Module 10 Tấn Công Từ Chối Dịch Vụ (DoS) Những Nội Dung Chính Trong Chương Này Tấn Công DoS Là Gì ? Cơ Chế Hoạt Động Của DDoS SMURF Attack “SYN” Flooding Phòng Chống Tấn Công Từ Chối Dịch Vụ Tấn Công DoS Là Gì ? Một tìm cách thức xâm nhập vào hệ thống mục tiêu cách dò tìm khai thác lỗi hacker áp dụng phương pháp công từ chối dịch vụ hay gọi Denial of Service (DoS) DoS dạng công làm cho hệ thống máy chủ, trang web bị tê liệt đáp ứng lại yêu cầu người dùng Đây hình thức công đem lại hiệu cao cho hacker giải pháp sau nêu không tìm cách đột nhập vào mục tiêu DOS đánh vào chất tự nhiên trình truyền thông client server, có nhiều clicent truy cập server bị tải, buộc lòng phải từ chối yêu cầu truy cập khác Trong vai trò CEH bạn cần hiểu rõ DoS DDoS, thuật ngữ hay nhắc đến kì thi lấy chứng hacker mũ trắng Có nhiều tình công DoS nhắc đến phương tiện truyền thông gần đây, ví dụ BKAV bị công từ chối dịch vụ làm cho website truy cập vào ngày 6/2/2012 hay trang web Cục Tình báo Trung ương Mỹ bị hạ gục suốt đêm 10/2/2012 (giờ VN), hậu vụ công từ chối dịch vụ có chủ đích (DDoS) Một tài khoản Twitter tuyên bố nhóm hacker khét tiếng Anonymous gây vụ việc (theo tin từ VietnamNet) Sau số dạng công từ chối dịch vụ mà hacker thường sử dụng : - - Làm tràn ngập hệ thống mạng số lượng lớn liệu truyền, khiến cho giao dịch thông thường khác thực Ví dụ vào khoảng cuối năm 2012 đầu năm 2011 hệ thống mạng nhiều công ty tổ chức bị tê liệt khiến cho người dùng kết nối đến máy chủ hay truy cập internet nhiều máy tính bị lây nhiễm virus conflicker Vào thời gian có nhận nhiều yêu cầu hỗ trợ xử lý phát nguyên nhân trên, với giải pháp cài đặt ứng dụng Wiresharke để phân tích đường truyền nhận thấy ràng luồng liệu đề xuất phát từ máy bị nhiễm loạt virus có nhiều tên gọi khác conflicker hay kido Virus lây nhiễm vào hệ thống Windows thiếu cài đặt vá lỗi có tên Microsoft Security Bulletin MS08-067 Ngắt kết nối hai máy tính, ngăn không cho máy khách truy cập dịch vụ máy chủ Chặn host không cho truy cập dịch vụ Ngắt đáp ứng hệ thống hay người dùng Có nhiều loại công cụ công DoS khác loại sử dụng chế riêng để làm tràn ngập hệ thống kết cuối – làm cho hệ thống mục tiêu trở nên bận rộn hay bị tải mà đáp ứng yêu cầu người dùng, đáp ứng yêu cầu làm thiệt hại mặt kinh tế, uy tín cho đơn vị chủ quản trang web bị công (thường DoS hay nhắm vào trang web có chức kinh doanh trực tuyến, ứng dụng thương mại điện tử) Ví dụ vào kì đại hội thể thao diễn Euro, WorldCup nhà Bet365.Com, SportingBet … có nhiều khách hàng đăng kí tham gia dự đoán kết trận cầu nóng bỏng đen đến nguồn lợi khổng lồ Và hacker biết rõ điều này, họ thường hăm dọa nhà công DoS / DDoS làm tê liệt trang web ngăn không cho khách hàng truy cập, không muốn bị công phải đồng ý trả cho hacker khoản tiền lớn Hình thức tống tiền băng nhóm tội phạm mạng ưa chuộng đem đến hiệu cao Lưu ý : DoS dạng công hacker sử dụng máy tính để tiến hành, DDoS hay Distribute Denial of Services (tấn công từ chối dịch vụ phân tán) hacker tiến hành công DoS từ nhiều máy tính khác nhau, thông thường hệ thống mạng botnet Vậy hacker thường sử dụng công cụ đề công DoS, số ứng dụng điển hình : - - - - - - Ping of Death : Các công cụ công Ping of Death gởi nhiều gói tin IP với kích thước lớn đến mục tiêu làm cho máy phải nhiều thời gian tài nguyên hệ thống để xử lý, kết đáp ứng yêu cầu