Đây là báo cáo liên quan đến khái niệm chung nhất của DDoS. Bên cạnh đó là các khái niệm về các loại tấn công phổ biến hiện nay, đang được các hacker sử dụng để tấn công và khai thác từ nó. Với cấu trúc các phần gồm: Chương 1: CÁC NỘI DUNG CƠ BẢN CỦA TẤN CÔNG DDOS Bao gồm tình hình chung của thế giới công nghệ thông tin với các cuộc tấn công DDoS, các khái niệm chung về các thành phần tạo nên một cuộc tấn công DDoS trên thực tế. Các khái niệm cung cấp cái nhìn chung nhất về DDoS. Chương 2: CÁC KỸ THUẬT TẤN CÔNG DDOS Các kỹ thuật tấn công sẽ được đề cập trong chương này, từ các kỹ thuật đã trở thành lỗi thời đến các kỹ thuật mới nhất sẽ được cập nhật ở đây. Bên cạnh đó, chương còn đề cập đến việc sử dụng các phần mềm để khai thác các lỗ hổng, nhằm tạo ra cuộc tấn công DoS hay DDoS một cách hoàn toàn dễ dàng trong môi trường lab.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN Đề tài: Tìm hiểu dạng cơng DDoS Giảng viên hướng dẫn: ThS NGUYỄN MẠNH THẮNG MỤC LỤC DANH MỤC HÌNH VẼ i TÓM TẮT ĐỒ ÁN .ii CHƯƠNG 1: CÁC NỘI DUNG CƠ BẢN CỦA TẤN CÔNG DDOS 1.1 Tình hình chung giới 1.2 Khái niệm DDoS 1.3 Các giai đoạn công DDoS 1.3.1 Giai đoạn chuẩn bị 1.3.2 Giai đoạn xác định mục tiêu thời điểm công 1.3.3 Giai đoạn phát động cơng xóa dấu vết 1.4 Phân loại công từ chối dịch vụ phân tán 1.5 Mạng BOTNET 1.5.1 Khái niệm mạng Botnet 1.5.2 Mạng Internet Relay Chat 1.5.3 Botnet Mirai 1.5.4 Chương trình Bot BotNet 1.5.5 Mạng IRC Botnet 1.5.6 Các bước xây dựng mạng Botnet 1.5.7 Mơ hình công DDoS 10 1.5.8 Mô hình cơng Agent – Hander 11 1.5.9 Mơ hình cơng IRC - Based 12 CHƯƠNG 2: CÁC KỸ THUẬT TẤN CÔNG DDOS 15 2.1 Tấn công làm cạn kiệt băng thông (Band with Deleption) 15 2.1.1 Tấn công tràn băng thông (Flood attack) 15 2.1.2 Tấn công khuếch đại (Amplification attack) 20 2.2 Tấn công làm cạn kiệt tài nguyên (Resoure Deleption) 24 2.2.1 Tấn công tràn SYN 24 2.2.2 SYN-ACK Flood 27 2.2.3 ACK & PUSH ACK Flood 27 2.2.4 Fragmented ACK Flood 28 2.2.5 Spoofed Session Flood 28 2.2.6 LAND attack 28 2.3 2.3.1 Các biến thể công DDOS 28 Tấn công kiểu Flash DDOS 28 2.3.2 Tấn công kiểu DRDoS 29 2.3.3 Tấn công DDoS điện thoại di động 30 2.3.4 Tấn công Ping of Death Attack 31 2.3.5 IP Null Attack 32 2.3.6 Recursive HTTP GET Flood 32 2.3.7 NXNS Attack 32 2.4 Công cụ công DDOS phổ biến 34 2.4.1 Công cụ công LOIC (Low Orbit Ion Canon) 34 2.4.2 Công cụ công XOIC 35 2.4.3 Công cụ công HULK (HTTP Unbearable Load King) 35 2.4.4 Công cụ công DDOSIM – Layer DDOS Simulator 35 2.4.5 Công cụ công R-U-Dead-Yet 36 2.4.6 Công cụ công PyLoris 36 2.4.7 Công cụ công OWASP DOS HTTP POST 36 2.4.8 Công cụ công DAVOSET 36 2.4.9 Công cụ công GoldenEye HTTP 36 KẾT LUẬN 37 Kết luận chung 37 Hướng phát triển 37 Tài liệu tham khảo 38 Phân công công việc 39 DANH MỤC HÌNH VẼ Hình Hình Hình Hình Hình 1: 2: 3: 4: 5: Mơ hình cơng DDoS Sơ đồ phân loại DDoS attack theo mục đích cơng Mơ hình mạng IRC Sơ đồ mơ hình cơng DDoS 10 Kiến trúc mơ hình công Agent- Handler 11 Hình Hình Hình Hình 6: 7: 8: 9: Kiến trúc mơ hình cơng IRC- Based 12 Mơ hình cơng Peer-to-Peer 13 Sơ đồ công kiểu tràn băng thông 15 Các tầng giao thức TCP/IP 16 Hình Hình Hình Hình Hình 10: 11: 12: 13: 14: Cấu trúc gói tin UDP 16 Sơ đồ công tràn UDP 17 Cấu trúc tổng quát gói tin ICMP 19 Sơ đồ công khuếch đại 20 Sơ đồ công kiểu Smurf 21 Hình Hình Hình Hình Hình 15: 16: 17: 18: 19: Sơ đồ cơng kiểu Fraggle 22 Sơ đồ công NTP 22 Sơ đồ công CHARGEN Flood 23 Sơ đồ hoạt động TCP 24 Sơ đồ trình bắt tay bước 26 Hình Hình Hình Hình Hình 20: 21: 22: 23: 24: Tấn cơng tràn SYN 27 Sơ đồ công Flash DDOS 29 Sơ đồ Ping of Death Attack 31 Sơ đồ công NXNS 32 Công cụ công LOIC 34 Hình 25: Công cụ công XOIC 35 i TÓM TẮT ĐỒ ÁN Đây báo cáo liên quan đến khái niệm chung DDoS Bên cạnh khái niệm loại công phổ biến nay, hacker sử dụng để công khai thác từ Với cấu trúc phần gồm: Chương 1: CÁC NỘI DUNG CƠ BẢN CỦA TẤN CÔNG DDOS Bao gồm tình hình chung giới cơng nghệ thông tin với công DDoS, khái niệm chung thành phần tạo nên công DDoS thực tế Các khái niệm cung cấp nhìn chung DDoS Chương 2: CÁC KỸ THUẬT TẤN CÔNG DDOS Các kỹ thuật công đề cập chương này, từ kỹ thuật trở thành lỗi thời đến kỹ thuật cập nhật Bên cạnh đó, chương cịn đề cập đến việc sử dụng phần mềm để khai thác lỗ hổng, nhằm tạo công DoS hay DDoS cách hồn tồn dễ dàng mơi trường lab ii CHƯƠNG 1: CÁC NỘI DUNG CƠ BẢN CỦA TẤN CÔNG DDOS 1.1 Tình hình chung giới Các cơng DoS bắt đầu vào khoảng đầu năm 90 Đầu tiên, chúng hoàn toàn “nguyên thủy”, bao gồm kẻ công khai thác băng thông tối đa từ nạn nhân, ngăn người khác phục vụ Điều thực chủ yếu cách dùng phương pháp đơn giản Ping Floods, SYN Floods UDP Floods Sau đó, cơng trở nên phức tạp hơn, cách giả làm nạn nhân, gửi vài thông điệp nhằm để máy khác làm ngập máy nạn nhân với thông điệp trả lời (Smurf attack, IP spoofing…) Các công phải đồng hố cách thủ cơng nhiều kẻ cơng để tạo phá huỷ có hiệu Sự dịch chuyển đến việc tự động hoá đồng bộ, kết hợp tạo công song song lớn trở nên phổ biến từ 1997, với đời công cụ công DDoS cơng bố rộng rãi, Trinoo Nó dựa công UDP flood giao tiếp master-slave (khiến máy trung gian tham gia vào cơng cách đặt lên chúng chương trình điều khiển từ xa) Trong năm tiếp theo, vài công cụ phổ biến – TFN (tribe flood network), TFN2K Stacheldraht Tuy nhiên, từ cuối năm 1999 có báo cáo công vậy, đề tài công chúng biết đến sau công lớn vào site công cộng vào tháng 2/2000 - 2/2000, Yahoo! ( Một trang web tiếng ) bị công từ chối dịch vụ ngưng trệ hoạt động vòng đồng hồ Website Mail Yahoo GeoCities bị công từ 50 địa IP khác với yêu cầu chuyển vận lên đến gigabit/s - 8/2 nhiều Web site lớn Buy.com, Amazon.com, eBay, Datek, MSN, CNN.com bị công từ chối dịch vụ - Lúc tối ngày 9/2/2000 Website Excite.com đích vụ công từ chối dịch vụ, liệu gửi tới tấp vòng kết thúc Từ cơng DoS thường xun xảy ví dụ : - Vào ngày 15/8/2003, Microsoft chịu đợt công DoS cực mạnh làm gián đoạn websites vòng - Vào lúc 15:09 GMT ngày 27/3/2003: toàn phiên tiếng Anh website AlJazeera bị công làm gián đoạn nhiều 1.2 Khái niệm DDoS Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service attack- DDoS attack) hành động ngăn cản người dùng hợp pháp dịch vụ truy cập sử dụng dịch vụ đó, cách làm cho server đáp ứng yêu cầu sử dụng dịch vụ từ client Nguồn công không đến từ máy tính Internet, mà đến từ hệ thống nhiều máy tính với địa IP khác (điểm khác công DoS DDoS) Mơ hình cơng DDoS Xuất lần vào năm 1999, so với công DoS cổ điển, sức mạnh DDoS cao nhiều, nguồn cơng khơng đến từ máy tính cơng Dos mà đến từ Mơ hình cơng DDoS nhiều máy tính Hầu hết công DDoS nhằm vào việc chiếm dụng băng thông gây nghẽn mạng dẫn đến hệ thống ngưng hoạt động Tuy nhiên với phát triển thiết bị phần cứng hệ thống phòng thủ, dạng cơng DDoS ngày phức tạp Mơ hình công DDoS thông minh, không chiếm dụng băng thơng, mà cịn khai thác lỗ hổng ứng dụng để công làm cạn kiệt tài nguyên hệ thống Những kiểu công đánh giá nguy hiểm hơn, chúng gây tổn hại trực tiếp đến sở liệu Mô hình cơng DDoS 1.3 Các giai đoạn công DDoS 1.3.1 Giai đoạn chuẩn bị Chuẩn bị công cụ cho công, công cụ thông thường hoạt động theo mơ hình Client- Server Hacker viết phần mềm hay download cách dễ dàng mạng Tiếp theo, hacker chiếm quyền điều khiển máy tính mạng, tiến hành tải cài đặt ngầm chương trình độc hại máy tính Để làm điều này, hacker thường lừa cho người dùng click vào link quảng cáo có chứa Trojan, worm Kết thúc giai đoạn này, hacker có attack- network (một mạng máy tính ma phục vụ cho việc công DDoS) 1.3.2 Giai đoạn xác định mục tiêu thời điểm công Sau xác định mục tiêu cần công, hacker điều chỉnh attack-network chuyển hướng cơng mục tiêu Yếu tố thời điểm định mức độ thiệt hại cơng Vì vậy, phải hacker ấn định trước Giai đoạn phát động công xóa dấu vết Đúng thời điểm định trước, hacker phát động lệnh cơng từ máy Tồn attack - network (có thể lên đến hàng ngàn, hàng vạn máy) đồng loạt công mục tiêu, mục tiêu nhanh chóng bị cạn kiệt băng thơng tiếp tục hoạt động Sau khoảng 1.3.3 thời gian cơng, hacker tiến hành xóa dấu vết truy ngược đến mình, việc địi hỏi trình độ cao hacker chuyên nghiệp 1.4 Phân loại công từ chối dịch vụ phân tán Các loại cơng DDoS có nhiều biến thể, nên việc phân loại có nhiều cách khác Tuy nhiên, giới chuyên môn thường