VietNamNet bị tấn công DDoS lớn chưa từng có Trong vài ngày qua, báo VietNamNet đã phải hứng chịu một cuộc tấn công từchối dịch vụ phân tán DDoS ở quy mô lớn chưa từng có tại Việt Nam, x
Trang 1LỜI CẢM ƠN
Trang 2MỤC LỤC
LỜI CẢM ƠN i
MỤC LỤC ii
DANH MỤC VIẾT TẮT v
DANH MỤC HÌNH ẢNH vi
MỞ ĐẦU vii
CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1
1.1 TỔNG QUAN THÔNG TIN BẢO MẬT 1
1.1.1 Sự kiện bảo mật của năm 2011 1
1.1.1.1 VietNamNet bị tấn công DDoS lớn chưa từng có 1
1.1.1.2 "Hacktivism" nổi dậy 1
1.1.1.3 Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kỳ bị tấn công 2 1.1.2 Các cuộc tấn công DDoS nổi tiếng trong lịch sử 2
1.2 KHÁI NIỆM HACKING 3
1.2.1 Khái niệm Hacker 3
1.2.2 Các loại Hacker 3
1.2.2.1 Black Hat 3
1.2.2.2 White Hat 3
1.2.2.3 Gray Hat 3
1.2.2.4 Suicide Hat 4
1.3 CÁC GIAI ĐOẠN TẤN CÔNG 4
1.3.1 Thăm dò (Reconnaissace) 4
1.3.2 Quét hệ thống (Scanning) 4
1.3.3 Chiếm quyền điều khiển (Gainning access) 4
1.3.4 Duy trì điều khiển hệ thống (Maitaining access) 5
1.3.5 Xoá dấu vết (Clearning tracks) 5
1.4 CÁC KIỂU TẤN CÔNG 5
1.4.1 Operating System Attacks 5
1.4.2 Application level Attacks 5
1.4.3 Shrink Wrap Code Attacks 5
1.4.4 Misconfiguration Attacks 5
CHƯƠNG 2: TỪ CHỐI DỊCH VỤ 7
Trang 32.1 KHÁI NIỆM DOS 7
2.1.1 Tấn công từ chối dịch vụ 7
2.1.2 Tấn công từ chối dịch vụ phân tán 7
2.1.3 Dấu hiệu khi bị tấn công DoS 7
2.1.4 Các mục đích của tấn công DoS 7
2.1.5 Tội phạm mạng 8
2.1.6 Sơ đồ tổ chức của tổ chức tội phạm mạng 8
2.1.7 Internet Chat Query 8
2.1.8 Internet Relay Chat 9
2.2 KỸ THUẬT TẤN CÔNG DOS 9
2.2.1 Tấn công băng thông 9
2.2.2 Tấn công tràn ngập yêu cầu dịch vụ 10
2.2.3 Tấn công tràn ngập SYN 10
2.2.4 Tấn công tràn ngập ICMP 11
2.2.5 Tấn công điểm nối điểm 12
2.2.6 Tấn công cố định DoS 12
2.2.7 Tấn công tràn ngập ở cấp độ dịch vụ 12
2.3 MẠNG BOTNET 12
2.3.1 Khái niệm botnet 12
2.3.2 Hoạt động 13
2.3.3 Tổ chức 14
2.3.4 Xây dựng và khai thác 14
2.4 MỘT SỐ CÔNG CỤ TẤN CÔNG 15
2.4.1 LOIC 15
2.4.2 DoSHTTP 16
2.5 BIỆN PHÁP ĐỐI PHÓ 16
2.5.1 Kỹ thuật phát hiện 16
2.5.1.1 Hoạt động định hình 16
2.5.1.2 Phân tích wavelet 17
2.5.1.3 Phát hiện thay đổi điểm theo trình tự 17
2.5.2 Biện pháp đối phó chiến lược DoS/ DdoS 17
2.5.3 Biện pháp đối phó tấn công DoS/ DdoS 17
Trang 42.5.3.1 Bảo vệ thứ cấp victims 17
2.5.3.2 Phát hiện và vô hiệu hóa handers 18
2.5.3.3 Phát hiện tiềm năng tấn công 18
2.5.3.4 Làm lệch hướng tấn công 18
2.5.3.5 Làm dịu cuộc tấn công 18
2.5.3.6 Pháp lý 19
2.5.4 Kỹ thuật để phòng thủ chống lại botnet 19
2.5.5 Biện pháp đối phó DoS/ DdoS 20
2.5.6 Bảo vệ DoS/ DdoS 21
2.5.6.1 Mức độ ISP 21
2.5.6.2 Hệ thống bảo vệ IntelliGuard 21
2.6 CÔNG CỤ BẢO VỆ DOS/ DDOS 21
2.6.1.1 NetFlow Analyzer 21
2.6.1.2 Một số công cụ khác 22
2.7 KIỂM TRA THÂM NHẬP DOS/ DDOS 24
CHƯƠNG 3: MỘT SỐ VÍ DỤ ĐIỂN HÌNH 26
3.1 Tấn công tràn ngập ICMP 26
3.2 Tấn công tràn ngập TCP, UDP, HTTP 26
3.3 Dùng Bonesi giả lập botnet 27
TÀI LIỆU THAM KHẢO 30
NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN 31
Trang 5DANH MỤC VIẾT TẮT
DoS Denial of Service
SQL Structured Query Language - ngôn ngữ truy vấn mang tính