kết nối thông thường máy tính khác dẫn đến bị từ chối dịch vụ LAND Attack : Những công cụ có chức công LAND Attack gởi gói tin có địa IP trùng lắp với địa IP đích khiến cho việc xử lý yêu cầu dẫn đến tình trạng bị lặp lại (loop) tiếp nhận thêm yêu cầu truy cập khác WinNuke : Chương trình tìm kiếm máy tính mở port 139 để gởi gói tin IP rác đến mục tiêu Dạng công gọi Out of Bound (OOB) làm tràn ngập nhớ đệm giao thức IP CPU Hog : Công cụ làm tải nguồn tài nguyên CPU máy bị công Bubonic : Là công cụ DoS hoạt động cách gởi gói tin TCP với thiết lập ngẫu nhiên làm cho mục tiêu bị công bị tãi hay chí bị gãy đổ RPC Locator : Đây dịch vụ nhạy cảm không vá lỗi có khả bị công gây tràn đệm Dịch vụ hoạt động hệ thống Windows để phân phối cài đặt hay ứng dụng trẹn toàn hệ thống, dịch vụ dễ bị công gây tình trạng từ chối dịch vụ máy chủ Ngoài có công cụ SSPing hay Targa gởi gói tin với kích thược lớn đến mục tiêu làm tê liệt khả đáp ứng xử lý liệu này, điều có nghĩa nạn nhân tiếp nhận yêu cầu khác dẫn đến tình trạng “từ chối dịch vụ” Cơ Chế Hoạt Động Của DDoS Tuy nhiên, công mà bạn thường nghe phương triện truyền thông thường sử dụng công cụ khác Các công DDoS, hình thức sử dụng hệ thống mạng máy tính “ma” gọi botnet, máy trạm hệ thống gọi bot hay zombie hacker cài đặt trojan điều khiển từ xa thông qua kênh IRC hay liệu tập trung (có thể tập tin điều khiển đặt trang web Hình 10.1) Một ví dụ công hình thức hacker DanTruongX công vào trang web công ty VietCo phát chuyên gia BKAV trước Hình 10.1 - Tập tin điều khiển máy tính mạng botnet Thông thường DDoS gồm có thành phần : - Master hay Handler : Chương trình dùng để điều khiển Slave hay zombie, bot máy tính bị cài đặt hay lây nhiễm chương trình nguy hiểm bị điều khiển master / handler Victim : Những mục tiêu bị công từ chối dịch vụ Trong công DDoS gần hacker thường sử dụng công cụ Low Orbit Ion Cannon (LOIC) Hiện nay, nhóm hacker hàng đầu giới Anonymous phát triển ứng dụng có tác dụng mạnh mẽ có tên #RefRef để thay cho LOIC Vậy ứng dụng DDoS sử dụng chương trình nào, có lẽ Trojan SubSeven Trong tường thuật website mình, chuyên gia bảo mật tiếng Webmaster www.grc.com có kể lại lần vô tình gọi hacker trẻ tuổi script kiddi, thuật ngữ am kẽ biết sử dụng công cụ để khai thác mà hiểu biết chuyên sâu hacker nghĩa Điều làm hacker trẻ tuổi bị chạm tự với người bạn phát triển công cụ có tên gọi Sub Seven, sau cài đặt lây nhiễm số lượng lớn máy tính tạo thành hệ thống botnet mạnh mẽ Tiếp theo, với người bạn có nickname hellfire điều khiển hệ thống botnet qua kênh IRC khởi động công từ chối dịch vụ làm cho trang web grc.com bị tê liệt thời gian dài Sau cùng, webmaster GRC hacker lão luyện phải tự dò tìm thủ phạm gởi đến hacker trẻ tuổi lời xin lỗi cho nhận xét vô tình mình, đồng thời đưa cảnh cáo liên quan đến hình phạt luật pháp dành cho kẻ công) để yêu cầu ngừng tất công Hình 10.2 - Giao diện Low Orbit Ion Cannon Ngoài cách sử dụng botnet số công cụ hacker ứng dụng để tiến hành công DDoS Trinoo, ứng dụng gởi liệu sử dụng giao thức vận chuyển User Datagram Protocol (UDP) với địa gốc giả mạo hay sử dụng danh sách IP khác nhau, làm cho mục tiêu bị công phải vất vã trình đáp ứng lại địa giả mà thông tin giả ví lý UDP giao thức thiếu tin cậy chế kiểm tra đầy đủ cho tính hợp lệ IP nguồn Trinoo hoạt động Linux, Windows có phiên tương tự gọi