1  KHOA  o0o  :  Tên tiểu luận:   PGS. TSKH.    Nhóm 7        M13CQTE02-B - 11/2014 i      flood 1 1.1 Những biện pháp đối phó với SYN flood 3  5 2.1 Các thành phần của DNS 6 2.2 Truyền thông DNS 6 2.3 Giả mạo DNS 8 2.4 Những vụ tấn công DNS 8 2.5 Biện pháp phòng chống tấn công DNS 9 công SMURF 11 3.1 Các biện pháp đối phó Smurf 12 3.2 Những site Bị Tấn công 13  14 4.1 Mạng BOTNET 14 4.2 Mục đích sử dụng mạng Botnets 14 4.3 Các dạng của mạng BOT. 15 4.4 Các bước xây dựng mạng BotNet? Cách phân tích mạng Bot. 15 4.5 Tấn công DDoS 16 4.6 Phân loại tấn công DDoS 17 ii  Hình 1.1: SYN Connection 1 Hình 1.2 SYN flood DoS attack 2 Hình 1.3 SYN flood DoS result 3 Hình 1.4 Hệ thống phát hiện và chống xâm nhập IDS 4 Hình 2.1 Truy vấn và đáp trả DNS 6 Hình 2.2 Các gói truy vấn và đáp trả DNS 7 Hình 2.3 Truy vấn và đáp trả DNS bằng đệ quy 8 Hình 2.4 Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID 8 Hình 4.1 Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot. 16 Hình 4.2: Sơ đồ phân loại tấn công DDoS 17 Hình 4.3 Sơ đồ tấn công DDoS ở dạng Khuếch đại giao tiếp. 18 iii M  Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào có hệ thống mạng dù lớn hay nhỏ. Hiện nay, các hacker trong và ngoài nước luôn tìm cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ. Những thông tin nhạy cảm thường ảnh hưởng tới sống còn của công ty. Chính vì vậy, các nhà quản trị mạng luôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và cố gắng hoàn thiện hệ thống mình để bớt lỗ hổng. Tuy nhiên, một kiểu tấn công rất cổ điển là tấn công từ chối dịch vụ chưa bao giờ mất đi tính nguy hiểm đối với hệ thống mạng. Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục. DoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàn cuộc tấn công. Với yêu cầu cấp thiết như vậy, nhóm em chọn đề tài “Tìm hiểu về tấn công từ chối dịch vụ DoS” nhằm mục đích để hiểu được các kiểu tấn công và từ đó đưa ra cách phòng chống DoS. iv  NHÓM 7 STT Tên hc viên Ni dung tìm hiu 1 Nguyễn Tiến Quân Tấn công SYN flood 2 Nguyễn Thanh Ngọc, Bùi Việt Hà Tấn công DNS 3 Trịnh Quốc Thái Tấn công SMURF 4 Ngô Văn Thái, Phạm Ngọc Tuyên Tấn công DDoS Chương 1: Tấn công kiểu SYN flood Nhóm 7 – M13CQTE02-B Trang 1 1.  Lợi dụng cách thức hoạt động của kết nối TCP/IP, hacker bắt đầu quá trình thiết lập một kết nối TPC/IP tới mục tiêu muốn tấn công mà không gửi trả gói tin ACK, khiến cho mục tiêu luôn rơi vào trạng thái chờ (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) và liên tục gửi gói tin SYN ACK để thiết lập kết nối. Một cách khác là giả mạo địa chỉ IP nguồn của gói tin yêu cầu thiết lập kết nối SYN và cũng như trường hợp trên, máy tính đích cũng rơi vào trạng thái chờ vì các gói tin SYN ACK không thể đi đến đích do địa chỉ IP nguồn là không có thật. Kiểu tấn công SYN flood được các hacker áp dụng để tấn công một hệ thống mạng có băng thông lớn hơn hệ thống của hacker. Hình 1.1: SYN Connection Ở những hoàn cảnh thông thường thì một gói tin SYN được gửi từ một cổng cụ thể trên hệ thống A tới một cổng cụ thể đang ở trong trạng thái NGHE (LISTENING) trên hệ thống B. Ở điểm này thì kết nối tiềm năng này trên hệ thống B là một trạng thái SYN_RECV. Ở giai đoạn này thì hệ thống B sẽ cố gửi lại một gói tin SYN/ACK tới hệ thống A. Nếu mọi việc suôn sẻ thì hệ thống A sẽ gửi lại một gói tin ACK và kết nối sẽ chuyển sang một trạng thái được thiết lập (ESTABLISHED). Trong khi cơ chế này hầu như luôn hoạt động tốt thì kẻ tấn công có thể lợi dụng một số yếu điểm cố hữu trong hệ thống này để tạo ra một điều kiện DoS. Vấn đề ở chỗ hầu hết các hệ thống phân bổ một số lượng xác định các nguồn lực khi lập nên một kết nối tiềm năng hay một kết nối chưa được thiết lập đầy đủ. Trong khi hầu hết các hệ thống có thể duy trì được hàng trăm các kết nối đồng thời tới một cổng cụ thể (ví dụ như 80) thì có thể chỉ mất khoảng một tá các yêu cầu kết nối tiềm năng để làm yếu đi các nguồn lực được phân bổ để lập nên kết nối đó. Điều này chính xác là cơ chế mà kẻ tấn công SYN sẽ dùng đến để vô hiệu hóa một hệ thống. Chương 1: Tấn công kiểu SYN flood Nhóm 7 – M13CQTE02-B Trang 2 Hình 1.2 SYN flood DoS attack Khi một vụ tấn công lũ SYN được khởi đầu thì kẻ tấn công sẽ gửi đi một gói tin SYN từ hệ thống A đến hệ thống B. Tuy nhiên kẻ tấn công sẽ giả mạo địa chỉ nguồn của một hệ thống không tồn tại. Hệ thống B lúc này sẽ cố gửi một gói tin SYN/ACK tới địa chỉ bị giả mạo. Nếu hệ thống bị giả mạo có tồn tại thì thông thường nó sẽ phản hồi lại với một gói tin RST tới hệ thống B vì nó đã không khởi đầu quá trình kết nối. Tuy nhiên phải nhớ là kẻ tấn công chọn một hệ thống mà không thể tiếp cận tới được. Do vậy hệ thống B sẽ gửi một gói tin SYN/ACK và không bao giờ nhận một gói tin RST trở lại từ hệ thống A. Kết nối tiềm năng này hiện đang ở trạng thái SYN_RECV và được xếp thành một dãy chờ kết nối. Hệ thống này hiện có nhiệm vụ lập một kết nối và kết nối tiềm năng này sẽ chỉ được xếp bằng từ dãy chờ sau khi bộ phận định giờ thiết lập kết nối hết hạn. Bộ phận định giờ kết nối thay đổi theo hệ thống nhưng có thể chỉ mất 75 giây hoặc tới 23 phút đối với một số thực thi IP bị phá vỡ. Do dãy chờ kết nối thông thường rất nhỏ nên kẻ tấn công có thể chỉ phải gửi một vài gói tin SYN cứ 10 giây một để vô hiệu hóa hoàn toàn một cổng cụ thể. Hệ thống này bị tấn công sẽ không bao giờ có thể xóa được dãy chờ ùn đống trước khi nhận những yêu cầu SYN mới. Chương 1: Tấn công kiểu SYN flood Nhóm 7 – M13CQTE02-B Trang 3 Hình 1.3 SYN flood DoS result 1.1 Nh bi pháp i phó v SYN flood Để xác định được liêu bạn có bị tấn công hay không bạn có thể phát lệnh netstat nếu nó được hỗ trợ bởi hệ điều hành của bạn. Nếu bạn thấy nhiều kết nối trong một trạng thái SYN_RECV thì nó có thể cho biết là một vụ tấn công SYN đang được tiến hành. Tiếp đến là bốn cách cơ bản để tiếp cận những cuộc tấn công lũ SYN. Trong khi từng biện pháp có những ưu điểm và nhược điểm riêng thì chúng có thể được sử dụng nhằm giảm đi những hậu quả của một vụ tấn công SYN tập trung. Hãy ghi nhớ khó khăn trong lần theo dấu vết cuộc tấn công trở lại kẻ xâm nhập vì nguồn gói tin đã bị giả mạo. Tuy nhiên dostracker của MCI có thể trợ giúp trong nhiệm vụ này (nếu bạn có quyền truy nhập vào từng cầu dẫn hop trong đường dẫn). Tng Kích  Dãy ch  ni Trong khi mỗi ngăn xếp IP của nhà cung cấp