BÁO CÁO BÀI TẬP LỚN MÔN MẠNG MÁY TÍNH Tìm hiểu về DoS và DDoS

- Thực chất của DoS là kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ… và làm mất khả năng xử lý các yêu cầu dịch vụ đến từ các client khác... Thực chất c

BÁO CÁO BÀI TẬP LỚN MÔN MẠNG MÁY TÍNH

Đề tài: Tìm hiểu về DoS và DDoS

GV hướng dẫn: Trần Vũ Hà

Nhóm thực hiện

: Nguyễn Thị Hồng Anh Hoàng Thị Hoa Nguyễn Thị Thu Hải Hoàng Thị Nga Nguyễn Thị Thu Quỳnh

I Giới thiệu chung về DoS

- DoS (Denial of Service) có thể mô tả như hành động ngăn cản những người dùng hợp pháp của một dịch vụ nào đó truy cập và sử dụng dịch vụ đó Nó bao gồm cả việc làm tràn ngập mạng, làm mất kết nối với dịch vụ…

mà mục đích cuối cùng là làm cho server không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các client

- DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí cả một hệ thống mạng rất lớn

- Thực chất của DoS là kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ…

và làm mất khả năng xử lý các yêu cầu dịch vụ đến từ các client khác

- Một kiểu DoS rõ ràng và phổ biến nhất là một

kẻ tấn công “làm lụt” mạng bằng thông tin Khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi một yêu cầu đến

máy chủ của trang này để xem Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó

- Kẻ tấn công có thể sử dụng thư rác để thực hiện các tấn công tương tự trên tài khoản email của bạn Bằng cách gửi nhiều email đến tài

khoản của bạn, kẻ tấn công có thể tiêu thụ hết phần nhận mail và ngăn chặn bạn nhận được các mail khác

Thực chất của tấn công bằng từ chối dịch vụ (Denial Of Services Attack) là hacker sẽ chiếm dụng một lựợng lớn tài nguyên trên server, tài nguyên có thể là băng thông, bộ nhớ, cpu, đĩa cứng, làm cho server không thể nào đáp ứng các yêu cầu khác từ các clients của những người dùng bình thường và có thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot.

1 Các phương pháp tấn công

a Thông qua kết nối

b Lợi dụng nguồn tài nguyên của chính

nạn nhân để tấn công

c Sử dụng băng thông

d Sử dụng các nguồn tài nguyên khác

a Thông qua kết nối

Tấn công kiểu SYN flood

• Lợi dụng cách thức hoạt động của kết nối TCP/IP, hacker bắt đầu quá trình thiết lập một kết nối TPC/IP tới mục tiêu muốn tấn công mà không gửi trả gói tin ACK, khiến cho mục tiêu luôn rơi vào trạng thái chờ (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) và liên tục gửi gói tin SYN ACK để thiết lập kết nối

• Một cách khác là giả mạo địa chỉ IP nguồn của gói tin yêu cầu thiết lập kết nối SYN và cũng như trường hợp trên, máy tính đích cũng rơi vào trạng thái chờ vì các gói tin SYN ACK không thể đi đến đích do địa chỉ IP nguồn

là không có thật

• Kiểu tấn công SYN flood được các hacker áp dụng để tấn công một hệ thống mạng có băng thông lớn hơn hệ thống của hacker

Kiểu tấn công SYN flood

b Lợi dụng nguồn tài nguyên của

chính nạn nhân để tấn công

• Kiểu tấn công Land Attack

Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng hacker sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn trong gói tin, đẩy mục tiêu vào một vòng lặp vô tận khi

cố gắng thiết lập kết nối với chính nó.

