Tìm hiểu một vài công cụ thực hiện tấn công dos

Phần 1: Lời mở đầuPhần 2: Nội dung chi tiếtChương 1: Tổng quan về an ninh mạng và tấn công DoSChương 2: Các dạng tấn công DoSChương 3: Một số công cụ thực hiện tấn công DoSChương 4: Demo: thực hiện tấn công từ chối dịch vụ trên công cụ Http attack DoS 3.6Phần 3: Kết luậnNhững vấn đề đạt được trong đề tàiHạn chế trong đề tài Tài liệu tham khảo

Nội dung đề cương

Phần 1: Lời mở đầu

Phần 2: Nội dung chi tiết

Chương 1: Tổng quan về an ninh mạng và tấn công DoS Chương 2: Các dạng tấn công DoS

Chương 3: Một số công cụ thực hiện tấn công DoS

Chương 4: Demo: thực hiện tấn công từ chối dịch vụ trên

công cụ Http attack DoS 3.6

Phần 3: Kết luận

Những vấn đề đạt được trong đề tài

Hạn chế trong đề tài

Tài liệu tham khảo

Phần 1: Lời mở đầu

Hiện nay công nghệ thông tin hầu như được áp dụng rộng rãi trên toan cầu, Việt Nam cũng đang dần chuyển minh từ từ tiếp xúc với công nghệ vì thấy được lợi ích to lớn trong việc áp dụng công nghệ thông tin vào các linh vực như kinh doanh, quản lý, mua sắm… nói chung là tất cả nhu cầu của con người Một

trong những dịch vụ công nghệ hàng đầu được sử dụng phổ biến nhất là dịch vụ web Với công nghệ web hiện tại có thể đáp ứng mọi nhu cầu của con người và hơn thế nữa Tuy nhiên khi nhu cầu con người tăng cao thì trên mạng sẽ bắt đầu có dòng tiền lưu chảy, các ngân hàng dựng các website thanh toan trực tuyến hay chuyển khoản thông qua giao diện web rất tiện lợi cho người dùng Nhưng chính sự nâng cấp này sẽ dẫn đến rất nhiều lỗ hổng trong việc bảo mật Điều đó giúp cho hacker thực hiện những hành vi trái phép như ăn cắp tài nguyên mạng hay viết những đoạn mã độc gắn liền với trang web khiến cho người truy cập bị mất tài nguyên và gặp những rắc rối vô cùng khó chịu Điển hình là tấn công từ chối dịch vụ DoS Để có thể hiểu

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA CÔNG NGHỆ THÔNG TIN

Báo cáo An Toàn Hệ Điều Hành

Tìm hiểu một vài công cụ thực hiện

tấn công DoS

Giảng viên hướng dẫn :

Sinh viên thực hiện:

Tô Thị Dung Thịnh Thị Khuyên Nguyễn Văn Thảo

Lớp: L04

Hà Nội 11-2016

HÀ NỘI 2016

rõ hơn về loại tấn công này nhóm em đã làm một bản báo cáo với đề tài “ Tìm hiểu một vài công cụ thực hiện tấn công DoS”

Phần 2: Nội dung chi tiết

Chương 1: Tổng quan về an ninh mạng và tấn công DoS

1.1/ Tổng quan về an ninh mạng

1.1.1/ An ninh mạng là gì?

• An ninh mạng là một trong những linh vực mà hiện nay thế giới công nghệ thông tin khá quan tâm Một khi Internet ra đời và phát triển, nhu cầu trao đổi thông tin

cần thiết Mục đích của việc kết nối mạng là làm cho mọi người có

thể sử dụng chung tài nguyên mạng từ những vị trí địa lý khác nhau Chính vì vậy mà các tài nguyên dễ dàng bị phân tán, hiển nhiên một điều là chúng ta dễ bị xâm phạm, gây mất mát dữ liệu cũng như thông tin có giá trị Kết nối càng rộng thì càng dễ bị tấn công, đó là một quy luật tất yếu từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện và như thế an ninh mạng ra đời.

Ví dụ : user A gửi một tập tin cho user B trong phạm vi là nước Việt Nam thì nó khác xa so với việc user A gửi tập tin cho user C ở Mỹ ở trường hợp đầu thì dữ liệu có thể mất mát với phạm vi nhỏ là trong nước nhưng trường hợp sau thì việc mất mát dữ liệu với phạm vi rất rộng là cả thế giới.

