Phương thức tấn côngTấn công băng thông Làm tràn ngập mạng mục tiêu với những traffic không cần thiết Tấn công băng thông Làm tràn ngập mạng mục tiêu với những traffic không cần thiết
Trang 2Mục lục
Giới thiệu về DoS - DDoS 1
Phương thức tấn công 2
Cách phòng chống 4
Một vài ví dụ mẫu 55
3 Một số công cụ tấn công
Trang 3Tin Tức
Vào 8/12/2010, Anonymous tấn công đồng loạt trang web của hãng MasterCard, Visa để trả đũa cho việc chủ Wikileaks bị tạm giam ở Anh
Anonymous, lấy tên "chiến dịch trả đũa", nhận trách nhiệm gây ra các lỗi kỹ thuật nghiêm trọng trên trang web của MasterCard
Cuộc tấn công đã đánh sập thành công website của Mastercard, PostFinance và Visa
PostFinance, ngân hàng đã đóng băng tài khoản của Julian Assange, bị ngưng hoạt động hơn 16 giờ đồng hồ
Trang 4Giới thiệu về Dos - DDoS
Server làm việc “trời ơi" nào đó, mục đính là
không để Server có khả năng đáp ứng yêu cầu dịch vụ của các Client khác, như vậy gọi là "từ chối dịch vụ" của các Client khác Thường thì
kẻ tấn công là từ một máy
Trang 5Giới thiệu về Dos - DDoS
DDoS (Distribute Denial of Service)
DDoS là một dạng DoS nhưng kẻ tấn công sử dụng nhiều máy để thực hiện
Để khởi động một cuộc tấn công DDoS, kẻ tấn công sử dụng botnet và tấn công hệ thống mục tiêu
Đặc điểm chết người của DDoS: “Rất dễ thực hiện, hầu như không thể tránh, hậu quả rất nặng nề”
Trang 6Giới thiệu về Dos - DDoS
Thông thường thì hiệu suất mạng sẽ rất chậm
Không thể truy cập website
Tăng lượng thư rác nhanh chóng
Trang 7Giới thiệu về Dos - DDoS
Chiếm băng thông mạng, làm hệ thống mạng bị ngập (flood)
hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường
Ngắt kết nối giữa hai máy, ngăn chặn quá trình truy cập dịch
vụ
Chặn những người dùng cụ thể vào một dịch vụ nào đó.
Chặn các dịch vụ không cho người khác có khả năng truy cập vào
Khi người dùng truy cập gặp tình trạng:
• Độ trễ (delay) cao, chập chờn.
• Không kết nối được.
Trang 8Tấn công tràn ngập ở cấp độ
dịch vụ
Tấn công băng thông
Kỹ thuật tấn công
Tấn công tràn ngập ICMP
Trang 9Phương thức tấn công
Tấn công băng thông Làm tràn ngập mạng mục tiêu với những traffic
không cần thiết
Tấn công băng thông
Làm tràn ngập mạng mục tiêu với những traffic
không cần thiết
Amplification attack Điều khiển các agent hay client
tự gửi message đến một địa chỉ
IP broadcast, làm cho tất cả các máy trong subnet này gửi message đến hệ thống dịch vụ của mục tiêu Phương pháp này làm gia tăng traffic không cần thiết, làm suy giảm băng thông của mục tiêu.
Amplification attack
Điều khiển các agent hay client
tự gửi message đến một địa chỉ
IP broadcast, làm cho tất cả các máy trong subnet này gửi message đến hệ thống dịch vụ của mục tiêu Phương pháp này làm gia tăng traffic không cần thiết, làm suy giảm băng thông của mục tiêu.
Flood attack
Attacker sẽ làm ngập (flood)
sự kết nối của mạng bằng
một đường truyền mạnh hơn
bằng cách gữi những đòi hỏi
một đường truyền mạnh hơn
bằng cách gữi những đòi hỏi
Trang 10Phương thức tấn công
Tấn công tràn ngập ICMP – Smurf
- Là thủ phạm sinh ra cực nhiều giao tiếp
ICMP (ping) tới địa chỉ Broadcast của nhiều
mạng với địa chỉ nguồn là mục tiêu cần tấn
Tấn công tràn ngập ICMP – Smurf
- Là thủ phạm sinh ra cực nhiều giao tiếp
ICMP (ping) tới địa chỉ Broadcast của nhiều
mạng với địa chỉ nguồn là mục tiêu cần tấn
Chúng ta cần lưu ý : Khi ping tới một địa chỉ
là quá trình hai chiều – Khi máy A ping tới
máy B, máy B reply lại hoàn tất quá trình Khi
A ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ
Reply lại A Nhưng giờ A giả mạo địa chỉ
nguồn, thay địa chỉ nguồn là máy C và ping
tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ
reply lại vào máy C chứ không phải A và đó là tấn công Smurf
Chúng ta cần lưu ý : Khi ping tới một địa chỉ
là quá trình hai chiều – Khi máy A ping tới
máy B, máy B reply lại hoàn tất quá trình Khi
A ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ
Reply lại A Nhưng giờ A giả mạo địa chỉ
nguồn, thay địa chỉ nguồn là máy C và ping
tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ
reply lại vào máy C chứ không phải A và đó là tấn công Smurf
Trang 11
Phương thức tấn công
Tấn công tràn ngập ở cấp độ dịch vụ
Với mục đích làm mất dịch vụ của các mạng, kẻ tấn công phá hủy mã nguồn chương trình và file làm ảnh hưởng tới hệ thống máy tính Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:
• Tràn ngập ứng dụng web tới lưu lượng người sử
dụng hợp lệ.
