chủ.

Botnet có nguồn gốc từ việc sử dụng trong các kênh Internet Relay Chat (IRC), nơi những kẻ xấu khai thác lỗ hổng để phát triển bot Những bot này được tạo ra với mục đích thực hiện các hoạt động độc hại, chẳng hạn như ghi nhật ký hành động nhấn phím và đánh cắp mật khẩu.

5.2 Cấu trúc tổng quan của DDoS Attack-Network

Nhìn chung, DDoS Attack-Network được chia thành 2 mô hình chính: Mô hình Agent-Handler và Mô hình IRC-Based

Theo mô hình này, attack-network gồm 3 thành phần: Agent, Client và Handler trong đó:

● Client: là software cơ sở để hacker điều khiển mọi hoạt động của attack- network

● Handler: là một thành phần software trung gian giữa Agent và Client

● Agent: là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ Client thông qua các Handler

Kẻ tấn công sẽ giao tiếp với Handler từ Client để xác định số lượng Agent đang hoạt động trực tuyến, điều chỉnh thời điểm tấn công và cập nhật thông tin cho các Agent.

22 attacker cấu hình attack-network, các Agent sẽ chịu sự quản lý của một hay nhiều Handler

Thông thường, kẻ tấn công sẽ cài đặt phần mềm Handler trên một Router hoặc server có lưu lượng truy cập cao để làm cho các giao tiếp giữa Client, handler và Agent khó bị phát hiện Những giao tiếp này thường diễn ra qua các giao thức TCP, UDP hoặc ICMP Chủ sở hữu thực sự của các Agent thường không nhận thức được rằng họ đang bị lợi dụng cho các cuộc tấn công DDoS, do thiếu kiến thức hoặc vì các chương trình Backdoor Agent chỉ tiêu tốn rất ít tài nguyên hệ thống, khiến cho ảnh hưởng đến hiệu năng hệ thống hầu như không thể nhận ra.

Mạng dựa trên IRC tương tự như mạng Agent – Handler, nhưng sử dụng các kênh giao tiếp IRC để kết nối giữa Client và Agent mà không cần Handler Mô hình này mang lại cho kẻ tấn công một số lợi thế bổ sung.

● Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vô cùng khó khăn

● IRC traffic có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ

Hacker không cần phải duy trì danh sách các Agent, chỉ cần đăng nhập vào máy chủ IRC để nhận báo cáo về trạng thái của các Agent từ các kênh gửi về.

● Sau cùng IRC cũng là một môi trường file sharing tạo điều kiện phát tán các Agent code lên nhiều máy khác.

Các đặc tính của công cụ DDoS Attack

6.1 Chức năng của công cụ DDoS Attack

Mỗi công cụ DDoS có tập lệnh riêng được thực hiện bởi Handler và Agent, nhưng có thể phân loại tổng quát tập lệnh chung của tất cả các công cụ này.

6.2 Giao tiếp trên mạng Botnet

Protocol: giao tiếp trên mạng Botnet có thể thực hiện trên nền các protocol TCP, UDP, ICMP

Mã hóa giao tiếp là một yếu tố quan trọng trong các công cụ DDoS, giúp bảo vệ thông tin trên toàn bộ mạng Botnet Các phương pháp mã hóa sẽ thay đổi tùy thuộc vào giao thức được sử dụng Đối với mạng Botnet dựa trên IRC, việc sử dụng các kênh riêng tư và bí mật đã hỗ trợ mã hóa giao tiếp hiệu quả.

Có hai phương pháp chính để kích hoạt Agent: phương pháp đầu tiên là Agent sẽ thường xuyên quét và thăm dò Handler hoặc kênh IRC để nhận chỉ thị, được gọi là Agent chủ động Phương pháp thứ hai là Agent "nằm vùng", chờ đợi chỉ thị từ Handler hoặc kênh IRC.

6.3 Cách thức cài đặt DDoS Agent

Kẻ tấn công có thể sử dụng hai phương pháp là active và passive để cài đặt phần mềm Agent lên các máy tính khác, từ đó thiết lập mạng tấn công theo kiểu Agent-Handler hoặc dựa trên IRC.

- Một số cách cài đặt sử dụng phương pháp active như:

Sau khi xác định danh sách các hệ thống có thể bị khai thác, kẻ tấn công sẽ tiến hành xâm nhập và cài đặt chương trình Agent lên những hệ thống này Trên mạng có rất nhiều thông tin về phương thức xâm nhập, đặc biệt là từ trang web của tổ chức Common Vulnerabilities and Exposures (CVE), nơi liệt kê và phân loại hơn 4.000 loại lỗi của tất cả các hệ thống hiện có Những thông tin này luôn sẵn có cho cả quản trị mạng và hacker.

Lỗi buffer overflow cho phép kẻ tấn công chuyển hướng chu trình thực thi của chương trình sang mã độc của hacker bằng cách ghi đè lên vùng dữ liệu Kỹ thuật này có thể được sử dụng để tấn công các chương trình có lỗ hổng buffer overflow, từ đó chạy chương trình Agent.

Trojan là một loại phần mềm thực hiện chức năng bình thường, nhưng ẩn chứa các tính năng bí mật phục vụ cho mục đích của người tạo ra, mà người dùng không hề hay biết Nó có thể hoạt động như một chương trình Agent, gây nguy hiểm cho hệ thống của người sử dụng.

