Bài tập lớn báo cáo thực tập tốt nghiệp trường Đại Học Công Nghiệp Hà Nội ( HaUI ), Nghiên cứu tấn công từ chối dịch vụ (DDOS) các phương pháp tấn công và phòng tấn công bản full chuẩn nhất đã được thầy giáo hướng dẫn chi tiết.
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP Đề tài: Nghiên cứu công từ chối dịch vụ (DDOS) phương pháp công phòng công Giáo Viên Hướng Dẫn: Th.s Nguyễn Tuấn Tú Sinh Viên Thực Tập Lớp: CNTT1-K16 Hà Nội, 2017 Mục lục Chương 1: Tổng quan DDos 1.1: DDos gì: DDoS (Distributed Denial of Service Attack) nhiều máy tính nhiều hệ thống máy tính yêu cầu tài nguyên máy đích làm cho máy đích không đủ tài nguyên để phục vụ, hậu treo (mất khả phục vụ) khởi động lại Hacker thường công từ chối dịch vụ thường nhắm vào trang tin tức mạng hay máy chủ ngân hàng, cổng toán thẻ tín dụng v.v Hình 1.1: Cách thức DDos hoạt động Cách thực hiện: Hacker lợi dụng máy chủ Free Proxy thể giới sử dụng BOTNET để điều khiển công, viết tools upload lên diễn đàn để tools tự động gửi yêu cầu tới máy chủ cần công Hệ thống chống DDOS Đối với Cloud Server Cloud Desktop cấu hình trực tiếp windows cài soft chống DDOS lên Đối với Cloud Datacenter có hệ thống chống DDOS vật lý VMware Chạy HA (High Availability): dự phòng, server gặp vấn đề, server khác active, người dùng không nhận thấy gián đoạn dịch vụ 1.2: Phân loại công DDos Tấn công vào băng thông mạng Trong phương pháp kẻ công điều khiển mạng lưới Agent đồng loạt gửi gói tin ICMP hay UDP đến nạn nhân làm cho băng thông mạng nạn nhân bị tải phục vụ Ví dụ trường hợp ICMP flood, nạn nhân phải gửi trả lại gói tin ICMP_REPLY tương ứng Do số lượng Agent gửi đến nạn nhân lớn nên việc gửi lại gói ICMP_REPLY dẫn đến nghẽn mạng Trong trường hợp UDP flood tương tự Phương pháp công đặc biệt nguy hiểm băng thông mạng nạn nhân bị tải mà ảnh hưởng đến mạng lân cận Hiện nay, với phát triển công cụDdos, hầu hết hỗ trợ giả mạo địa IP Tấn công vào giao thức Điển hình phương pháp công TCP SYN flood Kẻ công lợi dụng trình bắt tay bước giao thức TCP Kẻ công liên tục khởi tạo kết nối TCP Nạn nhân tiến hành gửi lại trả lời với SYN ACK để chờ ACK từ phía máy khách Tuy nhiên, kẻ công không gửi ACK đến nạn nhân hay nói cách khác không làm trình bắt tay bước Cứ vậy, nạn nhân tốn nhiều tài nguyên nhớ để chờ phiên TCP Do nạn nhân phục vụ tốn nhớ đề chờ kết nối ảo kẻ công khởi tạo Tấn công gói tin khác thường Trong phương pháp này, kẻ công dựa vào điểm yếu giao thức mạng Ví dụ công Ping of Death Kẻ công gửi số gói tin ICMP có kích thước lớn kích thước giới hạn Gói tin bị chia nhỏ, nạn nhân ghép lại nhận thấy gói tin lớn để xử lý Kết hệ thống xử lý tình trạng bất thường bị treo Một trường hợp khác công Lan Attack Kẻ công gửi gói tin TCP SYN có địa nguồn, địa đích số cổng giống Nạn nhân liên tục khởi tạo kết nối với Do hệ thống bị treo bị chậm lại Tấn công qua phần mềm trung gian Trong phương pháp công này, kẻ công sử dụng phần mềm hợp lệ máy nạn nhân Khai thác số thuật toán tiến hành đưa tham số trường hợp xấu Do vậy, máynạn nhân phải xử lý trình bị treo Đây phương pháp công đơn giản lại có hiệu cao Nhưng nguy hiểm kẻ công đột nhập vào máy nạn nhân để ăn cắp thông tin cá nhân nạn nhân Một số công cụ công dùng Proxy Trinoo • Trinoo cho phép kẻ công kiểm