hơi khác nhau một chút thì việc điều chỉnh kích cỡ của dãy chờ kết nối nhằm giúp cải thiện những tác động của một vụ tấn công lũ SYN là điều hoàn toàn có thể. Điều này là hữu ích song không phải là biện pháp tối ưu nhất, vì nó sử dụng các nguồn lực hệ thống bổ sung và có thể ảnh hưởng đến hoạt động. Gim Khng th gian ch Khi  lp  ni Việc giảm khoảng thời gian chết khi thiết lập kết nối cũng có thể giúp giảm Chương 1: Tấn công kiểu SYN flood Nhóm 7 – M13CQTE02-B Trang 4 những tác động của một vụ tấn công SYN mặc dù nó vẫn chưa phải là biện pháp tối ưu. Update pn  ca nhà cung cp m phát hi nhng nguy c tn công SYN flood Ở thời điểm này thì hầu hết các hệ điều hành hiện đại đã được triển khai các cơ chế dò và phòng tránh lũ SYN. Hãy xem CERT phần CA-96:21, "Những vụ tấn công Giả mạo IP và Gây lũ TCP SYN," và tìm danh sách các những cách giải quyết và sửa chữa tạm thời của hệ điều hành. Do những vụ tấn công SYN đã trở nên lấn lướt trên toàn Mạng nên những biện pháp khác cũng đã được phát triển nhằm đối phó với điều kiện DoS này. Ví dụ như những kerrnel Linux hiện đại 2.0.30 và sau đó là cài một tùy chọn có tên SYN cookie. Nếu như tùy chọn này được hiệu lực hóa thì kernel sẽ dò và ghi lại những vụ tấn công SYN có thể xảy ra. Sau đó nó sẽ sử dụng một giao thức thách thức mật mã có tên là SYN cookie nhằm cho phép những người sử dụng an toàn để tiếp tục kết nối Những hệ điều hành khác như Windows NT 4.0 SP2 và các phiên bản tiếp theo nhờ đến một cơ chế ghi ngược động. Khi dãy chờ kết nối xuống dưới ngưỡng đã định được cấu hình từ trước thì hệ thống sẽ tự động phân bổ các nguồn lực bổ sung. Do vậy mà dãy chờ kết nối không bao giờ bị quá tải. S ng IDS  g Một số sản phẩm IDS mạng có thể dò và tích cực phản hồi lại trước những vụ tấn công SYN. Một vụ tấn công SYN có thể bị dò bằng một trận lũ các gói tin SYN mà không có những phản hồi đi kèm. Một IDS có thể gửi các gói tin RST tới hệ thống bị tấn công tương ứng với yêu cầu SYN ban đầu. Hành động này có thể hỗ trợ cho hệ thống bị tấn công trong việc giải thoát dãy chờ kết nối. Hình 1.4 Hệ thống phát hiện và chống xâm nhập IDS Chương 2: Tấn công DNS Nhóm 7 – M13CQTE02-B Trang 5 2. DNS Tiêu chuẩn Domain Name System (DNS) - Giao thức Hệ thống tên miền là một tiêu chuẩn do Nhóm chuyên trách kỹ thuật Internet - Internet Engineering Task Force (IETF) phát hành. Vào năm 1983, hai nhà khoa học máy tính người Mỹ là Jonathan Bruce Postel (Jon Postel), từ Đại học California, thành phố Los Angeles và Paul Mockapetris từ Đại học California, thành phố Irvine đã phát minh ra và đã viết những đặc tả đầu tiên cho hệ thống tên miền. Tiếp đó, tháng 11/1983, những đặc tả kỹ thuật DNS ban đầu được công bố bởi IETF trong RFC 882 để mô tả các định nghĩa và ứng dụng và RFC 883 để mô tả những đặc tả kỹ thuật và cài đặt giao thức. Sau đó những đặc tả này đã được IETF thay thế lần lượt bởi RFC 1034 và RFC 1035 vào tháng 11/1987. Đi kèm với RFC 1034 và RFC 1035 là những RFC mô tả và định nghĩa giao thức DNS Ví dụ : RFC 920 ban hành tháng 10/1984 (Các yêu cầu tên miền – Các tên miền cấp cao gốc định sẵn); RFC 1591 ban hành tháng 03/1994 (Đại diện và Cấu trúc hệ thống tên miền); RFC 1912 ban hành tháng 02/1996 (Các lỗi cấu hình và quản lý DNS phổ biến); RFC 1995 ban hành tháng 08/1996 (Cơ chế chuyển vùng tăng trưởng trong DNS) Ngoài ra có một số RFC được đề xuất hỗ trợ cho DNS cũng được IETF xây dựng và phát hành như: Giới thiệu và yêu cầu an toàn cho DNS (RFC 4033 ban hành tháng 03/2005); Các bản ghi tài nguyên cho các mở rộng an toàn DNS (RFC 4034 ban hành tháng 03/2005); Giao thức sửa đổi cho các mở rộng an toàn DNS (RFC 4035 ban hành tháng 03/2005) Mục tiêu thiết kế chính của DNS là để tham chiếu đến các nguồn tài nguyên. Để tránh những vấn đề gây ra bởi việc mã hóa những ký tự đặc biệt, tên được yêu cầu không nên chứa định danh mạng, địa chỉ mạng, lộ trình hoặc thông tin tương tự liên quan đến tên. DNS là một hệ thống đặt tên phân tán có phân cấp cho các máy tính, dịch vụ hoặc bất kỳ tài nguyên nào kết nối với Internet hoặc mạng riêng. DNS liên kết đa dạng thông tin với tên miền được gán cho mỗi chủ thể tham gia. Một dịch vụ tên miền xử lý những truy vấn các tên miền thành các địa chỉ IP để xác định vị trí các thiết bị và các dịch vụ máy vi tính trên toàn cầu. Thuật ngữ "tên miền" được sử dụng trong mô tả DNS ở đây để tham chiếu đến một tên có cấu trúc, các tên được phân cách bằng dấu chấm, ví dụ "ISI.EDU“. Mục đích của tên miền là cung cấp một cơ chế để đặt tên cho các tài nguyên sử dụng trong các máy chủ, các mạng máy tính, tập các giao thức và các tổ chức quản lý khác nhau. Một “miền“ được xác định bởi một tên miền. Một miền A là miền con của miền B nếu miền A thuộc miền B. Ví dụ A.B.C.D là một miền con của B.C.D, C.D, D. DNS chủ yếu sử dụng giao thức UDP trên cổng số 53 để phục vụ các yêu cầu dịch vụ. Truy vấn DNS bao gồm một yêu cầu UDP duy nhất từ các máy khách, theo [...]... thấy rằng kẻ tấn công có thể tạo ra 14 Mbps đường giao thông để gửi tới mạng của nạn nhân Mạng của nạn nhân ít có cơ hội thoát khỏi vụ tấn công này bởi vụ tấn công này sẽ nhanh chóng tiêu thụ mọi dải thông sẵn có của liên kết T1 của mình Một biến thể của vụ tấn công này được gọi là tấn công Fraggle Một vụ tấn công Fraggle về cơ bản là một vụ tấn công Smurf có sử dụng UDP thay cho ICMP Kẻ tấn công có thể... Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS, và điều này càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trên internet thực hiện tấn công DoS và đó được gọi là tấn công DDoS ấn công DDoS không thể ngăn chặn hoàn toàn Nhóm 7 – M13CQTE02-B Trang 16 Chương 4: Tấn công bằng BOTNET Các dạng tấn công DDoS... Fraggle attack  Tấn công DDoS vào Yahoo.com năm 2000 Hình 4.2: Sơ đồ phân loại tấn công DDoS Tấn công Smurf khi sử dụng sẽ Ping đến địa chỉ Broadcast của một mạng nào đó mà địa chỉ nguồn chính là địa chỉ của máy cần tấn công, khi đó toàn bộ các gói Reply sẽ được chuyển tới địa chỉ IP của máy tính bị tấn công Nhóm 7 – M13CQTE02-B Trang 17 Chương 4: Tấn công bằng BOTNET Hình 4.3 Sơ đồ tấn công DDoS ở dạng... dựa vào các dịch vụ có sẵn trên các máy tính trong mạng botnet Các dịch vụ tấn công được điều khiển từ những "primary victim" trong khi các máy tính bị chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn công thường được gọi