TÌM HIỂU VÀ MÔ PHỎNG TẤN CÔNG TỪ CHỐI DỊCH VỤ

Giới thiệu chung: khái niệm tấn công từ chối dịch vụ, mục đích tấn công, đặc điểm của tấn công.Các cách thức tấn công: tấn công thông qua kết nối, sử dụng tài nguyên của nạn nhân, sử dụng băng thông, các tài nguyên khác, phá hoại, chỉnh sử cấu hình, phá hoại, chỉnh sửa phần cứng...Cách thức phòng chống.

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN

BÀI TẬP LỚN

MÔN AN TOÀN HỆ ĐIỀU HÀNH

TÌM HIỂU VÀ MÔ PHỎNG TẤN CÔNG TỪ CHỐI

DỊCH VỤ

Giảng viên: Đỗ Quang Trung Sinh viên thực hiện:

Trịnh Thị Mai Lớp: L04

HÀ NỘI 2016

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN

BÀI TẬP LỚN

MÔN AN TOÀN HỆ ĐIỀU HÀNH

TÌM HIỂU VÀ MÔ PHỎNG TẤN CÔNG TỪ CHỐI DỊCH VỤ

Nhận xét của giảng viên:

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Mục lục

Mục lục 3 Lời nói đầu _4 Tài liệu tham khảo _5 Một số thông tin về tấn công từ chối dich vụ trong lịch sử 6

I Giới thiệu chung _10

1 DOS là gì? 10

2 Mục đích: 12

3 Đặc điểm: 12

II Các cách thức tấn công 13

1 Tấn công thông qua kết nối: _13

2 Sử dụng chính tài nguyên của nạn nhân: _17

3 Sử dụng băng thông: _17

4 Sử dụng tài nguyên khác: _18

5 Phá hoại hoặc chỉnh sửa cấu hình: 18

6 Phá hoại hoặc chỉnh sửa phần cứng: 18

III Cách thức phòng chống _24

IV Demo mô phỏng tấn công từ chối dịch vụ: 25

V Tạm kết: 26

LỜI NÓI ĐẦU

Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sựphát triển bùng nổ của công nghệ thông tin, truyền thông Đặc biệt sự phát triển của cáctrang mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện íchcho người sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cá nhân,trao đổi kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch vụ công Tuy nhiên, trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệthông tin nói chung, vấn đề đảm bảo an toàn, an ninh thông tin cũng trở thành một trongnhững thách thức lớn Một trong những nguy cơ tác động đến việc đảm bảo an toànthông tin trong nhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn công

từ chối dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hoặc gây rối loạn hoạtđộng của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số

Tại Việt Nam, trong nhiều năm qua, nhiều trang mạng của Chính phủ, trang mạngbáo điện tử hoặc các trang mạng của các doanh nghiệp thương mại điện tử đã phảihứng chịu những hậu quả nghiêm trọng cả về tài sản, lẫn uy tín từ những đợt tấn công từchối dịch vụ gây ra bởi các tin tặc trong và ngoài nước Tuy nhiên, công tác đấu tranhphòng, chống đối với loại hành vi này còn có nhiều vấn đề bất cập Lực lượng Cảnh sátphòng, chống tội phạm sử dụng công nghệ cao là lực lượng chuyên trách trong đấu tranhphòng, chống tội phạm sử dụng công nghệ cao nói chung, tội cản trở hoặc gây rối loạnhoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số nói riêng, trong

đó có hành vi tấn công từ chối dịch vụ Để nâng cao hiệu quả công tác đấu tranh phòng,chống loại hành vi này, lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệcao cần có nhận thức đúng đắn và đầy đủ về các đặc điểm liên quan đến thủ đoạn tấncông từ chối dịch vụ

Một số thông tin về tấn công từ chối dịch vụ trong lịch sử:

- Quốc tế: Dưới đây là 14 vụ tấn công từ chối dịch vụ nổi tiếng nhất trong lịch sử

Internet:

1 Cuộc tấn công đầu tiên liên quan đến máy chủ DNS xảy ra vào tháng 01/2001

và mục tiêu đầu tiên là trang Register.com Chúng đã sử dụng danh sách hàng ngàn bản ghi (records) có tuổi thọ 1 năm tại thời điểm tấn công

2 Vào tháng 02/2001, máy chủ của Cục Tài chính Ireland bị tấn công bởi DDoS, thủ phạm là những sinh viên đến từ trường Maynooth, một trường Đại học tại Ireland Vụ việc bị phản ánh và một số sinh viên của trường đã bị kỷ luật ngay sau đó

3 Vào tháng 07/2002, dự án “Thách thức ngược lại Honeynet” (Honeynet

Project Reverse Challenge) được ban hành, các chuỗi nhị phân được phân tích hóa đề làm tác nhân cho DDoS, nhằm thực hiện các cuộc tấn công DNS liên quan, bao gồm cả việc tối ưu hóa hình thức chống lại tấn công