Quá trình quét hệ thống sử dụng các công cụ như Nmap và Nessus nhằm phát hiện các lỗ hổng trên các hệ thống trực tuyến để cài đặt chương trình Agent Nmap cung cấp thông tin chi tiết về hệ thống dựa trên địa chỉ IP đã chỉ định, trong khi Nessus tìm kiếm các điểm yếu đã biết từ bất kỳ địa chỉ IP nào.

+ Bug Website: attacker có thể lợi dụng một số lỗi của web brower để cài

Agent software can be secretly installed on a user's machine when they access a malicious website designed by an attacker This website contains hidden code and commands that trigger the download and installation of the Agent software without the user's knowledge Microsoft Internet Explorer is often targeted for this type of installation due to vulnerabilities in ActiveX, which can allow the browser to automatically download and install code on the user's device while browsing.

Một phương pháp lây nhiễm phần mềm độc hại là nhúng mã độc vào các tệp tin thông thường Khi người dùng mở hoặc thực thi các tệp này, máy tính của họ sẽ ngay lập tức bị nhiễm phần mềm Agent.

+ Rootkit: là những chương trình dùng để xóa dấu vết về sự hiện diện của

Rootkit thường được sử dụng trên phần mềm Handler đã được cài đặt trên máy của nạn nhân, đóng vai trò quan trọng trong hoạt động của attack-network, đặc biệt trong các môi trường có nguy cơ bị phát hiện cao Tuy nhiên, Rootkit ít khi được áp dụng trên các Agent vì mức độ quan trọng của chúng không cao; việc mất một số Agent sẽ không ảnh hưởng nhiều đến toàn bộ attack-network.

Một số công cụ tấn công DDoS phổ biến hiện nay

7.1 Công cụ DDoS dạng Agent-Handler

TrinOO: là một trong các công cụ DDoS đầu tiên được phát tán rộng rãi

TrinOO có kiến trúc Agent-Handler, là công cụ DDoS kiểu Bandwidth Depletion Attack, sử dụng kỹ thuật UDP flood Các version đầu tiên của TrinOO không hỗ

TrinOO Agent exploits a remote buffer overrun vulnerability and operates on Solaris 2.5.1 and Red Hat Linux 6.0 It facilitates network communication using TCP between the attacker client and handler, as well as UDP between the handler and agent The communication is secured through symmetric encryption among the client, handler, and agent.

The Tribe Flood Network (TFN) is an architecture that employs an Agent-Handler model, designed for DDoS attacks utilizing Bandwidth Depletion and Resource Depletion techniques It implements methods such as UDP flood, ICMP flood, TCP SYN, and Smurf attacks The initial versions did not support IP address spoofing, and the TFN Agent exploited buffer overflow vulnerabilities It operates on Solaris 2.x and Red Hat Linux 6.0 systems Communication within the attack network uses ICMP ECHO REPLY packets, while TFN2K enhances this by supporting TCP/UDP with optional protocol selection and includes encryption features.

• Stacheldraht: là biến thể của TFN có thêm khả năng update Agent tự động

Giao tiếp telnet mã hóa đối xứng giữa Attacker và Handler

• Shaft: là biến thể của TrinOO, giao tiếp Handler-Agent trên UDP, Attacker-

Hendle trên Internet có thể thực hiện các cuộc tấn công bằng kỹ thuật UDP, ICMP và TCP flood Những cuộc tấn công này có thể được phối hợp nhiều kiểu cùng lúc, mang lại hiệu quả cao Ngoài ra, có thống kê chi tiết cho phép theo dõi và phân tích các cuộc tấn công này.

28 attacker biết tình trạng tổn thất của nạn nhân, mức độ quy mô của cuộc tấn công để điều chỉnh số lượng Agent

7.2 Công cụ DDoS dạng IRC – Based:

Công cụ DDoS dạng IRC-based được phát triển sau các công cụ Agent-Handler và có độ phức tạp cao hơn Điều này là do nó tích hợp nhiều đặc tính của các công cụ DDoS dạng Agent-Handler, mang lại khả năng tấn công mạnh mẽ hơn.

Trinity là một công cụ DDoS điển hình, tích hợp nhiều kỹ thuật tấn công như UDP, TCP SYS, TCP ACK, TCP fragment, TCP NULL, TCP RST, TCP random flag và TCP ESTABLISHED packet flood Công cụ này có khả năng ngẫu nhiên hóa địa chỉ bên gửi, đồng thời hỗ trợ TCP flood packet với khả năng ngẫu nhiên hóa tập CONTROL FLAG, khiến Trinity trở thành một trong những công cụ DDoS nguy hiểm nhất hiện nay.

Ngoài ra, có thể đề cập đến một số công cụ DDoS khác như Knight, được phát triển cho hệ điều hành Windows và áp dụng kỹ thuật cài đặt của trojan back Orifice Knight sử dụng các phương pháp tấn công như SYV, UDP Flood và Urgent Pointer Flooder.

Kaiten là một biến thể của Knight, cung cấp nhiều kỹ thuật tấn công như UDP, TCP flood, SYN, và PUSH + ACK attack Nó cũng kế thừa khả năng ngẫu nhiên hóa địa chỉ giả mạo từ Trinity.

7.3 Một số loại công cụ DDoS phổ biến khác

● Công cụ tấn công LOIC (Low Orbit Ion Cannon):

Low Orbit Ion Cannon là công cụ tấn công DDoS nổi bật nhất hiện nay, được nhóm hacker Anonymous sử dụng để tấn công nhiều mạng lưới của các doanh nghiệp lớn trong năm ngoái Nhóm này không chỉ sử dụng LOIC mà còn kêu gọi người dùng Internet tham gia vào các cuộc tấn công DDoS thông qua IRC.