chia kiểu cơng DDoS thành dạng chính, dựa vào mục đích kẻ cơng: - Tấn cơng DDoS làm cạn kiệt băng thông - Tấn công DDoS làm cạn kiệt tài nguyên hệ thống Sơ đồ phân loại DDoS attack theo mục đích cơng Ngồi việc phân loại trên, phân loại cơng DDoS dựa mơ hình OSI 07 tầng Xu hướng công DDoS cho thấy thủ phạm thường biến đổi cơng theo mơ hình OSI Các công phân loại sau: - Các công IP nhằm vào băng thông - công vào lớp Các công TCP máy chủ sockets - công vào lớp (tầng vận chuyển) - Các công HTTP máy chủ web - công vào lớp (tầng ứng dụng) - Tấn công vào ứng dụng web, đánh vào tài nguyên CPU - công lớp Ngày nay, hệ thống phịng thủ DDoS liên tục hồn thiện đa dạng, thường tập trung tầng thấp mơ hình OSI Do công vào lớp ứng dụng (Lớp 7) ngày phổ biến Khi phân tích cơng DDoS nhằm vào Lớp 7, phải nghiên cứu lớp khác Do công vào Lớp ngụy trang kèm với công nhằm vào lớp khác Về chất, kẻ công vào Lớp tạo giao diện cho người sử dụng trình duyệt, dịch vụ email, hình ảnh ứng dụng khác để gửi thông tin qua giao thức (SMTP, HTTP) Một công DDoS vào Lớp thường nhằm mục đích mục tiêu cụ thể như: làm gián đoạn giao dịch, cản trở truy cập vào sở liệu Kiểu công địi hỏi nguồn lực kèm với công Lớp khác lớp mạng Một công lớp ứng dụng ngụy trang giống truy cập hợp pháp có mục tiêu cụ thể ứng dụng Cuộc cơng làm gián đoạn chức cụ thể dịch vụ phản hồi thông tin, tìm kiếm … Phân biệt cơng DDoS vào Lớp so với công khác dựa số điểm sau: Tấn công DDoS vào Lớp mạng làm cho máy chủ tải với yêu cầu (request) giả, công Lớp buộc máy chủ phải trả lời với yêu cầu thật Trong công DDoS vào Lớp 7, máy công phải tạo nhiều hết cỡ kết nối TCP Như vậy, địa IP thực tế sử dụng để gửi yêu cầu máy nạn nhận phải đáp ứng truy vấn hợp lệ Vì chúng vượt qua hệ thống phòng thủ DDoS nghiêm ngặt Tấn cơng DDoS vào Lớp bao gồm công khác lợi dụng lỗ hổng phần mềm ứng dụng để công, đồng thời phân tán ý vào nhiều mục tiêu để che giấu mục tiêu máy chủ Web Hay nói cách khác kiểu cơng tinh vi hơn, khơng cơng tồn mà cơng vào mục tiêu hướng tới Khác biệt đáng ý công DDoS vào Lớp tạo khối lượng xử lý lớn đẩy lượng xử lý xuống hạ tầng sở mạng máy chủ làm “ngập lụt” băng thông Các công vào Lớp thường đặt mục tiêu vào máy chủ, máy chủ đa phần nhìn nhận nạn nhân phía sau Ví dụ: công nhằm vào HTTP, VoIP hệ thống tên miền DNS Tấn công DDoS nhằm vào Lớp thường khai thác sai sót, hạn chế ứng dụng Từ làm cho hệ thống tiêu thụ nhiều tài nguyên không giải dẫn tới treo máy chủ Tấn công DDoS nhằm Lớp khơng mang tính phổ biến, đa dạng tùy thuộc vào ứng dụng Do thách thức lớn việc chống lại công vào lớp 1.5 Mạng BOTNET 1.5.1 Khái niệm mạng Botnet BotNet mạng gồm từ hàng trăm tới hàng triệu máy tính hồn tồn quyền kiểm sốt Các máy tính hoạt động bình thường, chúng khơng biết bị hacker kiểm soát điều khiển Các máy tính bị hacker lợi dụng để tải chương trình quảng cáo, hay đồng loạt cơng trang web mà ta gọi DDoS Hầu hết chủ máy tính hệ thống họ sử dụng theo cách Khi chiếm quyền điều khiển, hacker xâm nhập vào hệ thống này, ấn định thời điểm phát động công từ chối dịch vụ Với hàng triệu máy tính công vào thời điểm, nạn nhân bị ngốn hết băng thông nháy mắt, dẫn tới đáp ứng yêu cầu hợp lệ bị loại khỏi internet Chúng ta xem ví dụ sau để thấy nguy hiểm mạng BotNet Giả sử dùng cách công Ping of Death tới máy chủ, máy chủ kết nối với mạng có tốc độ 100Mb/s, kết nối với tốc độ 1Mb/s Vậy công vô nghĩa Bây có 1000 kết nối cơng vào máy chủ trên, băng thông 1000 kết nối cộng lại ~ 1Gb/s hậu máy chủ tải, 1000 kết nối tạo từ mạng BotNet 1.5.2 Mạng Internet Relay Chat Mạng Internet Relay Chat (IRC) sáng tạo Jarkko Oikarinen (nickname “WiZ”) vào - 1988 để thay cho chương trình có tên MUT (MultiUser Talk) kênh BBS gọi OuluBox Phần Lan Ơng tìm cảm hứng cho dự án từ hệ thống Bitnet Relay Chat mạng Bitnet IRC nhiều người ý đến từ dùng sau Bức sắt (Iron Curtain) để viết phóng trực tuyến sụp đổ Liên bang Xô Viết tất phương tiện truyền thông khác không hoạt động IRC viết tắt cụm từ Internet Relay Chat, dạng liên lạc cấp tốc qua mạng Internet Nó thiết kế với mục đích cho phép nhóm người phịng thảo luận (channel) liên lạc với