đồ án tốt nghiệp Đề ti: Tìm hiểu công DDoSi: Tìm hiểu công DDoS GVHD: ThS Hoàng Sỹ Tơng Lời nói đầu Ngày nay, Internet đợc phổ biến rộng rÃi, tổ chức, cá nhân có nhu cầu giới thiệu thông tin xa lộ thông tin, giao dịch thơng mại điện ngày trở lên gần gũi với ngời Vấn đề nảy sinh phạm vi ứng dụng ứng dụng web ngày mở rộng khả xuất lỗi bị công cao, trở thành đối tợng công cho nhiều ngời công với mục đích khác Những công không gây tổn thất mặt tài mà làm ảnh hởng nặng đến uy tín tổ chức hoạt động internet Một hình thức công mà đà nỗi lo âu, khiếp sợ website thơng mại điện tử, tổ chức hoạt động môi trờng mạng internet phải kể đến DDoS (Distributed Denial of Service - Kiểu công từ chối dịch vụ phân tán) Kể từ xuất vào mùa thu năm 1999, DDoS đà khiến website giới phải điêu đứng Ngày 7/3/2000, website www.yahoo.com phải ngng phục vụ hàng trăm triệu ngời dùng giới vài phải gánh chịu đợt DDoS với quy mô vài ngàn máy tính liên tục gửi hàng triệu request đến server dịch vụ làm cho server phục vụ ngời sử dụng thông thờng khác Vài ngày sau, kiện tơng tự diễn với hàng loạt website có website đà tiếng thể giới nh h·ng tin CNN, amazon.com, buy.com, Zden.com, E-trade.com, Ebay.com Tổng thiệt hại gây lên đến 1.2 triệu USD, nhng không đáng kể bắng lòng tin từ phía khách hàng, uy tín công ty tính đợc Việt Nam vài năm trở lại đây, công kiểu DDoS phát triển cách chóng mặt Mục tiêu yêu thích công website thơng mại điện tử, website tiếng (có lợng truy cập nhiều), tạp chí, báo điện tử, quan, tổ chức phủ phi phủ Điển hình vụ công vào website bảo mật lớn Việt Nam HVA (www.hvaforum.net) VietHacker.org vào cuối năm 2005 khiến website bị tê liệt hoàn toàn vài ngày Vào đầu năm 2006 website thơng mại điện tử www.vietco.com công ty cổ phần Việt Cơ đà phải hứng chịu công với qui mô hàng nghìn máy tính khiến công ty phải tạm thời bị gián đoạn hoạt động đứng trớc nguy phá sảnVà hàng trăm côngVà hàng trăm công DDoS khác diễn ngày, giê víi kü tht ngµy cµng tinh vi vµ khã lờng, thiệt hại gây kể hết SVTH: Đỗ văn tú Trang đồ án tốt nghiệp Đề ti: Tìm hiểu công DDoSi: Tìm hiểu công DDoS GVHD: ThS Hoàng Sỹ Tơng Từ dẫn chứng cụ thể đủ thÊy tÊn c«ng kiĨu DDoS cã søc nguy hiĨm nh Đồ án đợc thực nhằm mục đích nghiên cứu, tìm hiểu cách thức hoạt động biện pháp phòng chống DDoS, giúp ngời có nhìn tổng quan kiểu công nguy hiểm TổNG Chơng QUAN Về DDOS 1.1 Giới thiƯu chung vỊ DDoS: DDoS (distributed denial-of-service attack) lµ mét kiểu công đa hệ thống cung cấp dịch vụ đến mức hoạt động tới hạn tài nguyên, hay gây nhầm lẫn logic dẫn đến hệ thống ngừng hoạt động Khác với DoS (denial-of-service attack) cần máy để công, DDoS sử dụng nhiều máy tính bị chiếm quyền điều khiển kết nối với (mạng Botnet) để công nên sức hủy hoại lớn 1.2 Phân loại kiểu công DDoS Nhìn chung, có nhiều cách để phân loại kiểu công DDoS nhng theo em cách phân loại theo mục đích công đầy đủ, đơn giản dễ hiểu Dới sơ đồ mô tả phân loại kiểu công DDoS