Tìm hiểu cơng DOS - DDOS MỤC LỤC Phần I : DOS I Lịch sử công DoS Mục tiêu Các công II Định nghĩa công DoS Các mục đích cơng DoS Mục tiêu mà kẻ công thường sử dụng công DoS III Các dạng công Các dạng công DoS b Tấn công Buffer overflow IV Các công cụ công DoS Tools DoS – Jolt2 10 Tools DoS: Bubonic.c 11 Tools DoS: Land and LaTierra 11 Tools DoS: Targa 12 Tools DoS Blast 2.0 12 Tools DoS – Nemesys 12 Tool DoS – Panther2 13 Tool DoS – Crazy Pinger 14 Tool DoS – Some Trouble 15 10 DoS Tools – UDP Flood 16 11 Tools DoS – FSMAX 17 V Kết luận phần I 17 Phần II : DDOS-BOT-BOTNET 18 Tìm hiểu công DOS - DDOS I Giới thiệu Bot Botnet 19 IRC 19 Bot ứng dụng chúng 21 II DdoS 21 Tấn công từ chối dịch vụ phân tán (DDoS) 21 Spamming (phát tán thư rác) 22 Sniffing Keylogging 22 Ăn cắp nhân dạng 22 5.Sở hữu phần mềm bất hợp pháp 23 III Các kiểu bot khác 23 GT-Bot 23 Agobot 24 DSNX 24 SDBot 24 DNS động 28 Tìm hiểu cơng DOS - DDOS Phần I : DOS I Lịch sử công DoS Mục tiêu - Mục tiêu công thường vào trang web lớn tổ chức thương mại điện tử Internet Các công - Vào ngày 15 tháng năm 2003, Microsoft chịu đợt công DoS cực mạnh làm gián đoạn websites vòng - Vào lúc 15:09 GMT ngày 27 tháng năm 2003: toàn phiên tiếng anh website Al-Jazeera bị công làm gián đoạn nhiều II Định nghĩa công DoS Tấn công DoS kiểu cơng vơ nguy hiểm, để hiểu ta cần phải rõ định nghĩa công DoS dạng công DoS - Tấn công DoS kiểu công mà người làm cho hệ thống sử dụng, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống - Nếu kẻ công khơng có khả thâm nhập vào hệ thống, chúng cố gắng tìm cách làm cho hệ thống sụp đổ khơng có khả phục vụ người dùng bình thường cơng Denial of Service (DoS) Mặc dù cơng DoS khơng có khả truy cập vào liệu thực hệ thống làm gián đoạn dịch vụ mà hệ thống cung cấp Như định nghĩa DoS công vào hệ thống khai thác yếu hệ thống để cơng, mục đích cơng DoS: Tìm hiểu cơng DOS - DDOS Các mục đích công DoS - Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập (flood), hệ thống mạng khơng có khả đáp ứng dịch vụ khác cho người dùng bình thường - Cố gắng làm ngắt kết nối hai máy, ngăn chặn trình truy cập vào dịch vụ - Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ - Cố gắng ngăn chặn dịch vụ khơng cho người khác có khả truy cập vào - Khi công DoS xảy người dùng có cảm giác truy cập vào dịch vụ bị: + Disable Network - Tắt mạng + Disable Organization - Tổ chức không hoạt động + Financial Loss – Tài bị Mục tiêu mà kẻ công thường sử dụng công DoS Như biết bên công DoS xảy kẻ công sử dụng hết tài nguyên hệ thống hệ thống đáp ứng cho người dùng bình thường tài nguyên chúng thường sử dụng để công gì: Tạo khan hiếm, giới hạn không đổi tài nguyên - Băng thông hệ thống mạng (Network Bandwidth), nhớ, ổ đĩa, CPU Time hay cấu trúc liệu mục tiêu công DoS - Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện, hệt hống làm mát