Low Orbit Ion Canon là một công cụ dễ sử dụng cho phép cá nhân thực hiện tấn công từ chối dịch vụ (DoS) lên các máy chủ yếu Công cụ này gửi các yêu cầu UDP, TCP và HTTP tới mục tiêu, chỉ cần biết địa chỉ IP của máy chủ Với giao diện thân thiện, bất kỳ ai có kỹ năng máy tính cơ bản cũng có thể sử dụng phần mềm này để tiến hành tấn công.

Để tấn công một website hoặc máy chủ, bạn cần nhập địa chỉ IP hoặc URL, sau đó điền các tham số yêu cầu Nếu không có tham số nào được nhập, phần mềm sẽ sử dụng các tham số mặc định Cuối cùng, bạn chỉ cần nhấn nút "IMMA CHARGIN MAH LAZER" và chờ vài giây cho đến khi mục tiêu bị tê liệt hoàn toàn.

● Công cụ tấn công XOIC:

XOIC, giống như LOIC, có khả năng thực hiện các cuộc tấn công DoS thông qua URL và IP, cho phép hacker lựa chọn bất kỳ giao thức nào mà họ muốn nhắm đến Nhiều chuyên gia black hat cho rằng XOIC mạnh mẽ hơn LOIC ở nhiều khía cạnh Với giao diện GUI thân thiện và dễ sử dụng, bất kỳ ai cũng có thể dễ dàng sử dụng công cụ này để tấn công các trang web hoặc máy chủ khác.

Công cụ này có ba chế độ tấn công: thử nghiệm, tấn công DoS thông thường và tấn công DoS với các giao thức TCP, HTTP, UDP và ICMP Đây là phần mềm DDoS web mạnh nhất, vì vậy bạn không nên liều lĩnh sử dụng website của mình làm mục tiêu thử nghiệm, vì nó có thể gây hại nghiêm trọng cho máy chủ của bạn.

● Phần mềm DDoS web DDOSIM

DDOSIM là một công cụ mạnh mẽ dùng để mô phỏng các cuộc tấn công DDoS ở lớp 7, cho phép người dùng phát động tấn công bằng cách sử dụng các máy chủ zombie được kiểm soát Những máy chủ này thiết lập các kết nối TCP hoàn chỉnh đến máy chủ mục tiêu, gây ra sự quá tải và ảnh hưởng đến hoạt động của nó Được phát triển bằng ngôn ngữ C++, DDOSIM hoạt động hiệu quả trên các máy chủ Linux.

Các chức năng cơ bản của DDOSIM là:

+ Mô phỏng lại máy chủ zombies trong phương thức tấn công

+ Che dấu bằng cách sinh ra ngẫu nhiên các địa chỉ IP

+ Tấn công dựa trên các giao thức TCP-connection

+ Tấn công từ chối dịch vụ với tầng ứng dụng

+ Tấn công giao thức HTTP DDoS với truy vấn hợp lệ

+ Tấn công DDoS HTTP với truy vấn không hợp lệ

+ Tấn công email qua giao thức SMTP DDoS

+ Làm tràn TCP connection lên các cổng ngẫu nhiên

PHÒNG CHỐNG CUỘC TẤN CÔNG DDOS

Phát hiện và ngăn chặn Agent (Detect and Prevent)

Tin tặc chiếm quyền điều khiển hàng ngàn máy tính kết nối internet, biến chúng thành các Agent, tức là những máy tính bị kiểm soát.

Để ngăn chặn các cuộc tấn công DDoS, người dùng Internet cần nâng cao ý thức bảo mật máy tính, tránh bị virus và không trở thành công cụ cho hacker Việc nâng cao nhận thức về phòng chống DDoS sẽ giúp giảm thiểu các cuộc tấn công quy mô lớn, vì những cuộc tấn công này thường xảy ra khi có người dùng bị lợi dụng Nếu không có người dùng nào bị tấn công, các cuộc tấn công DDoS sẽ khó có thể hình thành hoặc bị hạn chế.

Nhà cung cấp thiết bị có khả năng tích hợp các biện pháp ngăn ngừa tấn công thông qua cả phần mềm và phần cứng, đảm bảo an toàn cho người sử dụng.

Để bảo vệ an toàn khi sử dụng Internet, người dùng cần thường xuyên cài đặt và cập nhật phần mềm bảo mật, bao gồm antivirus, anti-trojan và các phần mềm bảo vệ khác như backkhoa antivirus, cùng với việc cập nhật bản vá cho hệ điều hành.

Nhà cung cấp dịch vụ mạng cần thay đổi cách tính phí dịch vụ truy cập dựa trên dung lượng sử dụng Điều này không chỉ giúp nâng cao ý thức cho người dùng mà còn khuyến khích họ tự nâng cao kiến thức để tránh bị lợi dụng trở thành các Agent.

Phát hiện dấu hiệu của một cuộc tấn công DDOS (Detect and prevent agent)

3 Phát hiện dấu hiệu của một cuộc tấn công DDOS (Detect and prevent agent)

Có nhiều kỹ thuật được áp dụng để phát hiện một cuộc tấn công DDOS:

- Agress Filtering: Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra khỏi một subnet hay không dựa trên cơ sở gateway của một subnet luôn

Khi biết được địa chỉ IP của các máy trong subnet, các gói tin từ bên trong sẽ bị giữ lại nếu địa chỉ nguồn không hợp lệ để điều tra Nếu kỹ thuật này được áp dụng trên toàn bộ các subnet của internet, khái niệm giả mạo địa chỉ IP sẽ không còn tồn tại.

