DISTRIBUTED DENIAL OF SERVICE (DDOS) GIỚI THIỆU Distributed Denial Of Service (DDoS) kỹ thuật công làm ISP lo âu, giới hacker thống khơng cơng nhận DdoS kỹ thuật cơng thống Thế Black hat có nhiều ưu triển khai cơng kỹ thuật DdoS Việc phịng ngừa ngăn chặn DdoS thực mức độ khắc phục hậu truy tìm thủ phạm Vậy DdoS mà có nhiều yếu tố đặc biệt vậy? Bài viết cố gắng trả lời câu hỏi lăng kính security Bố cục viết gồm:  Giới thiệu DDoS  Phân tích loại cơng kiểu DDoS  Phân tích kỹ thuật Anti-DDoS  Nhân tố người Anti- DDoS  Một số trường hợp công DDoS PHẦN I: GIỚI THIỆU VỀ DDOS 1/ Ngày 7/3/2000, yahoo.com phải ngưng phục vụ hàng trăm triệu user toàn giới nhiều liền Vài sau, Yahoo tìm nguyên nhân gây nên tình trạng này, họ phải gánh chịu đợt công DDoS với quy mơ vài ngàn máy tính liên tục gửi hàng triệu request đến server dịch vụ làm server phục vụ user thông thường khác Vài ngày sau, kiện tương tự diễn có phần “ồn ào” nạn nhân hãng tin CNN, amazon.com, buy.com, Zdnet.com, E-trade.com, Ebay.com Tất nạn nhân gã khổng lồ internet thuộc nhiều lĩnh vực khác Theo Yankke Group, tổng thiệt hại công lên đến 1.2 triệu USD, không đáng kể mát lòng tin khách hàng, uy tín cơng ty khơng thể tính Làm đảo lộn dự tính, thủ phạm cậu bé 15 tuổi người Canada, với nickname “mafiaboy” Lại thiên tài bẩm sinh Kevin Mitnick xuất hiện? Khơng Mafiaboy tìm tịi download số chương trình cơng cụ hacker Cậu dùng cơng cụ DDos có tên TrinOO để gây nên công kiểu DDoS khủng khiếp Một điểm đáng lưu ý khác Mafiaboy bị bắt tự khoe khoang chatroom công cộng, khơng tự truy tìm dấu vết cậu bé Còn nhiều gã khổng lồ khác gục ngã công kiểu DDoS sau đó, có Microsodt Tuy nhiên cơng điển hình DDoS, nói lên đặc điểm chết người DDoS: “Rất dễ thực hiện, tránh, hậu nặng nề” 2/ Các giai đoạn công kiểu DdoS: Bao gồm giai đoạn: 2.1 Giai đoạn chuẩn bị: - Chuẩn bị công cụ quan trọng công, công cụ thông thường hoạt động theo mơ hình client-server Hacker viết phần mềm hay down load cách dễ dàng, theo thống kê tạm thời có khoảng 10 cơng cụ DDoS cung cấp miễn phí mạng (các cơng cụ phân tích chi tiết vào phần sau) - Kế tiếp, dùng kỹ thuật hack khác để nắm trọn quyền số host mạng tiến hành cài đặt software cần thiết host này, việc cấu hình thử nghiệm tồn attacknetword (bao gồm mạng lưới máy bị lợi dụng với software thiết lập đó, máy hacker số máy khác thiết lập điểm phát động công) thực giai đoạn 2.2 Giai đoạn xác định mục tiêu thời điểm: - Sau xác định mục tiêu lấn cuối, hacker có hoạt động điều chỉnh attack-netword chuyển hướng cơng phía mục tiêu LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Yếu tố thời điểm định mức độ thiệt hại tốc độ đáp ứng mục tiêu công 2.3 Phát động công xóa dấu vết: Đúng thời điểm định, hacker phát động cơng từ máy mình, lệnh cơng qua nhiều cấp mói đến host thực cơng Tồn attack-network (có thể lên đến hàng ngàn máy), vắt cạn lực server mục tiêu liên tục, ngăn chặn không cho hoạt động thiết kế - Sau khoảng thời gian cơng thích hợp, hacker tiến hành xóa dấu vết truy ngược đến mình, việc địi hỏi trình độ khác cao khơng tuyệt đối cần thiết 3/ Kiến trúc tổng quan DDoS attack-network: Nhìn chung DDoS attack-network có hai mơ hình chính: + Mơ hình Agent – Handler + Mơ hình IRC – Based Dưới sơ đồ phân loại kiểu công DDoS DDoS attack-network Agent -Handler Client – Handler Communication TCP UDP IRC - Based Client – Handler Communication ICMP TCP UDP Secret/private channel Public channel ICMP 3.1 Mơ hình Agent – Handler: Theo mơ hình này, attack-network gồm thành phần: Agent, Client Handler  Client : software sở để hacker điều khiển hoạt động attack-network  Handler : thành phần software trung gian Agent Client  Agent : thành phần software thực công mục tiêu, nhận điều khiển từ Client thông qua Handler Kiến trúc attack-network kiểu Agent – Handler LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Attacker Handler Agent Attacker Handler Agent Handler Agent Handler Agent Agent Victim Attacker từ Client giao tiếp với cc1 Handler để xác định số lượng Agent online, điều chỉnh thời điểm công cập nhật Agent Tùy theo cách attacker cấu hình attacknetwork, Agent chịu quản lý hay nhiều Handler Thông thường Attacker đặt Handler software Router hay server có lượng traffic lưu thông nhiều Việc nhằm làm cho giao tiếp Client, handler Agent khó bị phát Các gia tiếp thông thường xảy protocol TCP, UDP hay ICMP Chủ nhân thực Agent thông thường không hay biết họ bị lợi dụng vào công kiểu DDoS, họ khơng đủ kiến thức chương trình Backdoor Agent sử dụng tài nguyên hệ thống làm cho thấy ảnh hưởng đến hiệu hệ thống 3.2 Mơ hình IRC – Based: Internet Relay Chat (IRC) hệ thống online chat multiuser, IRC cho phép User tạo kết nối đến multipoint đến nhiều user khác chat thời gian thực Kiến trúc củ IRC network bao gồm nhiều IRC server khắp internet, giao tiếp với nhiều kênh (channel) IRC network cho phép user tạo ba loại channel: public, private serect  Public channel: Cho phép user channel thấy IRC name nhận message user khác channel  Private channel: thiết kế để giao tiếp với đối tượng cho phép Không cho phép user không channel thấy IRC name message channel Tuy nhiên, user channel dùng số lệnh channel locator biết tồn private channel  Secrect channel : tương tự private channel xác định channel locator Kiến trúc attack-network kiểu IRC-Base LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Attacker Attacker IRC NETWORK Agent Agent Agent Agent Agent Victim IRC – Based net work tương tự Agent – Handler network mơ hình sử dụng kênh giao tiếp IRC làm phương tiện giao tiếp Client Agent (không sử dụng Handler) Sử dụng mơ hình này, attacker cịn có thêm số lợi khác như: + Các giao tiếp dạng chat message làm cho việc phát chúng vơ khó khăn + IRC traffic di chuyển mạng với số lượng lớn mà không bị nghi ngờ + Khơng cần phải trì danh sách Agent, hacker cần logon vào IRC server nhận report trạng thái Agent channel gửi + Sau cùng: IRC môi trường file sharing tạo điều kiện phát tán Agent code lên nhiều máy khác PHẦN II/ PHÂN LOẠI TẤN CƠNG KIỂU DDOS Nhìn chung, có nhiều biến thể kỹ thuật cơng DDoS nhìn góc độ chun mơn chia biến thề thành hai loại dựa mụch đích cơng: Làm cạn kiệt băng thông làm cạn kiệt tài nguyên hệ thống Dưới sơ đồ mô tả phân loại kiểu công DDoS LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DDoS attack Bandwith DeleptionDeleption Amplification Attack Flood Attack UDP Random Port Attack ICMP Static Port Attack Spoof Source Attack Resource Deleption Smuft attack Flaggle Attack Direct Attack Protocol Exploit Attack TCP SYS Attack Malformed Paclket attack PUSH +ACK SYN Attack IP @ Attack IP Packet Options Attack Spoof source Attack Spoof source Attack Spoof source Attack Loop Attack Spoof source Attack I/ Những kiểu công làm cạn kiệt băng thông mạng (BandWith Depletion Attack) BandWith Depletion Attack thiết kế nhằm làm tràng ngập mạng mục tiêu với traffic không cần thiết, với mục địch làm giảm tối thiểu khả traffic hợp lệ đến hệ thống cung cấp dịch vụ mục tiêu Có hai loại BandWith Depletion Attack: + Flood attack: Điều khiển Agent gởi lượng lớn traffic đến hệ thống dịch vụ mục tiêu, làm dịch vụ bị hết khả băng thông + Amplification attack: Điều khiển agent hay Client tự gửi message đến địa IP broadcast, làm cho tất máy subnet gửi message đến hệ thống dịch vụ mục tiêu Phương pháp làm gia tăng traffic không cần thiết, làm suy giảm băng thông mục tiêu 1/ Flood attack: Trong phương pháp này, Agent gửi lượng lớn IP traffic làm hệ thống dịch vụ mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái hoạt động bão hòa Làm cho User thực hệ thống không sử dụng dịch vụ Ta chia Flood Attack thành hai loại: + UDP