cấu trúcXSS Cross-site scripting
HĐH Hệ điều hành
DDoS Distribute Denial of Service
ICQ Internet Chat Query
IRC Internet Relay Chat
ICMP Internet control message protocol
PDoS Permanent Denial of Service
LOIC Low Orbit Ion Cannon
HTTP Hyper Text Transfer Protocol
WMN Wireless Mesh Network
CNTT Công Nghệ Thông Tin
Trang 6DANH MỤC HÌNH ẢNH
Hình 1-1 Các giai đoạn tấn công 4
Hình 2-1 Sơ đồ tổ chức tội phạm mạng 8
Hình 2-2 Tấn công tràn ngập SYN 11
Hình 2-3 Tấn công tràn ngập ICMP 11
Hình 2-4 Hoạt động botnet 13
Hình 2-5 Cách thức một botnet được tạo và gửi spam 14
Hình 2-6 Công cụ LOIC 15
Hình 2-7 Dùng LOIC tấn công DDoS 16
Hình 2-8 Công cụ DoSHTTP 16
Hình 2-9 Cấu hình kích hoạt ngắt TCP trên phần mềm IOS Cisco 21
Hình 2-10 Công cụ NetFlow Analyzer 22
Hình 2-11 Công cụ D-Guard Anti-DDoS Firewall 23
Hình 2-12 Công cụ FortGuard Firewall 24
Hình 3-1 Ping of death 26
Hình 3-2 Bắt wireshark khi bị tấn công tràn ngập ICMP 26
Hình 3-3 Tấn công bằng nhiểu kiểu với LOIC 27
Hình 3-4 Bắt gói tin trong khi tấn công dùng LOIC 27
Hình 3-5 Giả lập botnet tấn công udp 28
Hình 3-6 Gửi gói UDP tới Server từ nhiều địa chỉ khác nhau 28
Hình 3-7 Kết nối SYN tới Server từ địa chỉ khác nhau 29
Hình 3-8 Giả lập botnet tấn công tcp vào site 29
Trang 7MỞ ĐẦU
Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào
có hệ thống mạng dù lớn hay nhỏ Hiện nay, các hacker trong và ngoài nước luôn tìmcách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ Những thông tin nhạycảm thường ảnh hưởng tới sống còn của công ty Chính vì vậy, các nhà quản trị mạngluôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và cố gắng hoàn thiện hệ thốngmình để bớt lỗ hổng
Tuy nhiên, một kiểu tấn công rất cổ điển là tấn công từ chối dịch vụ chưa baogiờ mất đi tính nguy hiểm đối với hệ thống mạng Hậu quả mà DoS gây ra không chỉtiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục DoS
và DDoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàncuộc tấn công
Với yêu cầu cấp thiết như vậy, em chọn đề tài “Nghiên cứu và tìm hiểu an
ninh mạng” làm đồ án An Ninh Mạng Mục đích đưa ra khi làm đề tài là hiểu được
các kiểu tấn công và cách phòng chống DoS/ DDoS Đồ án được viết dựa trên slideCEH v7 và được chia làm 3 chương:
CHƯƠNG I: TỔNG QUAN AN NINH MẠNG
CHƯƠNG II: TẤN CÔNG TỪ CHỐI DỊCH VỤ
CHƯƠNG III: MỘT SỐ VÍ DỤ ĐIỂN HÌNH
Sinh viên thực hiện:
Lê Quang Hà
Trang 8CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG
1.1 TỔNG QUAN THÔNG TIN BẢO MẬT
1.1.1 Sự kiện bảo mật của năm 2011
1.1.1.1 VietNamNet bị tấn công DDoS lớn chưa từng có
Trong vài ngày qua, báo VietNamNet đã phải hứng chịu một cuộc tấn công từchối dịch vụ phân tán (DDoS) ở quy mô lớn chưa từng có tại Việt Nam, xuất phát từmột mạng lưới khổng lồ gồm hàng chục ngàn máy tính bị nhiễm vi rút
Bắt đầu từ cuối ngày 4/1/2011, lưu lượng truy cập vào trang chủ báoVietNamNet tại địa chỉ http://vietnamnet.vn tăng nhanh một cách bất thường, lên tớihàng trăm ngàn kết nối tại một thời điểm