4 Kể từ khi các máy tính dự định cung cấp dịch vụ cho tất cả người dùng

Internet, đã có 2 vụ tấn công từ chối dịch vụ (DDoS) nhằm làm sập mạng

Internet, mặc dù không hiểu rõ động cơ của những kẻ tấn công này là gì Vụ đầutiên xảy ra vào tháng 10/2002, làm gián đoạn 9/13 máy chủ Vụ thứ hai xảy ra vài năm 2007 làm gián đoạn 2 trong số các máy chủ

5 Vào tháng 2/2007, hơn 10.000 máy chủ của các game trực tuyến như “Return

to Castle Wolfenstein, Halo, Counter-Strike …” bị tấn công bởi nhóm RUS Cuộc tấn công DDoS đã được thực hiện từ hơn một nghìn đơn vị máy tính đặt tại các nước cộng hòa thuộc Liên Xô cũ, phần lớn từ các nước Russia, Uzbekistan và Belarus, và các cuộc tấn công vẫn được thực hiện cho đến ngày hôm nay

6 Trong những tuần đầu của cuộc chiến Nam Ossetia 2008, một DDoS tấn cônghướng vào các trang web của chính phủ Georgia có chứa tin nhắn:

“win+love+in+Russia”, gây tình trạng quá tải và đóng cửa nhiều máy chủ ở Georgia tấn công vào các trang web bao gồm các trang web của tổng thống Georgia, Mikhail Saakashvili làm các trang web này không thể hoạt động trong

24 giờ và cả ngân hàng quốc gia của Georgia

Trong khi nghi ngờ lớn được đặt vào nước Nga về những cuộc tấn công thông qua proxy, các băng đảng tội phạm St Petersburg được biết đến như những nhà

kinh doanh mạng, hoặc R.B.N, chính phủ Nga đã phủ nhận mọi sự cáo buộc, và nói rằng có thể một cá nhân tại Nga hoặc ở nơi khác đã lấy chúng nhằm bắt đầu cuộc tấn công.

7 Trong năm 2009, xảy ra cuộc phản đối bầu cử tại Iran, các nhà hoạt động nước ngoài đang tìm cách giúp đỡ phe đối lập tham gia vào các cuộc tấn công DDoS chống lại chính phủ của Iran Trang web chính thức của chính phủ Iran (ahmedinejad.ir) không thể truy cập được

Những người chỉ trích cho rằng cuộc tấn công DDoS cũng cắt bỏ việc truy cập internet cho người biểu tình bên ở Iran, các nhà hoạt động phản đối rằng, trong khi việc này có thể đúng, các vụ tấn công vẫn còn cản trở chính phủ của Tổng thống Mahmoud Ahmadinejad, đủ để hỗ trợ cho phe đối lập

8 Ngày 25/09/2009, ngày Michael Jackson qua đời, do lượng truy cập tìm kiếm các từ khóa có liên quan đến Michael Jackson quá lớn khiến Google News ban đầu lầm tưởng đây là một cuộc tấn công tự động Kết quả là, trong khoảng 25 phút, một số người trong lúc tìm kiếm đã thấy được chữ “We’re sorry” xuất hiện ngay trang họ tìm kiếm

9 Tháng 6/2009, mạng chia sẻ ngang hàng (P2P site) – The Pirate Bay không thể truy cập cho một cuộc tấn công DDoS Đây có thể là một giải pháp “cầm tiền

và chạy” trước dự kiến The Pirate Bay bị bán cho công ty Global Gaming Factory

X AB Cuối cùng, do khó khăn tài chính của người mua, trang web này không bán được

10 Tháng 07/2009, nhằm mục tiêu tấn công không gian mạng tại các Websites

ở Hàn Quốc và Mỹ Những kẻ tấn công sử dụng botnet và cập nhật các tập tin thông qua Internet để trợ giúp lây lan của nó Một trojan máy tính được mã hoát nhằm tìm ra các MyDoom có trong máy

MyDoom là một loại worm (sâu) vào năm 2004, và trong tháng bảy phát triển khoảng 20.000 đến 50.000 con Mydoom là một dạng backdoor, mà DDoS có thểkhai thác Kể từ đó, các DDoS bỏ chính nó, và định dạng hoàn toàn ổ cứng Hầuhết đều có nguồn gốc từ Trung Quốc và Bắc Triều Tiên

11 Tháng 06/2009, một số trang mạng xã hội, bao gồm Twitter, Facebook, Livejournal và các trang blog, Google bị tấn công bởi DDoS Người dùng không truy cập vào Twitter, cập nhật trên Facebook cũng khó khăn hơn

Có vẻ những đợt tấn công đều xuất phát từ một nguồn và chúng tôi đang phối hợp với các công ty khác để tìm hiểu sự việc", Stone cho hay Trong khi đó, Max

Kelly, Giám đốc bảo mật của Facebook, cho biết vụ DDoS trên chỉ nhằm vào mộtblogger.