soát số máy để yêu cầu gửi đồng loạt gói tin UDP làm tê liệt mục tiêu Master Trinoo điều khiển deamon trinoo như: • Đồng loạt gửi gói tin UDP • Dừng việc gửi gói tin • Thay đổi cấu hình deamon trinoo Flood Network (TFN) Hình 1.2: Công cụ công Proxy Flood Network (TFN) TFN công cụ công vào băng thông TFN hỗ trợ công kỹ thuật ICMP flood, UD.2 Tribe P flood, TCP SYN flood Hiên tại, TFN hỗ trợ việc giả mạo địa IP Hoạt động hầu hết hệ điều hành DDos Trinity Có thể nói Trinity công cụ nguy hiểm Nó có khả công với hầu hết kỹ thuật UDP, SYN số dạng flood khác Tuy nhiên kết nối internet thông qua mạng Relay Chat (IRC) AOL’s ICQ Trinity thường sử dụng cổng 6667 chương trình backdoor lắng nghe cổng 33270 qua kết nối TCP Knight Knight cộng cụ hoạt động hệ điều hành windows Knight cung cấp kỹ thuật công UDP flood, SYN flood Và tự động update thông qua giao thức http hoặcftp Knight cài đặt sử dụng Trojan thông qua chương trình backdoor gọi Back Oifice Knight sử dụng mô hình IRC-Based Kaiten Kaiten biến thể Knight Kaiten hỗ trợ kỹ thuật công UDP flood, TCP flood, SYN Có khả giả mạo địa IP Kaiten công cụ sử dụng mô hình IRC-Based Và số công cụ khác MASTER HTTP Hình 1.3: Master Http LOIC (sourceforge.net/projects/loic/) Hình 1.4: LOIC Các công từ chối dịch vụ • 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) viết Phifli • Tháng – 1999 Trang chủ FBI ngừng họat động công (DDOS) • Tháng – 1999 Mạng Trinoo cài đặt kiểm tra 2000 hệ thống • Cuối tháng đầu tháng năm 1999, Tribal Flood Network đời Cuối tháng năm 1999 • Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington làm phân tích công cụ công từ chối dịch vụ • Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 ( TFN2K ) • – -2000 Yahoo! ( Một trung tâm tiếng ) bị công từ chối dịch vụ ngưng trệ hoạt động vòng đồng hồ Web site Mail Yahoo GeoCities bị công từ 50 địa IP khác với nhửng yêu cầu chuyễn vận lên đến gigabit/s • 8-2 nhiều Web site lớn Buy.com, Amazon.com, eBay, Datek, MSN, CNN.com bị công từ chối dịch vụ • Lúc tối ngày 9-2/2000 Website Excite.com đích vụ công từ chối dịch vụ, liệu luân chuyễn tới tấp vòng kết thúc, gói liệu hư hỏng nặng Qua ta thấy rõ vụ công từ chối dịch vụ (Denial Of Services Attack ) công việc gửi nhửng gói liệu tới máy chủ (Flood Data Of Services Attack) tới tấp mối lo sợ cho nhiều mạng máy tính lớn nhỏ Khi mạng máy tính bị Hacker công chiếm lượng lớn tài nguyên server dung lượng ổ cứng, nhớ, CPU, băng thông … Lượng tài nguyên tùy thuộc vào khả huy động công Hacker Khi Server đáp ứng hết yêu cầu từ client người sử dụng từ server nhanh chóng bị ngừng hoạt động, crash reboot Tấn công từ chối dịch vụ có nhiều dạng Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS 1.3 : Mục tiêu công từ chối dịch vụ • Làm tiêu tốn tài nguyên hệ thống,có thể làm hết băng thong,đầy dung lượng lưu trữ đĩa tăng thời gian xử lý • Phá vỡ thành phần vật lý mạng máy tính • Làm tắc nghẽn thông tin liên lạc bên bên • Phá vỡ thông tin cấu thông tin định tuyến • Phá vỡ trạng thái thông tin việc tự động reset lại phiên TCP • Làm tải lực xử lý,dẫn đến hệ thống thực thi công việc khác • Những lỗi gọi tức microcode máy tính • Những lỗi gọi tức chuỗi thị,dẫn đến máy tính rơi vào tình trạng hoạt động không ổn định bị • Những lỗi khai