dựa theo mục đích công: làm cạn kiệt băng thông làm cạn kiệt tài nguyên hệ thống SVTH: Đỗ văn tú Trang đồ án tốt nghiệp Đề ti: Tìm hiểu công DDoSi: Tìm hiểu công DDoS GVHD: ThS Hoàng Sỹ Tơng Hình 1-: Phân loại kiểu công DDoS Tấn công làm cạn kiệt băng thông Tấn công làm cạn kiệt băng thông (BandWith Depletion Attack) đợc thiết kế nhằm làm tràn ngập mạng mục tiêu với traffic không cần thiết, với mục địch làm giảm tối thiểu khả traffic hợp lệ đến đợc hệ thống cung cấp dịch vụ mục tiêu Có hai loại công làm cạn kiệt băng thông : Flood attack: Điều khiển Agent gửi lợng lớn traffic đến hệ thống dịch vụ mục tiêu, làm dịch vụ bị hết khả băng thông Amplification attack: Điều khiển Agent hay Client tự gửi packet đến địa IP broadcast, làm cho tất máy subnet gửi packet đến hệ thống dịch vụ mục tiêu Phơng pháp làm gia tăng traffic không cần thiết, làm suy giảm băng thông mục tiêu 1.2.1 Flood attack: Trong phơng pháp này, Agent gửi lợng lớn IP traffic làm hệ thống dịch vụ mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái hoạt động bÃo hòa Làm cho ngêi dïng thùc sù cđa hƯ thèng kh«ng sư dơng đợc dịch vụ Ta chia Flood Attack thành hai lo¹i: - UDP Flood Attack: tÝnh chÊt connectionless UDP, hệ thống nhận UDP message đơn giản nhận vào tất packet cần phải xử lý Một lợng lớn UDP packet đợc gửi đến hệ thống dịch vụ mục tiêu đẩy toàn hệ thống đến ngỡng tới hạn SVTH: Đỗ văn tú Trang đồ án tốt nghiệp Đề ti: Tìm hiểu công DDoSi: Tìm hiểu công DDoS GVHD: ThS Hoàng Sỹ Tơng - Các UDP packet đợc gửi đến nhiều port tùy ý hay port Thông thờng gửi đến nhiều port làm cho hệ thống mục tiêu phải căng để xử lý phân hớng cho packet Nếu port bị công không sẵn sàng hệ thống mục tiêu gửi ICMP packet loại destination port unreachable Thông thờng Agent software dùng địa IP giả để che giấu hành tung, packet trả port xử lý dẫn đến địa IP khác UDP Flood attack làm ảnh hởng đến kÕt nèi xung quanh mơc tiªu sù héi tơ cđa packet diƠn rÊt m¹nh - ICMP Flood Attack: đợc thiết kế nhằm mục đích quản lý mạng nh định vị thiết bị mạng Khi Agent gửi lợng lớn ICMP ECHO REQUEST đến hệ thống mục tiêu hệ thống phải reply lợng tơng ứng Packet để trả lời, dẫn đến nghẽn đờng truyền Tơng tự trờng hợp trên, địa IP Agent bị giả mạo 1.2.2 Amplification Attack: Amplification Attack nhắm đến việc sử dụng chức hỗ trợ địa IP broadcast router nhằm khuyếch đại hồi chuyển công Chức cho phép bên gửi định địa IP broadcast cho toàn subnet bên nhận thay nhiều ®Þa chØ Router sÏ cã nhiƯm vơ gưi ®Õn tÊt địa IP subnet packet broadcast mà nhận đợc Attacker gửi broadcast packet trực tiếp hay thông qua số Agent nhằm làm gia tăng cờng độ công Nếu attacker trực tiếp gửi packet, lợi dụng hệ thống bên broadcast network nh Agent Hình 1-: Amplification Attack Có thể chia amplification attack thành hai loại, Smuft Fraggle attack: SVTH: Đỗ văn tú Trang đồ án tốt nghiệp Đề ti: Tìm hiểu công DDoSi: Tìm hiểu công DDoS GVHD: ThS Hoàng Sỹ Tơng - Smuft attack: kiểu công attacker gửi packet đến network amplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa nạn nhân Thông thờng packet đợc dùng ICMP ECHO REQUEST, packet yêu cầu yêu cầu bên nhận phải tr¶ lêi b»ng mét ICMP ECHO REPLY packet Network amplifier gửi đến ICMP ECHO REQUEST packet đến tất hệ thống thuộc địa broadcast tất hệ thống REPLY packet địa IP mục tiêu công Smuft Attack - Fraggle Attack: tơng tự nh Smuft attack nhng thay dùng ICMP ECHO REQUEST packet th× sÏ dïng UDP ECHO packet gửi đến mục tiêu Thật biến thể khác Fraggle attack gửi đến UDP ECHO packet đến chargen port (port 19/UNIX) mục tiêu, với địa bên gửi echo port (port 7/UNIX) mục tiêu, tạo nên vòng lặp vô hạn Attacker phát động công ECHO REQUEST với địa bên nhận địa broadcast, toàn hệ thống thuộc địa gửi REPLY đến port echo nạn nhân, sau từ nạn nhân ECHO REPLY lại gửi trở địa broadcast, trình tiếp diễn Đây nguyên nhân Flaggle Attack nguy hiểm Smuft Attack nhiều Tấn công làm cạn kiệt tài nguyên Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack) kiểu công Attacker gửi packet dùng protocol sai chức thiết kế, hay gửi packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho tài nguyên không phục vụ ngời dùng thông thờng khác đợc 1.2.3 Protocol Exploit Attack - TCP SYN Attack: Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phơng thức bắt tay bên gửi bên nhận trớc truyền liệu Bớc đầu tiên, bên gửi gửi SYN REQUEST packet (Synchronize) Bên nhận nhận đợc SYN REQUEST sÏ tr¶ lêi b»ng SYN/ACK packet Bíc ci cïng, bên gửi truyên packet cuối ACK bắt đầu truyền liệu Hình 1-: Ba bớc kết nối TCP/IP Nếu bên server đà trả lời yêu cầu SYN SYN/ACK nhng không nhận đợc ACK packet cuối sau khoảng thời gian quy định SVTH: Đỗ văn tú Trang đồ án tốt nghiệp Đề ti: Tìm hiểu công DDoSi: Tìm hiểu công DDoS GVHD: ThS Hoàng Sỹ Tơng gửi lại SYN/ACK hết thời gian timeout Toàn tài nguyên hệ thống dự trữ để xử lý phiên giao tiếp nhận đợc ACK packet cuối bị phong tỏa hết thời gian timeout Hình 1-: Trờng hợp IP nguồn giả Nắm đợc điểm yếu này, attacker gửi SYN packet đến nạn nhân với địa bên gửi giả mạo, kết nạn nhân gửi SYN/ACK đến địa khác không nhận đợc ACK packet cuối cùng, hết thời gian timeout nạn nhân nhận đợc điều giải phóng tài nguyên hệ thống Tuy nhiên, lợng SYN packet giả mạo đến với số lợng nhiều dồn dập, hệ thống nạn nhân bị hết tài nguyên - PUSH ACK Attack: Trong TCP protocol, packet đợc chứa buffer, buffer đầy packet đợc chuyển đến nơi cần thiết Tuy nhiên, bên gửi yêu cầu hệ thống unload buffer trớc buffer đầy cách gửi packet với cờ PUSH ACK mang giá trị Những packet làm cho hệ thống nạn nhân unload tất liệu TCP buffer gưi mét ACK packet trë vỊ thùc hiƯn xong điều này, trình đợc diễn liên tục víi nhiỊu Agent, hƯ thèng sÏ kh«ng thĨ xư lý đợc lợng lớn packet gửi đến bị treo 1.2.4 Malformed Packet Attack Malformed Packet Attack cách công dùng Agent để gửi packet có cấu trúc không chuẩn nhằm làm cho hệ thống nạn