Chống giả mạo địa chỉ IP là một nhiệm vụ tương đối đơn giản, nhưng cần phải được thực hiện đồng bộ Nếu tất cả các subnet trên Internet cùng giám sát các gói tin xuất phát từ mạng của mình với địa chỉ nguồn hợp lệ, thì sẽ không có gói tin nào có thể giả mạo địa chỉ và truyền tải trên Internet.

Do đó, các nhà quản trị mạng phải tự giác thực hiện Egress Filtering ở mạng do mình quản lý

Broadcast Amplification là một hình thức tấn công tương tự như IP spoofing, lợi dụng toàn bộ subnet để làm ngập lụt nạn nhân Do đó, việc giám sát và quản lý khả năng broadcast của subnet là vô cùng quan trọng Quản trị mạng cần cấu hình hệ thống để ngăn chặn việc nhận và chuyển tiếp các gói tin broadcast Một giải pháp hiệu quả là áp dụng Thuật toán Adaptive Threshold, giúp phát hiện sự không bình thường bằng cách theo dõi vi phạm ngưỡng khả năng đáp ứng của lưu lượng mạng Thuật toán này đặc biệt hiệu quả trong việc phát hiện các cuộc tấn công TCP SYN, dựa vào việc kiểm tra lưu lượng có vượt qua ngưỡng giới hạn hay không Nếu lưu lượng vượt quá ngưỡng, điều này cho thấy một cuộc tấn công đã xảy ra.

- MIB statistics: Trong việc quản lý thông tin cơ bản – Management

Thông tin từ cơ sở SNMP của router cung cấp thống kê về sự biến động trạng thái của mạng Việc giám sát chặt chẽ các gói tin UDP, ICMP và TCP có thể giúp phát hiện thời điểm bắt đầu của cuộc tấn công, từ đó tạo ra “quỹ thời gian vàng” để xử lý tình huống Trong trường hợp này, thuật toán CUSUM (tổng tích lũy) có thể được áp dụng, dựa trên giá trị trung bình của quá trình xử lý thống kê.

Việc theo dõi sự phát hiện điểm thay đổi là rất cần thiết trong các khoảng thời gian nhất định Một công thức đã được phát triển để giám sát sự thay đổi này; khi vượt qua ngưỡng giới hạn, điều này chứng tỏ rằng đã xảy ra một cuộc tấn công.

Trong giai đoạn này, tiến hành phân tích thống kê lưu lượng giữa hai khoảng thời gian Δn bằng cách sử dụng kỹ thuật phát hiện tấn công Một bảng băm sẽ được tạo ra để ghi lại các địa chỉ IP xuất hiện trong khoảng thời gian này, bao gồm hai trường: địa chỉ IP và dấu thời gian Bằng cách so sánh các trường này với các trường trong IAD, ta có thể xác định số lượng địa chỉ IP mới xuất hiện trong 46 khe thời gian Phân tích các địa chỉ IP mới giúp xác định thời điểm xảy ra cuộc tấn công DDoS.

Cách ngăn chặn các cuộc tấn công DDOS cho website WordPress

Các cuộc tấn công DDoS ngày nay ngày càng tinh vi và khó phát hiện, nhưng với kiến thức bảo mật cơ bản, bạn hoàn toàn có thể bảo vệ trang web WordPress của mình khỏi những mối đe dọa này.

Dưới đây là các bước bạn cần thực hiện để ngăn chặn các cuộc tấn công DDoS cho trang web WordPress của mình

WordPress là một nền tảng linh hoạt, cho phép tích hợp dễ dàng các plugin và công cụ của bên thứ ba để thêm tính năng mới cho trang web Để hỗ trợ điều này, WordPress cung cấp nhiều API cho các nhà phát triển, giúp các plugin và dịch vụ bên ngoài tương tác hiệu quả với hệ thống Tuy nhiên, việc loại bỏ các API không cần thiết có thể cải thiện hiệu suất và bảo mật của trang web.

Các API có thể bị lợi dụng trong các cuộc tấn công DDoS thông qua việc gửi một lượng lớn yêu cầu Để giảm thiểu tình trạng này, bạn có thể vô hiệu hóa chúng một cách an toàn.

● Vô hiệu hóa RPC XML trong WordPress

XML-RPC cho phép các ứng dụng bên thứ ba kết nối và tương tác với trang web WordPress của bạn Chẳng hạn, bạn cần sử dụng XML-RPC để truy cập ứng dụng WordPress trên các thiết bị di động.

Để bảo vệ trang web của bạn khỏi các mối đe dọa khi không hỗ trợ người dùng di động, hãy vô hiệu hóa XML-RPC bằng cách thêm đoạn mã sau vào file htaccess.

# Block WordPress xmlrpc.php requests

order deny,allow deny from all

● Kích hoạt WAF (Website Application Firewall)

Việc vô hiệu hóa các mũi tấn công như REST API và XML-RPC giúp tăng cường bảo mật cho trang web, nhưng vẫn không đủ để ngăn chặn các cuộc tấn công DDoS Trang web của bạn vẫn có thể bị tấn công qua các yêu cầu HTTP thông thường.

Mặc dù việc theo dõi, phát hiện và chặn các IP gây ra quá nhiều yêu cầu có thể giúp giảm thiểu cuộc tấn công DoS nhỏ, nhưng không thể lúc nào cũng giám sát từng website Ngược lại, các cuộc tấn công DDoS thường sử dụng hàng loạt thiết bị để tấn công mục tiêu, với quy mô lớn hơn nhiều so với DoS, khiến việc xử lý thủ công trở nên khó khăn.