• Kiểu tấn công UDP flood

Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng

loopback của chính mục tiêu cần tấn công hoặc của một máy tính

trong cùng mạng Với mục tiêu sử dụng cổng UDP echo (port 7) để

thiết lập việc gửi và nhận các gói tin echo trên 2 máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback), khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng, và cản trở hoạt động chia sẻ tài nguyên mạng của các máy tính khác trong mạng.

c Sử dụng băng thông

Tấn công kiểu DDoS (Distributed Denial of Service)

• Đây là cách thức tấn công rất nguy hiểm Hacker xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều khiển từ xa, và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu

• Với DDoS, các hacker có thể huy động tới hàng trăm thậm chí hàng ngàn máy tính cùng tham gia tấn công cùng một thời điểm (tùy vào sự chuẩn bị trước đó của hacker) và có thể "ngốn" hết băng thông của mục tiêu trong nháy mắt

Kiểu tấn công DDoS

d Sử dụng các nguồn tài nguyên

khác

Kẻ tấn công lợi dụng các nguồn tài nguyên mà

nạn nhân cần sử dụng để tấn công Những kẻ tấn công có thể thay đổi dữ liệu và tự sao chép

dữ liệu mà nạn nhân cần lên nhiều lần, làm CPU

bị quá tải và các quá trình xử lý dữ liệu bị đình trệ

• Tấn công kiểu Smurf Attack

• Tấn công kiểu Tear Drop

• Phá hoại hoặc chỉnh sửa thông tin cấu hình

• Phá hoại hoặc chỉnh sửa phần cứng

Tấn công kiểu Smurf Attack

• Kiểu tấn công này cần một hệ thống rất quan

trọng, đó là mạng khuyếch đại Hacker dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói

tin ICMP echo cho toàn bộ mạng (broadcast)

• Các máy tính trong mạng sẽ đồng loạt gửi gói tin

ICMP reply cho máy tính mà hacker muốn tấn

công Kết quả là máy tính này sẽ không thể xử

lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy

Kiểu tấn công Smurf Attack

Tấn công kiểu Tear Drop

• Trong mạng chuyển mạch gói, dữ liệu được chia thành nhiều gói tin nhỏ, mỗi gói tin có một giá trị

offset riêng và có thể truyền đi theo nhiều con

đường khác nhau để tới đích Tại đích, nhờ vào

giá trị offset của từng gói tin mà dữ liệu lại được

kết hợp lại như ban đầu

• Lợi dụng điều này, hacker có thể tạo ra nhiều

gói tin có giá trị offset trùng lặp nhau gửi đến

mục tiêu muốn tấn công Kết quả là máy tính

đích không thể sắp xếp được những gói tin này

và dẫn tới bị treo máy vì bị "vắt kiệt" khả năng

xử lý

Phá hoại hoặc chỉnh sửa thông

tin cấu hình

• Lợi dụng việc cấu hình thiếu an toàn như việc không xác thực thông tin trong việc gửi/nhận

bản tin cập nhật (update) của router mà kẻ tấn

công sẽ thay đổi trực tiếp hoặc từ xa các thông tin quan trọng này, khiến cho những người dùng hợp pháp không thể sử dụng dịch vụ

• Ví dụ: hacker có thể xâm nhập vào DNS để thay đổi thông tin, dẫn đến quá trình biên dịch tên

miền (domain) sang địa chỉ IP của DNS bị sai

lệch Hậu quả là các yêu cầu của máy trạm

(Client) sẽ tới một tên miền khác (đã bị thay đổi) thay vì tên miền mong muốn

Phá hoại hoặc chỉnh sửa phần

cứng

• Lợi dụng quyền hạn của chính bản thân

kẻ tấn công đối với các thiết bị trong hệ

thống mạng để tiếp cận phá hoại các thiết

bị phần cứng như router, switch…

2

Các phương pháp phòng chống

Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc,

và công sức mà còn mất rất nhiều thời gian để khắc phục Vì vậy, hãy sử dụng các biện pháp sau để phòng chống DoS

• Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá mức Bởi khi một bộ phận gặp sự cố sẽ làm ảnh

hưởng tới toàn bộ hệ thống.

• Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị

mạng và các nguồn tài nguyên quan trọng khác.

• Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trên mạng Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định tuyến giữa các router.

• Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệ chống lại SYN flood.

• Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá

và dừng các dịch vụ chưa có yêu cầu hoặc không sử

dụng

• Xây dựng hệ thống định mức, giới hạn cho người sử

dụng, nhằm mục đích ngăn ngừa trường hợp người sử dụng ác ý muốn lợi dụng các tài nguyên trên server để tấn công chính server hoặc mạng và server khác

• Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các

lỗ hổng bảo mật và có biện pháp khắc phục kịp thời

• Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để phát hiện ngay những hành động bất bình thường

• Xây dựng và triển khai hệ thống dự phòng

II Giới thiệu về DDoS

• DDos đc gọi là Tấn công từ chối dịch vụ Mục đích của

nó là những mục tiêu sẽ ngừng cung cấp dịch vụ

• Nguyên tắc : Chiếm dụng một lượng lớn tài nguyên của

hệ thống cung cấp bằng nhiều cách gây nên quá tải và ngừng cung cấp dịch vụ

• Hacker sẽ chiếm dụng một lựợng lớn tài nguyên trên

server, tài nguyên có thể là băng thông, bộ nhớ, cpu, đĩa cứng, làm cho server không thể nào đáp ứng các yêu cầu khác từ các clients của những người dùng bình

thường và có thể nhanh chónh bị ngừng hoạt động,

crash hoặc reboot

DDos gần như không thể ngăn chặn

1

Kiến trúc tổng quan của DDoS

attack-network :

• Nhìn chung DDoS attack-network có hai

mô hình chính:

• + Mô hình Agent – Handler

• + Mô hình IRC – Based

a Mô hình Agent – Handler

Kiến trúc attack-network kiểu Agent –

Handler

Attacker Attacker

Handler Handler Handler Handler

Agent Agent Agent Agent Agent

Victim

b, Mô hình IRC – Based :

Attacker Attacker

Agent Agent Agent Agent Agent

Victim IRC NETWORK

2

Phân loại tấn công kiểu DDoS

• Dưới đây là sơ đồ chính phân loại các kiểu tấn công

Agent -Handler IRC - Based

Client – Handler Communication Secret/private channel Public channel

TCP UDP ICMP TCP UDP ICMP

Client – Handler Communication

a Những kiểu tấn công làm cạn kiệt băng

thông của mạng

+ Flood attack:

Trong phương pháp này, các Agent sẽ gửi một lượng lớn IP traffic làm hệ thống dịch vụ của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái hoạt động bão hòa Làm cho các User thực sự của hệ thống không sử dụng được dịch vụ.

Flood Attack được chia thành hai loại:

- UDP Flood Attack

- ICMP Flood Attack

+ Amplification Attack:

• Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ IP broadcast của các router nhằm khuyếch đại và hồi chuyển cuộc tấn công Chức năng này cho phép bên gửi chỉ định một địa chỉ IP broadcast cho toàn subnet bên nhận thay vì nhiều địa chỉ Router

sẽ có nhiệm vụ gửi đến tất cả địa chỉ IP trong subnet đó packet broadcast mà nó nhận được

• Attacker có thể gửi broadcast message trực tiếp hay thông qua một số Agent nhằm làm gia tăng cường độ của cuộc tấn công Nếu attacker trực tiếp gửi message, thì có thể lợi dụng các hệ thống bên trong broadcast network như một Agent

Amplification Attack được chia thành hai loại :

+ Smuft attack

+ Fraggle Attack

b, Những kiểu tấn công làm cạn kiệt tài

nguyên

: Protocol Exploit Attack:

- TCP SYS Attack: Transfer Control

Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phương thức bắt tay

giữa bên gởi và bên nhận trước khi truyền

dữ liệu

- PUSH = ACK Attack: Trong TCP

protocol, các packet được chứa trong

buffer, khi buffer đầy thì các packet này sẽ được chuyển đến nơi cần thiết

+ Malformed Packet Attack:

Là cách tấn công dùng các Agent để gởi các packet có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo.