Blogger có nickname là "Cyxymu", (tên một thị trấn ở Liên Xô cũ) trên cả Twitter, Facebook, LiveJournal, Google, blogger và YouTube là một người ủng hộ

Gruzia "Kẻ tấn công muốn blogger này phải im lặng Chúng tôi đang điều tra để tìm ra ai là kẻ đứng sau", Kelly nói

Những cuộc tấn công làm Twitter bị tê liệt trong nhiều giờ và Facebook đã dần dần khôi phục lại dịch vụ mặc dù một số người dùng vẫn còn gặp nhiều khó khăn Trang Twitter vẫn đang dần được cải thiện, tuy nhiên một số yêu cầu truy cập web bị thất bại

12 Vào tháng 7 – 8/2010, máy chủ của trung tâm ứng dụng văn phòng Ireland bịtấn công DDoS vào bốn kỳ khác nhau Gây khó khăn cho hàng ngàn học sinh, người được yêu cầu phải sử dụng các CAO để áp dụng cho những trường đại học và cao đẳng Các cuộc tấn công hiện đang bị điều tra

13 Vào ngày 28/11/2010, Wikileaks.org bị DDoS tấn công Cuộc tấn công này xảy ra ngay khi WikiLeaks chuẩn bị tung ra những tài liệu mật của chính phủ Mỹ

Bộ Ngoại giao Mỹ sau khi biết thông tin này đã quyết định thông báo trước đến các chính phủ khác về những gì mà tổ chức WikiLeaks sẽ phát tán

WikiLeaks tuyên bố trên Twitter rằng, ngay cả khi trang web có bị sập, các tờ báo trên toàn thế giới vẫn sẽ đăng tải những đoạn trích dẫn trong những tài liệu được tung ra

14 Vào 8/12/2010, Một nhóm hacker tấn công đồng loạt trang web của hãng MasterCard, Visa để trả đũa cho việc chủ Wikileaks bị tạm giam ở Anh Nhóm hacker, lấy tên "chiến dịch trả đũa", nhận trách nhiệm gây ra các lỗi kỹ thuật nghiêm trọng trên trang web của MasterCard Tuyên bố này được đưa qua một thông điệp trên mạng xã hội Twitter

Cuộc tấn công đã đánh sập thành công website của Mastercard, PostFinance vàVisa PostFinance, ngân hàng đã đóng băng tài khoản của Julian Assange, bị ngưng hoạt động hơn 16 giờ đồng hồ

- Tại Việt Nam:

Đây là hình ảnh của trưng web Báo Dân Trí ngày 09/07

Đây là hình ảnh của trang báo mạng Việt Nam net ngày -5/07

Và hàng loạt trang báo mạng điện tử cùng tình trạng trong khoảng nửa đầu năm nay

I Giới thiệu chung:

1 DOS là gì?

Tấn công bằng từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó Nó bao gồm làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích cuối cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm (Client)

Bằng cách nhằm vào các máy tính và sử dụng mạng máy tính mà bạn đangdùng, kẻ tấn công có thể ngăn cản truy cập email, website, tài khoản trực tuyến (ví dụnhư ngân hàng) và các dịch vụ khác

Một kiểu DoS rõ ràng và phổ biến nhất là một kẻ tấn công “làm lụt” mạng bằng thông tin Khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi một yêu cầu đến máy chủ của trang này để xem Máy chủ chỉ có thể xử lý một số yêu cầu vì vậy nếu một kẻ tấn công làm quá tải máy chủ với nhiều yêu cầu thì có thể yêu cầu của bạn không được xử lý Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó

Kẻ tấn công có thể sử dụng thư rác để thực hiện các tấn công tương tự trên tàikhoản email của bạn Dù bạn có một tài khoản email được cung cấp bởi nhân viên của bạn hay có sẵn qua một dịch vụ miễn phí như Yahoo hay Hotmail thì vẫn bị giới hạn số lượng dữ liệu trong tài khoản Bằng cách gửi nhiều email đến tài khoản của bạn, kẻ tấn công có thể tiêu thụ hết phần nhận mail và ngăn chặn bạn nhận được các mail khác

Thực chất của tấn công bằng từ chối dịch vụ(Denial Of Services Attack) là hacker sẽ chiếm dụng một lựợng lớn tài nguyên trên server, tài nguyên có thể là băng thông, bộ nhớ, cpu, đĩa cứng, làm cho server không thể nào đáp ứng các yêu cầu khác từ các clients của những người dùng bình thường và có thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot

2 Mục đích:

- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood),

khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường

- Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ.

- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó

- Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào

- Phá hoại hoặc thay đổi các thông tin cấu hình

- Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…

3 Đặc điểm:

Đặc điểm duy nhất của tấn công từ chối dịch vụ là cuộc tấn công này khônglấy mất thông tin của hệ thống, nó thường chỉ gây ra sự tê liệt của hệ thống, không hoạt động được, và đôi khi là có sự hỏng hóc, hoặc phá hoại thông tin có trên hệ thống Việc ngừng hoạt động trong một thời gian nhất định, làm chậm khả năng phục vụ của hệ thống Nhưng vì mục tiêu của tấn công từ chối dịch vụ là các hệ thống phục vụ khách hàng, nên việc ngừng hoạt động trong một thời gian nhất định của hệ thống thường gây ra các thiệt hại không thể ước tính chính xác được

II Các cách thức tấn công:

Phá hoại dựa trên tính giới hạn hoặc không thể phục hồi của tài nguyên mạng

1 Thông qua kết nối:

1.1 Tấn công kiểu SYN Attack

Trước hết, bạn hãy xem lại tiến trình bắt tay 3 bước của một kết nối TCP/IP Một client muốn kết nối đến một host khác trên mạng

 Bước 1: client gởi một SYN packet với số Sequence Number ban đầu(ISN) đến host cần kết nối:

client—–SYN packet—– > host

 Bước 2: host sẽ phản hồi lại client bằng một SYN/ACK packet, ACK của packet này có giá trị đúng bằng ISN ban đầu do client gởi đã gởi đến host ở bước 1 và chờ nhận một ACK packet từ client:

host—–SYN/ACK packet—– > client

 Bước 3: client phản hồi lại host bằng một ACK packet:

client—–ACK packet—– > host

Kiểu tấn công SYN Attack

Khi host nhận được ACK packet này thì kết nối được thiết lập, client vào host có thể trao đổi các dữ liệu cho nhau

Mô hình tấn công SYNTrong SYN Attack, hacker sẽ gửi đến hệ thống đích một loạt SYN packets với địa chỉ

IP nguồn không có thực Hệ thống đích khi nhận được các bad SYN packets này sẽ gởi trở lại SYN/ACK packet đến các địa chỉ không có thực này vào chờ nhận được

ACK messages từ các địa chỉ IP đó Vì đây là các địa chỉ IP không có thực, hệ thống đích sẽ chờ đợi vô ích và còn nối đuôi các “request” chờ đợi này nào hàng đợi, gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi ACK messages.

Cách giảm thiểu: Thay đổi cấu hình iptable firewall

 Chỉnh sửa file: /etc/sysctl.conf

 Chỉnh sửa iptables firewall

# create new chains

iptables -N syn-flood

# limits incoming packets

iptables -A syn-flood -m limit limit 10/second limit-burst 50 -j RETURN

# log attacks

iptables -A syn-flood -j LOG log-prefix "SYN flood: "

# silently drop the rest

iptables -A syn-flood -j DROP

 Lưu lại cấu hình:

service iptables save

 Khởi động lại iptables firewall:

service iptables restart

Ngoài ra còn một số cách: Tăng kích thước hàng đợi, giảm khoảng thời gian thiết lậpkết nối

1.2 Tấn công kiểu Ping Of Death

Kiểu tấn công này dùng giao thức ICMP Có 2 phần quan trọng trong ICMP packet làICMP ECHO_REQUEST và ICMP ECHO_RESPONSE datagrams và thông thườngdùng PING command đế thi hành các hoạt động của ICMP Khi 1 máy tính gửi ICMP

lại ICMP ECHO_RESPONSE.Hacker dùng PING program để tạo nên kích thước lớn cho gói tin ICMP (gói gọntrong 1 IP packet), có nhiều cách để gửi ICMP datagrams mà packet mà chỉ baogồm 8 bits ICMP header infomation, Hacker thuong dùng PING program để gừinhững packet lớn hơn 65536 bytes ( vượt qua sự cho phép của TCP/IP)

Kiểu tấn công Ping of DeathKhi tấn công bằng Ping of Death một gói tin echo được gửi đi có kích thước lớn hơnkích thước cho phép là 65,536 bytes.Gói tin sẽ bị chia nhỏ ra thành các phần khimáy đích lắp ráp lại thì do gói tin quá lớn với buffer bên nhận nên hệ thống khôngthể quản lý nổi gây ra bị reboot hoặc bị treo

Dưới đây là thông tin của TCP dump khi bị tấn công:

8:40:14 690000 192.168.123.101 > 192.168.123.100: icmp echo request (frag 11267:1480@0+)

8:40:14.690000 192.168.123.101 > 192.168.123.100: (frag 11267:1480@1480+) 8:40:14.690000 192.168.123.101 > 192.168.123.100 (frag 11267:1480@5920+) .