Tuy nhiên, cho phép người dùng liên lạc riêng họ thích Hiện nay, IRC mạng trò chuyện trực tuyến lớn, có vài triệu kênh máy chủ khắp giới Giao thức viễn thơng cũ hơn, khó sử dụng IM (Instant Message- tin nhắn nhanh), IRC hồn tồn dựa vào nhập thơ ASCII Tuy nhiên, có nhiều ứng dụng đồ họa làm cho IRC dễ sử dụng 2.2 Tấn công làm cạn kiệt tài nguyên (Resoure Deleption) 2.2.1 Tấn công tràn SYN Để nghiên cứu loại công này, trước tiên phải nắm kiến thức (1) giao thức TCP, (2) trình thiết lập kết nối TCP (1)Giao thức điều khiển truyền vận (Transmission Control Protocol- TCP): Đây giao thức cốt lõi giao thức TCP/IP Sử dụng TCP, ứng dụng máy chủ nối mạng tạo kết nối với nhau, mà qua chúng trao đổi liệu Giao thức đảm bảo chuyển giao liệu cách tin cậy theo thứ tự TCP phân biệt liệu nhiều ứng dụng (chẳng hạn, dịch vụ web dịch vụ thư điện tử) đồng thời chạy máy chủ Sơ đồ hoạt động TCP Quá trình hoạt động TCP bao gồm pha: - Thiết lập kết nối - Truyền liệu - Kết thúc kết nối Trước mô tả chi tiết pha này, ta cần lưu ý trạng thái khác socket: - LISTEN: đợi yêu cầu kết nối từ TCP cổng xa (trạng thái thường TCP server đặt) - SYN-SENT: đợi TCP xa gửi gói tin TCP với cờ SYN ACK bật (trạng thái thường TCP client đặt) - SYN- RECEIVED: đợi TCP xa gửi lại tin báo nhận sau gửi cho TCP xa tin báo nhận kết nối (connection acknowledgment), trạng thái thường TCP server đặt - ESTABLISHED: cổng sẵn sàng gửi/nhận liệu với TCP xa ( trạng thái đặt TCP server client) - TIME-WAIT: đợi qua đủ thời gian để chắn TCP xa nhận tin báo nhận yêu cầu kết thúc kết nối (2) Q trình thiết lập kết nối TCP: Để thiết lập kết nối, TCP sử dụng quy tắc gọi bắt tay ba bước (three-way handshake) Trước client thử kết nối với server, server phải đăng ký cổng mở cổng cho kết nối, q trình gọi mở bị động Một mở bị động thiết lập client bắt đầu mở chủ động Để thiết lập kết nối, quy trình bắt tay ba bước xảy sau: - Client yêu cầu mở cổng dịch vụ cách gửi gói tin SYN (gói tin TCP) tới server, gói tin này, tham số sequence number gán cho giá trị ngẫu nhiên X - Server hồi đáp cách gửi lại phía client tin SYN-ACK, gói tin này, tham số acknowledgment number gán giá trị X+1, tham số sequence number gán ngẫu nhiên giá trị Y - Để hồn tất q trình bắt tay ba bước, client tiếp tục gửi tới server tin ACK, tin này, tham số sequence number gán cho giá trị X+1 tham số acknowledgment number gán giá trị Y+1 Tại thời điểm này, client server xác nhận rằng, kết nối thiết lập Trong điều kiện bình thường, gói tin SYN từ cổng cụ thể hệ thống A đến cổng cụ thể hệ thống B tình trạng LISTEN Vào thời điểm kết nối hệ thống B tình trạng SYN_RECEIVED Vào giai đoạn hệ thống B tìm cách gửi gói tin SYN/ACK cho hệ thống A Nếu ổn thỏa hệ thống A gửi trả gói tin ACK, kết nối chuyển sang tình trạng ESTABLISHED Dù có nhiều lúc chế chẳng có vấn đề gì, hệ thống có điểm yếu cố hữu để kẻ cơng lợi dụng thực cơng DoS Vấn đề đa số hệ thống phân phối số lượng tài nguyên định thiết lập kết nối tiềm tàng kết nối chưa thiết lập hẳn (SYN_RECEIVED) Tuy hệ thống chấp nhận hàng trăm kết nối vào cổng cụ thể (ví dụ cổng 80), lấy khoảng chục yêu cầu kết nối hết tài nguyên phân phối cho thiết lập kết nối Sơ đồ trình bắt tay bước Đây điểm mà kẻ cơng lợi dụng để vơ hiệu hóa hệ thống Kẻ cơng (hệ thống A) gửi gói tin SYN đến nạn nhân (hệ thống B) giả mạo địa IP hệ thống C ( hệ thống C khơng tồn thực tế) Lúc hệ thống B xử lý nào? Hệ thống B gửi gói tin SYN/ACK đến hệ thống C Giả sử hệ thống C tồn tại, gửi gói tin RST (reset packet) cho hệ thống B (vì khơng khởi động kết nối) Nhưng hệ thống khơng có thật, mà hệ thống B chẳng nhận gói tin RST từ hệ thống C Lúc đó, B đặt kết nối vào hàng đợi (SYN_RECEIVED) Do hàng đợi kết nối thường nhỏ nên kẻ công cần gửi vài gói tin SYN sau khoảng 10 giây vơ hiệu hóa hồn tồn cổng! Khái niệm công tràn SYN (SYN Flood Attack) Tấn công tràn SYN (SYN flood attack) dạng công từ chối dịch vụ, kẻ công gửi thành cơng SYN request đến hệ thống đích SYN flood kiểu cơng phổ biến Nó làmSơviệc định nguyên sau nhận SYN, trước nhận ACK đồ server trình bắt tayvị3 tài bước Kẻ công làm tràn ngập hệ thống nạn nhân với gói tin SYN