Một cuộc tấn công từ chối dịch vụ (tấn công DoS Viết tắt của Denial of Service) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS Viết tắt của Distributed Denial of Service) là một nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính.
Trang 1TÌM HIỂU VỀ DoS-DDoS
ĐẠI HỌC QuỐC GIA TP HỒ CHÍ MINH
ĐH CÔNG NGHỆ THÔNG TIN
GVHD : Trần Duy
Trang 3I Tấn Công Từ Chối Dịch Vụ(DoS)
1. Giới Thiệu:
Lịch sử tấn công:
15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công DoS cực mạnh và làm gián đoạn websites trong vòng 2 giờ
15:09 giờ GMT ngày 27 tháng 3 năm 2003: toàn bộ phiên bản tiếng anh của website Al-Jazeera bị tấn công làm gián đoạn trong nhiều giờ
Trang 4I Tấn Công Từ Chối Dịch Vụ
Định nghĩa về tấn công DoS
Là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó
chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống
Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ
thống đó sụp đổ và không có khả năng phục vụ người dùng bình thường đó là tấn công Denial of Service
(DoS)
Trang 5I Tấn Công Từ Chối Dịch Vụ
Mục Đích Của Tấn Công DoS
Cố gắng chiếm băng thông mạng và làm hệ thống
mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ
Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
Cố gắng ngăn chặn các dịch vụ không cho người khác
có khả năng truy cập vào
Trang 6Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện, hệ thống làm mát và nhiều tài nguyên khác của doanh nghiệp
Phá hoại hoặc thay đổi các thông tin cấu hình
Trang 7phản ứng với các dữ liệu Out of Band như thế nào dẫn đến hệ thống sẽ bị crash.
Trang 8I Tấn Công Từ Chối Dịch Vụ
Gói tin TCP header được hacker sử dụng
Trang 10I Tấn Công Từ Chối Dịch Vụ
Mô hình tấn công Ping of Dead
Trang 11Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểu được, hệ thống cố gắng build lại gói tin
và điều đó chiếm một phần tài nguyên hệ thống, nếu quá trình đó liên tục xảy ra hệ thống không còn tài nguyên cho các ứng dụng khác, phục vụ các user khác
Trang 12I Tấn Công Từ Chối Dịch Vụ
Cơ chế tấn công Teardrop
Trang 13I Tấn Công Từ Chối Dịch Vụ
Buffer overflow Attack.
Buffer Overflow xảy ra tại bất kỳ thời điểm nào có
chương trình ghi lượng thông tin lớn hơn dung lượng của
bộ nhớ đệm trong bộ nhớ
Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và đánh cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã nguy hiểm
Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể sẽ xảy ra quá trình tràn bộ nhớ đệm
Trang 14I Tấn Công Từ Chối Dịch Vụ
SYN attack
Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công Để xử lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối.
Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy chủ Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện request TCP SYN và lúc này máy chủ không còn khả năng đáp lại – kết nối không được thực hiện
Trang 15I Tấn Công Từ Chối Dịch Vụ
Cơ chế của SYN attack
Trang 16I Tấn Công Từ Chối Dịch Vụ
Thật không may kẻ tấn công đã lợi dụng kẽ hở này để thực hiện hành vi tấn công nhằm sử dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu cầu Three-way handshake xuống rất nhỏ và không gửi lại gói ACK, cứ bắn gói SYN ra liên tục trong một thời gian nhất định và không bao giờ trả lời lại gói SYN&ACK từ máy bị tấn công.
Với nguyên tắc chỉ chấp nhận gói SYN từ một máy tới hệ thống sau mỗi 75 giây nếu địa chỉ IP nào
vi phạm sẽ chuyển vào Rule deny access sẽ ngăn cản tấn công này.