nhân bị treo Có hai loại Malformed Packet Attack: - IP address attack: dùng packet có địa gửi nhận giống làm cho hệ điều hành nạn nhân không xử lý bị treo - IP packet options attack ngÉu nhiªn hãa vïng OPTION IP packet thiết lập tất bit QoS lên 1, điều làm cho hệ thống nạn nhân phải tốn thời gian phân tích, sử dụng số lợng lớn Agent làm hệ thống nạn nhân hết khả xử lý SVTH: Đỗ văn tú Trang đồ án tốt nghiệp Đề ti: Tìm hiểu công DDoSi: Tìm hiểu công DDoS GVHD: ThS Hoàng Sỹ Tơng 1.3 Sơ đồ mạng Botnet Sơ đồ Handler-Agent Hình 1-: Sơ đồ Handler-Agent Mạng Handler-Agent thông thờng bao gồm thành phần: Agent, Client Handler Trong : - Client: Là phần mềm sở để hacker điều khiển hoạt động mạng Handler-Agent - Handler: Là phần mềm trung gian Agent Client - Agent: Là phần mềm thực công mục tiêu, nhận điều khiển từ Client thông quan c¸c Handler Attacker sÏ tõ Client giao tiÕp víi Handler để xác định số lợng Agent online, điều chỉnh thời điểm công cập nhật Agent Tuỳ theo cách attacker cấu hình mạng Botnet, Agent chịu quản lý hay nhiều Handler Thông thờng Attacker đặt Handler Router hay Server có lợng lu thông lớn Việc nhằm làm cho giao tiếp Client, Handler Agent khó bị phát Các giao thức thờng diễn giao thức TCP, UDP hay ICMP Chủ nhân thực Agent thờng họ bị lợi dụng công DDoS, họ không đủ kiến thức chơng trình Backdoor Agent sử dụng tài nguyên hệ thống làm cho hầu nh thấy ảnh hởng đến hiệu hệ thống SVTH: Đỗ văn tú Trang đồ án tốt nghiệp Đề ti: Tìm hiểu công DDoSi: Tìm hiểu công DDoS GVHD: ThS Hoàng Sỹ Tơng Sơ đồ IRC Base Hình 1-: Sơ đồ IRC Base Internet Relay Chat(IRC) hệ thèng online chat nhiỊu ngêi IRC cho phÐp ngêi sư dụng tạo kết nối đến nhiều điểm khác với nhiều ngời sử dụng khác chat thời gian thùc KiÕn tróc cị cđa IRC network bao gåm nhiỊu IRC server khắp Internet, giao tiếp với nhiỊu kªnh (channnel) IRC network cho phÐp user tao ba loại channel: Public, Private Secrect Trong : Public channel: Cho phÐp user cđa channel ®ã thÊy IRC name nhận đợc message user khác channel Private channel: Đợc thiết kế để giao tiếp với đối tợng cho phép.Không cho phép user không channel thấy IRC name message channel Tuy nhiên, user channel dùng số lệnh channel locator biết đợc tồn private channel Secrect channel: Tơng tự private channel nhng xác định channel locator Mạng IRC-based tơng tự nh mạng Agent-Handler nhng mô hình sử dụng kênh giao tiếp IRC làm phơng tiện giao tiếp Client Agent (không sử dụng Handler) Sử dụng mô hình này, attacker có thêm số lợi khác nh: Các giao tiếp dới dạng chat message làm cho việc phát chúng vô khó khăn Lu thông IRC di chuyển mạng với số lợng lớn mà không bị nghi ngờ SVTH: Đỗ văn tú Trang đồ án tốt nghiệp Đề ti: Tìm hiểu công DDoSi: Tìm hiểu công DDoS GVHD: ThS Hoàng Sỹ Tơng Không cần phải trì danh sách Agent, hacker cần logon vào IRC server đà nhận đợc report trạng thái Agent channel gửi Sau cùng: IRC môi trờng chia sẻ file tạo điều kiện phát tán Agent code