Với lượng độc giả truy cập hàng ngày, số lượng kết nối tại một thời điểm chỉ ởmức dưới một trăm ngàn Nên việc tại một thời điểm có tới hàng trăm ngàn kết nốiliên tục (bao gồm cả của các độc giả thông thường) tới máy chủ web đã khiến băngthông đường truyền mạng bị quá tải Do vậy, độc giả truy cập vào báo VietNamNet sẽ
bị tắc nghẽn ngay từ đường truyền và báo lỗi không tìm thấy máy chủ, phải truy cậpvài lần mới mở được trang web
Trên thực tế, báo VietNamNet đã từng bị tấn công DDoS nhiều lần nhưng ởquy mô vài chục ngàn kết nối tại một thời điểm nên băng thông hệ thống và công suấtcác máy chủ vẫn có thể chịu đựng được Trong cuộc tấn công DDoS đang diễn ra, kẻthủ ác đã thể hiện khả năng rất chuyên nghiệp khi huy động một mạng lưới botnet vớilượng máy lên tới hàng chục ngàn máy tính
1.1.1.2 "Hacktivism" nổi dậy
Hacktivism là thuật ngữ diễn tả hành động tấn công, đột nhập vào một hệ thốngmáy tính nhằm mục đích chính trị Trên thế giới hiện nay, những nhóm hacker mang
"mác" hacktivism nổi tiếng có thể kể đến bao gồm Anonymous, LulzSec (đã gáckiếm), hay TeaMp0isoN Trong suốt năm 2011 qua, các nhóm hacktivism đã tiến hànhnhiều hoạt động khác nhau chống lại các cơ quan luật pháp, ngân hàng, chính phủ, cáccông ty bảo mật và những nhà cung cấp phần mềm như tấn công lỗ thủng an ninh các
hệ thống của Tổ chức Liên hiệp quốc (UN), cơ quan tình báo bảo mật Straffor, CIA…
Đáng lưu ý hơn nữa, trong số những sự việc này, như cuộc tấn công Straffor, đãtiết lộ những lỗ hổng về mặt an ninh như việc lưu trữ các số thẻ tín dụng dưới hình
Trang 9thức chưa được mã hóa, hay những mật khẩu vô cùng thiếu an toàn được các nhà quản
lý sử dụng
1.1.1.3 Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kỳ bị tấn công
Vào tháng 1-2011, những hacker thuộc Anonymous đã đột nhập máy chủ webcủa HBGary Federal – hbgaryfederal.com – thông qua việc sử dụng những đoạn mãSQL bất hợp pháp nhằm khai thác một lỗ hổng bảo mật tồn tại trong cơ sở dữ liệu củamột ứng dụng Sau đó trích xuất mã MD5 cho các mật khẩu thuộc sở hữucủa giám đốc điều hành (CEO), Aaron Barr, và COO, Ted Vera Cả hai đều dùng mậtkhẩu rất đơn giản: 6 kí tự thường và 2 con số
Những mật khẩu như thế này cho phép những kẻ tấn công tiếp cận vào nhữngtài liệu nghiên cứu của công ty và hàng chục ngàn email được lưu trữ trong GoogleApps Như vậy, việc sử dụng những mật khẩu thiếu an toàn cho hệ thống phần mềm cũcộng với việc sử dụng điện toán đám mây đã gây ra cơn ác mộng đối với an ninh bảomật
1.1.2 Các cuộc tấn công DDoS nổi tiếng trong lịch sử
- Năm 2000, một loạt website nổi tiếng như Yahoo, eBay, eTrade, Amazon vàCNN trở thành nạn nhân của DDoS
- Tháng 2/2001, máy chủ của Cục tài chính Ireland bị một số sinh viên Đại họcMaynooth ở nước này tấn công DDoS
- Ngày 15/8/2003, Microsoft chịu đợt tấn công DoS cực mạnh và làm gián đoạnwebsites trong vòng 2 giờ
- Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to Castle
Wolfenstein, Halo, Counter-Strike …bị nhóm RUS tấn công với hệ thống điều khiển
chủ yếu đặt tại Nga, Uzbekistan và Belarus
- Trong suốt các tuần đầu của cuộc chiến Nam Ossetia 2008, các trang web củachính phủ Georgia luôn trong tình trạng quá tải, gồm các trang web ngân hàng quốcgia và của tổng thống Georgia Mikhail Saakashvili Chính phủ Nga phủ nhận mọi sựcáo buộc cho rằng họ đứng đằng sau vụ tấn công