Flood Attack: tính chất connectionless UDP, hệ thống nhận UDP message đơn giản nhận vào tất packet cần phải xử lý Một lượng lớn UDP packet gởi đến hệ thống dịch vụ mục tiêu đẩy toàn hệ thống đến ngưỡng tới hạn + Các UDP packet gửi đến nhiều port tùy ý hay port Thông thường gửi đến nhiều port làm cho hệ thống mục tiêu phải căng để xử lý phân hướng cho packet Nếu port bị cơng khơng sẵn sàng hệ thống mục tiêu gửi ICMP packet loại “destination port unreachable” Thông thường Agent software dùng địa IP giả để che giấu hành tung, message trả khơng có port xử lý dẫn đến đại Ip khác UDP Flood attack làm ảnh hưởng đến kết nối xung quanh mục tiêu hội tụ packet diễn mạnh + ICMP Flood Attack: thiết kế nhằm mục đích quản lý mạng định vị thiết bị mạng Khi Agent gởi lượng lớn ICMP_ECHO_REPLY đến hệ thống mục tiêu hệ LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com thống phải reply lượng tương ứng Packet để trả lời, dẫn đến nghẽn đường truyền Tương tự trường hợp trên, địa IP cá Agent bị giả mạo 2/ Amplification Attack: Amplification Attack nhắm đến việc sử dụng chức hỗ trợ địa IP broadcast router nhằm khuyếch đại hồi chuyển công Chức cho phép bên gửi định địa IP broadcast cho toàn subnet bên nhận thay nhiều địa Router có nhiệm vụ gửi đến tất địa IP subnet packet broadcast mà nhận Attacker gửi broadcast message trực tiếp hay thông qua số Agent nhằm làm gia tăng cường độ cơng Nếu attacker trực tiếp gửi message, lợi dụng hệ thống bên broadcast network Agent Attacker/Agent VICTIM Amplifier Amplifier Network System Có thể chia amplification attack thành hai loại, Smuft va Fraggle attack: + Smuft attack: kiểu công attacker gởi packet đến network amplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa nạn nhân Thông thường packet dùng ICMP ECHO REQUEST, packet yêu cầu yêu cầu bên nhận phải trả lời ICMP ECHO REPLY packet Network amplifier gửi đến ICMP ECHO REQUEST packet đến tất hệ thống thuộc địa broadcast tất hệ thống REPLY packet địa IP mục tiêu công Smuft Attack + Fraggle Attack: tương tự Smuft attack thay dùng ICMP ECHO REQUEST packet dùng UDP ECHO packet gởi đếm mục tiêu Thật biến thể khác Fraggle attack gửi đến UDP ECHO packet đến chargen port (port 19/UNIX) mục tiêu, với địa bên gửi echo port (port 7/UNIX) mục tiêu, tạo nên vịng lặp vơ hạn Attacker phát động công ECHO REQUEST với địa bên nhận địa broadcast, toàn hệ thống thuộc địa gửi REPLY đến port echo nạn nhân, LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com sau từ nạn nhân ECHO REPLY lại gửi trở địa broadcast, trình tiếp diễn Đây ngun nhân Flaggle Attack nguy hiểm Smuft Attack nhiều II/ Những kiểu công làm cạn kiệt tài nguyên: (Resource Deleption Attack) Theo định nghĩa: Resource Deleption Attack kiểu cơng Attacker gởi packet dùng protocol sai chức thiết kế, hay gửi packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho tài nguyên không phục vụ user thông thường khác 1/ Protocol Exploit Attack: + TCP SYS Attack: Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phương thức bắt tay bên gởi bên nhận trước truyền liệu Bước đầu tiên, bên gửi gởi SYN REQUEST packet (Synchronize) Bên nhận nhận SYN REQUEST trả lời SYN/ACK REPLY packet Bước cuối cùng, bên gửi truyên packet cuối ACK bắt đầu truyền liệu SYS TCP Client TCP Server SYN/ACK Client Port 1024-65535 80 ACK Service Port 1-1023 Nếu bên server trả lời yêu cầu SYN SYN/ACK REPLY không nhận ACK packet cuối sau khoảng thời gian quy định resend lại SYN/ACK REPLY hết thời gian timeout Toàn tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nhận ACK packet cuối bị “phong tỏa” hết thời gian timeout SYS packet with a deliberately fraudulent (spoofed) source IP return address Malicious TCP Client Victim TCP Server SYN ? 