Denial of Service An Toàn Thông Tin ( DoS DDoS )

MỤC TIÊU  Thế nào là tấn công Dos và Ddos ?  Làm thế nào để tấn công DoS  Dấu hiệu nhận biết DoS  Internet Relay Chat (IRC)  Kỹ thuật tấn công DoS  Botnet  Botnet Ecosystem  Các tình huống tấn công DDoS  Công cụ tấn công DoS, DDoS  Kỹ thuật phát hiện  Biện pháp đối phó DoSDDoS  Công cụ bảo vệ, phòng tránh DoS  Demo

MỤC TIÊU

 Thế nào là tấn công Dos và Ddos ?

 Làm thế nào để tấn công DoS  Dấu hiệu nhận biết DoS

 Internet Relay Chat (IRC) Kỹ thuật tấn công DoS

Thế nào là tấn công từ chối dịch vụ ?

Tấn công từ chối dịch vụ là kiểu tấn công vào máy tính hoặc một mạng để ngăn chặn sự truy cập hợp pháp.

Trên kiểu tấn công DoS, attackers làm tràn ngập hệ thống của victim với luồng yêu cầudịch vụ không hợp pháp làm quá tải server, ngăn chặn server thực hiện nhiệm vụ cómục đích.

Tác động của tấn công DoS/DDoSphân tán bao gồm vô sốcác thỏa hiệp của hệ thốngđể tấn công mục tiêu duy

Cách thức hoạt động kiểu tấn công DDoS

Dấu hiệu cuộc tấn công DoS

Tội phạm mạng

Tội phạm mạng đang ngày càng được liên kết với các tập đoàn tội phạm có tổ chức để tận dụng lợi thế của các kỹ thuật tinh vi của họ.

Những nhóm có tổ chức tội phạm mạng làm việc trên thiết lập thứ bậc với một mô hình chia sẻ doanh thu được xác định trước, giống như một tập đoàn lớn cung cấp các dịch vụ phạm tội.

Nhóm tổ chức tạo ra và thuê botnet để cung cấp các dịch vụ khác nhau, từ việc viết phần mềm độc hại, tấn công các tài khoản ngân hàng, để tạo ra tấn công DoS lớn đối với bất kỳ mục tiêu với một mức giá.

Theo Verizon 2010 dữ liệu báo cáo điều tra vi phạm, phần lớn các vi phạm đã điều khiển bởi các nhóm có tổ chức và hầu như tất cả các dữ liệu bị đánh cắp (70%) là công việc của bọn tội phạm tổ chức bên ngoài.

Sự tham gia ngày càng tăng của đoàn tổ chức tội phạm chiến tranh mạng động cơ chính trị và hacktivism là một vấn đề quan tâm cho các cơ quan an ninh quốc gia.

Sơ đồ tổ chức của tổ chức tội phạm mạng

Boss

Underboss cung cấp, quản lý và điều

khiển trojan Kẻ tấn công crimeware sở hữu công cụ

trojan phân phối trên trang web hợppháp

Internet Query Chat (ICQ)  ICQ là chat client được dùng để chat với mọi người.

 Nó gán một số định danh phổ cập (UIN) xác định người dùng duy nhất giữa những người sử dụng ICQ

 Khi một người sử dụng ICQ kết nối với Internet, ICQ khởi động và cố gắng để kết nối với máy chủ Mirabilis

(Mirabilis là công ty phát triển ICQ), là nơi cơ sở dữ liệu chứa thông tin của tất cả người dùng ICQ.

 Tại máy chủ Mirabilis, ICQ tìm kiếm yêu cầu số UIN

bên trong cơ sở dữ liệu của nó (một loại điện thoại của thư mục), và cập nhật thông tin.

 Bây giờ người dùng có thể liên hệ với người bạn của mình bởi vì ICQ biết địa chỉ IP.

IRC là hệ thống để trò chuyện bao gồm thiết lập nguyên tắc, quy ước và phần mềm client/server.

