Denial of Service An Toàn Thông Tin ( DoS DDoS )

MỤC TIÊU  Thế nào là tấn công Dos và Ddos ?  Làm thế nào để tấn công DoS  Dấu hiệu nhận biết DoS  Internet Relay Chat (IRC)  Kỹ thuật tấn công DoS  Botnet  Botnet Ecosystem  Các tình huống tấn công DDoS  Công cụ tấn công DoS, DDoS  Kỹ thuật phát hiện  Biện pháp đối phó DoSDDoS  Công cụ bảo vệ, phòng tránh DoS  Demo

MỤC TIÊU

 Thế nào là tấn công Dos và

Ddos ?

 Làm thế nào để tấn công DoS

 Dấu hiệu nhận biết DoS

 Internet Relay Chat (IRC)

 Kỹ thuật tấn công DoS

 Botnet

 Botnet Ecosystem

 Các tình huống tấn công DDoS

 Công cụ tấn công DoS, DDoS

 Kỹ thuật phát hiện

 Biện pháp đối phó DoS/DDoS

 Công cụ bảo vệ, phòng tránh DoS

 Demo

Thế nào là tấn công từ chối dịch vụ ?

Tấn công từ chối dịch vụ là kiểu tấn công vào máy tính hoặc một mạng để ngăn chặn

sự truy cập hợp pháp.

Trên kiểu tấn công DoS, attackers làm tràn ngập hệ thống của victim với luồng yêu cầu dịch vụ không hợp pháp làm quá tải server, ngăn chặn server thực hiện nhiệm vụ có mục đích.

Tác động của tấn công DoS/DDoS

Mất thiệnchí

Ngắt kếtnối mạng

Mất tàichính

Phá doanhnghiệp

Tấn công từ chối dịch vụ phân tán bao gồm vô số các thỏa hiệp của hệ thống

để tấn công mục tiêu duy nhất, là nguyên nhân người sử dụng bị từ chối dịch vụ của hệ thống.

Để khởi động một cuộc tấn công DDoS , một kẻ tấn công sử dụng botnet và tấn công một hệ thống duy nhất

Cách thức hoạt động kiểu tấn công DDoS

Dấu hiệu cuộc tấn công DoS

Không thể truy cập bất kỳ website nào

Không thể dùng một website cụ

thể Thông thường

hiệu suất mạng

sẽ chậm

Đột ngột tăng lượng thư rác nhận được

Tội phạm mạng

Tội phạm mạng đang ngày càng được liên kết với các tập đoàn tội phạm có tổ chức

để tận dụng lợi thế của các kỹ thuật tinh vi của họ

Những nhóm có tổ chức tội phạm mạng làm việc trên thiết lập thứ bậc với một môhình chia sẻ doanh thu được xác định trước, giống như một tập đoàn lớn cung cấpcác dịch vụ phạm tội

Nhóm tổ chức tạo ra và thuê botnet để cung cấp các dịch vụ khác nhau, từ việc viếtphần mềm độc hại, tấn công các tài khoản ngân hàng, để tạo ra tấn công DoS lớnđối với bất kỳ mục tiêu với một mức giá

Theo Verizon 2010 dữ liệu báo cáo điều tra vi phạm, phần lớn các vi phạm đã điềukhiển bởi các nhóm có tổ chức và hầu như tất cả các dữ liệu bị đánh cắp (70%) làcông việc của bọn tội phạm tổ chức bên ngoài

Sự tham gia ngày càng tăng của đoàn tổ chức tội phạm chiến tranh mạng động cơchính trị và hacktivism là một vấn đề quan tâm cho các cơ quan an ninh quốc gia

Sơ đồ tổ chức của tổ chức tội phạm mạng

Boss

Underboss cung cấp, quản lý và điều

khiển trojan

Kẻ tấn công crimeware sở hữu công cụ

trojan phân phối trên trang web hợp

pháp

Internet Query Chat (ICQ)

 ICQ là chat client được dùng để chat với mọi người

 Nó gán một số định danh phổ cập (UIN) xác định người

dùng duy nhất giữa những người sử dụng ICQ

 Khi một người sử dụng ICQ kết nối với Internet, ICQ

khởi động và cố gắng để kết nối với máy chủ Mirabilis

(Mirabilis là công ty phát triển ICQ), là nơi cơ sở dữ

liệu chứa thông tin của tất cả người dùng ICQ

 Tại máy chủ Mirabilis, ICQ tìm kiếm yêu cầu số UIN

bên trong cơ sở dữ liệu của nó (một loại điện thoại của

thư mục), và cập nhật thông tin

 Bây giờ người dùng có thể liên hệ với người bạn của

mình bởi vì ICQ biết địa chỉ IP

IRC là hệ thống để trò chuyện bao gồm thiết lập nguyên tắc, quy ước

Sau khi người sử dụng tải ứng dụng client, họ bắt đầu chat nhóm (gọi là kênh) hoặc gia nhập một nhóm có trước.