80 SYS/ACK Nắm điểm yếu này, attacker gởi SYN packet đến nạn nhân với địa bên gởi giả mạo, kết nạn nhân gởi SYN/ACK REPLY đến địa không nhận ACK packet cuối cùng, hết thời gian timeout nạn nhân nhận điều giải phóng tài nguyên hệ thống Tuy nhiên, lượng SYN packet giả mạo đến với số lượng nhiều dồn dập, hệ thống nạn nhân bị hết tài nguyên LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Client Server Attacker/Agent Server SYN SYN SYN/ACK SYN/ACK SYN/ACK ACK + PUSH = ACK Attack: Trong TCP protocol, packet chứa buffer, buffer đầy packet chuyển đến nơi cần thiết Tuy nhiên, bên gởi yêu cầu hệ thống unload buffer trước buffer đầy cách gởi packet với PUSH ACK mang giá trị Những packet làm cho hệ thống nạn nhân unload tất liệu TCP buffer gửi ACK packet trở thực xong điều này, trình diễn liên tục với nhiều Agent, hệ thống xử lý lượng lớn packet gửi đến bị treo 2/ Malformed Packet Attack: Malformed Packet Attack cách công dùng Agent để gởi packet có cấu trúc khơng chuẩn nhằm làm cho hệ thống nạn nhân bị treo Có hai loại Malformed Packet Attack: + IP address attack: dùng packet có địa gởi nhận giống làm cho hệ điều hành nạn nhân không xử lý bị treo + IP packet options attack ngẫu nhiên hóa vùng OPTION IP packet thiết lập tất bit QoS lên 1, điều làm cho hệ thống nạn nhân phải tốn thời gian phân tích, sử dụng số lượng lớn Agent làm hệ thống nạn nhân hết khả xử lý 3/ Một số đặc tính cơng cụ DdoS attack: DDoS software Tool Attack Network Comminication Agent Setup Instalation Active Passive Hide with rootkit Yes Encruption No TCP Bugged website Protocol Corrupted File OS supported Agent Activation Methods Actively Poll UDP Unix Solaris Linux Windows Live&wait ICMP Agent Handlerl YES Private/Serect IRC Basedl No Public Backdoor Trojan Buffer Overlfow Client Handlerl Agent Handlerl None Có nhiều điểm chung mặt software cơng cụ DDoS attack Có thể kể số điểm chung như: cách cài Agent software, phương pháp giao tiếp attacker, handler LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Agent, điểm chung loại hệ điều hành hỗ trợ công cụ Sơ đồ mô tả so sánh tương quan công cụ công DDoS 3.1/ Cách thức cài đặt DDoS Agent: Attacker dùng phương pháp active passive để cài đặt agent software lên máy khác nhằm thiết lập attack-network kiểu Agent-Handler hay IRC-based - Cách cài đặt Active: + Scaning: dùng cơng cụ Nmap, Nessus để tìm sơ hở hệ thống online nhằm cài đặt Agentsoftware Chú ý, Nmap trả thông tin hệ thống định địa IP, Nessus tìm kiếm từ địa IP điểm yếu biết trước + Backdoor: sau tìm thấy danh sách hệ thống lợi dụng, attacker tiến hành xâm nhập cài Agentsoftware lên hệ thống Có nhiều thơng tin sẵn có cách thức xâm nhập mạng, site tổ chức Common Vulnerabilities and Exposures (CVE), liệt kê phân loại 4.000 loại lỗi tất hệ thống có Thơng tin ln sẵn sàng cho giới quản trị mạng lẫn hacker + Trojan: chương trình thực chức thơng thường đó, lại có số chức tiềm ẩn phục vụ cho mục đích riêng người viết mà người dùng khơng thể biết Có thể dùng trojan Agent software + buffer Overflow: tận dụng lỗi buffer overflow, attacker làm cho chu trình thực thi chương trình thơng thường bị chuyển sang chu trình thực thi chương trình hacker (nằm vùng liệu ghi đè) Có thể dùng cách để cơng vào chương trình có điểm yếu buffer overflow để chạy chương trình Agent software - Cách cài đặt passive: + Bug Website: attacker lợi dụng số lỗi web brower để cài Agent software vào máy user truy cập Attaker tạo website mang nội dung tiềm ẩn code lệnh để đặt bẫy user Khi user truy cập nội dung website, website download cài đặt Agent software cách bí mật Microsoft Internet Explorer web browser thường mục tiêu cách cài đặt này, với lỗi ActiveX cho phép IE brower tự động download cài đặt code máy user duyệt web + Corrupted file: phương pháp khác nhúng code vào file thông thường Khi user đọc hay thực thi file này, máy họ bị nhiễm Agent software Một kỹ thuật phổ biến đặt tên