Nó cho phép chuyển hướng kết nối máy tính tới máy tính với mục đích dễ dàng chia sẽ giữa clients

Một vài website (như là Talk City) hoặc mạng IRC (như là

Undernet) cung cấp server và hỗ trợ người sử dụng tải IRC clients tới PC của họ.

Sau khi người sử dụng tải ứng dụng client, họ bắt đầu chat nhóm (gọi là kênh) hoặc gia nhập một nhóm có trước.

Kênh IRC đang được ưu chuộng là #hottub và #riskybus Giaothức IRC dùng giao thức điều khiển truyền vận (có thể dùng IRCqua telnet client), thông thường dùng port 6667

Kỹ thuật tấn công DoS

routers do thống kê quan trọng trong lưu lượng mạng

Nó bắt đầu gửi yêucầu trên tất cả kết nối

Tấn công SYN

Kẻ tấn công gửi giả mạo TCP SYN yêu cầu tới máy chủ đích (victim)

yêu cầu và chờ đợi ACK để hoàn tất thiết lập phiên

Victim sẽ không nhận đáp ứng bởi vì

địa chỉ nguồn là giả mạo.

 Thực hiện tràn ngập SYN dựa vào thuận lợi lỗ hổng bằng bắt tay ba bước TCP

 Khi Host B nhận yêu cầu SYN từ A, nó phải giữ đường đi một phần mở kết nối trên "hàng đợi lắng nghe" tối thiểu 75 giây

 Một host nguy hiểm có thể khám phá kích cỡ nhỏ để lắng nghe theo hàng bằng cách gửi nhiều yêu cầu SYN tới host, nhưng không bao giờ trả lời bằng SYN/ACK

 Victim lắng nghe hàng đợi nhanh chóng bị lấp đầy

 Khả năng loại bỏ một host từ mạng tối thiểu là 75 giây có thể được dùng như tấn công DoS

Tấn công tràn ngập ICMP

 Kiểu tấn công ICMP là thủ phạm gửi số lượng lớn của gói tin giả mạo địa chỉ nguồn tới server đích để phá hủy nó và gây ra ngừng đáp ứng yêu cầu TCP/IP.

 Sau khi đến ngưỡng ICMP đạt đến, các router từ chối yêu cầu phản hồi ICMP từ tất cả địa chỉ trên cùng vùng an toàn cho phần còn lại.

Kẻ tấn công gửi yêu cầuICMP ECHO với địa chỉnguồn giả mạo

Phản hồi yêu cầu ICMP hợp lệ từ địa chỉ trên vùng an toàn

Tấn công Peer - to - Peer

Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình điểm nối điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website giả mạo của victim.

Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kết nối trực tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức.

Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại website.

Tấn công cố định DoS

Tấn công DoS liên tục, được biết như

phlashing, nghĩa là tấn công gây thiệt hại chohệ thống phần cứng mà không phục hồi được

Không giống như tấn công DoS khác, nó phá hoại hệ thống phần cứng, yêu cầu victim thay thế hoặc cài đặt lại phần cứng

Tấn công thực hiện dùng phương pháp như

"xây dựng hệ thống”

Dùng phương pháp này, kẻ tấn công gửicậpnhập phần cứng lừa đảotới victim

Gửi email, IRC chats, tweets, video với nộidung lừa đảo để cập nhập phần cứng

Kẻ tấn công truy cập tới

máy tính của victim (Mã nguy hiểm chạy trên hệ

thống victim)

Dùng kiểu tấn công này, kẻ tấn công phá hủy mã nguồn chương trình và file làm ảnh hưởng tới hệ thống máy tính

Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:  Làm tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ.

 Ngắt dịch vụ cụ thể của hệ thống hoặc con người, ví dụ: khóa người dùng cố gắng truy cập lại khi đăng nhập không có giá trị.

 Làm tắc nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ công nguy hiểm SQL

Kẻ tấn công khai thác mã nguồn ứng dụng

 Botslà phần mềm ứng dụng chạy công việc tự động qua internet và thực hiện lặp lại nhiệm vụ đơn giản, như là gián điệp web và tìm bộ máy đánh chỉ số.