Điều dẫn đến máy nạn nhân nhiều thời gian mở số lượng lớn phiên TCP, gửi SYN-ACK, đợi đáp ứng ACK không đến Bộ đệm phiên giao dịch TCP máy nạn nhân bị tràn, ngăn không cho phiên TCP thực mở SYN đến gửi tín hiệu kết nối trạng thái SYN - RECEIVED, trạng thái thời gian để chờ đợi xác nhận kết nối gói SYN/ACK Vì lý này, số kết nối với cổng (port) định trạng thái SYN - RECEIVED bị giới hạn Lợi dụng cách thức hoạt động phương thức TCP/IP, hacker bắt đầu trình thiết lập kết nối TCP/IP với mục tiêu muốn công mà không gửi trả gói tin ACK, khiến cho mục tiêu ln rơi vào trạng thái chờ đợi (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) liên tục gửi gói tin SYN/ACK để thiết lập kết nối Một cách khác giả mạo địa IP gói Sơ đồ trình bắt tay bước tin yêu cầu thiết lập kết nối, trường hợp trên, máy tính đích rơi vào trạng thái chờ đợi gói tin SYN/ACK khơng thể đến đích IP đích khơng có thật Kiểu cơng tràn SYN hacker áp dụng để công hệ thống mạng có băng thơng lớn hệ thống hacker Một bị công tràn SYN, hệ thống bị công nhận vô số gói SYN gửi đến, khả trả lời hệ thống lại có hạn hệ thống từ chối truy cập hợp pháp Tấn công tràn SYN 2.2.2 SYN-ACK Flood Theo logic kiểu công vector lợi dụng giao tiếp TCP máy chủ tạo gói tin SYN-ACK để xác nhận yêu cầu user Để thực công Hacker làm tải tài nguyên CPU RAM máy chủ cách gửi gói tin SYN-ACK giả mạo 2.2.3 ACK & PUSH ACK Flood Giao thức TCP yêu cầu giao thức bắt tay ba bước thiết lập kết nối máy chủ máy khách gói ACK PUSH ACK gửi qua lại phiên làm việc kết thúc Máy chủ bị công dạng xác định nguồn gốc gói tin bị làm sai lệch địa máy chủ lúc lãng phí khả xử lý cố gắng xác định cách xử lý chúng Tấn công tràn SYN 2.2.4 Fragmented ACK Flood Cuộc công knockoff kỹ thuật ACK & PUSH ACK Flood đề cập Nó tập trung vào việc xóa mạng đích với số lượng gói ACK bị phân mảnh tương đối nhỏ, có kích thước tối đa phép, thường 1500 byte gói Các thiết bị mạng định tuyến hết tài nguyên cố gắng lắp ráp lại gói Hơn nữa, gói bị phân mảnh vượt qua radar hệ thống ngăn chặn xâm nhập (IPS) Firewall 2.2.5 Spoofed Session Flood Để phá vỡ công cụ bảo vệ hệ thống mạng Firewall chả hạn, Hacker giả mạo phiên TCP hiệu cách gửi gói SYN giả mạo, loạt gói ACK gói RST (reset FIN (connection termination)) Chiến thuật cho phép Hacker lừa hệ thống phòng thủ giữ tab lưu lượng truy cập đến thay phân tích lưu lượng truy cập trở lại 2.2.6 LAND attack Để thực công Local Area Network Denial(Land), Hacker gửi SYN message chỉnh sửa địa IP nguồn đích giống Khi máy chủ cố gắng trả lời tin nhắn này, vào vòng lặp cách tạo lại câu trả lời cho điều dẫn đến kịch lỗi máy chủ đích cuối bị sập 2.3 Các biến thể công DDOS 2.3.1 Tấn công kiểu Flash DDOS Để thực công DDoS, hacker cần phải nắm quyền điều khiển nhiều máy tính tốt Sau đó, hacker trực tiếp phát động công hàng loạt từ xa thông qua kênh điều khiển Với quy mô mạng lưới cơng bao gồm hàng trăm ngàn máy tính, kiểu cơng đánh gục hệ thống Kết hợp với khả giả mạo địa IP, kiểu cơng khó để lần dấu vết kẻ công Tuy nhiên, DDoS có số nhược điểm sau: - Mạng lưới công mạng cố định công xảy đồng loạt nên điều tra tìm ngược kẻ công Phần mềm cài lên Agent giống dùng làm chứng kết tội kẻ công - Để phát động công, hacker phải trực tiếp kết nối đến mạng lưới máy tính ma thời điểm cơng, bị phát - Phía nạn nhân điều chỉnh hệ thống phịng vệ để ngăn chặn DDoS Sơ đồ công Flash DDOS Lưu ý: Biến thể khơng cịn tồn trình Flash dừng cung cấp, từ cách cơng khơng cịn thực tế Flash DDoS có số đặc tính khiến cho việc ngăn chặn phát gần không thể: -Kẻ công không cần phải nắm quyền điều khiển cài DDoS software vào Agent Thay vào đó, user với trình duyệt có hỗ trợ Flash player trở thành cơng cụ công -Số lượng Agent tùy thuộc vào số lượng user truy xuất website bị hacker “nhúng” nội dung flash, số lượng thay đổi theo thời gian hồn tồn khơng thể kiểm sốt - Khơng có q trình gửi lệnh nhận báo cáo hacker mạng lưới cơng, tồn lệnh công “nhúng” nội dung flash - Việc cơng diễn khơng cần có mệnh lệnh User load nội dung flash về, chạy máy họ trở thành attack Agent, liên tục gửi request đến nạn nhân 2.3.2 Tấn công kiểu DRDoS Sơ công đồ tấntừcông Tấn chốiFlash dịch DDOS vụ phản xạ phân tán (Distributed Reflection Denial of ServiceDRDoS) kiểu công nguy hiểm họ DDoS Nếu thực hacker có trình độ kinh nghiệm hạ gục hệ thống giới phút chốc Mục tiêu DRDoS chiếm tồn băng thơng hệ thống nạn nhân, tức làm nghẽn hoàn toàn đường kết nối từ máy chủ vào internet làm tiêu hao tài nguyên máy chủ Trong suốt trình máy bị cơng DRDoS, khơng máy khách kết nối vào máy chủ Tất dịch vụ chạy TCP/IP DNS, HTTP, FTP bị vơ hiệu hóa Về bản, DRDoS kết hợp kiểu DoS DDoS Nó vừa có kiểu cơng tràn SYN với máy tính đơn lẻ DoS, vừa có kết hợp nhiều máy tính để chiếm dụng băng thông DDoS Để thực DRDoS, kẻ công thực cách giả mạo địa IP mục tiêu gửi yêu cầu SYN đến server có tốc độ đường truyền lớn Google, Yahoo để server gửi gói tin SYN/ACK đến mục tiêu Các server lớn với đường truyền mạnh vơ tình đóng vai trị zombie cho kẻ cơng DDoS Q trình gửi lặp lại liên tục với nhiều địa IP giả từ kẻ công, với nhiều server lớn tham gia nên server mục tiêu nhanh chóng bị q tải, băng thơng bị chiếm dụng server lớn Tính “nghệ thuật” cách cơng cần có máy tính với tốc độ kết nối trung bình (256Kbps), hacker lành nghề hạ gục server giây lát mà không cần chiếm đoạt thêm máy làm phương tiện để thực công! 2.3.3 Tấn công DDoS điện thoại di động Tương tự với DDoS web, phương thức công DDoS điện thoại di động khiến thuê bao liên tục phải nhận gọi đến Các thuê bao hợp lệ khác gọi tới th bao bị cơng máy ln bận Thuê bao nạn nhân khó thực gọi ln có điện thoại gọi đến Ngoài ra, phổ biến thiết bị truy cập mạng cầm tay, điện thoại thông minh (Smart Phone), máy tính bảng mở đường cho nhiều hình thức cơng Để tiến hành công, Hacker thường tạo Botnet di động Botnet di động thực mang đến lợi đáng kể so với Botnet truyền thống Điện thoại thông minh bị tắt nguồn, khiến Botnet đáng tin cậy hầu hết truy cập ln sẵn sàng đợi dẫn Tác vụ thông thường mà botnet thực bao gồm gửi thư rác hàng loạt, công DDoS gián điệp thông tin cá nhân hàng loạt Tất hoạt động không đòi hỏi hiệu suất cao thực dễ dàng điện thoại thông minh Phần mềm độc hại Obad phát đáng ý lĩnh vực di động phân tán nhiều phương pháp, có botnet thiết lập sẵn Điện thoại thông minh tảng Android bị lây nhiễm Trojan- SMS.AndroidOs.Opfake.a biến thành nơi nhân bản, gửi tin nhắn văn có chứa liên kết độc hại đến tất số điện thoại có thiết bị nạn nhân Điều giống với công máy tính cá nhân dịch vụ phổ biến cung cấp chương trình huy Botnet (botnet-herder) Phần mềm độc hại có lẽ phần mềm linh hoạt tìm thấy nay, gồm tổng cộng ba lỗ hổng: backdoor, tin nhắn Trojan SMS, khả bot nhiều chức khác 2.3.4 Tấn công Ping of Death Attack Ping of Death kỹ thuật công làm tải hệ thống mạng cách gửi gói tin ICMP có kích thước vượt q 65.536 byte đến mục tiêu Do kích thước lớn kích thước cho phép gói tin IP nên chia nhỏ gửi phần đến máy đích Khi đến mục tiêu, ráp lại thành gói tin hồn chỉnh, có kích thước q mức cho phép, gây tràn nhớ đệm bị treo Theo báo cáo kỹ thuật công bố tuần này, kỹ thuật công BlackNurse biết đến tên truyền thống hơn: “tấn cơng gây lụt ping” dựa truy vấn ICMP Type (hay lỗi Đích tới Không thể truy cập – Destination Unreachable) Code (lỗi Cổng Không thể truy cập – Port Unreachable) Được mệnh danh kỹ thuật công BlackNurse – Y Tá Đen hay công tốc độ thấp “Ping of Death“, kỹ thuật sử dụng để phát động hàng loạt công từ chối dịch vụ DDoS khối lượng thấp cách gửi gói tin ICMP hay “ping” để làm ngập xử lý máy chủ Ngay máy chủ trang bị thiết bị tường lửa tiếng, chúng bị đánh gục kẻ công khai thác kỹ thuật Sơ đồ Ping of Death Attack Một số máy tính ngưng hoạt động, reboot bị crash gởi gói data ping với kích thước lớn đến chúng Ở kiểu DDoS attack Ping of Death , ta cần gửi gói liệu có kích thước lớn thơng qua lệnh ping đến máy đích hệ thống họ bị treo Nhưng kiểu công không khả dụng tường lửa hệ thống phát xâm nhập chống công thuộc dạng 2.3.5 IP Null Attack Kiểu công thực cách gửi loạt gói tin chứa IPv4 headers không hợp lệ Thủ thuật Hacker để giá trị headers NULL Một số máy chủ xử lý gói tin hỏng cách lãng phí tài ngun chúng cố gắng tìm cách xử lý chúng dẫn đến tình trạng từ chối dịch vụ 