• Một lỗ hổng trên mạng đều là mối nguy hiểm tiềm tàng

Từ một lỗ hổng bảo mật nhỏ của hệ thống, nhưng nếu biết khai thác và lợi dụng kỹ thuật hack điêu luyện thì cũng có thể trở thành mối tai họa

• Theo thống kê của tổ chức IC3 thì số tội phạm Internet ngày căng gia tăng nhanh chông chỉ trong vòng 8 năm từ

2001 đến 2009 số lượng tội phạm đã tăng gấp 20 lần và

dự đoán trong tương lai con số này còn tăng lên nhiều

Hình 1.1: Thống kê tội phạm Internet của tổ chức IC3

1.1.2/ Lỗ hổng bảo mật

• Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống Các lỗ hổng cũng có thể xuất hiện ngay trong hệ tầng mạng hoặc nằm ngay trên các dịch vụ cung cấp như web, sendmail… ngoài ra các lỗ hổng còn tồn tại ngay trên chính các hệ điều hành như Win XP,

Windown7… hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như Office, các trinh duyệt…

• Các lỗ hổng bảo mật hệ thống được chia làm 3 loại:

- Lỗ hổng loại A: các lỗ hổng này cho phép người sử dụng

ở ngoai có thể truy nhập vào hệ thống bất hợp pháp Lỗ hổng này rất nguy hiểm, có thể phá hủy toàn bộ hệ thống

- Lỗ hổng loại B: các lỗ hổng này cho phép người sử dụng thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ mức độ nguy hiểm trung bình Những lỗ hổng này thường có trong các ứng dụng trên

hệ thống, có thể dẫn đến mất hoặc lộ thông tin dữ liệu

- Lỗ hổng loại C: các lỗ hổng này cho phép thực hiện các phương thức tấn công theo DOS Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc được quyền truy nhập bất hợp pháp

1.2/ Tổng quan về tấn công từ chối dịch vụ DoS

1.2.1/ Định nghĩa về tấn công DoS

• Tấn công DoS là một kiểu tấn công làm cho hệ thống không thể sử dụng được, hoặc làm cho hệ thống đó chậm

đi một cách đáng kể đối với người dùng bình thường, bằng cách làm quá tải tải nguyên hệ thống

• Nếu kẻ tấn công không có khả năng thâm nhập vào hệ thống, thì chúng sẽ cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ cho người dùng bình thường

• Mặc dù tấn công DoS không có khả năng truy nhập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp

1.2.2/ Mục đích của tấn công DoS

• Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập, khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường

• Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ

• Cố gắng ngăn chặn những người dùng cụ thể vào một dịch

vụ nào đó

• Cố gắng ngăn chặn các dịch vụ không cho người dùng khác có khả năng truy cập vào

• Khi tấn công DoS xảy ra, người dùng sẽ thấy truy cập vào dịch vụ đó bị:

- Disable Network: Tắt mạng

- Disable Organization: Tổ chức không hoạt động

- Financial Loss: Tài chính bị mất

1.2.3/ Các mục tiêu có nguy cơ tấn công DoS

Tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường được, vậy các tài nguyên chúng thường sử dụng để tấn công sẽ là:

• Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên

• Băng thông của hệ thống mạng, bộ nhớ, ổ đĩa, CPU hay cấu trúc dữ liệu đều là mục tiêu của tấn công của DoS

• Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hòa, hệ thống điện, hệ thống làm mát

và nhiều tài nguyên khác của doanh nghiệp

• Các thông tin cấu hình của hệ thống

• Tầng vật lý hoặc các thiết bị mạng như nguồn điện

Chương 2: Các dạng tấn công DoS

2.1/ Tấn công Smurf

2.1.1/ Cách thức tấn công

• Là thủ phạm sinh ra nhiều giao tiếp ICMP(ping) tới địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công

Ví dụ: khi ping tới một địa chỉ là quá trình hai chiều Khi máy A ping tới máy B máy B reply lại hoàn tất quá trình Khi C ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ reply lại C Nhưng nếu C thay địa chỉ nguồn, thay địa chỉ nguồn là máy D và

C ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn

bộ các máy tính trong mạng đó sẽ reply lại vào máy D chứ không phải C

• Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho mạng bị rớt hoặc bị chậm lại

không có khả năng đáp ứng các dịch vụ khác

• Quá trình này được khuếch đại khi có luồng ping reply từ một mạng được kết nối với nhau (mạng BOT)

Hình 2.1: Tấn công Smurf sử dụng gói ICMP làm ngập các giao tiếp khác

2.1.2/ Cách phòng chống

• Đối với cá nhân hay công ty phải biết config máy tính của

hệ thống để không biến thành magnj khuếch địa Khi bị tấn công thì các công ty hoặc cá nhân cần phải phối hợp với ISP nhằm giới hạn lưu lượng của ICMP