 Botnetlà một mạng lớn thỏa thuận hệ thống và được dùng bởi kẻ xâm nhập để tạora tấn công DoS

Kỹ thuật lan truyền botnet

Hệ thống botnet

Botnet trojan: Shark

Posion ivy: Trung tâm điều khiển lệnh botnet

Botnet trojan: Plugbot

PlugBotlà dự án phần cứng botnet.

 Nó là một sự xâm nhập thiết bị thử nghiệm chuyển đổi (bot) được thiết kế để sửdụng bí mật trong thời gian thử nghiệm thâm nhập vật lý.

Tấn công DDoS

Công cụ tấn công DDoS: LOIC

Tấn công DoS chống lại Mastercard, Visa, và ngân hàng Thụy Sĩ

 Tấn công chống lạiVisavàMasterCardtrong một thời gian đã xảy ra vấn đề với một số chủ thẻ tín dụng.

 Các cuộc tấn công có được tương đối nhỏ cho đến nay, tập hợp ít hơn10 gigabits mỗi giâycủa lưu lượng truy cập.

 Nóchỉmất800máytínhđểhạgục Mastercard và 1000 với visa (10GB dữ liệumỗi giây).Công cụ loic là một botnet tìnhnguyệnkết nối đến một máy chủ từ xamà chỉ đạo các cuộc tấn công Hiện nay,có 40.000 người kết nối với botnet

Hacker quảng cáo link để download botnet

Công cụ tấn công DoS

Công cụ tấn công DoS

Kỹ thuật phát hiện

 Kỹ thuật phát hiện dựa trênnhận biết và phân biệtnhờ tăng lên

tin hợp lệ.

 Tất cả kỹ thuật phát hiện định nghĩa tấn côngnhư không bình

trạng thái thống kê bình thường

tin liên tiếpvớitrường gói tin giống

Hoạt động định hìnhthu được bằng cáchgiám sátthông tin header của gói tin trong mạng

Phân tích wavelet

Phân tích wavelet được mô tả là tín hiệu vào đầu cuối bao gồm quang phổ

Wavelets cung cấp đồng bộ thời gian và mô tả tần số

Phân tích mỗi quang phổ năng lượng xác định hiện tượng bất thường

Họ xác định thời gian chính xác gồm các tần số hiện diện

Phát hiện thay đổi điểm theo trình tự

Bạn cũng có thể dùng nhận biết worm thông thường bằng hoạt động scanning

Để nhận diện và định vị cuộc tấn công DoS các thuật toán

cusum xác định độ lệch trong mức trung bình thực tế cục bộ so với dự kiến trong chuỗi thời gian kết nối

Họ bắt đầu lọc lưu lượng dữ liệu tới đích bằng địa chỉ, cổng hoặc giao thức và lưu trữ kết quả thành chuỗi thời gian

Thuật toán phát hiện thay đổi điểm mô tả lưu lượng thống kê nguyên nhân thay đổi bởi cuộc tấn công

Biện pháp đối phó chiến lược DoS/ DDoS

Biện pháp đối phó tấn công DoS/ DDoS

nguồn bên ngoài.

Cấu hình và thường xuyên cập nhập xây dựng cơ cấu phòng thủ trên lõi phần cứng và phần mềm hệ thống

Bảo vệ thứ cấp victims

Thông thường vài DDoS handler được triển khai mạo địa chỉ nguồn gói tin tấn công DDoS sẽ không hiện giá trị địa chỉ nguồn của mạng cụ thể.

Phát hiện và vô hiệu hóa handers

Phát hiện tiềm năng tấn công

 Quét header gói tin của gói tin IP ra một mạng.

 Bộ lọc đi ra không chứng thực hoặc lưu lượng nguy hiểm không được ra khỏi

 Hệ thống thiết lập với giới hạn bảo mật, cũng biết như

Cân bằng tải

 Nhà cung cấp tăng băng thông trên

kết nối quan trọngđể ngăn ngừa vàgiảm xuống tấn công.

