1. Trang chủ
  2. » Tất cả

(Tiểu luận) báo cáo an toàn và bảo mật hệ thống thông tin đề tài tấn công dos và ddos

25 5 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 25
Dung lượng 1,95 MB

Nội dung

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN BÁO CÁO AN TỒN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN ĐỀ TÀI TẤN CÔNG DOS VÀ DDOS GIẢNG VIÊN NHÓM SINH VIÊN THỰC HIỆN: h Mục Lục I TẤN CÔNG DOS 3 II a b a b c d e GIỚI THIỆU VỀ CÁC CUỘC TẤN CÔNG DOS .3 ĐỊNH NGHĨA VỀ TẤN CÔNG DOS Các mục đích cơng DoS Mục tiêu mà kẻ công thường sử dụng công DoS: CÁC DẠNG TẤN CÔNG DOS Tấn công Smurf Tấn công Buffer overflow Tấn công Ping of Death Tấn công Teardrop Tấn công SYN TẤN CÔNG DDOS a b a b c d e f g h i j GIỚI THIỆU VỀ CÁC CUỘC TẤN CÔNG DDOS KHÁI NIỆM VỀ TẤN CÔNG DDOS CÁC GIAI ĐOẠN CỦA MỘT CUỘC TẤN CÔNG DDOS KIẾN TRÚC TỔNG QUAN CỦA DDOS ATTACK – NETWORK .8 Mơ hình Agent – Handler Mơ hình IRC – Based .10 PHÂN LOẠI TẤN CÔNG DDOS 10 DdoS – SYN Flood 11 DdoS – UDP Flood 12 DdoS – HTTP Flood 12 DdoS – Pings of Death 13 DdoS – Fraggle Attack 14 DdoS – Slowloris .14 DDoS – Application Level Attack 14 DDoS – NTP Amplification 15 DDoS – Advance Persistent DoS (APDoS) .16 DDoS – Zero – Day DdoS Attack .16 III TÁC HẠI CỦA CÁC CUỘC TẤN CÔNG DOS/DDOS 17 IV BIỆN PHÁP PHÒNG CHỐNG DOS/DDOS 17 NHẬN BIẾT TẤN CÔNG DOS/DDOS 17 NHỮNG BIỆN PHÁP ĐỐI PHÓ VỚI DOS/DDOS 17 CƠNG CỤ PHỊNG CHỐNG DDOS 17 V SO SÁNH TẤN CÔNG DOS VÀ DDOS 18 VI DEMO CÔNG CỤ TẤN CÔNG DOS VÀ DDOS 18 MÔ PHỎNG TẤN CÔNG DOS 18 Chuẩn bị: 18 Tiến hành: .19 Tiến hành công: 20 MÔ PHỎNG TẤN CÔNG DDOS 22 a Các tool hỗ trợ thực 22 b Thực 22 VII a b c TÀI LIỆU THAM KHẢO 25 h I Tấn công DoS Giới thiệu công DoS Trường hợp ghi lại Tấn công Từ chối Dịch vụ vào tháng năm 2000 hacker Canada 15 tuổi công vào máy chủ web Amazon eBay Kể từ đó, ngày có nhiều đối tượng sử dụng công DoS để nhắm vào mục tiêu nhiều ngành công nghiệp Vào ngày 15 tháng năm 2003, Microsoft chịu đợt công DoS cực mạnh làm gián đoạn websites vòng Vào lúc 15:09 GMT ngày 27 tháng năm 2003, toàn phiên tiếng anh website Al-Jazeera bị công làm gián đoạn nhiều Định nghĩa công DoS Tấn công DoS kiểu công mà người làm cho hệ thống khơng thể sử dụng, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống DoS làm máy tính ngưng hoạt động, từ mạng nội đến hệ thống mạng lớn Nếu kẻ cơng khơng có khả thâm nhập vào hệ thống, chúng cố gắng tìm cách làm cho hệ thống sụp đổ khơng có khả phục vụ người dùng bình thường, cơng Denial of Service (DoS) Mặc dù cơng DoS khơng có khả truy cập vào liệu thực hệ thống làm gián đoạn dịch vụ mà hệ thống cung cấp Nói chung, cơng DoS khơng nguy hiểm kiểu công khác kẻ cơng có khả chiếm dụng hay xây nhập thông tin liệu hệ thống Nhưng máy chủ mà không cung cấp dịch vụ, thơng tin cho khách truy cập tồn máy chủ khơng có ý nghĩa Đặc biệt hệ thống giao dịch điện tử thiệt hại việc ảnh hưởng lớn Tuy nhiên, hệ thống