nhiều tài nguyên khác doanh nghiệp Bạn thử tưởng tượng nguồn điện vào máy chủ web bị ngắt người dùng truy cập vào máy chủ khơng - Phá hoại thay đổi thơng tin cấu hình - Phá hoại tầng vật lý thiết bị mạng nguồn điện, điều hoà… Tìm hiểu cơng DOS - DDOS III Các dạng công Tấn công Denial of Service chia làm hai loại công - Tấn công DoS: Tấn công từ cá thể, hay tập hợp cá thể - Tấn công DDoS: Đây công từ mạng máy tính thiết kế để cơng tới đích cụ thể Các dạng công DoS - Smurf - Buffer Overflow Attack - Ping of Death - Teardrop - SYN Attack a Tấn công Smurf - Là thủ phạm sinh cực nhiều giao tiếp ICMP (ping) tới địa Broadcast nhiều mạng với địa nguồn mục tiêu cần công * Chúng ta cần lưu ý là: Khi ping tới địa trình hai chiều – Khi máy A ping tới máy B máy B reply lại hồn tất q trình Khi ping tới địa Broadcast mạng tồn máy tính mạng Reply lại Nhưng thay đổi địa nguồn, thay địa nguồn máy C ping tới địa Broadcast mạng đó, tồn máy tính mạng reply lại vào máy C khơng phải pc gửi cơng Smurf Tìm hiểu cơng DOS - DDOS - Kết đích cơng phải chịu nhận đợt Reply gói ICMP cực lớn làm cho mạng bị dớt bị chậm lại khơng có khả đáp ứng dịch vụ khác - Quá trình khuyếch đại có luồng ping reply từ mạng kết nối với (mạng BOT) - công Fraggle, chúng sử dụng UDP echo tương tự cơng Smurf Hình hiển thị cơng DoS - dạng cơng Smurf sử dụng gói ICMP làm ngập giao tiếp khác Tìm hiểu cơng DOS - DDOS b Tấn công Buffer overflow - Buffer Overflow xảy thời điểm có chương trình ghi lượng thông tin lớn dung lượng nhớ đệm nhớ - Kẻ cơng ghi đè lên liệu điều khiển chạy chương trình đánh cắp quyền điều khiển số chương trình nhằm thực thi đoạn mã nguy hiểm - Quá trình gửi thư điện tử mà file đính kèm dài 256 ký tự xảy q trình tràn nhớ đệm c Tấn công Ping of Death - Kẻ cơng gửi gói tin IP lớn số lương bytes cho phép tin IP 65.536 bytes - Q trình chia nhỏ gói tin IP thành phần nhỏ thực layer II - Quá trình chia nhỏ thực với gói IP lớn 65.536 bytes Nhưng hệ điều hành nhận biết độ lớn gói tin bị khởi động lại, hay đơn giản bị gián đoạn giao tiếp - Để nhận biết kẻ cơng gửi gói tin lớn gói tin cho phép tương đối dễ dàng d Tấn cơng Teardrop - Gói tin IP lớn đến Router bị chia nhỏ làm nhiều phần nhỏ - Kẻ cơng sử dụng sử dụng gói IP với thơng số khó hiểu để chia phần nhỏ (fragment) - Nếu hệ điều hành nhận gói tin chia nhỏ không hiểu được, hệ thống cố gắng build lại gói tin điều chiếm phần tài nguyên hệ thống, trình liên tục xảy hệ thống khơng cịn tài nguyên cho ứng dụng khác, phục vụ user khác Tìm hiểu cơng DOS - DDOS e Tấn công SYN - Kẻ công gửi yêu cầu (request ảo) TCP SYN tới máy chủ bị cơng Để xử lý lượng gói tin SYN hệ thống cần tốn lượng nhớ cho kết nối - Khi có nhiều gói SYN ảo tới máy chủ chiếm hết yêu cầu xử lý máy chủ Một người dùng bình thường kết nối tới máy chủ ban đầu thực Request TCP SYN lúc máy chủ khơng cịn khả đáp lại - kết nối không thực - Đây kiểu công mà kẻ công lợi dụng trình giao tiếp TCP theo – Three-way Tìm hiểu công DOS - DDOS - Các đoạn mã nguy hiểm có khả sinh số lượng cực lớn gói TCP SYN tới máy chủ bị cơng, địa IP nguồn gói tin bị thay đổi cơng DoS - Hình bên thể giao tiếp bình thường với máy chủ bên máy chủ bị cơng gói SYN đến nhiều khả trả lời máy chủ lại có hạn máy chủ từ chối truy cập hợp pháp - Quá trình TCP Three-way handshake thực hiện: Khi máy A muốn giao tiếp với máy B (1) máy A bắn gói TCP SYN tới máy B – (2) máy B nhận gói SYN từ A gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B gói ACK bắt đầu giao tiếp liệu - Máy A máy B kết nối 75 giây, sau lại thực q trình TCP Three-way handshake lần để thực phiên kết nối để trao đổi liệu - Thật không may kẻ công lợi dụng kẽ hở để thực hành vi công nhằm sử dụng hết tài nguyên hệ thống cách giảm thời gian yêu cầu Three-way handshake xuống nhỏ khơng gửi lại gói ACK, bắn gói SYN liên tục thời gian định không trả lời lại gói SYN&ACK từ máy bị cơng - Với ngun tắc chấp nhận gói SYN từ máy tới hệ thống sau 75 giây địa IP vi phạm chuyển vào Rule deny access ngăn cản công IV Các công cụ công DoS - Jolt2 - Bubonic.c - Land and LaTierra - Targa - Blast20 Tìm hiểu cơng DOS - DDOS - Nemesy - Panther2 - Crazy Pinger - Some Trouble - UDP Flood - FSMax Tools DoS – Jolt2 - Cho phép kẻ từ chối dịch vụ (DoS) lên hệ thống tảng Windows - Nó nguyên nhân khiên máy chủ bị cơng có CPU ln hoạt động mức độ 100%, CPU xử lý dịch vụ khác - Không phải tảng Windows Cisco Router số loại Router khác bị lỗ hổng bảo mật bị tools cơng 10 Tìm hiểu cơng DOS - DDOS dịch vụ khác), gây tràn tài nguyên server, dẫn đến tràn băng thông ngăn không cho người dùng khác mở kết nối riêng họ Quả đơn giản thực nguy hiểm! Kết thu tương tự dùng giao thức UDP (một giao thức không kết nối) Giới tin tặc bỏ nhiều thời gian công sức đầu tư nhằm nâng cao cách thức công chúng Hiện nay, người dùng mạng máy tính phải đối mặt với nhiều kỹ thuật tinh vi xa so kiểu công DDoS truyền thống Những kỹ thuật cho phép kẻ công điều khiển số lượng lớn máy tính bị chiếm quyền điều khiển (zombie) trạm từ xa mà đơn giản cần dùng giao thức IRC Spamming (phát tán thư rác) Botnet công cụ lý tưởng cho spammer (kẻ phát tán thư rác) Chúng đã, dùng vừa để trao đổi địa e-mail thu thập được, vừa để điều khiển chế phát tán thư rác theo cách với kiểu công DDoS Thư rác gửi tới botnet, sau phân phối qua bot từ phát tán tới máy tính bị chiếm quyền điều khiển Tất spammer lấy tên nặc danh hậu máy tính bị phá hoại gánh chịu Sniffing Keylogging Các bot sử dụng cách hiệu để nâng cao nghệ thuật cổ điển hoạt động sniffing Nếu theo dõi lưu lượng liệu truyền đi, bạn xác định số khó tin lượng thơng tin truyền tải Đó thói quen người dùng, trọng tải gói TCP số thông tin thú vị khác (như mật khẩu, tên người dùng) Cũng tương tự với