Cách dễ nhất để chặn các request đáng ngờ là kích hoạt ứng dụng tường lửa cho trang web của bạn

Tường lửa ứng dụng cho trang web hoạt động như một proxy, giúp bảo vệ trang web của bạn bằng cách chặn tất cả lưu lượng truy cập đáng ngờ Nó sử dụng thuật toán thông minh để nhận diện và ngăn chặn các yêu cầu có nguy cơ trước khi chúng đến máy chủ lưu trữ trang web của bạn.

Tường lửa ứng dụng cho trang web (WAF) hoạt động ở cấp độ ứng dụng và không hiệu quả trong việc ngăn chặn các cuộc tấn công DDoS Tuy nhiên, hệ thống này vẫn có khả năng chặn một phần lưu lượng truy cập đến máy chủ trang web.

41 của bạn, vì vậy 1 phần nào đó sẽ ảnh hưởng đến hiệu suất tổng thể trang web của bạn

● Những việc cần làm khi gặp một cuộc tấn công DDoS

Các cuộc tấn công DDoS có thể xảy ra ngay cả khi bạn đã triển khai tường lửa ứng dụng và các biện pháp bảo vệ khác Sử dụng dịch vụ của CloudFlare và Sucuri giúp tăng cường bảo mật cho trang web, mang lại sự yên tâm hơn cho người dùng trong việc đối phó với các cuộc tấn công này.

Khi các cuộc tấn công DDoS quy mô lớn nhắm vào trang web của bạn, hậu quả có thể rất nghiêm trọng, ngay cả khi bạn đang sử dụng các dịch vụ bảo vệ Để giảm thiểu thiệt hại và chuẩn bị cho những tình huống xấu nhất, bạn nên có các biện pháp ứng phó hiệu quả.

Sau đây là một số điều bạn có thể làm để giảm thiểu tác động của cuộc tấn công DDoS

(1) Thông báo cho các thành viên trong nhóm của bạn

Nếu bạn có một nhóm làm việc trên trang web, hãy thông báo cho đồng nghiệp về vấn đề này Điều này sẽ giúp họ chuẩn bị cho các tình huống hỗ trợ khách hàng, cùng xem xét và đề xuất biện pháp đối phó, cũng như hỗ trợ bạn trong hoặc sau cuộc tấn công.

(2) Thông báo cho khách hàng về sự bất tiện khi truy cập trang web

Các cuộc tấn công DDoS có thể gây ra ảnh hưởng nghiêm trọng đến trải nghiệm người dùng trên trang web của bạn, đặc biệt là đối với các cửa hàng WooCommerce, khiến khách hàng gặp khó khăn trong việc đặt hàng hoặc đăng nhập vào tài khoản Để giảm thiểu tác động này, bạn nên thông báo cho người dùng và khách hàng qua các tài khoản mạng xã hội về sự cố kỹ thuật mà trang web đang gặp phải và cam kết rằng mọi thứ sẽ sớm trở lại bình thường Nếu cuộc tấn công diễn ra ở quy mô lớn, việc thông báo kịp thời sẽ giúp duy trì lòng tin của khách hàng.

Chúng tôi khuyên bạn nên sử dụng Email Marketing để liên lạc với khách hàng và khuyến khích họ theo dõi các cập nhật trên mạng xã hội của bạn Đối với khách hàng VIP, hãy áp dụng dịch vụ điện thoại doanh nghiệp để liên hệ trực tiếp với họ, thông báo về vấn đề và thời gian khắc phục Những biện pháp này sẽ giúp khách hàng hiểu và thông cảm hơn khi họ truy cập vào trang web của bạn, đồng thời có thể quay trở lại khi trang web được khắc phục.

(3) Liên hệ với nhà cung cấp dịch vụ lưu trữ Hosting và yêu cầu hỗ trợ bảo mật

Liên hệ với nhà cung cấp dịch vụ lưu trữ web hosting của bạn để nhận thông tin cập nhật về tình hình an ninh Các cuộc tấn công mà trang web của bạn đang gặp phải có thể là một phần của một cuộc tấn công lớn hơn nhằm vào hệ thống của nhà cung cấp Họ sẽ cung cấp cho bạn thông tin cần thiết để bảo vệ trang web của bạn.

Làm suy giảm hoặc chặn cuộc tấn công DDOS

Việc làm suy giảm hay chặn cuộc tấn công DDOS thường sử dụng một số kỹ thuật sau a Load balancing

Tính năng cân bằng tải giúp máy chủ ảo hoạt động hiệu quả và đồng bộ hơn bằng cách phân phối tài nguyên một cách đồng đều Việc thiết lập kiến trúc cân bằng tải cho các server là rất quan trọng để tối ưu hóa hiệu suất và đảm bảo sự ổn định trong hoạt động.

Cân bằng tải là giải pháp quan trọng giúp tăng cường khả năng chống chọi của hệ thống trước các cuộc tấn công DDoS, mặc dù quy mô tấn công có thể rất lớn Khi truy cập vào một website mà không có Load Balancing, người dùng có thể gặp phải tình trạng tải chậm hoặc không thể kết nối do quá nhiều lượt truy cập đồng thời Trong trường hợp máy chủ gặp sự cố, Load Balancer sẽ đảm nhận vai trò chuyển tiếp lưu lượng truy cập đến các máy chủ khác, đảm bảo rằng tất cả yêu cầu của người dùng vẫn được xử lý hiệu quả.