 Nhân bản máy chủ có thể cung cấpthêm bảo vệan toàn.

 Cân bằng tải cho mỗi server trêncấu trúc nhiều server có thể cải tiếnhiệu suất bình thường như làgiảmảnh hưởngcủa cuộc tấn công DoS

Hoạt động điều chỉnh

 Thiết lập cách thức router truycập một server với điều chỉnh logiclưu lượng đi vào tới mức độ sẽ antoàn đểserver xử lý.

 Bộ xử lý có thểngăn ngừa trànngậpthiệt hại tới server.

 Bộ xử lý này có thể mở rộng đểđiều chỉnh luồng tấn công DDoS đốilậplưu lượng hợp phápcủa ngườisử dụng cho kết quả tốt hơn

Làm dịu cuộc tấn công

Sau tấn công: pháp lý

Phân tích router, firewall, và IDS logs để nhận biết nguồn của lưu lượng DoS Mặc dù kẻ tấn công thông thường giả mạo địa chỉ nguồn, dấu vết IP trả lại với trợ giúp ngay lập tức của ISP và thực thi pháp luật các cơ quan có thể cho phép bắt các thủ phạm

Phân tích mẫu lưu lượng: Dữ liệu có thể được phân tích sau tấn công để tìm kiếm đặc điểm riêng biệt trong lưu lượng tấn công

Mẫu lưu lượng tấn công DDoS có thể giúp người quản trị mạng phát triển kỹ thuật lọc để ngăn ngừa đi vào hoặc đi ra mạng

Dùng những đặc điểm, dữ liệu có thể được dùng để cập nhập cân bằng tải và điều chỉnh biện pháp đối phó

Kỹ thuật để phòng thủ chống lại botnet

Các gói tin cần phải được có nguồn gốc hợplệ, cho phép địa chỉ trống, bao gồm tôpô vàcấp phát không gian.

Bất kỳ lưu lượng vào không sử dụng hoặc địachỉ ip dành riêng là không thật nên lọc tại ISP trước khi vào đường link internet.

Lỗ đen là nơi trên một một mạng, nơi đó lưulượng được chuyển tiếp hoặc hủy bỏ.

Kỹ thuật lọc này dùng giao thức cập nhậpđịnh tuyến để điều khiển bảng định tuyến tạibiên một mạng để hủy lưu lượng không thíchnghi trước nó xâm nhập vào mạng của nhàcung cấp dịch vụ.

IPS cisco nhận đe dọa cập nhập từ mạngCisco SensorBase chứa thông tin chi tiếtnhân biệt mối đe dọa trên internet, bao gồmtuần tự kẻ tấn công, botnet harvester,

malware bùng phát và dark net.

Bật bảo vệ IP nguồn trên switch ngăn ngừamột host gửi gói tin giả mạo trở thành bot.

Biện pháp đối phó DoS/ DDoS

Hiệu quả của cơ chế mã hóa cần đề xuất cho mỗi công nghệ băng thông rộng Cải tiến giao thức định tuyến được kỳ vọng, đặc biệt là cho nhiều hop WMN

Tắt những dịch vụ không sử dụng và không bảo mật.

Cập nhập kernel tới phiên bản mới nhất.

Ngăn ngừa truyền địa chỉ gói tin lậu ở mức độ ISP.

Thực hiện nhận biệt vô tuyến ở lớp vật lý để xử lý gây nhiễu và xáo trộn cuộc tấn công.

Khóa tất cả gói tin có nguồn đi vào từ cổng dịch vụ để khóa lưu lượng ánh xạ từ server.

Biện pháp đối phó DoS/ DDoS

Cấu hình firewall để từ chối dòng truy cập giao thức điều khiển thông điệp internet (ICMP)

Ngăn ngừa dùng chức năng không cấp thiết như get, strcpy, Đảm bảo an toàn cho người quản trị từ xa và kiểm tra kết nối Ngăn chặn địa chị trả lại không bị ghi đè

Dữ liệu được xử lý bởi kẻ tấn công nên dừng lại trước khi chạy Thực hiện triệt để giá trị nhập vào

Các card mạng là gateway của gói tin vì vậy nên dùng card mạng tốt hơn để xử lý số lượng lớn gói tin.