- Ngày 25/6/2009 khi Michael Jackson qua đời, lượng truy cập tìm kiếm các từkhóa có liên quan đến ca sĩ này quá lớn khiến Google News lầm tưởng đây là mộtcuộc tấn công tự động
Trang 10- Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đámnhư Facebook, Twitter, LiveJournal và một số website của Google được thực hiện chỉ
để "khóa miệng" một blogger có tên Cyxymu ở Georgia
- Ngày 28/11/2010, WikiLeaks bị tê liệt vì DDoS ngay khi họ chuẩn bị tung ranhững tài liệu mật của chính phủ Mỹ
- Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.comsau khi tổ chức những cuộc tấn công tương tự vào Mastercard và PayPal để trả đũa choviệc chủ WikiLeaks bị tạm giam ở Anh
- Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công
- Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt vìDDoS
1.2 KHÁI NIỆM HACKING
1.2.1 Khái niệm Hacker
Giỏi về lập trình và có kĩ năng trong hệ thống mạng
Nên làm quen dần với việc nghiên cứu các lổ hỏng, các lỗi bảo mật
Thành thạo,có hiểu biết về kĩ thuật xâm nhập
Tự đặt cho mình một nguyên tắc, phải thật nghiêm khắc
1.2.2 Các loại Hacker
1.2.2.1 Black Hat
Loại hacker này thường là một cá nhân có kiến thức, kĩ năng uyên thâm vềmáy tính, luôn có ý nghĩ đen tối, sắp xếp và lên kế hoạch tấn công bất cứ thứ gì tùymục đích Black Hat cũng có thể là một cracker
1.2.2.2 White Hat
Trắng ở đây có nghĩa là luôn làm việc trong sáng, minh bạch để chống lại cái
ác, cái đen tối Những người này cũng phải có kiến thức, kĩ năng uyên thâm như BlackHat, nhưng họ không dùng kiến thức đó để thực hiện những ý đồ đen tối là tấncông,xâm nhập… mà họ là những người đi tìm ra lổ hổng và vá lổ hổng đó lại và họluôn đặt phòng thủ lên hạng đầu Có thể coi những người này như những người phântích bảo mật
1.2.2.3 Gray Hat
Những người này có thể thực hiện ý đồ đen tối hôm nay nhưng ngày mai lạigiúp phòng thủ, bảo mật
Trang 111.2.2.4 Suicide Hat
Đây có thể coi như là loại hacker cảm tử vậy, có nghĩa là làm việc mà không sợ
gì, dù có bị giam 30 năm nhưng vẫn không lo lắng sợ gì
1.3 CÁC GIAI ĐOẠN TẤN CÔNG
Hình 1-1 Các giai đoạn tấn công
1.3.1 Thăm dò (Reconnaissace)
Thăm dò mục tiêu là một trong những bước qua trọng để biết những thông tintrên hệ thống mục tiêu Hacker sử dụng kỹ thuật này để khám phá hệ thống mục tiêuđang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ đang chạy trên các dịch vụ đó,cổng dịch vụ nào đang đóng và cổng nào đang mở, gồm hai loại:
Passive: Thu thập các thông tin chung như vị trí địa lý, điện thoại, emailcủa các cá nhân, người điều hành trong tổ chức
Active: Thu thập các thông tin về địa chỉ IP, domain, DNS,… của hệthống
1.3.2 Quét hệ thống (Scanning)
Quét thăm dò hệ thống là phương pháp quan trọng mà Attacker thường dùng đểtìm hiểu hệ thống và thu thập các thông tin như địa chỉ IP cụ thể, hệ điều hành hay cáckiến trúc hệ thống mạng Một vài phương pháp quét thông dụng như: quét cổng, quétmạng và quét các điểm yếu trên hệ thống
1.3.3 Chiếm quyền điều khiển (Gainning access)