là "secondary victims" Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ IP trên Internet Nếu một địa chỉ IP tấn công một công ty, nó có... Điều khiển tấn công từ mạng BotNet: Kẻ tấn công điều khiển các máy trong mạng Agobot download những file exe về chạy trên máy Lấy toàn bộ thông tin liên quan và cần thiết trên hệ thống mà kẻ tấn công muốn Chạy những file khác trên hệ thống đáp ứng yêu cầu của kẻ tấn công Chạy những chương trình DDoS tấn công hệ thống khác Hình 4.1 Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot 4.5 ấn công DDoS Trên... và những phiên bản về sau Nhóm 7 – M13CQTE02-B Trang 10 Chương 3: Tấn công SMURF 3 Tấn công SMURF Tấn công Smurf là một trong những dạng tấn công DoS đáng sợ nhất do những hậu quả mở rộng của vụ tấn công Hậu quả mở rộng là kết quả của việc gửi đi một yêu cầu được định hướng về truyền ping tới một mạng các hệ thống sẽ phản hồi trước những yêu cầu như vậy Một yêu cầu được định hướng vềtruyền ping có thể... Internet tấn công Distributed Denial of Service là một dạng tấn công từ nhiều máy tính tới một đích, nó gây ra từ chối các yêu cầu hợp lệ của các user bình thường Bằng cách tạo ra những gói tin cực nhiều đến một đích cụ thể, nó có thể gây tình trạng tương tự như hệ thống bị shutdown ác đặc tính của tấn công DDoS Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, và thường dựa vào các dịch. .. mà kẻ tấn công đã tạo trước để đánh cắp các thông tin tài khoản ngân hàng trực tuyến từ người dùng Tấn công này có thể thực hiện khá dễ dàng và trong bài này chúng ta sẽ đi nghiên cứu cách làm việc của nó, cách nó thực hiện tấn công thế nào và cuối cùng là cách chống trả ra sao 2.5 iện pháp phòng chống tấn công DNS Việc phòng chống tấn công việc giả mạo DNS khó vì có khá ít các dấu hiệu tấn công Thông... 12 Chương 3: Tấn công SMURF ất cả ác biến thể N X: Nhằm phòng tránh cho các host không phản hồi trước vụ tấn công Fraggle hãy vô hiệu hóa echo và chargen ở/etc/inetd/conf bằng cách đặt một dấu “#” trước dịch vụ 3.2 Những site ị ấn công Trong khi việc hiểu cách phòng tránh không cho chỗ của bạn bị sử dụng như là một bộ phận mở rộng thì việc hiểu cần phải làm những gì site của bạn bị tấn công còn quan... phi bị định cấu hình thay vào đó) Nếu một kẻ tấn công gửi một gói tin ICMP đơn lẻ tới một mạng mởrộng có 100 hệ thống sẽ phản hồi trước một ping truyền thì kẻ tấn công đã nhân lên một cách có hiệu quả vụ tấn công DoS bằng một cường là 100 Chúng ta gọi tỉ lệ các gói tin được gửi đi tới những hệ thống phản hồi trước tỉ lệ mở rộng Do vậy kẻ tấn công có thể tìm được một mạng mở rộng bằng một tỉ lệ mở rộng . mình. Một biến thể của vụ tấn công này được gọi là tấn công Fraggle. Một vụ tấn công Fraggle về cơ bản là một vụ tấn công Smurf có sử dụng UDP thay cho ICMP. Kẻ tấn công có thể gửi đi các gói. phục. DoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàn cuộc tấn công. Với yêu cầu cấp thiết như vậy, nhóm em chọn đề tài Tìm hiểu về tấn công từ chối dịch vụ DoS . về sau . Chương 3: Tấn công SMURF Nhóm 7 – M13CQTE02-B Trang 11 3. T công SMURF Tấn công Smurf là một trong những dạng tấn công DoS đáng sợ nhất do những hậu quả mở rộng của vụ