máy chủ bảo mật tốt, khó thâm nhập, việc công từ chối dịch vụ DoS coi phương pháp cuối cho hacker triệt hạ hệ thống a Các mục đích công DoS - Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập( flood), hệ thống mạng khơng có khả đáp ứng dịch vụ khác cho người dùng bình thường Cố gắng làm ngắt kết nối hai máy, ngăn chặn trình truy cập vào dịch vụ Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ Cố gắng ngăn chặn dịch vụ khơng cho người khác có khả truy cập vào Khi cơng DoS xảy người dùng có cảm giác truy cập dịch vụ bị:  Disable Network – Tắt mạng   Disable Organization - Tổ chức không hoạt động Financial Loss – Tài bị b Mục tiêu mà kẻ công thường sử dụng công DoS: - Tạo khan hiếm, giới hạn không đổi tài nguyên h - - Băng thông hệ thống mạng (Network Bandwidth), nhớ, ổ đĩa, CPU Time hay cấu trúc liệu mục tiêu công DoS Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hồ, hệ thống điện, hệ thống làm mát nhiều tài nguyên khác doanh nghiệp Bạn thử tưởng tượng nguồn điện vào máy chủ web bị ngắt người dùng truy cập vào máy chủ khơng Phá hoại thay đổi thơng tin cấu hình Phá hoại tầng vật lý thiết bị mạng nguồn điện, điều hồ… Các dạng cơng DoS a Tấn công Smurf - Là thủ phạm sinh cực nhiều giao tiếp ICMP (ping) tới địa Broadcast nhiều mạng với địa nguồn mục tiêu cần công - Khi ping tới địa trình hai chiều – Khi máy A ping tới máy B máy B reply lại hồn tất q trình Khi ping tới địa Broadcast mạng tồn máy tính mạng Reply lại Nhưng thay đổi địa nguồn, thay địa nguồn máy C ping tới địa Broadcast mạng đó, tồn máy tính mạng reply lại vào máy C khơng phải pc gửi cơng Smurf Kết đích cơng phải chịu nhận đợt Reply gói ICMP cực lớn làm cho mạng bị rớt bị chậm lại khơng có khả đáp ứng dịch vụ khác Q trình khuếch đại có luồng ping reply từ mạng kết nối với (mạng BOT) b Tấn công Buffer overflow h - - Buffer Overflow xảy thời điểm có chương trình ghi lượng thơng tin lớn dung lượng nhớ đệm nhớ Kẻ cơng ghi đè lên liệu điều khiển chạy chương trình đánh cắp quyền điều khiển số chương trình nhằm thực thi đoạn mã nguy hiểm - Tấn công Buffer Overflow trình bày cách khai thác lỗi viết trước hacking windows trang VnExperts - Training CCNA, CCNP, CCSP, MCSA, MCSE, MCITP, Linux+, Security+, CEH Quá trình gửi thư điện tử mà file đính kèm dài 256 ký tự xảy q trình tràn nhớ đệm c Tấn cơng Ping of Death - Kẻ cơng gửi gói tin IP lớn số lương bytes cho phép tin IP 65.536 bytes Q trình chia nhỏ gói tin IP thành phần nhỏ thực layer II Q trình chia nhỏ thực với gói IP lớn 65.536 bytes Nhưng hệ điều hành khơng thể nhận biết độ lớn gói tin bị khởi động lại, hay đơn giản bị gián đoạn giao tiếp Để nhận biết kẻ cơng gửi gói tin lớn gói tin cho phép tương đối dễ dàng - Gói tin IP lớn đến Router bị chia nhỏ làm nhiều phần nhỏ - d Tấn công Teardrop h - Kẻ công sử dụng sử dụng gói IP với thơng số khó hiểu để chia phần nhỏ (fragment) Nếu hệ điều hành nhận gói tin chia nhỏ khơng hiểu được, hệ thống cố gắng build lại gói tin điều chiếm phần tài nguyên hệ thống, q trình liên tục xảy hệ thống khơng cịn tài ngun cho ứng dụng khác, phục vụ user khác e Tấn công SYN - - - - Kẻ công gửi yêu cầu (request ảo) TCP SYN tới máy chủ bị công Để xử lý lượng gói tin SYN hệ thống cần tốn lượng nhớ cho kết nối Khi có nhiều gói SYN ảo tới máy chủ chiếm hết yêu cầu xử lý máy chủ Một người dùng bình thường kết nối tới máy chủ ban đầu thực Request TCP SYN lúc máy chủ khơng cịn khả đáp lại - kết nối không thực Đây kiểu công mà kẻ cơng lợi dụng q trình giao tiếp TCP theo – Three-way Các đoạn mã nguy hiểm có khả sinh số lượng cực lớn gói TCP SYN tới máy chủ bị cơng, địa IP nguồn gói tin bị thay đổi cơng DoS Hình bên thể giao tiếp bình thường với máy chủ bên máy chủ bị cơng gói SYN đến nhiều khả trả lời máy chủ lại có hạn máy chủ từ chối truy cập hợp pháp Quá trình TCP Three-way handshake thực hiện: Khi máy A muốn giao tiếp với máy B (1) máy A bắn gói TCP SYN tới máy B – (2) máy B nhận h - - - II gói SYN từ A gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B gói ACK bắt đầu giao tiếp liệu Máy A máy B kết nối 75 giây, sau lại thực trình TCP Three-way handshake lần để thực phiên kết nối để trao đổi liệu Thật không may kẻ công lợi dụng kẽ hở để thực hành vi công nhằm sử dụng hết tài nguyên hệ thống cách giảm thời gian yêu cầu Threeway handshake xuống nhỏ khơng gửi lại gói ACK, bắn gói SYN liên tục thời gian định không trả lời lại gói SYN&ACK từ máy bị cơng Với ngun tắc chấp nhận gói SYN từ máy tới hệ thống sau 75 giây địa IP vi phạm chuyển vào Rule deny access ngăn cản công Tấn công DdoS Giới thiệu công DdoS Ngày 7/3/2000, yahoo.com phải ngưng phục vụ hàng trăm triệu user toàn giới nhiều liền Vài sau, Yahoo tìm nguyên nhân gây nên tình trạng này, họ phải gánh chịu đợt công DDoS với quy mô vài ngàn máy tính liên tục gửi hàng triệu request đến server dịch vụ làm server phục vụ user thông thường khác Đội ngũ Google Cloud team tiết lộ thơng tin thức công DDoS lớn chưa có, nhắm mục tiêu trực tiếp đến dịch vụ Google diễn khoảng thời gian tháng năm 2017 Cuộc cơng DDoS có độ lớn ước tính lên tới 2,54 Tbps, khiến trở thành công DDoS đáng sợ ghi nhận lịch sử phát triển internet thời điểm Khái niệm công DdoS   Một công từ chối dịch vụ phân tán (viết tắt Distributed Denial of  Service attack-DDos attack) hành động ngăn cản người dùng hợp pháp dịch vụ truy cập sử dụng dịch vụ cách làm cho sever khơng thể đáp ứng yêu cầu sử dụng dịch vụ từ khách hàng.   Tấn công DDoS xảy số lượng yêu cầu truy cập vào trang web lớn, dẫn đến việc máy chủ tải khơng cịn khả xử lý.   Khi cơng hình thức DDOS, tin tặc lợi dụng máy tính khách hàng để cơng vào máy tính khác Sau đó, chúng sử dụng máy tính khách hàng để gửi số lượng lớn liệu yêu cầu đến trang web địa email Đơi cơng DDos cịn sử dụng công cụ chắn cho cơng mạng phí sau, mà nhân an ninh mạng tập trung xử lí cố cho trang web bị công DDos, tin tặc lợi dụng thời để chèn vào công cụ SQL, lúc doanh nghiệp nhận muộn   Nguồn cơng khơng đến từ máy tính internet, mà đến từ hệ thống nhiều máy tính với địa IP khác nhau, hệ thống gọi DDOS attack network (khác với Dos) Các giai đoạn công DdoS Một cơng DDos có giai đoạn chính: chuẩn bị, xác định mục tiêu thời điểm, phát động cơng xóa dấu vết Chúng ta cụ thể vào giai đoạn:  h - - - Giai đoạn chuẩn bị:    Giai đoạn tin tặc chuẩn bị công cụ cho cơng, thơng thường cơng cụ hoạt động theo mơ hình client-server Tin tặc trực tiếp viết phần mềm tải số công cụ dùng để công DDos chia sẻ miễn phí mạng Trinoo, Tribe flood Network, Knight, Mstream,…   Tiếp theo, chúng tìm cách chiếm quyền điều khiển máy tính mạng, tiến hành tải cài đặt ngầm chương trình độc hại máy tính cách lừa cho người dùng click vào link quảng cáo có chứa Trojan, worm.   Kết thúc giai đoạn này, tin tặc có mạng lưới máy tính để phục vụ cho việc công DDos.  Giai đoạn xác định mục tiêu thời điểm công:   Sau xác định mục tiêu cần cơng, tin tặc có hoạt động điều chỉnh mạng cơng phía mục tiêu.   Thời điểm công phụ thuộc vào mức độ thiệt hại tốc độ đáp ứng mục tiêu, tin tặc ấn định trước.  Giai đoạn phát động cơng xóa dấu vết:   Đúng thời điểm ấn định, tin tặc phát lệnh cơng từ máy mình, lệnh cơng qua nhiều cấp đến mục tiêu Tồn mạng máy tính mà tin tặc chiếm quyền điều khiển đồng loạt cơng mục tiêu, mục tiêu nhanh chóng bị cạn kiệt băng thông tiếp tục hoạt động.   Sau khoảng thời gian cơng tin tặc tiến hành xóa dấu vết truy cập ngược đến mình, địi hỏi tin tặc phải có trình độ cao chun nghiệp Kiến trúc tổng quan DdoS Attack – Network - - Như tìm hiểu phần trên, tin tặc chiếm quyền điều khiển hàng loạt máy tính khác nhau, tạo nên mạng lưới hỗ trợ cho chúng gọi DDos attack network Kĩ thuật cơng DDos attack-network có mơ hình chính:   Mơ hình Agent-handler   Mơ hình IRC-based  Sơ đồ phân loại mơ hình cơng DDos attack-network: h a Mơ hình Agent – Handler       Gồm phần: Client: software sở để tin tặc điều khiển hoạt động attack-network Handler: thành phần software trung gian Agent Client Agent: thành phần software thực công mục tiêu, nhận điều khiển từ Client thông qua Handler Attacker  từ Client  giao tiếp với Handler  để xác định số lượng Agent  online,  điều chỉnh thời điểm công cập nhật với Agent Tùy theo cách attacker cấu hình attack-network, Agent  chịu quản lý hay nhiều Handler Thông thường Attacker đặt Handler software router hay server có lượng traffic lưu thông nhiều Việc này  nhằm làm cho giao tiếp Client, handler agent khó bị phát Các giao tiếp thông thường xảy h Protocol TCP, UDP hay ICMP Chủ  nhân thực sự Agent thông thường không hay biết họ bị lợi dụng vào công kiểu ddos,  Do họ khơng đủ kiến thức chương trình Backdoor agent  sử dụng tài nguyên hệ thống làm cho thấy ảnh hưởng đến hiệu hệ thống b Mơ hình IRC – Based - - Internet Relay Chat (IRC) hệ thống online chat multiuser, IRC cho phép người dùng tạo kết nối multipoint đến nhiều user khác chat thời gian thực Kiến trúc IRC network bao gồm nhiều IRC server khắp internet, giao tiếp với nhiều kênh (channel) IRC network cho phép người dùng tạo loại kênh: public, private secret  Public Channel:  cho phép người dùng Channel thấy  IRC  name  nhận message người dùng khác Channel    Private Channel:  thiết kế để giao tiếp với đối tượng cho phép Không cho phép người dùng khác Channel thấy  IRC name message channel Tuy  nhiên, nếu  người dùng Channel  dùng số lệnh Channel locator  biết tồn Private Channel đó.     Secret Channel: Tương tự Private Channel xác định Channel locator IRC-Based network tương tự agent-Handler network mơ hình sử dụng kệnh giao tiếp IRC làm phương tiện giao tiếp Client agent (không sử dụng Handler) Sử dụng mơ hình này, kẻ cơng cịn có số lợi khác như:  Các giao tiếp dạng chat message làm cho việc phát chúng vô khó khăn  IRC traffic di chuyển mạng với số lượng lớn mà không bị nghi ngờ  Khơng cần phải trì danh sách Agent, tin tặc cần login vào IRC server nhận report trạng thái Agent channel gửi  Sau cùng: IRC môi trường file sharing tạo điều kiện phát tán agent code nhiều máy khác Phân loại công DdoS 10 h - - Tấn cơng DDos có nhiều loại biến thể giới chuyên môn thường chia kiểu công DDos thành loại dựa vào mục đích kẻ công:   Tấn công DDos làm cạn kiệt băng thông   Tấn công DDos làm cạn kiệt tài nguyên hệ thống  Sơ đồ phân loại công DDos theo mục đích cơng:  - Sau đây, tìm hiểu chi tiết số kiểu cơng thường gặp nay: a DdoS – SYN Flood SYN Flood hình thức cơng thực để khai thác điểm yếu giao thức kết nối mạng TCP (quá trình bắt tay bước) Theo phương thức giao tiếp internet thơng thường máy chủ nhận thông điệp nội (SYN) để tiến hành “bắt tay” (handshake) Khi nhận thông điệp, máy chủ gửi cờ báo nhận (ACK) tới máy lưu trữ ban đầu đóng kết nối Nhưng tin tặc công SYN Flood, thông điệp giả mạo gửi liên tục, dẫn đến kết nối khơng đóng lại dịch vụ bị đánh sập 11 h b DdoS – UDP Flood UDP (User Datagram Protocol) hiểu giao thức kết nối không tin cậy Theo đó, UDP Flood cơng gây ngập lụt UDP Khi thực phương thức công này, tin tặc gửi lượng lớn gói tin UDP tới số cổng ngẫu nhiên server Máy chủ kiểm tra trả lời với ICMP Destination Unreachable (gói tin khơng tìm thấy) Khi số lượng yêu cầu UDP vượt ngưỡng cho phép, máy chủ khả xử lý request, dẫn đến tình trạng từ chối dịch vụ c DdoS – HTTP Flood HTTP Flood công, gây tải cách gửi hàng loạt yêu cầu GET POST hợp pháp đến máy chủ Phương pháp tiêu tốn băng thông kiểu công 12 h từ chối dịch vụ khác buộc máy chủ sử dụng nguồn tài nguyên tối đa để xử lý tác vụ d DdoS – Pings of Death Ping of Death kỹ thuật công làm tải hệ thống máy chủ trực tuyến cách gửi đến gói tin ICMP có kích thước 65.536 byte đến mục tiêu Bởi kích thước tệp vượt mức cho phép gói tin IP nên chúng chia thành