Bảo vệ DoS/ DDoS: Mức độ ISP

Nhiều ISP đơn giản khóa tất cả yêu cầutrong thời giantấn công DDoS, từ chốilưu lượng hợp pháptừ truy cập dịch vụ.ISP đưa ra đám mây DDoS bảo vệđường liên kết internet vì vậy họ khôngthểbão hòa bởi cuộc tấn công

Lưu lượng tấn công đượcchuyển hướngtới ISPtrong cuộc tấn công để lọc và gửitrở lại

Quản trị mạng có thểyêu cầu ISP đểkhóa nguồn IP tác động và di chuyểntrang web tới IP khác sau khi thực hiệnlan truyền DNS

Kích hoạt ngắt TCP trên phần mềm IOS Cisco Để bật ngắt TCP, dùng những lệnh ở chế độ cấu hình toàn cầu:

Ngắt TCP có thể diễn ra với mỗi chế độ ngắt chủ động hoặc bị động chế độ theo dõi Mặc

Bảo vệ nâng cao DDoS:

IntelliGuard hệ thống bảo vệ DDoS (DPS)

IntelliGuard DPS trợ giúplàmdịu tấn công DDoSđược thiếtkế tập trung vượt qua lưulượng hợp pháp hơn là bỏ quảlưu lượng tấn công

Cấp bậc học bảo vệ chiến lược

nhận biết vị trí truy cập bằngưu tiên cho khách hàng và xếphạng truy cập của họ.

Quản lý lưu lượng đa cấp độ

cấu hình giới hạn lưu lượng vàđảm bảo cho việc quản lý lưulượng cho mỗi thành phần củamạng

Công cụ bảo vệ DoS/ DDoS: NetFlow Analyzer

Công cụ bảo vệ DoS/ DDoS

Tấn công DoS: Kiểm tra thâm nhập

Hệ thống server dễ bị tấn công DoS thì nên kiểm tra thâm nhập để tìm hiểu để đối phó.

Một hệ thống dễ bị tấn công không thể xử lý số lượng lớnlưu lượng gửi và sau đó bị treo hoặc giảm tốc độ, do đóngăn ngừa truy cập bằng cách chứng thực người sử dụng.

Kiểm tra thâm nhập xác định ngưỡng tối thiểu cuộc tấncông DoS trên hệ thống, nhưng người kiểm thử khôngchủ quan là hệ thống bền vững trước chống tấn côngDoS.

Đối tượng chính để kiểm tra thâm nhập DoS làm tràn ngập lưu lượng hệ thống mục tiêu, tương tự như hàng trăm người liên tục yêu cầu dịch vụ, làm cho server hoạt động liên tục không có giá trị.

Tấn công DoS: Kiểm tra thâm nhập

 Kiểm tra web server dùng công cụ tự độngnhư làWeb Application Stress(WAS)vàJmeter

cho khả năng chịu tải, hiệu suất server, khóa, vàkhả năng mở rộng phát sinh.

 Quét hệ thống dùng công cụ tự động như

NMAP, GFI LANGuard, vàNessusđể khámphá bất kỳ hệ thống dễ bị tấn công DoS.

 Tràn ngập mục tiêu với yêu cầu gói tin kếtnối dùng công cụTrin00,Tribe Flood, và

 Tấn công tràn ngập cổng để làm đầy cổng vàtăng sử dụng duy trì tất cả yêu cầu kết nối làmtắc nghẽn cổng.Dùng công cụMutilateand

Pepsi5để tự động tấn cộng tràn ngập cổng. Dùng công cụMailBomber,AttacheBomber, vàAdvanced Mail Bomberđể gửi sốlượng mail lớn cho mail server mục tiêu.

 Điền vào các mẫu với nội dungtùy ývàkéodàilàm tràn ngập trang web.