Có hai loại Malformed Packet Attack:

- IP address attack: dùng packet có địa chỉ gởi

và nhận giống nhau làm cho hệ điều hành của nạn nhân không xử lý nổi và bị treo.

- IP packet options attack ngẫu nhiên hóa vùng OPTION trong IP packet và thiết lập tất cả các bit QoS lên 1, điều này làm cho hệ thống của nạn nhân phải tốn thời gian phân tích, nếu sử dụng số lượng lớn Agent có thể làm hệ thống nạn nhân hết khả năng xử lý.

c, Một số đặc tính của công cụ DdoS

attack :

• Cách thức cài đặt DDoS Agent

• Giao tiếp trên Attack-Network

• Các nền tảng hỗ trợ Agent

• Các chức năng của công cụ DDoS

3

Các giai đoạn tấn công DDoS

1.1 Giai đoạn chuẩn bị

- Chuẩn bị công cụ quan trọng của cuộc tấn công, công cụ này thông thường hoạt động theo

mô hình client-server Hacker có thể viết phần mềm này hay down load một cách dễ dàng.

- Kế tiếp, dùng các kỹ thuật hack khác để nắm trọn quyền một số host trên mạng tiến hành cài đặt các software cần thiết trên các host này, việc cấu hình và thử nghiệm toàn bộ attack-netword cũng sẽ được thực hiện trong giai đoạn này.

1.2 Giai đoạn xác định mục tiêu và thời

điểm:

- Sau khi xác định mục tiêu lấn cuối, hacker sẽ có hoạt động điều chỉnh attack- netword chuyển hướng tấn công về phía mục tiêu.

- Yếu tố thời điểm sẽ quyết định mức độ thiệt hại và tốc độ đáp ứng của mục tiêu đối với cuộc tấn công.

1.3 Phát động tấn công và xóa dấu vết:

- Đúng thời điểm đã định, hacker phát động tấn công từ máy của mình, lệnh tấn công này có thể đi qua nhiều cấp mói đến host thực sự tấn công

- Sau một khoảng thời gian tấn công thích hợp, hacker tiến hành xóa mọi dấu vết có thể truy ngược đến mình, việc này đòi hỏi trình độ khác cao và không tuyệt đối cần thiết.

4

Các giai đoạn chi tiết trong phòng chống

DDoS

:

1 Tối thiểu hóa số lượng Agent:

2 Tìm và vô hiệu hóa các Handler:

3 Phát hiện dấu hiệu của một cuộc tấn

công:

4 Làm suy giàm hay dừng cuộc tấn công:

5 Chuyển hướng của cuộc tấn công:

6 Giai đoạn sau tấn công:

5 , Một số công cụ DDoS :

Công cụ DDoS dạng Agent – Handler: Công cụ DDoS dạng IRC – Based:

6 , Những vấn đề có liên quan đến DDoS

DDoS là một kiểu tấn công rất đặc biệt, điểm cực kỳ hiểm ác của DDoS làm cho

nó khắc phục là “DDos đánh vào nhân tố yếu nhất của hệ thống thông tin – con người - mà lại là dùng người chống người”.

7 , Các yếu điểm :

• 1/ Thiếu trách nhiệm với cộng đồng:

• 2/ Sự im lặng:

• 3/ Tầm nhìn hạn hẹp:

III Sự khác nhau giữa DoS và

VD : nếu phát hiện dấu hiệu của DoS thì chỉ cần tìm và ngắt các hoạt động hoặc kết nối liên quan đến nguồn phát (chỉ 1), còn DDoS thì rất nhiều nguồn tấn công nên không làm như vậy được Một điểm quan trọng là nếu bị tấn công DDoS thì

"chết là cái chắc”

Tài liệu tham khảo :