Trang 18I Tấn Công Từ Chối Dịch Vụ
Cơ chế của Smurf
Trang 19I Tấn Công Từ Chối Dịch Vụ
Land attack
Land Attack cũng gần giống như SYN Attack, nhưng thay vì dùng các đia chỉ ip không có thực,kẻ tấn công sẽ dùng chính địa chỉ ip của hệ thống nạn nhân Điều này sẽ tạo nên một vòng lặp vô tận giữa trong chính hệ thống nạn nhân đó, giữa một bên
cần nhận thông tin phản hồi còn một bên thì chẳng bao giờ gởi thông tin phản hồi đó đi cả
Trang 20I Tấn Công Từ Chối Dịch Vụ
Mô hình của Land attack
Trang 21I Tấn Công Từ Chối Dịch Vụ
UDP Flood
Kẻ tấn công gửi 1 số lượng lớn các gói tin UDP có kích thước lớn đến hệ thống mạng, khi hệ thống mạng bị tấn công UDP Flood sẽ bị quá tải và chiếm hết băng thông của đường truyền, vì thế nó gây ra những ảnh hưởng rất lớn đến đường truyền, tốc độ của mạng, gây khó khăn cho người dùng khi truy cập vào mạng này
Trang 22I Tấn Công Từ Chối Dịch Vụ
Mô hình tấn công bằng UDP Flood
Trang 24I Tấn Công Từ Chối Dịch Vụ
4 Triển khai tấn công từ chối dich vụ(DoS): Hping3
Mô hình:
Trang 25I Tấn Công Từ Chối Dịch Vụ
Tấn công bằng công cụ Hping3
Hping3 là công cụ đã được tích hợp sẵn trong Kali Linux Với công cụ Hping3, ta có thể thực hiện các kiểu tấn công như sau:
Ping of Dead
SYN Flood
Land Attack
Trang 26+ hping3: tên tool.
+ 192.168.1.2: địa chỉ của mục tiêu.
+ -1: chọn mode ICMP.
+ -d: chọn kích thước gói tin (65000).
+ -i: tốc độ (u1: rất nhanh).
+ -V,-n: output
Trang 27I Tấn Công Từ Chối Dịch Vụ
Trang 28SYN Flood
Với hình thức tấn công này, ta sẽ liên tục gửi tới nạn nhân các gói tin với cờ SYN được bật lên, đồng thời thay đổi địa chỉ nguồn của các gói tin (giả mạo địa chỉ nguồn) Ta thực hiện lệnh sau:
hping3 192.168.1.2 –a 1.2.3.4 -1 –S –i u1 –n –V
Trong đó:
+ -a: Địa chỉ giả mạo (1.2.3.4)
+ -S: bật cờ SYN
Trang 29I Tấn Công Từ Chối Dịch Vụ
Trang 30Land attack
Land Attack là kiểu tấn công giống với SYN
Attack, nhưng thay vì sử dụng địa chỉ IP giả, thì nó lấy luôn địa chỉ IP máy nạn nhân, từ đó tạo nên
một vòng lặp vô tận các gói tin được gửi và nhận
Ta thực hiện lệnh sau:
hping3 192.168.1.2 –a 192.168.1.2 -1 –S –i u1 –n –V
Trang 31I Tấn Công Từ Chối Dịch Vụ
Trang 321. Triển khai tấn công từ chối dịch vụ (DoS):
Slowloris – Apache HTTP Dos
Mô Hình :
Trang 33I Tấn Công Từ Chối Dịch Vụ
Tấn công bằng Slowloris
Đây là kĩ thuật tương tự như SYN flood (tạo nửa kết nối để làm cạn kiệt tài nguyên máy chủ) nhưng diễn ra ở lớp HTTP (lớp ứng dụng) Để tấn công, tin tặc gửi yêu cầu HTTP đến máy chủ,
nhưng không gửi toàn bộ yêu cầu, mà chỉ gửi một phần (và bổ sung nhỏ giọt, để khỏi bị ngắt kết nối) Với hàng trăm kết nối như vậy, tin tặc chỉ tốn rất ít tài nguyên, nhưng đủ để làm treo máy chủ, không thể tiếp nhận các kết nối từ người dùng hợp lệ
