DoS(Denial Of Service) Ngô Văn Công Tin tức Mục đích  DoS là gì?  Các kiểu DoS khác nhau  DoS tools  DDoS là gì?  DDoS attack Taxonomy  DDoS Tools  Reflected DoS Attacks  Taxonomy of DDoS countermeasures  Worms and Viruses Thuật ngữ  Denial of Service(DoS) Attack  Đó là kiểu tấn công nhằm làm cho hệ thống không thể sử dụng được, hay làm cho nó rất chậm đối với các người dùng hợp lệ, bằng cách làm quá tải tài nguyên của hệ thống  Distributed Denial of Service(DDoS)  Trên mạng Internet, DDoS là một kiểu tấn công mà sử dụng nhiều hệ thống đã bị chiếm quyền điều khiển để tấn công một mục tiêu dẫn đến từ chối dịch vụ đối với các người dùng trên hệ thống Thực tế Tin tức DoS là gì?  Tấn công DoS là cách tấn công mà một người cố gắng làm cho hệ thống không thể sử dụng được, hay là làm cho khả năng phục vụ người dùng hợp lệ rất chậm bằng cách làm quá tải nó dấn đến không ai có thể truy cập được  Nếu attacker không thể chiếm quyền điều khiển máy tính thì thường attacker sẽ làm tê liệt hệ thống bằng cách thực hiện một cuộc tấn công bằng DoS Mục đích của DoS  Mục đích của tấn công DoS không phải để truy cập một cách trái phép vào máy tính hay dữ liệu mà là ngăn không cho người dùng hợp lệ truy cập vào.  Attacker có thể  Cố gắng “Flood” hệ thống mạng, vì vậy ngăn cản luồng dữ liệu của người dùng hợp lệ  Cố gắng ngắt kết nối giữa 2 máy tính, vì vậy ngăn truy cập vào dịch vụ.  Cố gắng ngăn một người nào đó truy cập vào dịch vụ.  Cố gắng phá hỏng dịch vụ Ảnh hưởng  Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị:  Disable Network - Tắt mạng  Disable Organization - Tổ chức không hoạt động  Tổn thất tài chính  Tổn thất niềm tin Các kiểu tấn công  Có 2 kiểu tấn công  DoS attack  DDoS attack • Một kiểu tấn công mà cố gắng làm cho hệ thống mạng bị sập bằng cách làm tràn ngập các gói tin. [...]... HKLM\Software\Microsoft\Windows\CurrentVerson\R un  HKLM\Software\Microsoft\Windows\CurrentVerson\R unService  Tự động phát tán  Agabot có khả năng tự động phát tán tới các hệ thống khác trong mạng sử dụng “network share”  Cố găng kết nối vào các thư mục chia sẻ mặc định như admin$,C$,D$,E$ và print$ bằng cách đoán username/password (tt)  Kết nối ngược lại tới IRC  Agabot hoạt động như một IRC-controlled... lại cho chính nó, bởi vì địa chỉ giống nhau Mạng BOT NET  Khi sử dụng một Tool tấn công DoS tới một máy chủ đôi khi không gây ảnh hưởng gì cho máy chủ - Giả sử máy tính attacker sử dụng tool Ping of Death tới một máy chủ, trong đó máy chủ kết nối với mạng tốc độ 100Mbps, attacker kết nối tới máy chủ tốc độ 3Mbps - Vậy tấn công của hacker không có ý nghĩa gì  Hãy tưởng tượng có 1000 người cùng một lúc... 30,000 địa chỉ IP thì sẽ rất khó  Attacker có thể nhân hiệu quả của DoS bằng cách xâm hại nhiều hệ thống máy tính và biến chúng thành công cụ giúp cho attacker thực hiện DDoS Agent Handler Model Attacker H A Attacker H H A H ………… A A Agents Victim Handlers H A … A DDoS IRC Based Model Attacker Attacker IRC Network A A A Victim A A A DDoS Attack Taxonomy  Bandwidth depletion attacks  Flood attack... tin từ internet  Truy cập vào thông tin hệ thống  Thực hiện DDoS tới hệ thống khác Sơ đồ tấn công bằng mạng BOT Tin tức DDoS  Ngày 7/3/2000, yahoo.com đã phải ngưng phục vụ hàng trăm triệu user trên toàn thế giới nhiều giờ liền Vài giờ sau, Yahoo đã tìm ra nguyên nhân gây nên tình trạng này, họ đang phải gánh chịu một đợt tấn công DDoS với quy mô vài ngàn máy tính liên tục gửi hàng triệu request... thống, cùng một lúc chúng sử dụng một dịch vụ của máy chủ, khi kẻ tấn công có trong tay 400.000 máy chủ và cùng một lúc ra lệnh cho chúng download một file trên 1 trang web Và đó chính là DDoS – Distributed Denial of Servcie Mạng BOT  BOT từ viết tắt của từ RoBOT  IRCbot – còn được gọi là zombia hay drone  Internet Relay Chat (IRC) là một dạng truyền dữ liệu thời gian thực trên Internet Nó thường... được sử dụng cho mục đích tấn công DDoS  Một mạng Botnet nhỏ có thể chỉ bao gồm 1000 máy tính nhưng bạn thử tưởng tượng mỗi máy tính này kết nối tới Internet tốc độ chỉ là 128Kbps thì mạng Botnet này đã có khả năng tạo băng thông là 1000*128 ~ 100Mbps – Đây là một con số thể hiện băng thông mà khó một nhà Hosting nào có thể share cho mỗi trang web của mình Tấn công DDoS là gì? “Trên mạng internet, tấn... Tools Jolt2 Bubonic.c Land and LaTierra Targa Jolt2  Cho phép attackers thực hiện tấn công DoS trên các máy chạy windows  Làm cho các máy tính mục tiêu tiêu thụ 100% CPU để xử lý các gói tin không hợp lệ  Nhiều router hay gateway cũng có thể bị tấn công Bubonic.c  Bubonic là công cụ cho phép tấn công DoS các máy chạy window 2000  Nó làm việc bằng cách gửi một cách ngẫu nhiên các gói tin TCP,...Phân loại DoS  Smurf  Buffer Overflow Attack  Ping of death  Teardrop  SYN Smurf Attack  Attacker tạo ra một số lượng lớn các gói tin ICMP echo(ping) tới một địa chỉ quảng bá và giả địa chỉ IP nguồn là địa chỉ IP của nạn nhân ... hãng tin CNN, amazon.com, buy.com, Zdnet.com, E-trade.com, Ebay.com Tất cả các nạn nhân là những gã khổng lồ trên internet thuộc nhiều lĩnh vực khác nhau Theo Yankke Group, tổng thiệt hại do cuộc tấn công lên đến 1.2 triệu USD, nhưng không đáng kể bằng sự mất mát về lòng tin của khách hàng, uy tín của các công ty là không thể tính được Các đặc tính của DDoS  Diễn ra trên quy mô lớn, tấn công đồng thời... phải được phân mảnh thành nhiều gói tin nhỏ hơn  Attacker đặt các thông số sai vào trường offset trong các gói tin IP phân mảnh  Nếu hệ điều hành khi nhận những gói tin này không thể kết hợp những gói tin này lại với nhau có thể làm cho hệ thống sụp đổ  Đó là kiểu tấn công trên giao thức UDP, sử dụng các offset trồng chéo nhau làm cho các hosts bị tê liệt SYN Attack(1/2)  Attacker gửi các yêu cầu