Đến đây hacker đã bắt đầu dần dần xâm nhập được hệ thống và tấn công nó ,đãtruy cập được nó bằng các lệnh khai thác Các lệnh khai thác luôn ở bất cứ không giannào, từ mạng LAN cho tới INTERNET và đã lan rộng ra mạng không dây
Hacker có thể chiếm quyền điều khiển tại:
Mức hệ điều hành/ mức ứng dụng
Trang 12 Mức mạng.
Từ chối dịch vụ
1.3.4 Duy trì điều khiển hệ thống (Maitaining access)
Đến đây hacker bắt đầu phá hỏng làm hại, hoặc có thể cài trojan, rootkit,backdoor để lấy thông tin thêm Thường được thấy sử dụng để đánh cắp tài khoản tíndụng, ngân hàng
1.3.5 Xoá dấu vết (Clearning tracks)
Được đề cập đến hoạt động được thực hiện bằng cách hacker cố tình che dấuhành động xâm nhập của mình Hacker phải tìm cách xóa đi dấu vết mỗi khi đột nhậpbằng các phương thức như Steganography, tunneling, and altering log file
1.4 CÁC KIỂU TẤN CÔNG
1.4.1 Operating System Attacks
Tấn công vào hệ điều hành, hệ thống Thường thì việc mặc định cài đặt một hệthống có một số lượng lớn các dịch vụ cùng chạy và các cổng kết nối Điều này sẽ làm
kẻ tấn công có nhiều cơ hội tấn công hơn Tìm ra các bản vá lỗi dường như khó khăntrong một hệ thống mạng phức tạp như ngày nay Hacker luôn tìm kiếm các hệ điềuhành, nghiên cứu các lệnh khai thác lổ hỏng để truy cập, xâm nhập hệ thống
1.4.2 Application level Attacks
Tấn công dựa trên những phần mềm ứng dụng Những kiểu tấn công như: tấncông tràn bộ đệm, tấn công XSS, DoS, tấn công SQL injection,…
1.4.3 Shrink Wrap Code Attacks
Khi cài đặt một HĐH nào đó thì có một số lượng cực lớn các tập tin làm việc và
sẽ hoàn chỉnh một HĐH, khi đó việc quản trị HĐH đó là việc đơn giản Nhưng vấn đề
ở đây là bạn không điều khiển hay tùy biến, chỉnh sửa tập lệnh này Các tập tin độcnày sẽ đè lên các tập tin mặc định
1.4.4 Misconfiguration Attacks
Tấn công dựa vào các lỗi cấu hình hệ thống
Do hệ thống cấu hình không chính xác ít được bảo mật
Hệ thống phức tạp nên admin không có đủ hết kỹ năng để fix hết lỗi
Đa số admin chọn cấu hình default để dễ làm điều này dễ dẫn đến việchacker khai thác
Trang 13Do đó phải config hệ thống chính xác, bỏ những dịch vụ và các phần mềmkhông cần thiết
Trang 14CHƯƠNG 2: TỪ CHỐI DỊCH VỤ2.1 KHÁI NIỆM DOS
2.1.2 Tấn công từ chối dịch vụ phân tán
Tấn công từ chối dịch vụ phân tán hay DDoS bao gồm các thỏa hiệp của hệthống để tấn công mục tiêu duy nhất, là nguyên nhân người sử dụng bị từ chối dịch vụcủa hệ thống
Để khởi động một cuộc tấn công DDoS, một kẻ tấn công sử dụng botnet và tấncông một hệ thống duy nhất
2.1.3 Dấu hiệu khi bị tấn công DoS
Thông thường thì hiệu suất mạng sẽ rất chậm
Không thể sử dụng website
Không truy cập được bất kỳ website nào
Tăng lượng thư rác nhanh chóng
2.1.4 Các mục đích của tấn công DoS
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi
đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùngbình thường
- Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vàodịch vụ
- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
- Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cậpvào
- Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đónhư bị:
+ Tắt mạng
+ Tổ chức không hoạt động
Trang 15+ Tài chính bị mất.