thác hệ điều hành dẫn đến việc thiếu thốn tài nguyên bị tharshing.Ví dụ sử dụng tất lực có sẵn dẫn đến không công việc thực tế hoàn thành • Gây crash hệ thống Tấn công từ chối dịch vụ IFrame:Trong trang HTML, gọi đến trang web với nhiều yêu cầu nhiều lần băng thông trang web bị hạn Nói tóm lại DDos công,làm tải tài nguyên hệ thống làm nghẽn đường truyền…dẫn tới việc gián đoạn hệ thống bị treo sử dụng Chương 2:Các phương pháp công DDos 2.1: Botnets Botnet mạng máy tính tạo lập từ máy tính mà hacker điều khiển từ xa Các máy tính mạng botnet máy bị nhiễm malware bị hacker điều khiển Một mạng botnet có tới hàng trăm ngàn, chí hàng triệu máy tính Nếu máy tính bạn thành phần mạng botnet, có nghĩa bị nhiễm số loại malware (như virus, sâu máy tính ) Hacker tạo mạng sử dụng, điều khiển hàng trăm ngàn máy tính nạn nhân để phục vụ cho mục đích riêng chúng 2.2: Mục đích sử dụng mạng Botnets Botnet dùng cho nhiều mục đích khác nhau, mạng botnet mạng tập hợp rất nhiều máy tính, nên hacker dùng bonet để thực công từ chối dịch vụ (DDoS) vào máy chủ web Theo đó, hàng trăm ngàn máy tính "dội bom", truy cập vào website mục tiêu thời điểm, khiến cho lưu lượng truy cập vào site bị tải Hậu nhiều người dùng truy cập vào website bị nghẽn mạng dẫn tới không truy cập Chương 3:Các phương pháp phòng công 3.1: Biện pháp ngăn chặn Do tính chất nghiêm trọng công DDoS, nhiều giải pháp phòng chống nghiên cứu đề xuất năm qua Tuy nhiên, gần chưa có giải pháp có khả phòng chống DDoS cách toàn diện hiệu tính chất phức tạp, quy mô lớn tính phân tán cao công DDoS Thông thường, phát công DDoS, việc thực tốt ngắt hệ thống nạn nhân khỏi tất tài nguyên hành động phản ứng lại công cần đến tài nguyên tài nguyên bị công DDoS làm cho cạn kiệt Sau hệ thống nạn nhân ngắt khỏi tài nguyên, việc truy tìm nguồn gốc nhận dạng công tiến hành Nhiều biện pháp phòng chống công DDoS nghiên cứu năm gần thành tựu chung chia biện pháp phòng chống công DDoS thành dạng theo tiêu chí chính: Dựa vị trí triển khai Dựa giao thức mạng Dựa thời điểm hành động Dựa vị trí triển khai Các biện pháp phòng chống công DDoS phân loại vào dạng dựa vị trí cài đặt tiếp tục chia nhỏ thành dạng Triển khai nguồn công: - Các biện pháp phòng chống công DDoS triển khai gần nguồn công - Phương pháp nhằm hạn chế mạng người dùng tham gia công DDoS Một số biện pháp cụ thể bao gồm: − Thực lọc gói tin sử dụng địa giả mạo định tuyến cổng mạng; − Sử dụng tường lửa có khả nhận dạng giảm tần suất chuyển gói tin yêu cầu không xác nhận - Triển khai đích công: Các biện pháp phòng chống công DDoS triển khai gần đích công, tức định tuyến cổng mạng định tuyến hệ thống đích Các biện pháp cụ thể gồm: − Truy tìm địa IP: Gồm kỹ thuật nhận dạng địa người dùng giả mạo − Lọc đánh dấu gói tin: Các gói tin hợp lệ đánh dấu cho hệ thống nạn nhân phân biệt gói tin hợp lệ gói tin công Một số kỹ thuật lọc đánh dấu gói tin đề xuất gồm: Lọc IP dựa lịch sử, Lọc dựa đếm hop, Nhận dạng đường dẫn,… - Triển khai mạng đích công: Các biện pháp phòng chống công DDoS triển khai định tuyến mạng đích dựa lọc gói tin, phát lọc gói tin độc hại Dựa giao thức mạng Các biện pháp phòng chống công DDoS chia nhỏ theo tầng mạng: IP, TCP ứng dụng : − Phòng chống công DDoS tầng IP bao gồm số biện pháp: − Pushback: Là chế phòng chống công DDoS tầng IP cho phép định tuyến yêu cầu định tuyến liền kề phía trước giảm tần suất truyền gói tin − SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng gói tin máy chủ SIP người dùng proxy bên với mục đích phát ngăn chặn công vào máy chủ SIP − Các phương pháp dựa ô đố chữ: Gồm phương pháp dựa ô đố chữ mật mã để chống lại công DDoS mức IP − Phòng chống công DDoS tầng TCP bao gồm số biện pháp: − Sử dụng kỹ thuật lọc gói tin dựa địa IP − Tăng kích thước Backlogs giúp tăng khả chấp nhận kết nối hệ thống đích − Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy bỏ yêu cầu kết nối không xác nhận khoảng thời gian ngắn hơn, giải phóng tài nguyên kết nối chờ chiếm giữ − Sử dụng SYN cache giúp trì Backlogs chung cho toàn máy chủ thay Backlogs riêng cho ứng dụng Nhờ tăng số lượng kết nối chờ xác nhận − Sử dụng SYN Cookies cho phép cấp phát tài nguyên cho kết nối xác nhận Các yêu cầu SYN bị hủy không xác nhận trước chuyển cho máy chủ đích Phương pháp giúp phòng chống công SYN Flood hiệu − Sử dụng tường lửa proxy để lọc gói tin thực thi sách an ninh xác lập trước − Phòng chống công DDoS tầng ứng dụng bao gồm: − Tối thiểu hóa hành vi truy nhập trang để phòng chống công gây ngập lụt HTTP − Sử dụng phương pháp thống kê để phát công DDoS mức HTTP − Giám sát hành vi người dùng phiên làm việc để phát công 3.2: Giai đoạn ngăn ngừa Giai đoạn chuẩn bị Chuẩn bị công cụ quan trọng công, công cụ thông thường hoạt động theo mô hình client-server Hacker viết phần mềm hay down load cách dễ dàng, theo thống kê tạm thời có khoảng 10 công cụ DDoS cung cấp miễn phí mạng (các công cụ phân tích chi tiết vào phần sau) Kế tiếp, dùng kỹ thuật hack khác để nắm trọn quyền số host mạng tiến hành cài đặt software cần thiết host này, việc cấu hình thử nghiệm toàn attack-netword (bao gồm mạng lưới máy bị lợi dụng với software thiết lập đó, máy hacker số máy khác thiết lập điểm phát động công) thực giai đoạn 3.3: Giai đoạn đối đầu với công Giai đoạn xác định mục tiêu thời điểm - Sau xác định mục tiêu lấn cuối, hacker có hoạt động điều chỉnh attack-netword chuyển hướng công phía mục tiêu - Yếu tố thời điểm định mức độ thiệt hại tốc độ đáp ứng mục tiêu công 3.4: Giai đoạn sau công DDos Phát động công xóa dấu vết Đúng thời điểm định, hacker phát động công từ máy mình, lệnh công qua nhiều cấp mói đến host thực công Toàn attack-network (có thể lên đến hàng ngàn máy), vắt cạn lực server mục tiêu liên tục, ngăn chặn không cho hoạt động thiết kế Sau khoảng thời gian công thích hợp, hacker tiến hành xóa dấu vết truy ngược đến mình, việc đòi hỏi trình độ khác cao không tuyệt đối cần thiết Chương 4: Các ví dụ công DDos 4.1: Tấn công Smurf Kiểu công smurf attack diễn host gửi số lượng lớn gói tin ICMP Echo request với vài địa IP nhập nhằng phần địa nguồn gói tin Địa đích địa subnet broadcast gọi directed broadcast Router truyền gói tin dựa việc so sánh bảng định tuyến gói tin qua cổng router kết nối vào mạng đích Router sau truyền gói tin vào LAN LAN broadcast, gửi copy cho tất host Xem hình vẽ bên Hình 4.1: Mô hình công Smurf Trong hình trên, kẻ công gửi gói tin địa directed-broadcast, địa nguồn gói tin 1.1.1.1 (cho đợt cống phụ) R1 nhận gói tin, kiểm tra địa đích truyền gói tin vào