Kênh IRC đang được ưu chuộng là #hottub và #riskybus Giao thức IRC dùng giao thức điều khiển truyền vận (có thể dùng IRC qua telnet client), thông thường dùng port 6667

Kỹ thuật tấn công DoS

Tấn công băng thông

từ nguồn hợp lệ

Tràn ngập yêu cầu dịch vụ

Tấn công SYN

Kẻ tấn công gửi giả mạo TCP SYN yêu cầu tới máy chủ đích (victim)

yêu cầu và chờ đợi ACK để hoàn tất thiết lập phiên

Victim sẽ không nhận đáp ứng bởi vì

địa chỉ nguồn là giả mạo.

 Thực hiện tràn ngập SYN dựa vàothuận lợi lỗ hổng bằng bắt tay ba bướcTCP

 Khi Host B nhận yêu cầu SYN từ A,

nó phải giữ đường đi một phần mở kếtnối trên "hàng đợi lắng nghe" tối thiểu

75 giây

 Một host nguy hiểm có thể khámphá kích cỡ nhỏ để lắng nghe theo hàngbằng cách gửi nhiều yêu cầu SYN tớihost, nhưng không bao giờ trả lời bằngSYN/ACK

 Victim lắng nghe hàng đợi nhanh chóng bị lấp đầy

 Khả năng loại bỏ một host từ mạngtối thiểu là 75 giây có thể được dùngnhư tấn công DoS

Tấn công tràn ngập ICMP

 Kiểu tấn công ICMP là thủ

phạm gửi số lượng lớn của gói

tin giả mạo địa chỉ nguồn tới

server đích để phá hủy nó và gây

ra ngừng đáp ứng yêu cầu

TCP/IP

 Sau khi đến ngưỡng ICMP

đạt đến, các router từ chối yêu

cầu phản hồi ICMP từ tất cả địa

chỉ trên cùng vùng an toàn cho

phần còn lại

Kẻ tấn công gửi yêu cầu ICMP ECHO với địa chỉ nguồn giả mạo

Phản hồi yêu cầu ICMP hợp lệ từ địa chỉ trên vùng an toàn

Tấn công Peer - to - Peer

Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình điểm nối điểmchia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website giả mạo củavictim

Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kết nối trực tiếp),cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức

Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại website

Tấn công cố định DoS

Tấn công DoS liên tục, được biết như

phlashing , nghĩa là tấn công gây thiệt hại cho

hệ thống phần cứng mà không phục hồi được

Không giống như tấn công DoS khác, nó pháhoại hệ thống phần cứng, yêu cầu victim thay thế hoặc cài đặt lại phần cứng

Tấn công thực hiện dùng phương pháp như

Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:

 Làm tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ

 Ngắt dịch vụ cụ thể của hệ thống hoặc con người, ví dụ: khóa người dùng cố gắng truy cậplại khi đăng nhập không có giá trị

 Làm tắc nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ công nguy hiểm SQL

Kẻ tấn công khai thác mã nguồn ứng dụng

Kỹ thuật lan truyền botnet

Tội phạm mạng liên lạc hệ thống IT ( Server, Software, và dịch vụ)

Tải lên trojan để trộm dữ liệu và nhận lệnh từ trung tâm lệnh và điều khiển trojan

Thỏa hiệp các website hợp lệ

Trung tâm lệnh và điều khiển trojan

Hệ thống botnet

Botnet trojan: Shark

Posion ivy: Trung tâm điều khiển lệnh botnet

Botnet trojan: Plugbot

 PlugBot là dự án phần cứng botnet.

 Nó là một sự xâm nhập thiết bị thử nghiệm chuyển đổi (bot) được thiết kế để sử dụng bí mật trong thời gian thử nghiệm thâm nhập vật lý.

