Đề Tài: Tìm Hiểu Về Tấn Công Từ Chối Dịch Vụ - DoS pps

 Tấn công DoS là một kiểu tấn công làm cho hệ thống không thể sử dụng được, hoặc làm cho hệ thống đó chậm đi đáng kể, bằng cách làm quá tải tài nguyên của hệ thống..  Mặc dù tấn công D

Bộ Công Thương Trường Đại Học Công Nghiệp Tp Hồ Chí Minh

Đề Tài: Tìm Hiểu Về Tấn Công Từ Chối Dịch Vụ - DoS

Nội Dung

 Lịch Sử Một Số Cuộc Tấn Công DoS

 Denial of Service Attack là gì??

 Cách nhận biết khi bị tấn công

 Các Dạng Tấn Công DoS

 Giải Pháp Phòng Tránh DoS

 Các Công Cụ Được Sử Dụng Để Tấn

Công DoS

Lịch sử một số cuộc tấn công DoS

 Cuộc tấn công đầu tiên liên quan đến máy chủ DSN xảy ra

vào tháng 1 năm 2001 và mục tiêu đầu tiên là trang

Register.com Hậu quả là trang Web này phải ngừng hoạt

động trong nhiều giờ và mất nhiều dữ liệu.

 Vào lúc 15:09 giờ GMT ngày 27 tháng 3 năm 2003, toàn bộ phiên bản tiếng Anh của website Al-Jazeera bị tấn công làm gián đoạn trong nhiều giờ.

 Vào ngày 15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn

công DoS cực mạnh và làm gián đoạn Websites trong vòng 2 giờ.

 Vào 8/12/2010, một nhóm hacker tấn công đồng loạt trang

web của hãng Mastercard, Visa để trả đũa cho việc chủ

Wikileaks bị tạm giam ở Anh Nhóm hacker lấy tên “Chiến dịch trả đũa", nhận trách nhiệm gây ra các lỗi kỹ thuật nghiêm trọng trên trang web của Mastercard Cuộc tấn công đã đánh sập thành công website của Mastercard, Postfinance và Visa.

Vậy Tấn Công DoS là gì?

 Tấn công DoS là một kiểu tấn công làm cho hệ thống không thể sử dụng được, hoặc làm cho hệ thống đó

chậm đi đáng kể, bằng cách làm quá tải tài nguyên của

hệ thống

 Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người dùng bình thường

 Mặc dù tấn công DoS không có khả năng truy cập vào

dữ liệu thực của hệ thống nhưng có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp

 DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhất của hệ thống như Buffer, Bandwidth…

Mục đích của tấn công DoS

 Tiêu tốn tài nguyên hệ thống như băng thông,

dung lượng đĩa cứng hoặc thời gian xử lý.

 Phá vỡ các thông tin cấu hình như thông tin định tuyến.

 Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP.

 Phá vỡ các thành phần vật lý của mạng máy

tính.

 Làm tắc nghẽn thông tin liên lạc có chủ đích dẫn đến việc liên lạc không được thông suốt.

Cách nhận biết khi bị tấn công DoS

 Máy tính thực thi chậm khác thường (khi

mở file hay truy cập Internet).

 Không thể dùng một Website cụ thể.

 Không thể truy cập bất kỳ Website nào

 Bị chuyển sang các trang Web lạ khi truy cập mạng

 Tăng lượng thư rác nhận được.

 …

Một Số Dạng Tấn Công DoS

1 Smurf Attack (hay Ping of Death)

 Kiểu tấn công này lợi dụng tác động của mạng

khuếch đại Khi người dùng gửi Ping Request đến

một máy tính hoặc một hệ thống mạng, máy tính

hoặc hệ thống đó sẽ gửi lại Ping Reply

 Dựa vào điều này kẻ tấn công sẽ giả mạo địa chỉ IP

nguồn là nạn nhân và gửi các Packet đến mạng

khuếch đại, lúc đó mạng khuếch đại sẽ gửi các

Packet trả lời như thế cho nạn nhân (vì kẻ tấn công

đã giả mạo địa chỉ IP là nạn nhân)

 Kết quả là đích tấn công sẽ phải chịu nhận một đợt

Reply gói ICMP (Internet Control Message Protocol)

cực lớn và làm cho mạng bị rớt hoặc bị chậm lại

đáng kể và không có khả năng đáp ứng các dịch vụ

khác

1 Smurf Attack (hay Ping of Death)

2 SYN Flood attack

 Attacker gửi một lượng lớn các yêu cầu ảo TCP SYN tới máy chủ bị tấn công Để xử lý lượng

SYN này hệ thống cần tốn một lượng bộ nhớ để kết nối Khi có rất nhiều gói SYN ảo tới máy chủ,

nó sẽ chiếm hết các yêu cầu xử lý của máy chủ.

 Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện Request TCP SYN và lúc này máy chủ không còn khả năng đáp lại - kết nối

không được thực hiện.

2 SYN Flood attack

Hình ảnh về tấn công SYN Flood

2 SYN Flood attack

 Máy X và máy A sẽ giữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một quá trình TCP Three-

way handshake lần nữa để thực hiện phiên kết nối tiếp theo để trao đổi dữ liệu.

 Attacker đã lợi dụng kẽ hở này để thực hiện tấn công nhằm sử dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu cầu Three-way

handshake xuống rất nhỏ và không gửi lại gói

ACK, cứ bắn gói SYN ra liên tục trong một thời gian nhất định và không bao giờ trả lời lại gói

SYN - ACK từ máy bị tấn công.

3 Routing And DNS Attack

a Routing

Kẻ tấn công sẽ thay đổi tuyến đường hợp lệ trên

các định tuyến bằng cách giả mạo địa chỉ IP nguồn

Các nạn nhân sẽ có lưu lượng định tuyến qua mạng của kẻ tấn công hoặc các Black hole

b DNS

Kẻ tấn công có thể đổi một lối vào trên DNS của hệ thống nạn nhân rồi cho chỉ đến một Website của kẻ tấn công

Khi máy khách yêu cầu DNS phân tích địa chỉ bị

xâm nhập thành địa chỉ IP, lập tức DNS sẽ đổi thành địa chỉ IP mà kẻ tấn công đã cho chỉ đến đó

Kết quả là thay vì vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính kẻ tấn công tạo ra

4 Buffer Overflow Attack

 Buffer Overflow xảy ra tại bất kỳ thời điểm nào có

chương trình ghi lượng thông tin lớn hơn dung lượng

của bộ nhớ đệm

 Kẻ tấn công có thể ghi đè lên dữ liệu, điều khiển chạy và chiếm quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã nguy hiểm

 Internet Information Service (IIS 3.0, 4.0) và FTP Server

dễ bị tấn công trước tình trạng tràn bộ đệm thông qua một số lệnh đơn giản vốn cho phép làm ngưng hoạt

đông của Server Lệnh này chỉ khả dụng với người dùng

đã chứng thực, tuy nhiên người dùng FTP nặc danh sẽ

có quyền truy cập các lệnh này

5 Teardrop

Khi truyền đi các Packet, có khi phải chia các Packet ra thành nhiều phần nhỏ hơn

định vị trí của mảnh đó trong Packet được chuyển đi Khi đến hệ thống đích sẽ dựa vào các giá tri Offset này để ghép lại thành Packet hoàn chỉnh như ban đầu

một loạt gói Packets với giá trị Offset chồng chéo lên

nhau Hệ thống đích sẽ không thể nào tái hợp lại các

Packets này, nó không điều khiển được và có thể bị

Crash, Reboot nếu số lượng gói Packets với giá trị Offset chồng chéo lên nhau quá lớn

này

sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống.

 Thiết lập mật khẩu mạnh để bảo vệ các thiết bị mạng và các nguồn tài nguyên quan trọng khác

 Thiết lập các mức xác thực đối với các nguồn tin trên

mạng Đặc biệt là khi cập nhật các thông tin định tuyến giữa các Router

 Xây dựng hệ thống lọc thông tin trên Router, Firewall…

và hệ thống bảo vệ chống lại SYN flood

Một Số Giải Pháp Phòng Tránh

Tấn Công DoS

dừng các dịch vụ chưa có yêu cầu hoặc không sử dụng.

nhằm ngăn ngừa trường hợp người sử dụng muốn lợi dụng các tài nguyên trên Server để tấn công chính Server hoặc

mạng và Server khác.

hổng bảo mật và có biện pháp khắc phục kịp thời.

cách liên tục để phát hiện ngay những hành động bất bình thường.

