Denial of Service I/ Giới thiệu khái quát DoS: DoS (Denial of Service) mơ tả hành động ngăn cản người dùng hợp pháp dịch vụ truy cập sử dụng dịch vụ Nó bao gồm việc làm tràn ngập mạng, làm kết nối với dịch vụ… mà mục đích cuối làm cho server khơng thể đáp ứng yêu cầu sử dụng dịch vụ từ client DoS làm ngưng hoạt động máy tính, mạng nội bộ, chí hệ thống mạng lớn Thực chất DoS kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ… làm khả xử lý yêu cầu dịch vụ đến từ client khác II/ Các cách thức cơng: A Phá hoại dựa tính giới hạn phục hồi tài nguyên mạng 1) Thông qua kết nối: Tấn công kiểu SYN flood: FPRIVATE "TYPE=PICT;ALT=" LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lợi dụng thức hoạt động kết nối TCP/IP, hacker bắt đầu trình thiết lập kết nối TPC/IP với mục tiêu muốn công phá vỡ kết nối sau trình SYN SYN ACK hoàn tất, khiến cho mục tiêu rơi vào trạng thái chờ (đợi gói tin ACK từ phía u cầu thiết lập kết nối) liên tục gửi gói tin SYN ACK để thiết lập kết nối Một cách khác giả mạo địa IP nguồn gói tin yêu cầu thiết lập kết nối SYN trường hợp trên, máy tính đích rơi vào trạng thái chờ gói tin SYN ACK khơng thể đến đích địa IP nguồn khơng có thật Cách thức hacker áp dụng để cơng hệ thống mạng có băng thông lớn hệ thống hacker 2) Lợi dụng nguồn tài nguyên nạn nhân để công: - Tấn công kiểu Land Attack: tương tự SYN flood hacker sử dụng IP mục tiêu cần công để dùng làm địa IP nguồn gói tin, đẩy mục tiêu vào vịng lặp vơ tận cố gắng thiết lập kết nối với - Tấn cơng kiểu UDP flood: hacker gửi gói tin UDP echo với địa IP nguồn cổng loopback mục tiêu cần cơng máy tính mạng với mục tiêu qua cổng UDP echo (port 7) để thiết lập việc gửi nhận gói tin echo máy tính (hoặc mục tiêu với mục tiêu có cấu hình cổng loopback) khiến cho máy tính sử dụng hết băng thông chúng cản trở hoạt động chia sẻ tài nguyên mạng máy tính khác mạng 3)Sử dụng băng thông: Tấn công kiểu DDoS (Distributed Denial of Service): cách thức công LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com nguy hiểm Hacker xâm nhập vào hệ thống máy tính, cài đặt chương trình điều kiển từ xa kích hoạt đồng thời chương trình vào thời điểm để đồng loạt công vào mục tiêu Cách thức huy động tới hàng trăm chí hàng ngàn máy tính tham gia công lúc (tùy vào chuẩn bị trước hacher) ngốn hết băng thơng mục tiêu nháy mắt 4)Sử dụng nguồn tài nguyên khác: Kẻ công lợi dụng nguồn tài nguyên mà nạn nhân cần đến để công Những kẻ cơng thay đổi liệu tự chép liệu mà nạn nhân cần lên nhiều lần làm CPU bị tải trình xử lý liệu bị đình trệ - Tấn công kiểu Smurf Attack: kiểu công cần hệ thống quan trọng, mạng khuyếch đại Hacker dùng địa máy tính cần cơng gửi broadcast gói tin ICMP echo cho tồn mạng Các máy tính mạng đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn cơng Kết máy tính khơng thể xử lý kịp thời lượng lớn thông tin dễ bị treo - Tấn công kiểu Tear Drop: mạng chuyển mạch gói, liệu chia nhỏ làm nhiều gói tin, mối gói tin có giá trị offset riêng truyền theo nhiều đường để tới đích Tại đích, nhờ vào giá trị offset gói tin mà liệu lại kết hợp lại ban đầu Lợi dụng điều này, hacker tạo nhiều gói tin có giá trị offset trùng lặp gửi đến mục tiêu muốn cơng Kết máy tính đích khơng thể xếp gói tin bị treo dùng hết lực xử lý hệ thống B.Phá hoại chỉnh sửa thơng tin cấu hình LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lợi dụng việc cấu hình thiếu an tồn (ví dụ việc khơng xác thực thơng tin việc gửi nhận tin update router) mà kẻ công thay đổi từ xa trực tiếp thông tin quan trọng khiến cho người dùng hợp pháp sử dụng dịch vụ Ví dụ: hacker xâm nhập vào DNS để thay đơi thơng tin, dẫn đến q trình biên dịch domain name sang IP DNS bị sai lệch Kết yêu cầu client đến domain biến thành domain khác C.Phá hoại chỉnh sửa vật lý phần cứng Lợi dụng quyền hạn thân kẻ cơng thiết bị hệ thống mạng để tiếp cận phá hoại (các router, switch…) III/ Các cách phòng chống DoS làm tiêu tốn nhiều thời gian tiền bạc, vậy, cần phải có biện pháp để phịng chống: - Mơ hình hệ thống phải xây dựng hợp lý, tránh phụ thuộc lẫn mức dễ dẫn đến phận gặp cố làm hệ thống bị trục trặc - Thiết lập