file dài, default hệ điều hành hiển thị phần đầu tên file nên attacker gửi kèm theo email cho nạn nhân file sau: iloveyou.txt_hiiiiiii_NO_this_is_DDoS.exe, thấy phần “Iloveyou.txt” hiển thị nên user mở file để đọc file thực thi Agent code cài vào máy nạn nhân Ngồi cịn nhiều cách khác ngụy trang file, ghép file… - Rootkit: chương trình dùng để xóa dấu vết diện Agent hay Handler máy nạn nhân Rootkit thường dùng Hander software cài, đóng vai trị xung yếu cho hoạt động attack-network hay môi trường mà khả bị phát Handler cao Rootkit dùng Agent mức độ quan trọng Agent không cao có số Agent khơng ảnh hưởng nhiều đến attacknetwork 3.2/ Giao tiếp Attack-Network: - Protocol: giao tiếp attack-network thực protocol TCP, UDP, ICMP - Mã hóa giao tiếp: vài công cụ DDoS hỗ trợ mã hóa giao tiếp tồn attacknetwork Tùy theo protocol sử dụng để giao tiếp có phương pháp mã hóa thích hợp Nếu attack-network dạng IRC-based private secrect channel hỗ trợ mã hóa giao tiếp - Cách kích hoạt Agent: có hai phương pháp chủ yếu để kích hoạt Agent Cách thứ Agent thường xuyên quét thăm dó Handler hay IRC channel để nhận thị (active Agent) Cách thứ hai Agent đơn giản “nằm vùng” chờ thị từ Handler hay IRC Channel LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3.3/ Các tảng hỗ trợ Agent: Cá công cụ DDoS thông thường thiết kế hoạt động tương thích với nhiều hệ điều hành khác như: Unix, Linux, Solaris hay Windows Các thành phần attack-network vận hành môi trường hệ điều hành khác Thông thường Handler vận hành hệ chạy server lớn Unix, Linux hay Solaris Agent thông thường chạy hệ điều hành phổ biến windows cần số lượng lớn dễ khai thác 3.4/ Các chức cơng cụ DDoS: Mỗi cơng cụ DDoS có tập lệnh riêng, tập lệnh Handler Agent thực Tuy nhiên ta phân loại tổng quát tập lệnh chung công cụ sau: TẬP LỆNH CỦA HANDLER Lệnh Mô tả Log On Nhằm dùng để logon vào Handler software (user + password) Turn On Kích hoạt Handler sẵn sàng nhận lệnh Log Off Nhằm dùng để Logoff khỏi Handler software Turn Off Chỉ dẫn Handler ngưng hoạt động, Handler quét tìm Agent dừng hành vi Initiate Attack Ra lệnh cho Handler hướng dẫn Agent trực thuộc công mục tiêu định List Agents Yên cầu Handler liệt kê Agent trực thuộc Kiss Agents Loại bỏ Agent khỏi hàng ngũ Attack-Network Add victim Thêm mục tiêu để công Download Upgrades Cập nhật cho Handler software (downloads file.exe thực thi) Set Spoofing Kích hoạt thiết lập chế giả mạo địa IP cho Agent Set Attack Time Định thời điểm công cho Agent Set Attack Duration Thông báo độ dài công vào mục tiêu BufferSize Thiết lập kích thước buffer Agent (nhằm gia tăng sức mạnh cho Agent) Help Hướng dẫn sử dụng chương trình Turn On Turn Off Initiate Attacke Download Upgrades Set Spoofing Set Attack Duration Set Packet Size Help TẬP LỆNH AGENT Kich hoat Agent sẵn sàng nhận lệnh Chỉ dẫn Agent ngưng hoạt động, Agent quét tìm Handler/IRC Channel dừng hành vi lại Ra lệnh Agent công mục tiêu định Cập nhật cho Agent software (downloaf file exe thực thi) Thiết lập chế giả mạo địa IP cho Agent hoạt động Thông báo độ dài công vào mục tiêu Thiết lập kích thước attack packet Hướng dẫn sử dụng chương trình 4/ Một số cơng cụ DDoS: Dựa tảng chung phần trên, có nhiều cơng cụ viết ra, thông thường công cụ mã nguồn mở nên mức độ phức tạp ngày cao có nhiều biến thể lạ 4.1 Công cụ DDoS dạng Agent – Handler: - TrinOO: công cụ DDoS phát tán rộng rãi TrinOO có kiến trúc Agent – Handler, công cụ DDoS kiểu Bandwidth Depletion Attack, sử dụng kỹ thuật UDP flood Các version TrinOO không hỗ trợ giả mạo địa IP LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TrinOO Agent cài đặt lợi dụng lỗi remote buffer overrun Hoạt động hệ điều hành Solaris 2.5.1 Red Hat Linux 6.0 Attack – network giao tiếp dùng TCP (attacker client handler) UDP (Handler Agent) Mã hóa giao tiếp dùng phương pháp mã