WinTrinoo hay biên thể khác Sharf Bên cạnh Trinoo có Tribal Flood Netowrk (TFN) có khả làm suy yếu tài nguyên băng thông hệ thống mục tiêu thông qua việc gởi số lượng lớn gói tin UDP ICMP Nhưng việc gởi nhiều liệu theo cách dễ bị nhận dạng TFN nâng cấp lên phiên TFN2 khó bị phát Hình 10.3 – Các công cụ DoS khác DoSHTTP, Sput, PHP DOS … SMURF Attack Đây hình thức công lạc hậu vô hiệu hệ thống Dạng công Smurf gởi số lượng lớn yêu cầu ICMP ECHO Request (Ping) đến nhiều mục tiêu theo dạng broadcast với địa nguồn giả mạo, điều làm phát sinh số lượng lớn đáp ứng máy tính nhận yêu cầu máy công dẫn đến băng thông bị chiếm dụng hệ thống mạng máy tính có khả tê liệt “SYN” Flooding Không UDP giao thức vận chuyển thiếu tin cậy, TCP giao thức tin cậy truyền thông với quy trình bắt tay ba bước Three-way handshake chặt chẽ Khi máy tính cần kết nối gởi tín hiệu yêu cầu đồng hóa cờ SYN Nhưng có nhiều yêu cầu đồng tạo hacker thông qua công cụ công máy nhận bị tải với việc đáp ứng tiếp nhận thêm yêu cầu kết nối hợp lệ khác Đây dạng công SYN Flooding Phòng Chống Tấn Công Từ Chối Dịch Vụ Như Thế Nào ? Có nhiều cách thức để nhận biết phòng chống bị công từ chối dịch vụ khác Trước tiên cần vá lổ hỗng bảo mật dịch vụ hay ứng dụng chạy máy chủ để tránh bị hacker lợi dụng công từ chối dịch vụ RPC Locator service Sau số giải pháp cần quan tâm : - Network-ingress filtering : Tất hệ thống hay thiết bị cung cấp kết nối truy cập mạng cần thực chế lọc Network-infgress filtering nhằm loại bỏ luồn liệu xuất phát từ địa giả mạo, có nguồn gốc không rõ ràng Điều không ngăn ngừa công giúp chặn đứng chúng truy tìm có hành động trái phép diễn Các thiết bị dạng Cisco IPS Source IP Reputation Filtering, Black Hole Filtering … - Rate-limiting network system : Nhiều định tuyến có khả hạn chế kiểm soát băng thông giao thức khác nhau, kỹ thuật gọi trafic shapping - Instruction Detect System : Triển khai hệ thống dò tìm xâm phạm trái phép để phát kịp thời luồng truyền thông nguy hiểm, công hay virus / worm lan truyền mạng Một ứng dụng IDS nguồn mở sử dụng phổ biến Snort (www.snort.org) - Sử dụng công cụ Host-auditing : Một số chương trình có khả quét tập tin hệ thống để tìm công cụ công DDoS hay chương trình botnet nguy hiểm - Sử dụng công cụ Network-auditing : Chạy chương trình quét mạng để phát agent (các thành viên mạng botnet) loại bỏ chúng - Sử dụng chương trình dò tìm công cụ DoS : Thường xuyên quét tìm công cụ DoS hệ thống với chương trình thích hợp Find_ddos, SARA, Zombi Zapper để phát xử lý kịp thời mầm mống gây nên cố từ chối dịch vụ - Tắt dịch vụ không cần thiết : Đóng cổng hay tắt dịch vụ không cần thiết hay hạn chế dụng chức get, strcpy … - Cấu hình firewall để chặn tất tín hiệu ICMP từ bên - Thường xuyên cập nhật hệ thống : Cập nhật vá lỗi cho hệ thống ứng dụng liên quan - Sử dụng hệ thống bảo vệ DDoS chuyên dụng IntelliGuard DDoS Protection System (DPS) hay chương trình phòng chống DDoS Hình 10.4 Hình 10.4 - Một số công cụ phòng chống DoS/DDoS Tổng Kết Chương trình bày dạng công nguy hiểm hàng đầu DoS DDoS công cụ điển hình mà bạn cần ghi nhớ Cần phân biệt khác công từ chối dịch vụ thông thường công từ chối dịch vụ theo mô hình phân tán, lưu ý công cụ biên pháp dò tìm, phòng chống bị công DoS / DDoS Thường xuyên kiểm tra lổ hỗng bảo mật cập nhật vá lỗi kịp thời Trong chương tìm hiểu Session Hijacking