Nguyên tắc cân bằng tải dựa trên các quan điểm kỹ thuật tương đồng, với RRDNS (Round Robin DNS) là một kỹ thuật điển hình Tuy nhiên, khi một máy chủ bị lỗi, RRDNS vẫn tiếp tục gửi tải đến máy chủ đó cho đến khi lỗi được phát hiện, dẫn đến sự gián đoạn dịch vụ Các thuật toán cân bằng tĩnh như Round Robin và Weighted Round Robin, cùng với các thuật toán động như Least Connection và Optimized Weighted Least Connection, giúp cải thiện kỹ thuật này, mặc dù vẫn tồn tại nhược điểm như điểm lỗi đơn và nút cổ chai do điều phối tập trung Kỹ thuật cân bằng tải không chỉ áp dụng cho Web server mà còn cho các hệ server ứng dụng khác, đảm bảo hệ thống luôn khả dụng trước client mà không yêu cầu phần cứng đặc biệt, giúp giảm chi phí triển khai Kiến trúc phần mềm phân tán của cân bằng tải cung cấp hiệu năng và tính khả dụng cao nhất cho hệ thống.

Cân bằng tải là yếu tố quan trọng trong các hệ thống của doanh nghiệp, nhà cung cấp dịch vụ ISP, trung tâm xử lý dữ liệu, cơ quan Chính phủ, phòng thí nghiệm, trường đại học và các viện nghiên cứu.

Việc chia tải có thể thực hiện bằng nhiều phương pháp, hình thức khác nhau hoặc sử dụng kết hợp giữa chúng

Một giải pháp cân bằng tải có các chức năng sau:

- Can thiệp vào luồng dữ liệu mạng tới một điểm đích;

- Chia luồng dữ liệu đó thành các yêu cầu đơn lẻ và quyết định máy chủ nào sẽ xử lý những yêu cầu đó;

Để đảm bảo hiệu suất tối ưu, cần duy trì việc theo dõi các máy chủ đang hoạt động, xác nhận rằng chúng đáp ứng đầy đủ các yêu cầu Nếu phát hiện máy chủ nào không hoạt động đúng chức năng, máy chủ đó sẽ phải được loại bỏ khỏi danh sách xoay vòng.

Để nâng cao tính đa dạng trong hệ thống, việc sử dụng nhiều đơn vị trong các tình huống fail-over là rất quan trọng Fail-over là khả năng tự động chuyển sang thiết bị dự phòng khi gặp sự cố mà không cần sự can thiệp của con người hay cảnh báo trước Việc thực hiện này giúp đảm bảo tính liên tục và ổn định cho hệ thống, giảm thiểu rủi ro và nâng cao hiệu suất hoạt động.

- Cung cấp sự phân phối dựa trên sự hiểu biết về nội dung, như: đọc URL, can thiệp vào cookies hoặc truyền XML … b Server Load Balancers

Load Balancer là thiết bị phân phối tải, giúp chia sẻ khối lượng công việc giữa các máy tính, tạo ra một hệ thống hoạt động như một máy tính duy nhất.

VIPs: là địa chỉ IP thường được gán trên Load balancer Tất cả các yêu cầu của client đều được gửi tới IP ảo này

Máy chủ (server) là một hệ thống cung cấp dịch vụ và chia sẻ tải giữa nhiều dịch vụ khác nhau Mỗi máy chủ thường được gán một địa chỉ IP và một cổng TCP/UDP, tuy nhiên, không phải lúc nào cũng có địa chỉ IP công khai, điều này phụ thuộc vào cấu trúc mạng.

Nhóm (group): Dùng để chỉ một nhóm các máy chủ được cân bằng tải Các thuật toán như “farm”, “server farm” có cùng một ý nghĩa với thuật ngữ này

Cấp độ truy cập người dùng là tập hợp các quyền được cấp cho người dùng khi họ đăng nhập vào thiết bị cân bằng tải.

+ Read – only: Cấp độ truy cập chỉ đọc, không cho phép bất kỳ một thay đổi nào được thực hiện

Superuser là cấp độ truy cập cao nhất, cho phép người dùng toàn quyền điều khiển hệ thống Người dùng với quyền Superuser có khả năng thêm tài khoản, xóa file và cấu hình lại hệ thống với mọi tham số cần thiết.

Nhiều sản phẩm hiện nay cung cấp các cấp độ người dùng trung gian, nằm giữa hai cấp độ chính, với quyền hạn hạn chế trên hệ thống.

Khi một thiết bị gặp sự cố, nó sẽ được thay thế bằng một thiết bị khác mà không làm ảnh hưởng nhiều đến hoạt động của hệ thống Để thực hiện điều này, một trong những phương pháp phổ biến là sử dụng hai thiết bị song song Một giao thức sẽ được áp dụng bởi một trong hai thiết bị để kiểm tra tình trạng hoạt động của thiết bị còn lại.

● Hoạt động của hệ thống cân băng tải được mô tả như sau:

Khi một gói tin được gửi đến các máy chủ, tất cả các máy chủ đều nhận gói tin đó, nhưng chỉ một máy chủ cụ thể sẽ xử lý nó Các máy chủ trong nhóm có khả năng đáp ứng đồng thời nhiều yêu cầu khác nhau từ client, ngay cả khi một client gửi nhiều yêu cầu cùng lúc Ví dụ, một trình duyệt web có thể cần tải nhiều hình ảnh trên một trang web.