phần nhỏ gửi đến hệ thống máy đích Khi đến nơi, phần phép lại thành gói tin hồn chỉnh vượt q khả xử lý hệ thống, gây tràn nhớ đệm khiến máy chủ bị treo Smurf Attack sử dụng phần mềm độc hại tên Smurf để giả mạo địa IP gửi gói ICMP đến máy chủ, gây tải hệ thống 13 h e DdoS – Fraggle Attack Fraggle Attack kiểu cơng tương tự Smurf Thay sử dụng ICMP, Fraggle Attack gửi lượng lớn UDP đến máy chủ f DdoS – Slowloris - Tin tặc gửi đến server lượng lớn yêu cầu HTTP không hồn chỉnh Đồng thời cố gắng trì số kết nối tối đa thời gian dài Khi số lượng kết nối webserver đạt cực đại (webserver bị đầy kết nối), máy chủ chối yêu cầu kết nối tiếp theo, bao gồm request người dùng thông thường g DDoS – Application Level Attack 14 h Application Level Attack công vào lỗ hổng bảo mật thiết bị mạng, hệ điều hành server Đây xem loại công tinh vi gây hậu lớn h DDoS – NTP Amplification NTP Amplification kiểu công khai thác lỗ hổng tính Monlist máy chủ NTP Monlist gì? Monlist danh sách máy tính kết nối với máy chủ NTP Cụ thể, tin tặc gửi request yêu cầu Monlist đến NTP server IP giả Source IP bị giả mạo địa IP máy tính mục tiêu Vì vậy, NTP server liên tục gửi phản hồi Monlist cho nạn nhân Điều khiến hệ thống webserver mục tiêu bị tải Vì sử dụng IP giả mạo có khả khuếch đại sử dụng băng thơng lớn nên NTP Amplification kiểu công “ném đá giấu tay” có tính phá hoại cao 15 h i DDoS – Advance Persistent DoS (APDoS) Đây loại cơng gây nhiều thiệt hại nghiêm trọng cho nạn nhân Advanced Persistent Dos sử dụng kết hợp nhiều kiểu công đề cập Ví dụ HTTP Flood, SYN Flood,… Để làm tải hệ thống webserver mục tiêu Thường APDos gửi hàng triệu yêu cầu giây công kéo dài hàng tuần j DDoS – Zero – Day DdoS Attack Zero-day DDos Attack kiểu công DDos mới, gây tải hệ thống cách khai thác lỗ hổng chưa vá máy chủ 16 h III Tác hại công DoS/DdoS - IV Hệ thống, máy chủ bị công DDoS sập khiến người dùng không truy cập Doanh nghiệp sở hữu máy chủ, hệ thống bị doanh thu, chưa kể đến khoản chi phí cần phải bỏ để khắc phục cố Khi mạng sập, công việc yêu cầu mạng thực hiện, làm gián đoạn công việc, ảnh hưởng đến hiệu suất công việc Nếu người dùng truy cập website bị sập ảnh hưởng đến danh tiếng công ty, website sập thời gian dài người dùng bỏ đi, lựa chọn dịch vụ khác thay Đối với vụ công DDoS kỹ thuật cao dẫn đến việc lấy trộm tiền bạc, liệu khách hàng cơng ty Biện pháp phịng chống DoS/DdoS Nhận biết công DoS/DdoS Tấn công Dos/DDos đơi khó để phân biệt với hoạt động truy cập mạng thông thường Tuy nhiên, gặp phải biểu có đủ chứng để nghi ngờ hệ thống máy chủ mục tiêu công Dos/DDos:    Kết nối mạng nhiên chậm cách bất thường (khi mở file truy cập website tốn nhiều thời gian) Không thể vào trang web bình thường truy cập Thậm chí, cơng q mạnh,sẽ khơng thể vào website/blog Số lượng thư rác tài khoản dưng tăng đột biến Những biện pháp đối phó với DoS/DdoS - - - - - Thật ra, khơng có cách thức cụ thể ngăn