keylogging, hình thức thu thập tất thơng tin bàn phím người dùng gõ vào máy tính (như e-mail, password, liệu ngân hàng, tài khoản PayPal,…) Ăn cắp nhân dạng Các phương thức đề cập cho phép kẻ công điều khiển botnet để thu thập lượng thông tin cá nhân khổng lồ Những liệu có 22 Tìm hiểu cơng DOS - DDOS thể dùng để xây dựng nhân dạng giả mạo, sau lợi dụng để truy cập tài khoản cá nhân thực nhiều hoạt động khác (có thể chuẩn bị cho nhiều công khác) mà người gánh chịu hậu không khác chủ nhân thơng tin 5.Sở hữu phần mềm bất hợp pháp Đây hình thức cuối cùng, chưa phải kết thúc Các máy tính bị cơng theo kiểu bot dùng kho lưu trữ động tài liệu bất hợp pháp (phần mềm ăn cắp quyền, tranh ảnh khiêu dâm,…) Dữ liệu lưu trữ ổ cứng người dùng ADSL không hay biết Còn nhiều, nhiều kiểu ứng dụng khác phát triển dựa botnet (như trả tiền cho lần kích chuột để sử dụng chương trình, phishing, hijacking kết nối HTTP/HTTPS…), liệt kê hết có lẽ phải hàng Bản thân bot công cụ với khả lắp ghép thích ứng dễ dàng cho hoạt động địi hỏi đặt quyền kiểm sốt đơn lên số lượng lớn máy tính III Các kiểu bot khác Nhiều kiểu bot xây dựng cho phép download cung cấp nhan nhản khắp Internet Mỗi kiểu có thành phần đặc biệt riêng Chúng ta xem xét số bot phổ biến thảo thành phần yếu tố phân biệt chúng GT-Bot Tất bot GT (Global Threat) dựa kiểu client IRC phổ biến dành cho Windows gọi mIRC Cốt lõi bot xây dựng tập hợp script (kịch bản) mIRC, dùng để điểu khiển hoạt động hệ thống từ xa Kiểu bot khởi chạy phiên client nâng cao với script điều khiển dùng ứng dụng thứ hai, thông thường HideWindows để ẩn mIRC trước người dùng máy tính đích Một file DLL bổ sung thêm số thành phần vào mIRC để script chi phối nhiều khía cạnh khác máy tính bị chiếm quyền điều khiển 23 Tìm hiểu cơng DOS - DDOS Agobot Agobot kiểu bot phổ biến thường tay bẻ khoá (craker) chuyên nghiệp sử dụng Chúng viết ngôn ngữ C++ phát hành dạng quyền GPL Điểm thú vị Agobot mã nguồn Được modul hoá mức cao, Agobot cho phép thêm chức vào dễ dàng Nó cung cấp nhiều chế ẩn máy tính người dùng Thành phần Agobot gồm: NTFS Alternate Data Stream (Xếp luân phiên dịng liệu NTFS), Antivirus Killer (bộ diệt chương trình chống virus) Polymorphic Encryptor Engine (cơ chế mã hoá hình dạng) Agobot cung cấp tính xếp sniff lưu lượng Các giao thức khác IRC dùng để điều khiển kiểu bot DSNX Dataspy Network X (DSNX) viết ngồn ngữ C++ mã nguồn dựa quyền GPL Ở kiểu bot có thêm tính kiến trúc plug-in đơn giản SDBot SDBot viết ngôn ngữ C sử dụng quyền GPL Không giống Agobot, mã nguồn kiểu bot rõ ràng thân phần mềm có lượng giới hạn chức Nhưng SDBot phổ biến phát triển nhiều dạng biến thể khác Các yếu tố cơng Hình 1: Cấu trúc botnet điển hình 24 Tìm hiểu cơng DOS - DDOS • Đầu tiên kẻ cơng phát tán trojan horse vào nhiều máy tính khác Các máy tính trở thành zombie (máy tính bị chiếm quyền điều khiển) kết