2.1.5 Tội phạm mạng
Tội phạm mạng ngày càng được liên kết với các tập đoàn tội phạm có tổ chức
để tận dụng lợi thế của các kỹ thuật tinh vi của họ Những nhóm có tổ chức tội phạmmạng làm việc trênhệ thống thiết lập thứ bậc với một mô hình chia sẻ doanh thu, giốngnhư một tập đoàn lớn cung cấp các dịch vụ phạm tội
Nhóm tổ chức tạo ra và thuê botnet để cung cấp các dịch vụ khác nhau, từ việcviết phần mềm độc hại, tấn công các tài khoản ngân hàng, để tạo ra tấn công DoS lớnđối với bất kỳ mục tiêu với một mức giá
Theo Verizon 2010 dữ liệu báo cáo điều tra vi phạm, phần lớn các vi phạm đãđiều khiển bởi các nhóm có tổ chức và hầu như tất cả các dữ liệu bị đánh cắp (70%) làcông việc của bọn tội phạm tổ chức bên ngoài
Sự tham gia ngày càng tăng của tổ chức tội phạm chiến tranh mạng với động cơchính trị (hacktivism) là một vấn đề quan tâm cho các cơ quan an ninh quốc gia
2.1.6 Sơ đồ tổ chức của tổ chức tội phạm mạng
Hình 2-2 Sơ đồ tổ chức tội phạm mạng
2.1.7 Internet Chat Query
ICQ là chat client được dùng để chat với mọi người
Hoạt động:
Trang 16 Nó gán một số định danh phổ cập xác định người dùng duy nhất giữanhững người sử dụng ICQ.
Khi một người sử dụng ICQ kết nối với Internet, ICQ khởi động và cốgắng để kết nối với máy chủ Mirabilis (Mirabilis là công ty phát triểnICQ), là nơi cơ sở dữ liệu chứa thông tin của tất cả người dùng ICQ
Tại máy chủ Mirabilis, ICQ tìm kiếm yêu cầu số UIN bên trong cơ sở dữliệu của nó (một loại điện thoại của thư mục), và cập nhật thông tin
Bây giờ người dùng có thể liên hệ với người bạn của mình bởi vì ICQbiết địa chỉ IP
2.1.8 Internet Relay Chat
IRC là hệ thống để trò chuyện bao gồm thiết lập nguyên tắc, quy ước và phầnmềm client/server Nó cho phép chuyển hướng kết nối máy tính tới máy tính với mụcđích dễ dàng chia sẽ giữa clients
Một vài website (như là Talk City) hoặc mạng IRC (như là Undernet) cung cấpserver và hỗ trợ người sử dụng tải IRC clients tới PC của họ Sau khi người sử dụng tảiứng dụng client, họ bắt đầu chat nhóm (gọi là kênh) hoặc gia nhập một nhóm có trước
Kênh IRC đang được ưu chuộng là #hottub và #riskybus Giao thức IRC dùnggiao thức điều khiển truyền vận (có thể dùng IRC qua telnet client), thông thườngdùng port 6667
2.2 KỸ THUẬT TẤN CÔNG DOS
2.2.1 Tấn công băng thông
Tấn công băng thông nhằm làm tràn ngập mạng mục tiêu với những traffickhông cần thiết, với mục địch làm giảm tối thiểu khả năng của các traffic hợp lệ đếnđược hệ thống cung cấp dịch vụ của mục tiêu
Có hai loại BandWith Depletion Attack:
+ Flood attack: Điều khiển các Agent gởi một lượng lớn traffic đến hệ thốngdịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông
+ Amplification attack: Điều khiển các agent hay client tự gửi message đến mộtđịa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi message đến hệthống dịch vụ của mục tiêu Phương pháp này làm gia tăng traffic không cần thiết, làmsuy giảm băng thông của mục tiêu
Trang 172.2.2 Tấn công tràn ngập yêu cầu dịch vụ
Một kẻ tấn công hoặc nhóm zombie cố gắng làm cạn kiệt tài nguyên máy chủbằng cách thiết lập và phá hủy các kết nối TCP Nó bắt đầu gửi yêu cầu trên tất cả kếtnối và nguồn gốc từ server kết nối tốc độ cao