• Đối với các bộ định tuyến: Cisco: vô hiệu hóa bằng lệnh no

ip directed-broadcast

2.2/ Tấn công Ping of Death

2.2.1/ Cách thức tấn công

Hình 2.2: Minh họa kẻ tấn công

• Kẻ tấn công gửi những gói tin IP lớn hơn số lương bytes cho phép của tin IP là 65.536 bytes

• Quá trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở layerII

• Quá trình chi nhỏ có thể thực hiện với gói IP lớn hơn

65.536 bytes Nhưng hệ điều hành không thể nhận biết được độ lớn của gói tin này và sẽ bị khởi động lại, hay đơn giản là sẽ bị gián đoạn giao tiếp

• Để nhận biết kẻ tấn công gửi gói tin cho phép thì tương đối

dễ dàng

2.2.2/ Cách phòng chống

• Cập nhật những bản patch khi những công ty sản xuất về

hệ điều hành đưa ra nhắc nhở cho các lỗ hổng mới

• Cài đặt trên router hoặc firewall block để ngăn chặn một

số gói tin có kích thước lớn quá mức

2.3/ Teardrop

• Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ

• Kẻ tấn công sử dụng gói IP với các thông số rất khó hiểu

để chia ra các phần nhỏ (fragment)

• Nếu hệ điều hành nhận được các gói tin đã chia nhỏ và không hiểu được, hệ thống cố gắng build lại gói tin và điều

đó chiếm một phần tài nguyên hệ thống, nếu quá trình đó liên tục xảy ra hệ thống không còn tài nguyên cho các ứng dụng khác, phục vụ các user khác

2.4/ SYN Attack

• Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công Để xử lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối

• Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy chủ Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện Request TCP SYN và lúc này máy chủ không còn khả năng đáp lại – kết nối không được thực hiện

• Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP theo – three-way

• Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn các gói TCP SYN tới máy chủ bị tấn công, địa chỉ IP nguồn của gói tin đã bị thay đổi và đó chính là tấn công DoS

Hình 2.3: Mô hình SYN Attack

• Hình trên thể hiện các giao tiếp bình thường với máy chủ

và bên dưới thể hiện khi máy chủ bị tấn công gói SYN đến

sẽ rất nhiều trong khi đó khả năng trả lời của máy chủ lại

có hạn và khi đó máy chủ sẽ từ chối các truy cập hợp

pháp

• Quá trình TCP Three-way handshake được thực hiện: khi máy A muốn giao tiếp với máy B (1) máy A bắn ra một gói TCP SYN tới máy B – (2) máy B khi nhận được gói SYN từ A

sẽ gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B gói ACK và bắt đầu các giao tiếp dữ liệu

• Máy A và máy B sẽ dữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một quá trình TCP three-way handshake lần nữa

để thực hiện phiên kết nối tiếp theo để trao đổi dữ liệu

• Thật không may kẻ tấn công đã lợi dụng kẽ hở này để thực hiện hành vi tấn công nhằm sử dụng hết tài nguyên của

hệ thống bằng cách giảm thời gian yêu cầu three-way handshake xuống rất nhỏ và không gửi lại gói ACK, cứ bắn gói SYN ra liên tục trong một thời gian nhất định và không bao giờ trả lại gói SYN&ACK từ máy bị tấn công

• Với nguyên tắc chỉ chấp nhận gói SYN từ một máy tới hệ thống sau mỗi 75 giây nếu địa chỉ IP nào vi phạm sẽ

chuyển vào Rule deny access sẽ ngăn cản tấn công này 2.5/ Slow HTTP DoS

2.5.1/ Cách thức tấn công

• Đây là kĩ thuật tương tự như SYN flood nhưng diễn ra ở lớp HTTP Để tấn công, tin tặc gửi yêu cầu HTTP đến máy chủ, nhưng không gửi toàn bộ yêu cầu, mà chỉ gửi một phần Với hàng tram kết nối như vậy, tin tặc chỉ tốn rất ít tài nguyên, nhưng đủ để làm treo máy chủ, không thể tiếp nhận các kết nối từ người dùng hợp lệ

• Nó thực hiện các cuộc tấn công tại tầng ứng dụng và tấn công vào băng thông thấp làm quá tải bộ nhớ và CPU trên máy chủ

2.5.2/ Cách phòng chống

• Không dùng Apache nữa, nếu dùng thì chỉ cho nghe trên cổng 127.0.0.1 hoặc các IP cục bộ

• Giảm Timeout cho Apache

• Giới hạn số kết nối đến Apache cho mỗi IP Có thể dùng mod_qos chẳng hạn để làm việc này

• Giải quyết ở lớp dưới: cấu hình firewall để giới hạn số kết nối đến cổng 80 trên mỗi IP

Chương 3: Một số công cụ thực hiện tấn công DoS

3.1/ Một số công cụ

3.1.1/ Tools DoS – Jolt2

• Cho phép kẻ tấn công từ chối dịch DoS lên các hệ thống trên nền tảng Windows

• Nó là nguyên nhân khiến máy chủ bị tấn công có CPU luông hoạt động ở mức độ 100%, CPU không thể xử lý các dịch vụ khác

• Không phải trên nền tảng Windows như Cisco Router và một số loại Router khác cũng có thể bị lỗ hổng bảo mật này và bị tools này tấn công

Hình 3.1: Cách sử dụng công cụ Jolt trên hệ điều hành linux.

3.1.2/ Bubonic.c

• Bubonic.c là một tools DoS dựa vào các lỗ hổng bảo mật trên Windows 2000

• Nó hoạt động bằng các ngẫu nhiên gửi các gói tin TCP với các thiết lập ngẫu nhiên làm cho máy chủ tốn rất nhiều tài nguyên để xử lý vấn đề này, và từ đó sẽ xuất hiện những

lỗ hổng bảo mật

• Sử dụng bubonic.c bằng cách gõ câu lệnh: bubonic

12.23.23.2 10.0.0.1

Hình 3.2: Một victim sau khi bị tấn công bởi công cụ Bubonic.c

3.1.3/ Land and LaTierra

• Giả mạo địa chỉ IP được kết hợp với quá trình mở các kết nối giữa hai máy tính

• Cả hai địa chỉ IP, địa chỉ nguồn (source) và địa chỉ IP đích, được chỉnh sửa thành một địa chỉ của IP đích khi đó kết nối giữa máy A và máy B đang được thực hiện nếu có tấn công này xảy ra thì kết nối giữa hai máy A và B sẽ bị ngắt kết nối

• Kết quả này do địa chỉ IP nguồn và địa chỉ IP đích của gói tin giống nhau và gói tin không thể đi đến đích cần đến 3.1.4/ Targa

• Targa là một chương trình có thể sử dụng 8 dạng tấn công DoS khác nhau

• Nó được coi như một bộ hướng dẫn tích hợp toàn bộ các ảnh hưởng của DoS và thường là các phiên bản của

Rootkit

• Kẻ tấn công sử dụng một trong các phương thức tấn công

cụ thể tới một hệ thống bao giờ đạt được mục đích thì thôi

• Targa là một chương trình đầy sức mạnh và nó có khả năng tạo ra một sự nguy hiểm rất lớn cho hệ thống mạng của một công ty

3.1.5/ Nemessy

• Đây là một chương trình sinh ra những gói tin ngẫu nhiên như (protocol, port,etc,size,…)

• Dựa vào chương trình này kẻ tấn công có thể chạy các đoạn mã nguy hiểm vào máy tính không được bảo mật

Hình 3.3: Giao diện công cụ Nemesy

3.1.6/ Panther2

• Tấn công từ chối dịch vụ dựa trên nền tảng UDP Attack được thiết kế dành riêng cho kết nối 28.8 – 56 Kbps

• Nó có khả năng chiếm toàn bộ băng thông của kết nối này

• Nó có khả năng chiếm toàn bộ băng thông mạng bằng nhiều phương pháp ví như thực hiện quá trình Ping cực nhanh và có thể gây ra tấn công DoS

Hình 3.4: Giao diện công cụ DoS Panther

3.1.7/ Tool DoS: Crazy Pinger

Công cụ này có khả năng gửi những gói ICP lớn tới một hệ thống mạng từ xa

Hình 3.5: Giao diện chương trình Crazy Pinger

3.1.8/ UDP Flood

• UDP Flood là một chương trình gửi các gói tin UDP

• Nó gửi ra ngoài những gói tin UDP tới một địa chỉ IP và port không cố định

• Gói tin có khả năng là một đoạn mã văn bản hay một số lượng dữ liệu được sinh ngẫu nhiên hay từ một file

• Được sử dụng để kiểm tra khả năng đáp ứng của Server

Hình 3.6: Giao diện công cụ Flooder 2.00

3.1.9/ Some Trouble

• Some Trouble 1.0 là một chương trình gây nghẽn hệ thống mạng

• Some Trouble là một chương trình rất đơn giản với ba

thành phần:

- Mail Bomb (tự có khả năng Resole Name với địa chỉ mail có)

- ICQ Bomb

- Net Send Flood

Hình 3.7: Giao diện công cụ DoS SomeTrouble

3.1.10/ Http DoS tool 3.6

• Đây là một công cụ có cấu hình nâng cao, mô phỏng một cuộc tấn công từ chối dịch vụ

• Công cụ này tấn công dựa trên các giao thức Http vốn thiết kế đòi hỏi các yêu cầu phải hoàn toàn được nhận bởi máy chủ trước khi được thực thi