password bảo vệ thiết bị hay nguồn tài nguyên quan trọng - Thiết lập mức xác thực người dùng nguồn tin mạng (các thông tin cập nhật định tuyến router nên thiết lập chế độ xác thực) - Xây dựng hệ thống lọc thông tin router, firewall… hệ thống bảo vệ chống lại SYN flood - Chỉ chấp nhận dịch vụ cần thiết, tạm thời dừng dịch vụ chưa có yêu cầu LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com cung cấp không sử dụng - Xây dựng hệ thống định mức, giới hạn cho người sử dụng để ngăn ngừa trường hợp người dùng có ác ý muốn lợi dụng tài nguyên server để cơng server hay mạng, server khác - Liên tục cập nhật, nghiên cứu, kiểm tra để phát lỗ hổng bảo mật có biện pháp khắc phục kịp thời - Sử dụng biện pháp kiểm tra hoạt động hệ thống cách liên tục để phát hành động bất bình thường - Xây dựng hệ thống dự phịng Tìm hiểu DoS- Denial of Service/ Tấn công từ chối dịch vụ Trong công từ chối dịch vụ, kẻ công cố gắng ngăn cản người dùng truy cập thông tin dịch vụ Bằng cách nhằm vào máy tính sử dụng mạng máy tính mà bạn dùng, kẻ cơng ngăn cản truy cập email, website, tài khoản trực tuyến (ví dụ ngân hàng) dịch vụ khác Một kiểu DoS rõ ràng phổ biến kẻ công “làm lụt” mạng thông tin Khi bạn nhập vào URL website vào trình duyệt, lúc bạn gửi yêu cầu đến máy chủ trang để xem Máy chủ xử lý số u cầu kẻ cơng làm q tải máy chủ với nhiều u cầu yêu cầu bạn không xử lý Đây kiểu “từ chối dịch vụ” làm cho bạn khơng thể truy cập đến trang Kẻ cơng sử dụng thư rác để thực công tương tự tài khoản email bạn Dù bạn có tài khoản email cung LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com cấp nhân viên bạn hay có sẵn qua dịch vụ miễn phí Yahoo hay Hotmail bị giới hạn số lượng liệu tài khoản Bằng cách gửi nhiều email đến tài khoản bạn, kẻ cơng tiêu thụ hết phần nhận mail ngăn chặn bạn nhận mail khác Thực chất công từ chối dịch vụ(Denial Of Services Attack) hacker chiếm dụng lựợng lớn tài nguyên server, tài nguyên băng thông, nhớ, cpu, đĩa cứng, làm cho server đáp ứng yêu cầu khác từ clients người dùng bình thường nhanh chóng bị ngừng hoạt động, crash reboot Mới công từ chối dịch vụ theo phương pháp phản xạ DRDoS (DistributedReflection Denial of Service) Để thực "Tấn công từ chối dịch vụ phân tán DDoS", kẻ cơng tìm cách chiếm dụng điều khiển nhiều máy tính mạng máy tính trung gian (đóng vai trị zombie) từ nhiều nơi để đồng loạt gửi ạt gói tin (packet) với số lượng lớn, mục đích chiếm dụng tài nguyên làm tràn ngập đường truyền mục tiêu xác định Riêng "Tấn cơng từ chối dịch vụ phản xạ DRDoS" xuất gần lại loại nguy hiểm Nếu thực hacker chun nghiệp, khơng hệ thống đứng vững trước Đáng nói hơn, xuất nhiều loại virus, worm, trojan có chức tự động thực công DoS LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DRDoS ( The Distributed Reflection Denial of Service Attack ) : Đây có lẽ kiểu công lợi hại làm boot máy tính đối phương nhanh gọn Cách làm tương tự DDos thay cơng nhiều máy tính ngườI công cần dùng máy công thông qua server lớn giới Vẫn với phương pháp giả mạo địa IP victim , kẻ cơng gởi gói tin đến server mạnh , nhanh có đường truyền rộng Yahoo v.v… , server phản hồi gói tin đến địa victim Việc lúc nhận nhiều gói tin thơng qua server lớn nhanh chóng làm nghẽn đường truyền máy tính nạn nhân làm crash , reboot máy tính Cách cơng lợi hại chỗ cần máy có kết nối Internet đơn giản với đường truyền bình thường đánh bật hệ thống có đường truyền tốt giớI ta không kịp ngăn chặn Trang Web HVA bị DoS vừa cách công LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... Mới công từ chối dịch vụ theo phương pháp phản xạ DRDoS (DistributedReflection Denial of Service) Để thực "Tấn công từ chối dịch vụ phân tán DDoS", kẻ cơng tìm cách chiếm dụng điều khiển nhiều... giá trị offset riêng truyền theo nhiều đường để tới đích Tại đích, nhờ vào giá trị offset gói tin mà liệu lại kết hợp lại ban đầu Lợi dụng điều này, hacker tạo nhiều gói tin có giá trị offset... động chia sẻ tài nguyên mạng máy tính khác mạng 3)Sử dụng băng thông: Tấn công kiểu DDoS (Distributed Denial of Service): cách thức công LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com