Cân bằng tải giúp tăng tốc độ xử lý và rút ngắn thời gian phản hồi cho người dùng bằng cách phân phối 46 website trên nhiều máy chủ khác nhau trong một nhóm.

Mỗi máy chủ trong nhóm có khả năng xác định mức tải mà nó sẽ xử lý, cho phép phân phối tải đồng đều giữa các host Nhờ vào việc phân phối tải này, mỗi server sẽ tiếp nhận và xử lý một phần tải từ các client, đảm bảo rằng số lượng yêu cầu được phân bổ đúng theo tỷ lệ tải đã định Sự cân bằng tải có thể tự động điều chỉnh khi các host tham gia hoặc rời khỏi nhóm Đối với các ứng dụng như web server, nơi có nhiều client và thời gian tồn tại của các yêu cầu ngắn, kỹ thuật này giúp phân phối tải hiệu quả thông qua ánh xạ thống kê, từ đó cung cấp khả năng đáp ứng nhanh chóng khi nhóm server có sự thay đổi.

Chuyển hướng cuộc tấn công

Honeypot là một hệ thống thông tin được thiết kế để giả mạo và đánh lừa những kẻ xâm nhập trái phép, nhằm thu hút sự chú ý của họ và ngăn chặn việc tiếp xúc với hệ thống thực sự.

Hệ thống tài nguyên thông tin, hay còn gọi là Honeypot, có khả năng giả dạng nhiều loại máy chủ như Mail Server, Domain Name Server và Web Server Honeypot tương tác trực tiếp với tin tặc để thu thập thông tin về các hình thức tấn công, công cụ sử dụng và phương pháp thực hiện, thay vì chỉ đơn thuần là mục tiêu bị tấn công.

Gồm hai loại chính: Tương tác thấp và tương tác cao

Tương tác thấp (Low Interaction) là phương pháp mô phỏng các dịch vụ, ứng dụng và hệ điều hành với mức độ rủi ro thấp Phương pháp này dễ dàng triển khai và bảo trì, tuy nhiên, nó có một số hạn chế về dịch vụ mà người dùng có thể truy cập.

Tương tác cao đề cập đến các dịch vụ, ứng dụng và hệ điều hành thực tế, cho phép thu thập một lượng lớn thông tin Tuy nhiên, việc này đi kèm với rủi ro cao và yêu cầu nhiều thời gian cho việc vận hành và bảo trì.

Mô hình VD về các loại honeypots

BackOfficer Friendly (BOF) là một loại honeypot tương tác thấp, dễ dàng vận hành và cấu hình Nó có khả năng hoạt động trên mọi phiên bản của Windows và Unix, nhưng chỉ tương tác với một số dịch vụ đơn giản như FTP, Telnet và SMTP.

Specter là một loại honeypot tương tác thấp với khả năng tương tác tốt hơn BOF, giả lập trên 14 cổng và có khả năng cảnh báo cũng như quản lý từ xa Tuy nhiên, giống như BOF, Specter cũng bị giới hạn về dịch vụ và thiếu tính linh hoạt.

Honeyd lắng nghe trên tất cả các cổng TCP và UDP, với các dịch vụ mô phỏng nhằm ngăn chặn và ghi lại các cuộc tấn công, đồng thời tương tác với kẻ tấn công như một nạn nhân.

- Honeyd có thể cùng lúc giả lập nhiều hệ điều hành khác nhau

- Hiện nay, Honeyd có nhiều phiên bản và có thể mô phỏng được khoảng

- Honeyd là loại hình Honeypots tương tác thấp có nhiều ưu điểm Tuy nhiên Honeyd có nhược điểm là không thể cung cấp một hệ điều hành thật để

49 tương tác với tin tặc và không có cơ chế cảnh báo khi phát hiện hệ thống bị xâm nhập hay gặp nguy hiểm

- HoneyNet là hình thức Honeypots tương tác cao Khác với các

Honeypots, HoneyNet là một hệ thống thật, hoàn toàn giống một mạng làm việc bình thường HoneyNet cung cấp hệ thống ứng dụng và các dịch vụ thật

Khi xây dựng một HoneyNet, yếu tố quan trọng nhất là Honeywall, đóng vai trò như một gateway giữa các Honeypots và mạng bên ngoài Honeywall hoạt động ở tầng 2 dưới dạng Bridged, đảm bảo rằng tất cả luồng dữ liệu vào và ra từ Honeypots đều phải đi qua nó.

Mô hình kiến trúc của HoneyNet

- Các chức năng của HoneyNet:

+ Khi các mã hiểm độc thâm nhập vào HoneyNet, sẽ bị kiểm soát các hoạt động

+ Các luồng dữ liệu khi đi vào không bị hạn chế, nhưng khi đi ra ngoài thì sẽ bị hạn chế

HoneyNet thu thập dữ liệu bằng cách ghi lại tất cả các hoạt động phá hoại khi dữ liệu được gửi vào, đồng thời phân tích động cơ hoạt động của tin tặc.

HoneyNet chủ yếu nhằm mục đích thu thập thông tin, và khi đã có được dữ liệu, người dùng cần phải có khả năng phân tích những thông tin đó một cách hiệu quả.

Việc thu thập dữ liệu từ các HoneyNet cần được thực hiện để tập trung thông tin vào một nguồn duy nhất Tuy nhiên, điều này chủ yếu áp dụng cho các tổ chức sở hữu nhiều HoneyNet, trong khi hầu hết các tổ chức chỉ có một HoneyNet duy nhất.

Để triển khai một hệ thống Honeypots thành công, cần có một quá trình xử lý kỹ thuật tốt và thực hiện đúng kế hoạch Việc này sẽ đảm bảo hệ thống hoạt động hiệu quả và bảo mật.

Danh sách dưới đây đưa ra các bước để thực hiện:

+ Xác nhận Honeypots là được cho phép tạo dựng trong môi trường hệ thống đó

+ Xác định mục tiêu Honeypots Tại sao lại muốn chạy một Honeypots

+ Dùng nó để nghiên cứu hay bảo vệ hệ thống tổ chức máy tính

Vai trò của con người là rất quan trọng trong việc thiết lập và duy trì một Honeypot hiệu quả Để triển khai Honeypot một cách chính xác, cần có chuyên môn kỹ thuật phù hợp Ngoài ra, việc sử dụng phần mềm và phần cứng chuyên dụng cũng là yếu tố cần thiết để đảm bảo hoạt động của Honeypot Thời gian đầu tư cho việc triển khai và bảo trì cũng cần được xem xét kỹ lưỡng để đạt được hiệu quả tối ưu.

Mỗi ngày, việc duy trì và phân tích dữ liệu yêu cầu 51 giờ để theo kịp các Honeypots mới và khai thác chúng một cách hiệu quả Các loại Honeypots được triển khai sẽ bao gồm cả nghiên cứu và sản phẩm thực tế hoặc ảo.

Để tạo ra Honeypots, cần xác định các cài đặt cấu hình thiết bị mạng cần thiết Việc lập kế hoạch và cấu hình các thành phần hỗ trợ như công cụ cảnh báo, đăng nhập, giám sát và quản lý là rất quan trọng để đảm bảo hiệu quả hoạt động của Honeypots.

+ Thu thập các thiết lập của việc giám sát, đăng nhập và các tool phân tích hợp pháp

Giai đoạn sau tấn công

Trong giai đoạn này, việc phân tích cuộc tấn công là rất quan trọng để xác định vị trí của kẻ tấn công, thu thập manh mối và chứng cứ cần thiết Điều này không chỉ giúp hiểu rõ hơn về vụ việc mà còn rút ra bài học để cải thiện hệ thống an ninh, từ đó nâng cao khả năng bảo vệ trong tương lai.

Phân tích mẫu lưu lượng mạng giúp tối ưu hóa hệ thống cân bằng tải và điều tiết bằng cách sử dụng dữ liệu thống kê biến thiên lưu lượng theo thời gian Những thông tin này cũng hỗ trợ các nhà quản trị mạng điều chỉnh quy tắc kiểm soát lưu lượng ra vào mạng hiệu quả hơn.

Kỹ thuật lần vết gói tin cho phép chúng ta truy ngược lại vị trí của kẻ tấn công, ít nhất là xác định được mạng con mà họ đang sử dụng.

Phân tích tập tin nhật ký sau một cuộc tấn công là một bước quan trọng giúp quản trị mạng phát hiện ra nhiều manh mối và chứng cứ quan trọng Qua việc xem xét các thông tin trong nhật ký, họ có thể xác định nguồn gốc và phương thức tấn công, từ đó nâng cao khả năng bảo mật cho hệ thống.

Các giải pháp đơn đối với những cuộc tấn công DDOS nhỏ

Đối với những cuộc tấn công nhỏ như: Sử dụng trang web “ác ý” hoặc

Sử dụng iframe Chúng ta có thể sử dụng cách phòng chống trực tiếp ngay trên website

Chống tải lại trang web có ác ý:

Tấn công bằng cách nhấn phím F5 liên tục hoặc sử dụng phần mềm tự động để tải lại trang web có thể gây tiêu tốn băng thông và làm giảm tốc độ hoạt động của trang Để bảo vệ trang web khỏi loại tấn công này, bạn có thể thiết lập tập tin htaccess với nội dung phù hợp.

!^http(s)?://(www\.)?domain.com [NC]

RewriteRule !antiddos.phtml http://www.domain.com/antiddos.phtml?%{REQUEST_URI}

Sau đó tạo thêm một một tập tin antiddos.phtml có nội dung

$text = $HTTP_SERVER_VARS['QUERY_STRING'];

$text = preg_replace("#php\&#si",'php?',$text); echo('[CLICK HERE TO

Để bảo vệ website khỏi các cuộc tấn công DDOS, bạn cần tải lên hai tập tin vào thư mục gốc của website Khi người dùng truy cập lần đầu, họ sẽ nhận được thông báo yêu cầu nhấn chuột để vào trang Những lần truy cập sau sẽ không còn thông báo này, giúp ngăn chặn các phần mềm DDOS ngay từ bước click chuột Việc tải lại trang chỉ đơn giản là một trang HTML nhỏ, không ảnh hưởng nhiều đến hệ thống.

Chú ý: Cách này chỉ áp dụng cho website đang sử dụng server chạy trên nền Linux

Phương pháp tấn công thô sơ nhất là việc kẻ tấn công sử dụng một website có lượng truy cập lớn để chèn các iframe hướng tới website mục tiêu Họ sẽ thực hiện lệnh tải lại nhiều lần hoặc tạo một tập tin flash với chức năng tương tự, sau đó đặt lên website này Khi người dùng truy cập vào trang web, họ vô tình trở thành công cụ tấn công cho website bị nhắm đến.

Để bảo vệ website của bạn khỏi các cuộc tấn công chèn iframe từ các trang web khác, bạn có thể sử dụng một đoạn mã Javascript để ngăn chặn việc này.

If (top.location != self.location)