Tấn công DDoS

Công cụ tấn công DDoS: LOIC

Tấn công DoS chống lại Mastercard, Visa, và ngân hàng Thụy Sĩ

 Tấn công chống lại Visa và MasterCard trong

một thời gian đã xảy ra vấn đề với một số chủ thẻ

tín dụng.

 Các cuộc tấn công có được tương đối nhỏ cho

đến nay, tập hợp ít hơn 10 gigabits mỗi

giây của lưu lượng truy cập.

 Nó chỉ mất 800 máy tính để hạ

gục Mastercard và 1000 với visa (10GB dữ liệu

mỗi giây) Công cụ loic là một botnet tình

nguyện kết nối đến một máy chủ từ xa

mà chỉ đạo các cuộc tấn công Hiện nay,

có 40.000 người kết nối với botnet

Hacker quảng cáo link để download botnet

Công cụ tấn công DoS

Công cụ tấn công DoS

Kỹ thuật phát hiện

 Kỹ thuật phát hiện dựa trên nhận biết và phân biệt nhờ tăng lên

tin hợp lệ.

 Tất cả kỹ thuật phát hiện định nghĩa tấn công như không bình

trạng thái thống kê bình thường

Tín hiệu phân tích dựa trên wavelet

Phát hiện thay đổi điểmHoạt động định

hình

Hoạt động định hình

Một tấn công được nhận biết bằng:

 Tăng hoạt động giữa các

clusters

 Tăng toàn bộ số lượng

clusters rõ ràng (tấn công DDoS)

Nó là tốc độ trung bình lưu lượng mạng bao gồm gói tin liên tiếp với trường gói tin giống

nhau

Hoạt động định hình thu được bằng cách giám sát thông tin header của gói tin trong mạng

Phân tích wavelet

Phân tích wavelet được mô

tả là tín hiệu vào đầu cuối

bao gồm quang phổ

Wavelets cung cấp đồng bộ thời gian và

mô tả tần số

Phân tích mỗi quang phổ

năng lượng xác định hiện

tượng bất thường

Họ xác định thời gian chính xác gồm các tần số hiện diện

Phát hiện thay đổi điểm theo trình tự

Bạn cũng có thể dùng nhận biết worm thông thường bằng hoạt động scanning

Để nhận diện và định vị cuộc tấn công DoS các thuật toán cusum xác định độ lệch trong mức trung bình thực tế cục bộ so với dự kiến trong chuỗi thời gian kết nối

Họ bắt đầu lọc lưu lượng dữ liệu tới đích bằng địa chỉ, cổnghoặc giao thức và lưu trữ kết quả thành chuỗi thời gian

Thuật toán phát hiện thay đổi điểm mô tả lưu lượng thống kê nguyên nhân thay đổi bởi cuộc tấn công

Biện pháp đối phó chiến lược DoS/ DDoS

Tắt dịch vụ

Tắt tất cả dịch vụ cho tới khi cuộc tấn công giảm bớt

Biện pháp đối phó tấn công DoS/ DDoS

Làm lệch cuộc tấn công

Làm dịu tấn công

Sau tấn công: pháp lý

cả nguồn trên internet

Tắt dịch vụ không cầnthiết, gỡ bỏ ứng dụngkhông sử dụng, và quéttất cả files nhận từ

nguồn bên ngoài

Cấu hình và thường xuyên cập

nhập xây dựng cơ cấu phòng thủ

trên lõi phần cứng và phần mềm

hệ thống

Bảo vệ thứ cấp victims

Vô hiệu hóa một vàihandler có thể làm chonhiều agent không hữudụng, để cản trở cuộc tấncông DDoS.

Giả mạo địa chỉ

nguồn

Có một xác suất lớn giảmạo địa chỉ nguồn góitin tấn công DDoS sẽkhông hiện giá trị địachỉ nguồn của mạng cụthể

Phát hiện và vô hiệu hóa handers

Phát hiện tiềm năng tấn công

 Bộ lọc đi ra khôngchứng thực hoặc lưulượng nguy hiểmkhông được ra khỏimạng bên ngoài

Ngắt TCP

 Cấu hình ngắt TCPngăn ngừa tấn côngbằng cách ngắt vàyêu cầu kết nối TCPhợp lệ

 Hệ thống thiết lập với giới

hạn bảo mật, cũng biết như

Cân bằng tải

 Nhà cung cấp tăng băng thông trên

kết nối quan trọng để ngăn ngừa và

giảm xuống tấn công.

 Nhân bản máy chủ có thể cung cấp

thêm bảo vệ an toàn

 Cân bằng tải cho mỗi server trên

cấu trúc nhiều server có thể cải tiến

hiệu suất bình thường như là giảm

ảnh hưởng của cuộc tấn công DoS

Hoạt động điều chỉnh

 Thiết lập cách thức router truy cập một server với điều chỉnh logic lưu lượng đi vào tới mức độ sẽ an toàn để server xử lý

 Bộ xử lý có thể ngăn ngừa tràn ngập thiệt hại tới server.

 Bộ xử lý này có thể mở rộng để điều chỉnh luồng tấn công DDoS đối lập lưu lượng hợp pháp của người

sử dụng cho kết quả tốt hơn

Làm dịu cuộc tấn công

Sau tấn công: pháp lý

Phân tích router, firewall, và IDS

logs để nhận biết nguồn của lưu

lượng DoS Mặc dù kẻ tấn công

thông thường giả mạo địa chỉ nguồn,

dấu vết IP trả lại với trợ giúp ngay

lập tức của ISP và thực thi pháp luật

các cơ quan có thể cho phép bắt các

thủ phạm

Phân tích mẫu lưu lượng: Dữ liệu

có thể được phân tích sau tấncông để tìm kiếm đặc điểm riêngbiệt trong lưu lượng tấn công

Mẫu lưu lượng tấn công DDoS có

thể giúp người quản trị mạng phát

triển kỹ thuật lọc để ngăn ngừa đi

vào hoặc đi ra mạng

Dùng những đặc điểm, dữ liệu có thểđược dùng để cập nhập cân bằng tải vàđiều chỉnh biện pháp đối phó

Kỹ thuật để phòng thủ chống lại botnet

Các gói tin cần phải được có nguồn gốc hợp

lệ, cho phép địa chỉ trống, bao gồm tôpô và

cấp phát không gian.

Bất kỳ lưu lượng vào không sử dụng hoặc địa

chỉ ip dành riêng là không thật nên lọc tại ISP

trước khi vào đường link internet.

Lỗ đen là nơi trên một một mạng, nơi đó lưu lượng được chuyển tiếp hoặc hủy bỏ.

Kỹ thuật lọc này dùng giao thức cập nhập định tuyến để điều khiển bảng định tuyến tại biên một mạng để hủy lưu lượng không thích nghi trước nó xâm nhập vào mạng của nhà cung cấp dịch vụ.

IPS cisco nhận đe dọa cập nhập từ mạng

Cisco SensorBase chứa thông tin chi tiết

nhân biệt mối đe dọa trên internet, bao gồm

tuần tự kẻ tấn công, botnet harvester,

malware bùng phát và dark net.

Bật bảo vệ IP nguồn trên switch ngăn ngừa một host gửi gói tin giả mạo trở thành bot.

Lọc nguồn ip uy tín trên Cisco IPS

Cung cấp dịch vụ phòng chống DDoS từ ISP

Biện pháp đối phó DoS/ DDoS

Hiệu quả của cơ chế mã hóa cần đề xuất cho mỗi công nghệ băng thông rộng.Cải tiến giao thức định tuyến được kỳ vọng, đặc biệt là cho nhiều hop WMN

Tắt những dịch vụ không sử dụng và không bảo mật

Cập nhập kernel tới phiên bản mới nhất

Ngăn ngừa truyền địa chỉ gói tin lậu ở mức độ ISP

Thực hiện nhận biệt vô tuyến ở lớp vật lý để xử lý gây nhiễu và xáo trộn cuộctấn công

Khóa tất cả gói tin có nguồn đi vào từ cổng dịch vụ để khóa lưu lượng ánh xạ từ server

Biện pháp đối phó DoS/ DDoS

Cấu hình firewall để từ chối dòng truy cập giao thức điều khiển thôngđiệp internet (ICMP)

Ngăn ngừa dùng chức năng không cấp thiết như get, strcpy,

Đảm bảo an toàn cho người quản trị từ xa và kiểm tra kết nối

Ngăn chặn địa chị trả lại không bị ghi đè

Dữ liệu được xử lý bởi kẻ tấn công nên dừng lại trước khi chạy

Thực hiện triệt để giá trị nhập vào

Các card mạng là gateway của gói tin vì vậy nên dùng card mạng tốthơn để xử lý số lượng lớn gói tin