2.3.6 Recursive HTTP GET Flood Để trì công, Hacker tạo request tới tất đường link website máy chủ sau kiểm tra câu trả lời lặp lại yêu cầu đường link trang web để làm cạn kiệt tài nguyên máy chủ Việc khai thác trông giống truy vấn hợp pháp khó xác định để ngăn chặn công kiểu 2.3.7 NXNS Attack NXNS Attack hoạt động cách gửi yêu cầu truy cập tên miền kẻ công kiểm sốt (ví dụ: "attacker.com") đến máy chủ phân giải DNS tồn lỗ hổng, máy chủ chuyển tiếp truy vấn DNS đến máy chủ có thẩm quyền kẻ cơng kiểm sốt Thay trả lại địa cho máy chủ có thẩm quyền thực tế, máy chủ có thẩm quyền kẻ cơng kiểm soát trả lời truy vấn DNS với danh sách tên máy chủ giả tên miền phụ kiểm soát mà trỏ đến tên miền DNS nạn nhân Sau đó, máy chủ DNS chuyển tiếp truy vấn đến tất tên miền phụ không tồn tại, tạo lưu lượng truy cập lớn đến trang web nạn nhân Sơ đồ công NXNS Tra cứu DNS đệ quy xảy máy chủ DNS giao tiếp với nhiều máy chủ DNS có thẩm quyền theo trình tự phân cấp để xác định địa IP liên kết với tên miền (ví dụ www.google.com) trả lại cho máy khách Quá trình phân giải thường bắt đầu trình phân giải DNS điều khiển ISP máy chủ DNS công cộng, Cloudflare (1.1.1.1) Google (8.8.8.8), tùy theo cấu hình hệ thống Trình phân giải chuyển yêu cầu đến máy chủ tên DNS có thẩm quyền khơng thể định vị địa IP cho tên miền định Nhưng máy chủ tên DNS có thẩm quyền khơng giữ ghi mong muốn, trả thơng báo ủy quyền có địa cho máy chủ có thẩm quyền mà trình phân giải DNS truy vấn Q trình phân cấp diễn trình phân giải DNS đến máy chủ có thẩm quyền cung cấp địa IP tên miền, cho phép người dùng truy cập trang web mong muốn Các nhà nghiên cứu nhận thấy việc bị khai thác để lừa trình phân giải đệ quy liên tục gửi số lượng lớn gói tin đến tên miền mục tiêu thay máy chủ có thẩm quyền hợp pháp Theo nhà nghiên cứu, để thực cơng thơng qua trình phân giải đệ quy, kẻ cơng phải sở hữu máy chủ có thẩm quyền, tức mua tên miền – vốn dễ dàng NXNSAttack hoạt động cách gửi yêu cầu truy cập tên miền kẻ cơng kiểm sốt (ví dụ: "attacker.com") đến máy chủ phân giải DNS tồn lỗ hổng, máy chủ chuyển tiếp truy vấn DNS đến máy chủ có thẩm quyền kẻ cơng kiểm sốt Thay trả lại địa cho máy chủ có thẩm quyền thực tế, máy chủ có thẩm quyền kẻ cơng kiểm sốt trả lời truy vấn DNS với danh sách tên máy chủ giả tên miền phụ kiểm soát mà trỏ đến tên miền DNS nạn nhân Sau đó, máy chủ DNS chuyển tiếp truy vấn đến tất tên miền phụ không tồn tại, tạo lưu lượng truy cập lớn đến trang web nạn nhân Các nhà nghiên cứu cho biết công khuếch đại số lượng gói trao đổi trình phân giải đệ quy lên tới 1.620, khơng làm ngập trình phân giải DNS với nhiều yêu cầu mức chúng xử lý, mà làm ngập tên miền mục tiêu với yêu cầu không cần thiết làm sập trang web Hơn nữa, sử dụng botnet Mirai làm máy khách DNS tăng thêm quy mơ công Các quản trị viên mạng chạy máy chủ DNS khuyến cáo cập nhật phần mềm trình phân giải DNS lên phiên Với máy chủ DNS chạy Windows, Microsoft khuyến cáo kích hoạt RRL (Response Rate Limit – Hạn chế phản hồi) máy chủ DNS để khắc phục vấn đề 2.4 Công cụ công DDOS phổ biến 2.4.1 Công cụ công LOIC (Low Orbit Ion Canon) Đây công cụ công phổ biến cung cấp miễn phí mạng Internet Cơng cụ sử dụng kẻ công nhóm Anonymous để cơng hệ thống mạng công ty lớn năm 2013 Anonymous không sử dụng cơng cụ mà cịn dẫn dụ người sử dụng Internet vào mạng lưới IRC để lợi dụng cơng DDOS Cơng cụ lợi dụng để cá nhân riêng lẻ cơng máy chủ nhỏ Đây công cụ dễ dàng sử dụng cho người bắt đầu Kiểu công thực cách gửi gói tin UDP, TCP hay yêu cầu HTTP tới máy nạn nhân Kẻ công cần biết địa URL hay địa IP máy chủ Cơng cụ có chế độ HIVEMIND, sử dụng để điều khiển từ xa hệ thống LOIC để vận hành công Chức sử dụng để điều khiển máy tính khác nằm hệ thống zombie Cơng cụ sử dụng hai chức công DDOS chống lại công DDOS máy chủ trang mạng Nhược điểm LOIC không ẩn địa IP Nếu kẻ cơng có kế hoạch sử dụng LOIC để công, cần phải ý tới vấn đề Sử dụng proxy khơng giúp ích nhiều proxy mục tiêu máy chủ Công cụ công LOIC Công cụ công LOIC 2.4.2 Công cụ công XOIC Công cụ thực công sở địa IP chọn cổng, giao thức để công XOIC cho mạnh LOIC XOIC sử dụng dễ dàng để công