nối tới IRC server để nghe thêm nhiều lệnh tới • Server IRC máy công cộng mạng IRC, máy chuyên dụng kẻ công cài đặt lên máy bị chiếm quyền điều khiển • Các bot chạy máy tính bị chiếm quyền điều khiển, hình thành botnet Một ví dụ cụ thể Hoạt động kẻ cơng chia thành bốn giai đoạn khác nhau: * Tạo * Cấu hình * Tấn cơng * Điều khiển Giai đoạn Tạo phụ thuộc lớn vào kỹ địi hỏi kẻ cơng Nếu người bẻ khố chun nghiệp, họ cân nhắc việc viết mã bot riêng đơn giản mở rộng, tuỳ biến có Lượng bot có sẵn lớn khả cấu hình cao Một số cịn cho phép thao tác dễ dàng qua giao diện đồ hoạ Giai đoạn khơng có khó khăn, thường dành cho kẻ vào nghề Giai đoạn Cấu hình cung cấp server IRC kênh thông tin Sau cài đặt lên máy tính kiểm sốt, bot kết nối tới host chọn Đầu tiên kẻ công nhập liệu cần thiết vào để giới hạn quyền truy cập bot, bảo vệ an toàn cho kênh cuối cung cấp danh sách người dùng cấp phép (những người điều khiển bot) Ở giai đoạn này, bot điều chỉnh sâu hơn, định nghĩa phương thức công đích đến 25 Tìm hiểu cơng DOS - DDOS Giai đoạn Tấn công sử dụng nhiều kỹ thuật khác để phát tán bot, trực tiếp gián tiếp Hình thức trực tiếp khai thác lỗ hổng hệ điều hành dịch vụ Còn gián tiếp thường triển khai số phần mềm khác phục vụ cho công việc đen tối, sử dụng file HTML dị dạng để khai thác lỗ hổng Internet Explorer, sử dụng số phần mềm độc hại khác phân phối qua mạng ngang hàng qua trao đổi file DCC (Direct Client–to– Client) IRC Tấn công trực tiếp thường thực tự động thông qua sâu (worm) Tất công việc sâu phải làm tìm kiếm mạng hệ thống có lỗ hổng chèn mã bot vào Mỗi hệ thống bị xâm phạm sau tiếp tục thực chương trình cơng, cho phép kẻ công ghi lại tài nguyên dùng trước có nhiều thời gian để tìm kiếm nạn nhân khác Cơ chế dùng để phân phối bot lý gây nên gọi tạp nhiễu Internet Một số cổng dùng cho Windows, cụ thể Windows 2000, XP SP1 (xem Bảng 1) Chúng dường đích ngắm u thích hacker, dễ tìm máy tính Windows chưa cập nhật vá đầy đủ không cài đặt phần mềm tường lửa Trường hợp phổ biến với người dùng máy tính gia đình doanh nghiệp nhỏ, đồi tượng thường bỏ qua vấn đề bảo mật kết nối Internet băng thông rộng CổngDịch vụ42WINS (Host Name Server)80HTTP (lỗ hổng IIS hay Apache)135RPC (Remote Procedure Call)137NetBIOS Name Service139NetBIOS Session Service445Microsoft–DS–Service1025Windows Messenger1433Microsoft–SQL–Server2745Bagle worm backdoor3127MyDoom worm backdoor3306MySQL UDF (User Definable Functions)5000 UPnP (Universal Plug and Play) Bảng 1: Danh sách cổng gắn với lỗ hổng dịch vụ 26 Tìm hiểu cơng DOS - DDOS Giai đoạn Điều khiển gồm số hoạt động thực sau bot cài đặt lên máy đích thư mục chọn Để khởi động với Windows, bot update khố đăng ký, thơng thường HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\ Việc bot thực sau cài đặt thành công kết nối tới server IRC liên kết với kênh điều khiển thông qua