2.2.3 Tấn công tràn ngập SYN
Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụngphương thức bắt tay giữa bên gởi và bên nhận trước khi truyền dữ liệu Bước đầu tiên,bên gửi gởi một SYN REQUEST packet (Synchronize) Bên nhận nếu nhận được SYNREQUEST sẽ trả lời bằng SYN/ACK REPLY packet Bước cuối cùng, bên gửi sẽtruyền packet cuối cùng ACK và bắt đầu truyền dữ liệu
Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY nhưngkhông nhận được ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽresend lại SYN/ACK REPLY cho đến hết thời gian timeout Toàn bộ tài nguyên hệthống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị
“phong tỏa” cho đến hết thời gian timeout
Nắm được điểm yếu này, attacker gởi một SYN packet đến nạn nhân với địa chỉbên gởi là giả mạo, kết quả là nạn nhân gởi SYN/ACK REPLY đến một địa chỉ khác
và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết thời gian timeoutnạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ thống Tuynhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồn dập, hệ thốngcủa nạn nhân có thể bị hết tài nguyên
Trang 18Hình 2-3 Tấn công tràn ngập SYN
2.2.4 Tấn công tràn ngập ICMP
Kiểu tấn công ICMP là thủ phạm gửi số lượng lớn của gói tin giả mạo địa chỉnguồn tới server đích để phá hủy nó và gây ra ngừng đáp ứng yêu cầu TCP/IP
Sau khi đến ngưỡng ICMP đạt đến, các router từ chối yêu cầu phản hồi ICMP
từ tất cả địa chỉ trên cùng vùng an toàn cho phần còn lại
Hình 2-4 Tấn công tràn ngập ICMP
Trang 192.2.5 Tấn công điểm nối điểm
Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình điểmnối điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới websitegiả mạo của victim
Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kếtnối trực tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức
Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hạiwebsite
2.2.6 Tấn công cố định DoS
Tấn công cố định DoS hay PDoS còn được gọi như phlashing, là một cuộc tấncông gây tổn thương một hệ thống nhiều đến nổi nó đòi hỏi phải thay thế hoặc cài đặtlại phần cứng, Không giống như các cuộc tấn công DDoS, PDoS một cuộc tấn côngkhai thác lỗ hổng bảo mật cho phép quản trị từ xa trên các giao diện quản lý phần cứngcủa nạn nhân, chẳng hạn như router, máy in, hoặc phần cứng mạng khác
Tấn công thực hiện dùng phương pháp như "xây dựng hệ thống” Dùngphương pháp này, kẻ tấn công gửi cập nhập phần cứng lừa đảo tới victim
2.2.7 Tấn công tràn ngập ở cấp độ dịch vụ
Tấn công làm tràn ở cấp độ ứng dụng là kết quả mất dịch vụ của mạng đặc biệtnhư là: email, tài nguyên mạng, tạm thời ngừng ứng dụng và dịch vụ, Dùng kiểu tấncông này, kẻ tấn công phá hủy mã nguồn chương trình và file làm ảnh hưởng tới hệthống máy tính
Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:
Tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ
Ngắt dịch vụ cụ thể của hệ thống hoặc con người
Làm tắt nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủcông nguy hiểm SQL
2.3 MẠNG BOTNET
2.3.1 Khái niệm botnet
Botnet là từ chỉ một tập hợp các rô bôt phần mềm hoặc các con bot hoạt độngmột cách tự chủ Từ này còn được dùng để chỉ một mạng các máy tính sử dụng phầnmềm tính toán phân tán