trang mạng máy chủ Công cụ viết kiểm tra phương thức Sau đến dạng công DDOS Cuối cách công sử dụng TCP/HTTP/UDP/ ICMP XOIC thường sử dụng để công trang mạng, máy chủ nhỏ Công cụ công XOIC 2.4.3 Công cụ công HULK (HTTP Unbearable Load King) HULK công cụ tinh vi, có khả tạo khối lượng truy cập lớn làm “ngẽn” máy chủ Công cụ sử dụng nhiều kỹ thuật khác để tránh bị phát cơng Nó tạo danh sách agent, agent gửi truy vấn ngẫu nhiên HULK có khả giả mạo danh tính vượt qua nhớ đệm để truy vấn trực tiếp vào kho liệu máy chủ Một thử nghiệm HULK máy chủ web IIS 7, ram gb HULK “hạ gục” máy chủ vịng phút 2.4.4 Cơng cụ cơng DDOSIM – Layer DDOS Simulator DDOSIM công cụ cơng DDOS phổ biến Nó sử dụng với mạng lưới máy chủ zombie Tất máy chủ zombie tạo kết nối TCP đầy đủ đến máy mục tiêu DDOSIM viết C++ chạy hệ thống Linux Các tính DDOSIM gồm: - Giả lập số zombie công - Sử dụng địa IP ngẫu nhiên; Sử dụng kiểu công kết nối TCP Tấn công lớp ứng dụng HTTP DDOS sử dụng truy vấn hợp lệ HTTP DDOS sử dụng truy vấn không hợp lệ SMTP DDOS - Làm tràn kết nối TCP cổng ngẫu nhiên 2.4.5 Công cụ công R-U-Dead-Yet Tor’s Hammer công cụ viết Python Công cụ chạy thông mạng TOR ẩn danh thực công Đây công cụ thực hiệu có khả làm tê liệt Apache IIS server vòng vài giây 2.4.6 Công cụ công PyLoris PyLoris thường sử dụng để kiểm tra máy chủ Nó sử dụng để thực công DDOS số dịch vụ mạng Công cụ sử dụng proxy SOCKS kết nối SSL để thực cơng Nó có nhằm tới mục tiêu giao thức khác như: HTTP, FPT, SMTP, IMAP Telnet Phiên công cụ kèm với giao diện đơn giản dễ sử dụng Không giống công cụ cơng DDOS, cơng cụ trực tiếp truy cập dịch vụ 2.4.7 Công cụ công OWASP DOS HTTP POST Đây công cụ hiệu cơng DDOS Ngồi ra, cơng cụ sử dụng để kiểm tra máy chủ web có khả chống lại cơng DDOS hay khơng Bên cạnh đó, OWASP DOS HTTP POST tạo cho cơng DDOS trang mạng 2.4.8 Công cụ công DAVOSET DAVOSET công cụ lợi dụng lỗ hổng XML, kết hợp với việc tạo mạng lưới zombies để công Công cụ thường xuyên cung cấp sẵn khoảng 170 zombie 2.4.9 Công cụ công GoldenEye HTTP Đây công cụ đơn giản hiệu công DDOS; phát triển Python GoldenEye HTTP sử dụng để kiểm tra khả chống lại công DDOS KẾT LUẬN Kết luận chung - Đưa khái niệm lý thuyết công DDOS - Phân loại phân tích kiểu công DDOS Hướng phát triển Nghiên cứu vấn đề DDOS nghiên cứu động, liên tục Kẻ cơng ln tìm cách đổi hình thức kỹ thuật để đối phương bất ngờ, không kịp đối phó Trong khi, kỹ thuật phịng chống, chưa có giải pháp thật hữu hiệu Bài tốn phịng chống tốn khó khơng tổ chức sử dụng Internet mà quốc gia, tập đoàn lớn, đặc biệt DDOS có nguy ngày phổ biến, trở thành loại “vũ khí” đe dọa an ninh, kinh tế quốc gia Tài liệu tham khảo [1] Phyllis, J (n.d.) A Survey: DDOS Attack on Internet of Things [2] AL-Musawi, B Q (n.d.) MITIGATING DoS/DDoS ATTACKS USING IPTABLES [3] Day, N (n.d.) Analyzing behavior of DDoS attacks to identify DDoS detection features in SDN [4] Sekar, V (n.d.) Large-scale Automated DDoS detection System [5] Specht, S M (n.d.) Distributed Denial of Service: Taxonomies of Attacks, Tools and Countermeasures [6] Tzvetanov, K (n.d.) DDoS Tutorial [7] Zaroo, P (n.d.) A Survey of DDoS attacks and some DDoS defense mechanisms [8] DDoS HANDBOOK (n.d.) [9] Yadav, V (n.d.) Detection techniques of DDoS attacks: A survey [10] Chakunta Venkata Guru Rao, Manoj Kumar Singh,Gubbala China Satyanarayana (n.d.) A Survey on Defense Mechanisms countering DDoS Attacks in the Network [11] K Munivara Prasad, A Rama Mohan Reddy & K.Venugopal Rao (n.d.) DoS and DDoS Attacks: Defense, Detection and Traceback Mechanisms -A Survey ... 2.3.1 Các biến thể công DDOS 28 Tấn công kiểu Flash DDOS 28 2.3.2 Tấn công kiểu DRDoS 29 2.3.3 Tấn công DDoS điện thoại di động 30 2.3.4 Tấn công. .. nghệ thông tin với công DDoS, khái niệm chung thành phần tạo nên công DDoS thực tế Các khái niệm cung cấp nhìn chung DDoS Chương 2: CÁC KỸ THUẬT TẤN CÔNG DDOS Các kỹ thuật công đề cập chương... chủ Công cụ công LOIC Công cụ công LOIC 2.4.2 Công cụ công XOIC Công cụ thực công sở địa IP chọn cổng, giao thức để công XOIC cho mạnh LOIC XOIC sử dụng dễ dàng để công trang mạng máy chủ Công