sử dụng mật Nickname IRC tạo ngẫu nhiên Sau đó, bot trạng thái sẵn sàng chờ lệnh từ ứng dụng chủ Kẻ công phải sử dụng mật để kết nối tới botnet Điều cần thiết để khơng khác sử dụng mạng botnet cung cấp Hình 2: Kỹ thuật botnet hardening IRC không cung cấp phương tiện điều khiển hàng trăm bot mà cho phép kẻ công sử dụng nhiều kỹ thuật khác để ẩn nhân dạng thực chúng Điều khiến việc đối phó trước cơng trở nên khó khăn Nhưng may mắn là, đặc điểm tự nhiên chúng, botnet tạo lưu lượng đáng ngờ, tạo điều kiện dễ dàng để dị tìm nhờ số kiểu mẫu hay mơ hình biết Điều giúp quản trị viên IRC phát 27 Tìm hiểu cơng DOS - DDOS can thiệp kịp thời, cho phép họ gỡ bỏ mạng botnet lạm dụng không đáng có hệ thống họ Trước tình hình này, kẻ công buộc phải nghĩ cách thức khác, cải tiến kỹ thuật C&C (Control and Command - Điều khiển qua lệnh) thành botnet hardening Ở kỹ thuật này, bot thường cấu hình để kết nối với nhiều server khác nhau, sử dụng hostname ánh xạ động Nhờ đó, kẻ cơng chuyển bot sang server dễ dàng, hoàn tồn nắm quyền kiểm sốt bot bị phát Các dịch vụ DNS động dyndns.com hay no-IP.com thường dùng kiểu công DNS động Một DNS động (như RFC 2136) hệ thống liên kết tên miền với địa IP động Người dùng kết nối Internet qua modem, ADSL cáp thường khơng có địa IP cố định Khi đối tượng người dùng kết nối tới Internet, nhà cung cấp dịch vụ mạng (ISP) gán địa IP chưa sử dụng lấy từ vùng chọn Địa thường giữ nguyên người dùng ngừng sử dụng kết nối Cơ chế giúp hãng cung cấp dịch vụ mạng (ISP) tận dụng tối đa khả khai thác địa IP, cản trở đối tượng người dùng cần thực số dịch vụ qua mạng Internet thời gian dài, song khơng phải sử dụng địa IP tĩnh Để giải vấn đề này, DNS động cho đời Hãng cung cấp tạo cho dịch vụ chương trình chuyên dụng, gửi tín hiệu tới sở liệu DNS địa IP người dùng thay đổi Để ẩn hoạt động, kênh IRC cấu hình giới hạn quyền truy cập ẩn thao tác Các mơ hình IRC điển hình cho kênh botnet là: +k (đòi hỏi phải nhập mật dùng kênh); +s (không hiển thị danh sách kênh công cộng); +u (chỉ có người điều hành (operator) hiển thị danh sách người dùng); +m (chỉ có người dùng trạng thái sử dụng âm +v có 28 Tìm hiểu cơng DOS - DDOS thể gửi tin đến kênh) Hầu hết chuyên gia cơng dùng server IRC cá nhân, mã hố tất liên lạc kênh dẫn Chúng có khuynh hướng sử dụng nhiều biến thể cá nhân hoá phần mềm IRC server, cấu hình để nghe cổng tiêu chuẩn sử dụng phiên chỉnh sửa giao thức, để IRC client thông thường kết nối vào mạng Bây vụ công mẫu, cho phép quan sát hiểu chương trình Command and Control (điều khiển qua lệnh) thực Hai máy tính sử dụng Máy chạy server IRC dựa UnrealIRCd 3.2.3 hai hệ điều hành Windows XP SP1 ảo dựa VMware Workstation (hai máy đích có khả bị cơng) Máy thứ hai dành cho người chủ trì, điều khiển botnet qua Irssi, text IRC client Để tạo chương trình thiết kế đối chiếu (reverse engineering) thật