1 Tools DoS – Jolt2

 Cho phép tấn công từ chối dịch vụ (DoS) lên các

hệ thống trên nền tảng Windows như Windows

2000, Windows 2003, Windows XP, Windows

Vista…

 Tool này khiến máy chủ bị tấn công có CPU luôn hoạt động ở mức độ 100% và không thể xử lý

các dịch vụ khác.

 Một số Router không phải trên nền tảng

Windows như Cisco và một số loại Router khác cũng có thể bị tools này tấn công.

1 Tools DoS – Jolt2

- Xuất hiện nhiều Popup ngay cả khi không kết nối

Internet Jolt2 có thể bí mật theo dõi thói quen duyệt

Web và thu thập thông tin cá nhân của người sử dụng

- Jolt2 có thể giành quyền kiểm soát toàn bộ hộp thư của nạn nhân để tạo và gửi Email với file đính kèm virus,

Email lừa đảo, thư rác, và các loại thư điện tử không

mong muốn cho người khác

2 Tools DoS – Nemesys

- Nemesys là một chương trình sinh ra những gói tin ngẫu nhiên có các thông tin do Attacker định trước như số lượng gói tin, thời gian trễ…

- Dựa vào chương trình này Attacker có thể cài và chạy các đoạn mã nguy hiểm vào máy tính không được bảo mật.

3 Tool DoS – Panther2

3 Tool DoS – Panther2

 Panther2 hoạt động dựa trên nền tảng UDP

(User Datagram Protocol - Giao thức Internet

cho dịch vụ truyền Datagram) được thiết kế

dành riêng cho các kết nối 28.8 – 56 Kbps.

 Panther2 có khả năng chiếm toàn bộ băng

thông mạng bằng nhiều phương pháp ví dụ như thực hiện quá trình Ping cực nhanh và gây ra

tấn công DoS

4 Tool DoS – Crazy Pinger

Công cụ này có khả năng gửi những gói ICPM lớn (Internet Control Message Protocol - Giao thức Internet báo cáo các lỗi phân phát các gói dữ liệu) tới một hệ thống mạng từ xa với dung lượng và số lượng gói tin do người sử dụng định trước

5 Tool DoS – Some Trouble

 Some Trouble là một chương trình gây nghẽn hệ thống mạng

 Đây là một chương trình rất đơn giản với ba tùy chọn

thành phần trong Options Menu:

+ Mail Bomb: Gửi lượng lớn Email tới máy nạn nhân

+ ICQ Bomb: Dịch vụ tìm kiếm mạng Chat dựa vào sóng

vô tuyến

+ Net Send Flood: Gây lụt Ping theo kiểu Ping of Death

5 Tool DoS – Some Trouble

6 Tools DoS – UDP Flooder

 UDP Flooder là một chương trình gửi các gói tin UDP (User Datagram Protocol - Giao thức

Internet cho dịch vụ truyền Datagram)

 Nó gửi ra ngoài những gói tin UDP tới một địa chỉ IP và Port cố định

 Gói tin có khả năng là một đoạn mã văn bản hay một số lượng dữ liệu được sinh ngẫu nhiên hay

từ một file.

 Được sử dụng để kiểm tra khả năng đáp ứng

của Server

6 Tools DoS – UDP Flooder

7 Tools DoS – FSMAX

7 Tools DoS – FSMAX

 Kiểm tra hiệu năng đáp ứng của máy chủ.

 Nó tạo ra một file sau đó chạy trên Server nhiều lần lặp đi lặp lại một lúc.

 Attacker sử dụng Tools này để tìm cách

tấn công làm tràn bộ nhớ đệm và tấn công DoS tới máy chủ.

Kết Luận

dễ sử dụng nên được dùng rộng rãi trên thế giới.

trong nhiều trường hợp, loại tấn công này tỏ ra không hiệu quả.

mà máy chủ có kết nối mạng với tốc độ

100Mbps, Attacker kết nối tới máy chủ tốc độ

3Mbps thì tấn công của Attacker không có ý

nghĩa gì.

Tài Liệu Tham Khảo

 DoS và DDoS Toàn Tập

http://www.scribd.com/doc/3321637/DoS-va-D DoS-toan-tp

 Denial Of Service Attack

http://

www.cert.org/tech_tips/denial_of_service.html

 Hacking Dos And DDos

http://m.vietzoom.net/khai-niem-cac-loai-dos-v a-ddos-phan-i-t5959.html