Trang 34I Tấn Công Từ Chối Dịch Vụ
Trang web trước khi bị tấn công :
Trang 35I Tấn Công Từ Chối Dịch Vụ
Thực hiện lệnh thi hành :
Tiến hành tấn công bằng lệnh:
./slowloris.pl –dns [ip web server muốn tấn công]
Trang web hackboom.c.la có địa chỉ ip là 91.121.119.173
Trang 36I Tấn Công Từ Chối Dịch Vụ
Quá trình tấn công diễn ra :
Trang 37I Tấn Công Từ Chối Dịch Vụ
Kết quả khi trang web bị tấn công:
Trang 38II Tấn Công DDoS
Trang 39Một cuộc tấn công từ chối dịch vụ (tấn công DoS - Viết tắt của
Denial of Service) hay tấn công từ chối dịch vụ phân tán (tấn công
DDoS - Viết tắt của Distributed Denial of Service) là sự cố gắng làm cho
tài nguyên của một máy tính không thể sử dụng được nhằm vào những
người dùng của nó Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống
lại Internet site hoặc service (dịch vụ Web) vận hành hiệu quả hoặc trong tất
cả, tạm thời hay một cách không xác định Thủ phạm tẩn công từ chối dịch
vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.
Trang 40II Tấn Công DDoS
Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc đáp ứng quá chậm Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân.
Tấn công từ chối dịch vụ là sự vi phạm chính sách sử dụng internet của IAB (Internet Architecture Board) và những người tấn công hiển nhiên vi phạm luật dân sự.
Trang 41II Tấn Công DDoS
Không thể truy cập bất kỳ website nào;
Tăng lượng thư rác nhận được
Trang 42II Tấn Công DDoS
Phá v các thành ph n v t lý c a m ng máy tính ỡ ầ ậ ủ ạ Làm t c ngh n thông tin liên l c có ch đích gi a các ng ắ ẽ ạ ủ ữ ườ i dùng và n n nhân d n đ n vi c liên l c gi a hai bên không đ ạ ẫ ế ệ ạ ữ ượ c thông su t ố
Trang 43II Tấn Công DDoS
Trang 44II Tấn Công DDoS
Cấu hình chi tiết:
WebServer
Trang 45II Tấn Công DDoS
+ Truy cập vào ổ C khởi tạo một trang htdocs và viết một đoạn mã Code html cho nó
Trang 46II Tấn Công DDoS
Chỉnh sữa lại mạng LAN truy vập vào internet
Trang 47II Tấn Công DDoS
Kiểm tra trên web gỏ : 192.168.1.1/web
Trang 48II Tấn Công DDoS
Máy hacker
Cài đặt Xampp đây là phần mền giả lập Webserver
Ta bật Apache và Mysql lên tương tự như máy WebServer
Trang 49II Tấn Công DDoS
Trên máy Hacker ta sữ dụng tool TsunamiOverHost để tiến hành DDoS
Ta sẽ copy panel bỏ vào như hình :
Trang 50II Tấn Công DDoS
Tiến hành sữa :
Trang 51II Tấn Công DDoS
Tiếp theo ta tạo cơ sở dữ liệu:
Trang 52II Tấn Công DDoS
Tiếp theo ta bật TsunamiOverHost
Trang 53II Tấn Công DDoS
Copy file server
Trang 54II Tấn Công DDoS
Máy Client
Máy client truy cập vào máy hacker
Dowload file server và dính mã độc
Trang 55II Tấn Công DDoS
Ta qua máy hacker kiểm tra
Ta tiến hành DDoS
Đã có 1 máy bị nhiễm mã độc
Trang 56II Tấn Công DDoS
Ta nhập IP WebServer 192.168.1.1 port 80 và chạy Qua máy Server kiểm tra :