khó, Agobot thực số thường trình tự bảo vệ trước gỡ lỗi SoftICE hay OllyDbg trước máy ảo VMware, Virtual PC Điều cần thiết để hack mã nguồn nhằm vượt qua chương trình bảo vệ VMware, trước cài đặt bot lên máy ảo mẫu Cấu hình Bước cấu hình bot thơng qua giao diện đồ hoạ đơn giản (Xem hình 3) Thơng tin nhập vào bao gồm tên, số cổng IRC server, tên kênh, danh sách người sử dụng với mật master (chủ điều khiển), cuối tên file thư mục cài đặt bot Một số thành phần bổ sung 29 Tìm hiểu cơng DOS - DDOS kích hoạt hỗ trợ sniffing chế trạng thái Kết giai đoạn file config.h, file tảng trình biên dịch bot tạo Điều khiển theo lệnh (Command and Control) Sau bot biên dịch, hai hệ thống cịn lại cơng theo kiểu “thủ công” Máy chủ (master) kết nối tới IRC server liên kết với kênh dẫn để lệnh điều khiển cho bot 30 Tìm hiểu công DOS - DDOS Muốn thu quyền điều khiển qua bot, chế thẩm định cần thiết Cơ chế tạo đơn giản cách gửi lệnh tới kênh login FaDe dune Sau đó, bot yêu cầu đưa danh sách tất chương trình chạy máy tính bị chiếm quyền kiểm sốt (xem hình 6): /msg FakeBot–wszyzc pctrl.list 31 Tìm hiểu cơng DOS - DDOS Sau đó, bot thứ hai u cầu đưa thơng tin khố cdkey chương trình ứng dụng cài đặt máy (hình 7): /msg FakeBot2–emcdnj bot.sysinfo /msg FakeBot2–emcdnj harvest.cdkeys Ở ví dụ sử dụng tính đơn giản Cịn thực tế, Agobot cung cấp tập hợp phongphus lệnh chức Một số chúng bạn xem Bảng 2: LệnhMô tảcommand.listDanh sách tất lệnh sử dụngbot.dnsXử lý địa IP hostnamebot.executeChạy file exe máy từ xabot.openMở file máy từ xabot.command Chạy lệnh với system()irc.serverKết nối tới IRC serverirc.joinNhập thông tin 32 Tìm hiểu cơng DOS - DDOS kênh dẫn cụ thểirc.privmsgGửi thư riêng cho người dùnghttp.executeDownload thực thi file qua HTTPftp.executeDownload thực thi file qua FTPddos.udpfloodKhởi động chương trình UDP trànddos.synflood Khởi động Syn trànddos.phaticmpKhởi động PHATicmp trànredirect.httpKhởi động HTTP proxyredirect.socks Khởi động SOCKS4 proxypctrl.listĐưa danh sách chương trìnhpctrl.kill Loại bỏ chương trình Bảng 2: Một số lệnh Agobot Bảo vệ máy tính bạn Bây xem xét số phương thức bảo vệ trước khả xâm phạm phá hoại kiểu cơng bot, góc nhìn người dùng nhà quản trị Các chiến lược bảo vệ cho người dùng PC Như đề cập tới trên, công bot chủ yếu thực qua loại sâu, lướt mạng để tìm kiếm lỗ hổng thâm nhập Do đó, bước phải cập nhật thường xuyên, download cá vá update hệ thống cho hệ điều hành ứng dụng truy cập Internet Sử dụng chương trình update tự động ý kiến hay Bạn nên cẩn thận mở file đính kèm đáng ngờ e-mail Cũng khôn ngoan loại bỏ hỗ trợ hình thức ngơn ngữ kịch ActiveX JavaScript (hoặc kiểm sốt việc sử dụng chúng) Cuối cùng, yếu tố sở bạn phải dùng chương trình diệt virus, trojan luôn update phiên chúng Dẫu vậy, nhiều bot cấu hình lần tránh khởi kiểm sốt chương trình diệt virus Vì thế, bạn nên dùng