LAN LAN broadcast R1 trả lời với thông điệp ICMP echo reply với gói tin gửi trả 1.1.1.2 Một đặc điểm khác smurf attack địa nguồn IP gói tin gửi từ máy công địa IP máy bị công Ví dụ hình trên, nhiều host nhận gói tin ICMP Echo request bước Sau host trả lời lại với Echo reply địa 10.1.1.2 – địa nguồn gói tin ICMP Echo bước Kết máy 10.1.1.2 bị nhận số lượng lớn gói tin Có vài giải pháp cho vấn đề Đầu tiên là, dùng Cisco IOS 12.0, đặt lệnh no ip directed-broadcast cổng router, giúp ngăn ngừa router truyền traffic vào LAN (chặn bước 2) Ngoài ra, dùng phép kiểm tra reverse-path-forwarding (RPF check) cách dùng lệnh ip verify unicast source reachable-via {rx | any} [allow-default] [allowself-ping][list] chế độ interface Lệnh có hai tác dụng: Kiểm tra RPF chặt chẽ: Dùng từ khóa rx routers kiểm tra route so trùng bảng định tuyến dùng cổng (outgoing interface) mà cổng cổng nhận gói tin Nếu không trùng, gói tin bị loại bỏ Kiểm tra RPF lỏng lẻo: Dùng từ khóa any, router kiểm tra route dùng để đến nguồn gói tin IP Lệnh bỏ qua tuyến đuờng mặc định default-route thực kiểm tra (mặc định) dùng default route kiểm tra cách dùng từ khóa allowdefault Có nghĩa là, chế kiểm tra lỏng, cần có tuyến đường (kể tuyến mặc định default route) đến nguồn gói tin gói tin router xem hợp lệ Ngoài ra, không khuyến cáo lệnh kích hoạt lệnh ping địa nguồn để kiểm tra kết nối Cuối cùng, địa mà RPF kiểm tra giới hạn ACL Ví dụ hình trên, R1 dùng kiểm tra RPF theo kiểu chặt chẽ, lưu ý đường để đến 1.1.1.2 (là nguồn gói tin bước 1) không đến cổng s0/0 cổng ra, gói tin bị drop Nếu dùng kiểm tra RPF lỏng lẻo, R1 tìm thấy route kết nối trực tiếp 1.1.1.2 Vì router cho phép gói tin qua Sau cùng, giả sử AS1 không nhận gói tin với địa nguồn 1.0.0.0, R1 dùng inbound ACL để loại bỏ gói tin đến từ 1.0.0.0/8 vào s0/0 từ Internet 4.2: Tấn công Buffer overflow Hình 4.2: Mô hình công Buffer Overflow Buffer Overflow xảy thời điểm có chương trình ghi lượng thông tin lớn dung lượng nhớ đệm nhớ Kẻ công ghi đè lên liệu điều khiển chạy chương trình đánh cắp quyền điều khiển số chương trình nhằm thực thi đoạn mã nguy hiểm Quá trình gửi thư điện tử mà file đính kèm dài 256 ký tự xảy trình tràn nhớ đệm 4.3: Tấn công Ping of Death Kiểu công ping of death dùng giao thức ICMP Bình thường, ping dùng để kiểm tra xem host có sống hay không Một lệnh ping thông thường có hai thông điệp echo request echo reply Hình 4.3: Mô hình công Ping of Death Tiến trình ping bình thường diễn sau: C:\>ping 192.168.10.10 Pinging 192.168.10.10 with 32 bytes of data: Reply from 192.168.10.10: bytes=32 time=1ms TTL=150 Reply from 192.168.10.10: bytes=32 time=1ms TTL=150 Reply from 192.168.10.10: bytes=32 time=1ms TTL=150 Reply from 192.168.10.10: bytes=32 time=1ms TTL=150 Ping statistics for 192.168.10.10: Packets: Sent = 4, Received = 4, Lost = (0% loss), Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 1ms, Average = 1ms Khi công Ping of Death, gói tin echo đựoc gửi có kích thước lớn kích thước cho phép 65,536 bytes Gói tin bị chia nhỏ thành segment nhỏ hơn, máy đích ráp lại, host đích nhận thấy gói tin lớn buffer bên nhận Kết là, hệ thống quản lý tình trạng bất thường reboot bị treo 4.4: Tấn công Teardrop Tất liệu chuyển mạng từ hệ thống nguồn đến hệ thống đích phải trải qua trình sau: liệu chia thành mảnh nhỏ hệ thống nguồn, mảnh phải có giá trị offset định để xác định vị trí mảnh gói liệu chuyển Khi mảnh đến hệ thống đích, hệ thống đích dựa vào giá trị offset để xếp mảnh lại với theo thứ tự ban đầu Ví dụ, có liệu gồm 4000 bytes cần chuyển đi, giả sử 4000 bytes chia thành gói nhỏ(packet): Hình 4.4: Mô hình công Teardrop -Packet thứ mang 1bytes liệu từ đến 1500 -Packet thứ hai mang bytes liệu từ 1501 đến 3000 -Packet thứ ba mang bytes liệu lại, từ 3001 đến 4000 Khi packets đến đích, hệ thống đích dựa vào offset gói packets để xếp lại cho với thứ tự ban đầu: packet thứ – > packet thứ hai – > packet thứ ba Trong công Teardrop, loạt gói packets với giá trị offset chồng chéo lên gởi đến hệ thống đích Hệ thống đích xếp lại packets này, không điều khiển bị crash, reboot ngừng hoạt động số lượng packets với giá trị offset chồng chéo lên lớn! Hãy xem lại ví dụ trên, packet gởi đến hệ thống đích có dạng sau: (1- > 1500 bytes đầu tiên) (1501- > 3000 bytes tiếp theo) (3001- > 4000 bytes sau cùng), công Teardrop có dạng khác: (1- > 1500 bytes) (1501- > 3000 bytes) (1001- > 4000 bytes) Gói packet thứ ba có lượng liệu sai! 4.5: Tấn công SYN Kẻ công gửi yêu cầu (request ảo) TCP SYN tới máy chủ bị công Để xử lý lượng gói tin SYN hệ thống cần tốn lượng nhớ cho kết nối Khi có nhiều gói SYN ảo tới máy chủ chiếm hết yêu cầu xử lý máy chủ Một người dùng bình thường kết nối tới máy chủ ban đầu thực Request TCP SYN lúc máy chủ không khả đáp lại - kết nối không thực Hình 4.5: Mô hình công SYN Hình 4.6: Mô hình công gói SYN (1) Bước 1: Client (máy khách) gửi gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nối Bước 2: Khi nhận gói tin này, server gửi lại gói tin SYN/ACK để thông báo cho client biết nhận yêu cầu kết nối chuẩn bị tài nguyên cho việc yêu cầu Server giành phần tài nguyên hệ thống nhớ đệm (cache) để nhận truyền liệu Ngoài ra, thông tin khác client địa IP cổng (port) ghi nhận Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần cách hồi âm lại gói tin chứa ACK cho server tiến hành kết nối Hình 4.7: Mô hình công gói SYN (2) Do TCP thủ tục tin cậy việc giao nhận (end-to-end) nên lần bắt tay thứ hai, server gửi gói tin SYN/ACK trả lời lại client mà không nhận lại hồi âm client để thực kết nối bảo lưu nguồn tài nguyên chuẩn bị kết nối lặp lại việc gửi gói tin SYN/ACK cho client đến nhận hồi đáp máy client Hignh 4.8: Mô hình công gói SYN (3) Nếu trình kéo dài, server nhanh chóng trở nên tải, dẫn đến tình trạng crash (treo) nên yêu cầu hợp lệ bị từ chối đáp ứng Có thể hình dung trình giống hư máy tính cá nhân (PC) hay bị “treo” mở lúc nhiều chương trình lúc ... Website Excite.com đích vụ công từ chối dịch vụ, liệu luân chuyễn tới tấp vòng kết thúc, gói liệu hư hỏng nặng Qua ta thấy rõ vụ công từ chối dịch vụ (Denial Of Services Attack ) công việc gửi nhửng... DDoS công hệ thống khác 2.5: Cách phân tích mạng Bot Tấn công DDoS công từ hệ thống máy tính cực lớn Internet Thường dựa vào dịch vụ có sẵn máy tính mạng botnet Chúng có đặc điểm sau: Các dịch vụ. .. phân tích công cụ công từ chối dịch vụ • Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 ( TFN2K ) • – -2000 Yahoo! ( Một trung tâm tiếng ) bị công từ chối dịch vụ ngưng trệ