hóa đối xứng Client, handler Agent - Tribe Flood Network (TFN): Kiểu kiến trúc Agent – Handler, công cụ DDoS hoễ trợ kiểu Bandwidth Deleption Attack Resourse Deleption Attack Sử dụng kỹ thuật UDP flood, ICMP Flood, TCP SYN Smurf Attack Các version không hỗ trợ giả mạo địa IP, TFN Agent cài đặt lợi dụng lỗi buffer overflow Hoạt động hệ điều hành Solaris 2.x Red Hat Linux 6.0 Attack – Network giao tiếp dùng ICMP ECHO REPLY packet (TFN2K hỗ trợ thêm TCP/UDP với tính chọn protocol tùy ý), khơng mã hóa giao tiếp (TFN2K hỗ trợ mã hóa) - Stacheldraht: biến thể TFN có thêm khả updat Agent tự động Giao tiếp telnet mã hóa đối xứng Attacker Handler - Shaft: biến thể TrinOO, giao tiếp Handler – Agent UDP, Attacker – Hendle Internet Tấn công dùng kỹ thuật UDP, ICMP TCP flood Có thể cơng phối hợp nhiều kiểu lúc Có thống kê chi tiết cho phép attacker biết tình trạng tổn thất nạn nhân, mức độ quy mô công để điều chỉnh số lượng Agent 4.2 Công cụ DDoS dạng IRC – Based: Công cụ DDoS dạng IRC-based phát triển sau công cụ dạng Agent – Handler Tuy nhiên, công cụ DDoS dạng IRC phức tạp nhiều, tích hợp nhiều đặc tính cơng cụ DDoS dạng Agent – Handler - Trinity: điển hình cơng cụ dạng Trinity có hầu hết kỹ thuật công bao gồm: UDP, TCP SYS, TCP ACK, TCP fragment, TCP NULL, TCP RST, TCP random flag, TCP ESTABLISHED packet flood Nó có sẵn khả ngẫu nhiên hóa địa bên gởi Trinity hỗ trợ TCP flood packet với khả ngẫu nhân tập CONTROL FLAG Trinity nói số cơng cụ DDoS nguy hiểm - Ngồi nhắc thêm số công cụ DDoS khác Knight, thiết kế chạy Windows, sử dụng kỹ thuật cài đặt troijan back Orifice Knight dùng kỹ thuật công SYV, UDP Flood Urgent Pointer Flooder - Sau Kaiten, biến thể Knight, hỗ trợ nhiều kỹ thuật công như: UDP, TCP flood, SYN, PUSH + ACK attack Kaiten thừa hưởng khả ngẫu nhiên hóa địa giả mạo Trinity PHẤN III: NHỮNG KỸ THUẬT ANTI – DDOS: Có nhiều giải pháp ý tưởng đưa nhằm đối phó với cơng kiểu DDoS Tuy nhiên khơng có giải pháp ý tưởng giải trọn vẹn toán Anti-DDoS Các hình thái khác DDoS liên tục xuất theo thời gian song song với giải pháp đối phó, nhiên đua tuân theo quy luật tất yếu bảo mật máy tính: “Hacker ln trước giới bảo mật bước” Có ba giai đoạn q trình Anti-DDoS: - Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent, tìm vơ hiệu hóa Handler - Giai đoạn đối đầu với công: Phát ngăn chặn công, làm suy giảm dừng công, chuyển hướng công - Giai đoạn sau công xảy ra: thu thập chứng rút kinh nghiệm Các giai đoạn chi tiết phòng chống DDoS: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DDoS Countermeasures Detect and Neutralize handler Detect and Prevent Agent Detect/Prevent Potential Attack Mitigate/Stop Attack Deflect Attack Post attack Forensic Traffic Pattern Analysis Egress Filtering MIB Statistic Honeyspots Packet Traceback Invidual user Network Service Provider Event Log Shadow Real Network Install Software Patch Build in defense Study Attack Cost Load Balancing Throttling Drop Request 1/ Tối thiểu hóa số lượng Agent: - Từ phía User: phương pháp tốt để ngừa công DDoS internet user tự đề phịng khơng để bị lợi dụng cơng hệ thống khác Muốn đạt điều ý thức kỹ thuật phòng chống phải phổ biến rộng rãi cho internet user Attack-Network không hình thành khơng có user bị lợi dụng trở thành Agent Các user phải liên tục thực q trình bảo mật máy vi tính Họ phải tự kiểm tra diện Agent máy mình, điều khó khăn user thơng thường Một số giải pháp tích hợp sẵn khả ngăn ngừa việc cài đặt code nguy hiểm thông hardware software hệ thống Về phía user họ nên cài đặt updat liên tục software antivirus, anti_trojan server patch hệ điều hành - Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng làm cho user lưu ý đến họ gửi, mặt ý thức tăng cường phát DDoS Agent tự nâng cao User :D 2/ Tìm vơ hiệu hóa Handler: Một nhân tố vơ quan trọng attack-network