thêm phần mềm 33 Tìm hiểu cơng DOS - DDOS tường lửa cá nhân, sử dụng máy tính nối mạng liên tục 24 giờ/ngày Dấu hiệ có diện bot tốc độ máy tốc độ kết nối mạng trở nên chậm Một cách kiểm tra kết nối đáng ngờ đơn giản hiệu sử dụng công cụ netstat (xem hình 8): C:/>netstat –an Netstat Netstat cơng cụ linh hoạt, tương thích hệ điều hành Windows hệ thống *NIX Chức kiểm sốt cổng kích hoạt Netstat kiểm tra trình nghe cổng TCP UDP, sau cung cấp thơng tin chi tiết hoạt động mạng Trên hệ thống *NIX, netstat hiển thị tất dịng mở Nó sử dụng lọc chọn ngồi Trạng thái kết nối Netstat gồm: * ESTABLISHED – tất host kết nối * CLOSING – host từ xa đóng kết nối 34 Tìm hiểu cơng DOS - DDOS * LISTENING – host nghe kết nối đến * SYN_RCVD – host từ xa đuwocj yêu cầu khởi động kết nối * SYN_SENT – host khởi động kết nối * LAST_ACK – host phải gửi báo cáo trước đóng kết nối * TIMED_WAIT, CLOSE_WAIT – host từ xa kết thúc kết nối * FIN_WAIT – client kết thúc kết nối * FIN_WAIT – hai host kết thúc kết nối Quan sát kết nối ESTABLISHED tới cổng TCP phạm vi 6000 đến 7000 (thông thường 6667) Nếu bạn thấy tính bị xâm hại, ngắt khỏi mạng Internet, làm hệ thống, khởi động lại kiểm tra Chiến lược bảo vệ cho người quản trị Các quản trị viên thường phải cập nhật liên tục thông tin lỗ hổng nhất, đọc thường xuyên tài nguyên bảo mật Internet ngày Một số công cụ hỗ trợ Bugtraq, đưa mô tả tóm tắt danh sách thư ý kiến hay Các quản trị viên nên cố gắng tuyền truyền, nâng cao nhận thức cho người dùng vấn đề bảo mật sách bảo mật Nghiên cứu nhật ký thường trình (bản ghi log) IDS nhiều hệ thống tường lửa, mail server, DHCP, proxy server tạo cần thiết Điều giúp phát lưu lượng bất thường, dấu hiệu diện bot nhờ có biện pháp ngăn chặn kịp thời Sau lưu lượng bất thường ý, siffer đến để nhận dạng mạng máy tính tạo Tất biện pháp dường quen thuộc khơng khó khăn, người thường quên, bỏ qua chúng 35 Tìm hiểu cơng DOS - DDOS Bạn sử dụng số kỹ thuật phức tạp honeybot Honeybot máy xây dựng với mục đích hấp dẫn kẻ cơng Vai trị chúng trở thành máy tính nạn nhân, giúp người quản trị định vị nguồn vấn đề nghiên cứu phương thức cơng Nhưng kết luận cuối thì, cho dù cơng cụ hỗ trợ nữa, biện pháp phòng chống bảo vệ tốt trước công botnet thân người dùng nhận thức họ 36 ... điện, điều hồ… Tìm hiểu cơng DOS - DDOS III Các dạng công Tấn công Denial of Service chia làm hai loại công - Tấn công DoS: Tấn công từ cá thể, hay tập hợp cá thể - Tấn công DDoS: Đây cơng từ... Ping cực nhanh gây cơng DoS 13 Tìm hiểu cơng DOS - DDOS Tool DoS – Crazy Pinger Cơng cụ có khả gửi gói ICPM lớn tới hệ thống mạng từ xa 14 Tìm hiểu cơng DOS - DDOS Tool DoS – Some Trouble - SomeTrouble... sau hứng chịu công kiểu Và số trường hợp, thủ phạm tìm thấy tiến hành phá hoại (như chiến dotcom) Tấn công từ chối dịch vụ phân tán (DDoS) Tấn công DDoS biến thể Foolding DoS (Tấn công từ chối