chặn hồn tồn việc bị cơng DDos Tuy nhiên có vài phương pháp giúp giảm bớt phần nguy trở thành nạn nhân DDos -Định tuyến hố đen: Đây giải pháp đa số quản trị viên mạng thực để phòng tránh công Dos/DDos Cần tạo tuyến đường lỗ đen để chuyển cá traffic vào Nhằm tránh tình trạng tải hệ thống Khi website gặp phải công từ chối dịch vụ, nhà cung cấp dịch vụ internet đưa tất lưu lượng truy cập tải từ website vào lỗ đen để tự bảo vệ - Giới hạn tỉ lệ: Việc giới hạn số lượng yêu cầu khả máy chủ chấp nhận khoảng thời gian định cách tốt để giảm thiểu hậu Dos/DDos gây ra.Việc giới hạn gửi u cầu làm chậm q trình cơng tin tặc Tuy nhiên, sử dụng phương pháp hacker khiến bạn gặp rắc rối với kiểu DDos phức tạp - Tường lửa ứng dụng web: Sử dụng tường lửa ứng dụng web (WAF) biện pháp giảm thiểu cơng DDos tầng Theo đó, WAF lọc yêu cầu truy cập dựa vào quy tắc định Từ giúp máy chủ tránh khỏi số lượng truy cập độc hại - Anycast Network Diffusion:Phương pháp giúp máy chủ tránh khỏi tình trạng tải Anycast giống chuyển nước từ sông lớn sang kênh nhỏ Cách thức xử lý cho phép chuyển lượng traffic Dos/DDos đến điểm quản lý Cơng cụ phòng chống DdoS 17 h Cloudflare: bảo vệ lớp cloudfare hấp thụ công trước đến máy chủ, cân tải, tường lửa định tuyến không Bảo vệ lớp phân biệt lưu lượng có lợi có hại Mạng F5: Cung cấp bảo vệ cấp đến Silverline ngăn chặn mạng cí khối lượng lớn, ngăn chặn chúng tiếp cận mạng công ty Mạng lưới Arbor: Nó cung cấp dịch vụ quét lưu lượng truy cập đa nhu cầu, theo yêu cầu hỗ trợ DdoS 24/7 thơng qua trung tâm hoạt động bảo mật Ngồi cịn số cơng cụ khác Hoa sen đen, Incapsula…… - - V - So sánh công DoS DdoS DoS Viết tắt Denial of service Chỉ hệ thống nhắm mục tiêu vào hệ thống nạn nhân Viết tắt Distributed Denial of service Nhiều hệ thống công hệ thống nạn nhân PC bị nhắm mục tiêu load từ gói liệu gửi từ vị trí PC bị nhắm mục tiêu load từ gói liệu gửi từ nhiều vị trí Tấn cơng Dos chậm so với DDoS Tấn công DDoS nhanh so với công DoS Có thể bị ngăn chặn dễ dàng sử dụng hệ thống Rất khó để ngăn chặn cơng nhiều thiết bị gửi gói tin cơng từ nhiều vị trí Chỉ hệ thống sử dụng với công cụ công DoS Rất dễ theo dõi Lưu lượng nhỏ truy cập đến mạng nạn nhận Nhiều bot sử dụng để công lúc Khó theo dõi Lưu lượng lớn truy cập đến mạng nạn nhận VI DdoS Các loại công DoS là: Tấn công tràn đệm Tấn công Ping of Death ICMP Flood Tấn công Tearfrop Attack Demo công cụ công DoS DDoS Mô Phỏng công DoS a Chuẩn bị: - Các loại công DDoS là: Tấn công Volumetric( công băng thông) Tấn công Fragmentation Attack( phân mảng liệu) Application Layer Attack( khai thác lỗ hổng ứng dụng) Máy công: Máy ảo kali linux; Máy nạn nhân: Máy ảo window 10; Sử dụng phần mềm wireshark để bắt gói tin máy nạn nhân 18 h - Sử dụng lệnh hping3 để gửi gói tin đến máy nạn nhân gây ngập lụt b Tiến hành: - Máy nạn nhân có ip : 192.168.88.130 - Máy cơng có ip: 192.168.88.131 - Phần mềm wireshark bắt gói