Handler, phát vơ hiệu hóa Handler khả Anti-DDoS thành cơng cao Bằng cách theo dõi giao tiếp Handler Client hay handler va Agent ta phát vị trí Handler Do Handler quản lý nhiều, nên triệt tiêu Handler có nghĩa loại bỏ lượng đáng kể Agent Attack – Network 3/ Phát dấu hiệu cơng: Có nhiều kỹ thuật áp dụng: - Agress Filtering: Kỹ thuật kiểm tra xem packet có đủ tiêu chuẩn khỏi subnet hay không dựa sở gateway subnet biết địa IP máy thuộc subnet Các packet từ bên subnet gửi ngồi với địa nguồn khơng hợp lệ bị giữ lại để điều tra nguyên nhân Nếu kỹ thuật áp dụng tất subnet internet khái nhiệm giả mạo địa IP khơng cịn tồn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - MIB statistics: Management Information Base (SNMP) route ln có thơng tin thống kể biến thiên trạng thái mạng Nếu ta giám sát chặt chẽ thống kê protocol mạng Nếu ta giám sát chặt chẽ thống kê Protocol ICMP, UDP TCP ta có khả phát thời điểm bắt đầu công để tạo “quỹ thời gian vàng” cho việc xử lý tình 4/ Làm suy giàm hay dừng công: Dùng kỹ thuật sau: - Load balancing: Thiết lập kiến trúc cân tải cho server trọng điểm làm gia tăng thời gian chống chọi hệ thống với công DDoS Tuy nhiên, điều khơng có ý nghĩa mặt thực tiễn quy mơ cơng khơng có giới hạn - Throttling: Thiết lập chế điều tiết router, quy định khoảng tải hợp lý mà server bên xử lý Phương pháp dùng để ngăn chặn khả DDoS traffic không cho user truy cập dịch vụ Hạn chế kỹ thuật không phân biệt loại traffic, làm dịch vụ bị gián đoạn với user, DDoS traffic xâm nhập vào mạng dịch vụ với số lượng hữu hạn - Drop request: Thiết lập chế drop request vi phạm số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock Kỹ thuật triệt tiêu khả làm cạn kiệt lực hệ thống, nhiên giới hạn số hoạt động thơng thường hệ thống, cần cân nhắc sử dụng 5/ Chuyển hướng công: Honeyspots: Một kỹ thuật nghiên cứu Honeyspots Honeyspots hệ thống thiết kế nhằm đánh lừa attacker công vào xâm nhập hệ thống mà không ý đến hệ thống quan trọng thực Honeyspots không đóng vai trị “Lê Lai cứu chúa” mà cịn hiệu việc phát xử lý xâm nhập, Honeyspots thiết lập sẵn chế giám sát báo động Ngồi Honeyspots cịn có giá trị việc học hỏi rút kinh nghiệm từ Attacker, Honeyspots ghi nhận chi tiết động thái attacker hệ thống Nếu attacker bị đánh lừa cài đặt Agent hay Handler lên Honeyspots khả bị triệt tiêu tồn attack-network cao 6/ Giai đoạn sau công: Trong giai đoạn thông thường thực công việc sau: -Traffic Pattern Analysis: Nếu liệu thống kê biến thiên lượng traffic theo thời gian lưu lại đưa phân tích Q trình phân tích có ích cho việc tinh chỉnh lại hệ thống Load Balancing Throttling Ngoài liệu giúp Quản trị mạng điều chỉnh lại quy tắc kiểm soát traffic vào mạng - Packet Traceback: cách dùng kỹ thuật Traceback ta truy ngược lại vị trí Attacker (ít subnet attacker) Từ kỹ thuật Traceback ta phát triển thêm khả Block Traceback từ attacker hữu hiệu gần có kỹ thuật Traceback hiệu truy tìm nguồn gốc cơng 15 phút, kỹ thuật XXX - Bevent Logs: Bằng cách phân tích file log sau cơng, quản trị mạng tìm nhiều manh mối chứng quan trọng PHẦN IV: Những vấn đề có liên quan đến DDoS DDoS kiểu công đặc biệt, điểm hiểm ác DDoS làm cho khắc phục “DDos đánh vào nhân tố yếu hệ thống thông tin – ngườ - mà lại dùng người chống người” Từ đặc điểm DDoS làm phát sinh nhiều vần đề mà người cộng đồng Internet phải chung sứ giải Các yếu điểm: 1/ Thiếu trách nhiệm với cộng đồng: Con người thông thường quan tâm đầu tư tiền bạc công sức cho hệ thống thơng tin “chính mình” DDoS khai thác điểm mạnh phương thức giả mạo địa Broadcast amplification LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - IP spoofing: cách thức đơn giản hiệu tận dụng tối đa công DDoS Thực chống giả mạo địa khơng có phức tạp, đề cập phần trên, tất subnet internet giám sát packet khỏi mạng phương diện địa nguồn hợp lệ khơng có packet giả mạo địa truyền internet Đề nghị: “Tự giác thực Egress Filtering mạng quản lý” Hi vọng ngày có quy định cụ thể vấn đề cho tất ISP toàn cầu - Broadcast Amplification: tương tự IP spoofing, lợi dụng tồn subnet để flood nạn nhân Vì vậy, việc giám sát quản lý chặt chẽ khả broadcast subnet cần thiết Quản trị mạng phải cấu hình tồn hệ thống không nhận forward broadcast packet 2/ Sự im lặng: Hầu hết tổ chức phản ứng hay im lặng hệ thống bị lợi dụng cơng hay bị cơng Điều làm cho việc ngăn chặn loại trừ cơng trở nên khó khăn Mọi việc trở nên khó khăn người khơng chia sẻ kinh nghiệm từ công, giới hacker chia sẻ mã nguồn mở cơng cụ, chơi không cân sức ?? Đề nghị: + Mỗi tổ chức có liên quan nên thiết lập quy trình xử lý xâm nhập vào tổ chức, nhóm chuyên trách với trách nhiệm quy trình thật cụ thể Các ISP nên thiết lập khả phản ứng nhanh chuyên nghiệp để hỗ trợ tổ chức việc thực quy trình xử lý xâm nhập + Khuyến khích quản trị mạng gia nhập mạng lưới thơng tin tồn cầu tổ chức lớn bảo mật nhằm thông tin kịp thời chia sẻ kinh nghiệm với người + Tất công hay khuyết điểm hệ thống phải báo cáo đến phận tương ứng để xử lý 3/ Tầm nhìn hạn hẹp: Nếu thực giải pháp thơi đưa khỏi tình trạng yếu bảo mật Các giải pháp không thực làm giảm rủi ro hệ thống thông tin mà giải pháp tình Có vấn đề địi hỏi nhìn thái độ đắn cộng đồng Internet Cần phải có nghiên cứu thêm mặt quy định bắt buộc pháp lý nhằm hỗ trợ chúng tac giải vấn đề mà kỹ thuật không thực nỗi Một số vấn đề cần thực thêm tương lai: - Giám sát chi tiết luồng liệu cấp ISP để cảnh cáo công - Xúc tiến đưa IPSec Secure DNS vào sử dụng - Khẳng định tầm quan trọng bảo mật trình nghiên cứu phát triển Internet II - Nghiên cứu phát triển công cụ tự động sinh ACL từ security policy router firewall - Ủng hộ việc phát triển sản phẩm hướng bảo mật có tính năng: bảo mật nặc định, tự động updat - Tài trợ việc nghiên cứu protocol hạ tầng hỗ trợ khả giám sát, phân tích điều khiển dịng liệu thời gian thực - Phát triển router switch có khả xử lý phức tạp - Nghiên cứu phát triển hệ thống tương tự Intrusion Dectection, hoạt động so sánh trạng thái với định nghĩa bình thường củ hệ thống từ đưa cảnh báo - Góp ý kiến để xây dựng nội quy chung cho tất thành phần có liên quan đến internet - Thiết lập mạng lưới thông tin thời gian thực người chịu trách nhiệm hoạt động hệ thống thông tin nhằm cộng tác-hỗ trợ-rút kinh nghiệm có cơng quy mô xảy - Phát triển hệ điều hành bảo mật LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Nghiên cứu hệ thống tự động hồi phục có khả chống chọi, ghi nhận hồi phục sau công cho hệ thống xung yếu - Nghiên cứu biện pháp truy tìm, cơng cụ pháp lý phù hợp nhằm trừng trị thích đáng attacker mà không xâm phạm quyền tự riêng tư cá nhân - Đào tạo lực lượng tinh nhuệ bảo mật làm nịng cốt cho tính an tồn Internet - Nhấn mạnh yếu tố bảo mật an tồn tính đến chi phí bỏ xây dựng hệ thống thông tin Khi có thời gian tơi viết phân tích số trường hợp công cụ thể xảy cách phòng chống chuyên gia security giới Để người hiểu rõ viết Mong “Neo”, “lethanhlong2k”, “tsbeginnervn”; “Chú bé ham học”… người cho ý kiến phân tích chi tiết viết để hồn thiện Cảm ơn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... 4.2 Công cụ DDoS dạng IRC – Based: Công cụ DDoS dạng IRC-based phát triển sau công cụ dạng Agent – Handler Tuy nhiên, công cụ DDoS dạng IRC phức tạp nhiều, tích hợp nhiều đặc tính cơng cụ DDoS. .. liên quan đến DDoS DDoS kiểu công đặc biệt, điểm hiểm ác DDoS làm cho khắc phục ? ?DDos đánh vào nhân tố yếu hệ thống thông tin – ngườ - mà lại dùng người chống người” Từ đặc điểm DDoS làm phát... Trinity nói số cơng cụ DDoS nguy hiểm - Ngồi nhắc thêm số công cụ DDoS khác Knight, thiết kế chạy Windows, sử dụng kỹ thuật cài đặt troijan back Orifice Knight dùng kỹ thuật công SYV, UDP Flood