• Ngắt dịch vụ cụ thể của hệ thống hoặc con người.
• Làm tắt nghẽn cơ sở dữ liệu của ứng dụng kết nối
bằng truy vấn thủ công nguy hiểm SQL.
Tấn công tràn ngập ở cấp độ dịch vụ
Với mục đích làm mất dịch vụ của các mạng, kẻ tấn công phá hủy mã nguồn chương trình và file làm ảnh hưởng tới hệ thống máy tính Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:
• Tràn ngập ứng dụng web tới lưu lượng người sử
dụng hợp lệ.
• Ngắt dịch vụ cụ thể của hệ thống hoặc con người.
• Làm tắt nghẽn cơ sở dữ liệu của ứng dụng kết nối
bằng truy vấn thủ công nguy hiểm SQL.
Trang 12Phương thức tấn công
Tấn công tràn ngập yêu cầu dịch vụ
Một kẻ tấn công hoặc nhóm zombie cố gắng làm cạn kiệt tài nguyên máy chủ bằng cách thiết lập
và phá hủy các kết nối TCP Nó bắt đầu gửi yêu cầu trên tất cả kết nối và nguồn gốc từ server kết nối tốc độ cao.
Tấn công tràn ngập yêu cầu dịch vụ
Một kẻ tấn công hoặc nhóm zombie cố gắng làm cạn kiệt tài nguyên máy chủ bằng cách thiết lập
và phá hủy các kết nối TCP Nó bắt đầu gửi yêu cầu trên tất cả kết nối và nguồn gốc từ server kết nối tốc độ cao.
Trang 13Phương thức tấn công
Tấn công tràn ngập SYN Attacker gởi một SYN packet đến nạn nhân với địa chỉ bên gởi là giả mạo, kết quả là nạn nhân gởi SYN/ACK REPLY đến một địa chỉ khác và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết thời gian nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ thống Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài nguyên.
Tấn công tràn ngập SYN
Attacker gởi một SYN packet đến nạn nhân với địa chỉ bên gởi là giả mạo, kết quả là nạn nhân gởi SYN/ACK REPLY đến một địa chỉ khác và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết thời gian nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ thống Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài nguyên
Trang 14Phương thức tấn công
Khái niệm Hoạt động Xây dựng – Khai thác
Mạng Botnet
Trang 15 Botnet là gì ?
- Một mạng máy tính ma
- Botmaster (kẻ làm chủ/nắm giữ bot) sẽ
kiểm soát mạng máy tính ma botnet
Botmaster có thể làm sập các trang web với
dữ liệu, bản sao và ăn cắp phần mềm
Botmaster cũng cho những kẻ xấu trên
Internet khác thuê đội quân máy tính ma của mình
Mạng botnet
Trang 16Mục đích của botnet
- Nó được sử dụng cho mục đích tấn công DDoS,
Sniff, Keylogging, Phishing v v
- Một mạng Botnet nhỏ có thể chỉ bao gồm 1000 máy tính nhưng bạn thử tưởng tượng mỗi máy tính này kết nối tới Internet tốc độ chỉ là 128Kbps thì mạng
Botnet này đã có khả năng tạo băng thông là
1000*128 ~ 100Mbps – một con số thể hiện băng
thông mà khó một nhà Hosting nào có thể share cho mỗi trang web của mình
Trang 17Mạng botnet
Phương thức hoạt động
Trang 18Mạng botnet
Khai thác và xây dựng
Cách thức 1 botnet được tạo và gửi spam
Trang 19lụt trang web mục tiêu
bằng cái gói tin TCP
hoặc UDP.
Là phần mềm tấn công tràn ngập HTTP nhằm kiểm thử trên windows Bao gồm: Xác nhận
URL, chuyển hướng HTTP, giám sát hiệu suất
Giúp chuyên gia CNTT thử nghiệm hiệu năng máy chủ web và đánh giá độ bảo mật.
Trang 20Một số công cụ mẫu
Công cụ LOIC
Công cụ DoSHTTP
Trang 21Cách phòng chống
Kỹ thuật phát hiện Đối phó chiến lược
DoS/DDoS
Đối phó chiến lược
DoS/DDoS Đối phó tấn công DoS/DDoS
Đối phó tấn công DoS/DDoS
Trang 23cơ bản để giảm nhẹ các cuộc tấn công DDoS, với một thiết kế tập
pháp chứ không phải là loại bỏ giao thông tấn công, xử
lý
cung cấp một cấp trên cách tiếp cận
cơ bản để giảm nhẹ các cuộc tấn công DDoS, với một thiết kế tập
pháp chứ không phải là loại bỏ giao thông tấn công, xử
lý
là một phần mềm tường lửa Anti- DDoS nhỏ nhưng
Intrusion Prevention System sẵn có giúp người dùng chống lại các
DDoS với độ chính xác và hiệu suất cao nhất
là một phần mềm tường lửa Anti- DDoS nhỏ nhưng
Intrusion Prevention System sẵn có giúp người dùng chống lại các
DDoS với độ chính xác và hiệu suất cao nhất
Trang 24Một số công cụ phòng chống
Công cụ NetFlow Analyzer
Trang 25Dnp Firewall
link và chôm thông tin
Trang 26Nguồn tham khảo
Trang 27Thank You !