lên nhiều máy khác 1.4 Các phơng pháp xây dựng tài nguyên công Có nhiều điểm chung c«ng DDoS attack Cã thĨ kĨ mét sè điểm chung nh: cách cài chơng trình Agent, phơng pháp giao tiếp attacker, Handler Agent, điểm chung loại hệ điều hành hỗ trợ công cụ Sơ đồ sau mô tả so sánh tơng quan công cụ công DDoS Hình 1-: Các phơng pháp xây dựng tài nguyên côngCách thức cài đặt DDoS Agent Attacker dùng phơng pháp active passive để cài đặt chơng trình Agent lên máy khác nhằm thiết lập mạng công kiểu Agent-Handler hay IRC-based * Các cách cài đặt sử dụng phơng pháp active nh: - Scaning: dùng công cụ nh Nmap, Nessus để tìm sơ hở hệ thống online nhằm cài đặt chơng trình Agent Chú ý, Nmap trả thông tin hệ thống đà đợc định địa IP, Nessus tìm kiếm từ địa IP điểm yếu biết trớc - Backdoor: sau tìm thấy đợc danh sách hệ thống lợi dụng, attacker tiến hành xâm nhập cài chơng trình Agent lên hệ thống SVTH: Đỗ văn tú Trang đồ án tốt nghiệp Đề ti: Tìm hiểu công DDoSi: Tìm hiểu công DDoS GVHD: ThS Hoàng Sỹ Tơng Có nhiều thông tin sẵn có cách thức xâm nhập mạng, nh site tổ chức Common Vulnerabilities and Exposures (CVE), liệt kê phân loại 4.000 loại lỗi tất hệ thống có Thông tin sẵn sàng cho giới quản trị mạng lẫn hacker - Trojan: chơng trình thực chức thông thờng đó, nhng lại có số chức tiềm ẩn phục vụ cho mục đích riêng ngời viết mà ngời dùng biết đợc Có thể dùng Trojan nh chơng trình Agent - Buffer Overflow: tận dụng lỗi buffer overflow, attacker làm cho chu trình thực thi chơng trình thông thờng bị chuyển sang chu trình thực thi chơng trình hacker (nằm vùng liệu ghi đè) Có thể dùng cách để công vào chơng trình có điểm yếu buffer overflow để chạy chơng trình Agent * Cách cài đặt sư dơng passive: - Bug tr×nh dut web: attacker cã thể lợi dụng số lỗi trình duyệt web để cài chơng trình Agent vào máy user truy cËp Attacker sÏ t¹o mét trang web mang néi dung tiềm ẩn code lệnh để đặt bẫy user Khi user truy cËp néi dung cđa trang web, th× trang web download cài đặt chơng trình Agent cách bí mật Microsoft Internet Explorer (IE) thờng mục tiêu cách cài đặt này, với lỗi ActiveX cho phép trình duyệt IE tự động download cài đặt code máy ngời dùng duyệt web - Corrupted file: phơng pháp khác nhúng code vào file thông thờng Khi user đọc hay thực thi file này, máy họ bị nhiễm chơng trình Agent software Một kỹ thuật phổ biến đặt tên file dài, mặc định hệ điều hành hiển thị phần đầu tên file nên attacker gửi kèm theo email cho nạn nhân file nh sau: iloveyou.txt_hiiiiiii_NO_this_is_DDoS.exe, thấy phần Iloveyou.txt hiển thị nên user mở file để đọc file đợc thực thi Agent code đợc cài vào máy nạn nhân Ngoài nhiều cách khác nh ngụy trang file, ghép fileVà hàng trăm công * Giao tiếp mạng Botnet Protocol: giao tiếp mạng Botnetcó thể thực c¸c protocol TCP, UDP, ICMP M· hãa c¸c giao tiÕp: vài công cụ DDoS hỗ trợ mà hóa giao tiếp toàn mạng Botnet Tùy theo protocol đợc sử dụng để giao tiếp có ph- SVTH: Đỗ văn tú Trang 10