tin máy nạn nhân: 19 h - Trạng thái cpu nhớ máy nạn nhân trước công: mức ổn định c Tiến hành công: - Sử dụng lệnh : sudo hping3 192.168.88.130 –flood Trạng thái flood khởi động: 20 h - Các gói tin TCP liên tục gửi đến từ phía máy cơng: - Trạng thái cpu nhớ : Tăng mạnh , cpu đạt 100% 21 h Mô Phỏng công DdoS a Các tool hỗ trợ thực - LOIC ( Low Orbit Ion Cannon ): Là một công cụ phổ biến giúp cho ta có thể test stress một website của mình hoặc một site nào đó Wireshark: Giúp ta theo dõi cuộc tấn công dựa giao thức và kiểu tấn công nào dựa vào quan sát các gói tin được gửi mạng b Thực - Đầu tiên ta sẽ tải và cài đặt tool LOIC, sau đó ta sẽ khỏi động lên - Giao diện công cụ hỗ trợ DoS LOIC 22 h - Tại Module đầu tiên sẽ có trường để ta lưu ý tới, đó là : URL: Đây sẽ là trường mà ta sẽ đưa đường dẫn của nạn nhân cần tấn công IP: Sẽ là tổng quát nếu ta đưa một IP, có thể nhiều đường dẫn website cùng dùng chung một địa chỉ IP Sau xác định xong mục tiêu, ở Modul này nó sẽ được hiển thị dãy IP của mục tiêu tại - Time Out: sẽ là thời gian tối đa để chờ phía nạn nhân gửi lại response đơn vị sẽ tính bằng giây HTTP Subsite: Sẽ xác định subsite nào là mục tiêu TCP/ UDP: Dữ liệu được send chế độ TCP/ UDP Port: Số hiệu port bên phái mạn nhân mà ta sẽ nhắm tới, mạc định sẽ là 80 Method: Sẽ là kiểu phương thức tấn công (TCP/ UDP/ HTTP) Threads: Đây sẽ là số luồng user mà ta sẽ giả lập dùng để tấn công vào nạn nhân Wait for reply: Sẽ không ngắt phiên kết nối cho tới nào được phản hồi Thanh trượt: Sẽ điều chỉnh tốc độ gửi request lên nạn nhân, tính bằng giây - Idle: Sẽ hiển thị số lượng threads không hoạt động Connecting: là số lượng luồng cố gắng kết nối tới nạn nhân Requesting: Số lượng threads gửi request data về phía server Downloading: Số lượng threads tải dữ liệu từ server gửi về Downloaded: Số lần được download Requested: Số lần đã request 23 h - - Failed: Tổng số lần server không thể phản hồi lại Số càng cao thì chứng tỏ server càng bị gián đoạn Attacker gửi một lượng lớn gón HTTP GET về phía Server một thời điểm 24 h - VII Attacker tiếp tục gửi lại một lượng lớn gói với cờ RST, ACK về phái Server để yêu cầu gửi lại dữ liệu - - Tài liệu tham khảo Luận văn nghiên cứu DDOS giải pháp ngăn chặn thạc sĩ Nguyễn Thành Hữu chuyên ngành hệ thống thông tin trường đại học quốc gia hà nội  Ddos gì, hình thức cơng ddos (link: https://securitybox.vn/1353/tan-cong-ddos/)  https://quantrimang.com/tim-hieu-ve-tan-cong-tu-choi-dich-vu-dos-34926 https://academy.binance.com/vi/articles/what-is-a-dos-attack https://bizflycloud.vn/tin-tuc/dos-ddos-la-gi-nhung-ky-thuat-han-che-tan-congdos-ddos-tot-nhat-hien-nay-2021083015472631.htm https://tailieuxanh.com/vn/tlID1583589_luan-van-tim-hieu-tan-cong-dosddos.html https://quantrimang.com/tim-hieu-ve-tan-cong-tu-choi-dich-vu-dos-34926 25 h

Ngày đăng: 04/04/2023, 09:36

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w