Bảo vệ DoS/ DDoS: Mức độ ISP

Nhiều ISP đơn giản khóa tất cả yêu cầu trong thời gian tấn công DDoS, từ chối lưu lượng hợp pháp từ truy cập dịch vụ ISP đưa ra đám mây DDoS bảo vệ đường liên kết internet vì vậy họ không thể bão hòa bởi cuộc tấn công

Lưu lượng tấn công được chuyển hướng tới ISP trong cuộc tấn công để lọc và gửi trở lại

Quản trị mạng có thể yêu cầu ISP để khóa nguồn IP tác động và di chuyển trang web tới IP khác sau khi thực hiện lan truyền DNS

Kích hoạt ngắt TCP trên phần mềm IOS Cisco

Để bật ngắt TCP, dùng những lệnh ở chế độ cấu hình toàn cầu:

Ngắt TCP có thể diễn ra với mỗi chế độ ngắt chủ động hoặc bị động chế độ theo dõi Mặc định là chế độ ngắt

Câu lệnh sẽ thiết lập chế độ ngắt TCP ở chế độ cấu hình toàn cầu

Định nghĩa IP mở rộng trong danh sách truy cập

Kích hoạt ngắt TCP

Thiết lập chế độ ngắt TCP

Bảo vệ nâng cao DDoS:

IntelliGuard hệ thống bảo vệ DDoS (DPS)

IntelliGuard DPS trợ giúp làm dịu tấn công DDoS được thiết

kế tập trung vượt qua lưu lượng hợp pháp hơn là bỏ quả lưu lượng tấn công

Cấp bậc học bảo vệ chiến lược

nhận biết vị trí truy cập bằng

ưu tiên cho khách hàng và xếp

hạng truy cập của họ.

Quản lý lưu lượng đa cấp độ

cấu hình giới hạn lưu lượng và đảm bảo cho việc quản lý lưu lượng cho mỗi thành phần của mạng

Công cụ bảo vệ DoS/ DDoS: NetFlow Analyzer

Công cụ bảo vệ DoS/ DDoS

Tấn công DoS: Kiểm tra thâm nhập

Hệ thống server dễ bị tấn công DoS thì nên kiểm tra thâm nhập

để tìm hiểu để đối phó.

Một hệ thống dễ bị tấn công không thể xử lý số lượng lớn lưu lượng gửi và sau đó bị treo hoặc giảm tốc độ, do đó ngăn ngừa truy cập bằng cách chứng thực người sử dụng.

Kiểm tra thâm nhập xác định ngưỡng tối thiểu cuộc tấn công DoS trên hệ thống, nhưng người kiểm thử không chủ quan là hệ thống bền vững trước chống tấn công DoS.

Đối tượng chính để kiểm tra thâm nhập DoS làm tràn ngập lưu lượng hệ thống mục tiêu, tương tự như hàng trăm người liên tục yêu cầu dịch vụ, làm cho server hoạt động liên tục không có giá trị.

Tấn công DoS: Kiểm tra thâm nhập

 Kiểm tra web server dùng công cụ tự động như là Web Application Stress(WAS) và Jmeter

cho khả năng chịu tải, hiệu suất server, khóa, và khả năng mở rộng phát sinh.

 Quét hệ thống dùng công cụ tự động như

NMAP, GFI LANGuard , và Nessus để khám phá bất kỳ hệ thống dễ bị tấn công DoS.

 Tràn ngập mục tiêu với yêu cầu gói tin kết nối dùng công cụ Trin00 , Tribe Flood , và

TFN2K

 Tấn công tràn ngập cổng để làm đầy cổng và tăng sử dụng duy trì tất cả yêu cầu kết nối làm tắc nghẽn cổng.Dùng công cụ Mutilate and

Pepsi5 để tự động tấn cộng tràn ngập cổng.

 Dùng công cụ Mail Bomber , Attache Bomber , và Advanced Mail Bomber để gửi số lượng mail lớn cho mail server mục tiêu.

 Điền vào các mẫu với nội dung tùy ý và kéo dài làm tràn ngập trang web.

T hank Y ou !

Thµnh Viªn

§inh V¨n Chung

Vò ThÞ Thïy Dung Ph¹m V¨n Hung NguyÔn TuÊn M¹nh (91)

Ng« Quang TuÊn