Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sự phát triển bùng nổ của công nghệ thông tin, truyền thông. Đặc biệt sự phát triển của các trang mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện ích cho người sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cá nhân, trao đổi kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch vụ công... Tuy nhiên, trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề đảm bảo an toàn, an ninh thông tin cũng trở thành một trong những thách thức lớn. Một trong những nguy cơ tác động đến việc đảm bảo an toàn thông tin trong nhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn công từ chối dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số. Tấn công từ chối dịch vụ (Dos, Denial of Services) đã ngày càng trở thành một mối đe dọa lớn đối với sự tin cậy của mạng Internet. Là các cuộc tấn công sử dụng nhiều cách thức tổ chức và thực hiện khác nhau, từ việc dùng chỉ một máy tới việc thu thập các máy agent dưới quyền với số lượng lên đến hàng chục ngàn máy phục vụ tấn công, mục đích của các cuộc tấn công là làm tê liệt các ứng dụng, máy chủ, toàn bộ mạng lưới, hoặc làm gián đoạn kết nối của người dùng hợp pháp tới Website đích. Trong quá khứ đã từng xảy ra các vụ tấn công DoS đặc biệt nghiêm trọng với các website thương mại hàng đầu thế giới, có tính bảo mật rất cao như Amazon, Yahoo, eBay, Microsoft… gây thiệt hại hàng triệu USD. Tuy nhiên, việc phòng ngừa, ngăn chặn cũng như tiến hành điều tra, xử lý các đối tượng này lại chưa được thực sự quan tâm đúng mức. Do vậy, trong nhiều trường hợp, chúng ta bị đặt vào trạng thái bị động, không phản ứng kịp trước các cuộc tấn công. Vì vậy em chọn đề tài “ Tìm hiểu giải pháp phát hiện tấn công từ chối dịch vụ sử dụng phương pháp phân tích thống kê”. Nội dung đồ án được tổ chức như sau: Chương 1: Tổng quan về tấn công từ chối dịch vụ DoSDDoS. Nêu khái niệm, mục đích, mục tiêu của tấn công từ chối dịch vụ. Các cách thức một kẻ tấn công phải thực hiện nhằm tạo ra một cuộc tấn công từ chối dịch vụ. Chương 2: Tìm hiểu giải pháp phát hiện tấn công dịch vụ bằng phương pháp phân tích thông kê. Chương 3: Thực nghiệm kết quả
Trang 1LỜI CẢM ƠN
Với lòng kính trọng và biết ơn sâu sắc, em xin chân thành cảm ơn các thầy cô giáotại trường về sự dạy bảo của thầy cô trong quá trình em học tại trường
Em xin đặc biệt cảm ơn Giảng viên , người đã hướng dẫn trực tiếp, chỉ bảo
tận tình cho em Đồ án này sẽ khó có thể hoàn thành nếu thiếu sự giúp đỡ, khuyếnkhích và những ý kiến đóng góp quý báu của cô
Cảm ơn bố mẹ, em gái, bạn bè và các bạn trong lớp đã luôn bên cạnh cổ vũ,động viên tinh thần để em có thể vượt qua mọi khó khăn
Đồ án được thực hiện trong thời gian ngắn, mặc dù cố gắng tìm hiểu nhưng dokiến thức có hạn nên chắc chắn vẫn còn nhiều thiếu sót Rất mong thầy cô góp ý để đồ ánđược hoàn hiện hơn
Cuối cùng, em xin kính chúc các thầy, cô và gia đình luôn luôn mạnh khỏe vàthành công hơn nữa trong sự nghiệp cao quý
, ngày tháng năm
Sinh viên
Trang 2LỜI MỞ ĐẦU
Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sự pháttriển bùng nổ của công nghệ thông tin, truyền thông Đặc biệt sự phát triển của các trang mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện ích cho người sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cá nhân, trao đổikinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch vụ công Tuy nhiên, trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề đảm bảo an toàn, an ninh thông tin cũng trở thành một trong những thách thức lớn Một trong những nguy cơ tác động đến việc đảm bảo an toàn thông tin trong nhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn công từ chối dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số
Tấn công từ chối dịch vụ (Dos, Denial of Services) đã ngày càng trở thành một mối đe dọa lớn đối với sự tin cậy của mạng Internet Là các cuộc tấn công sử dụng nhiều cách thức tổ chức và thực hiện khác nhau, từ việc dùng chỉ một máy tới việc thu thập các máy agent dưới quyền với số lượng lên đến hàng chục ngàn máy phục vụ tấn công, mục đích của các cuộc tấn công là làm tê liệt các ứng dụng, máy chủ, toàn bộ mạng lưới, hoặc làm gián đoạn kết nối của người dùng hợp pháp tới Website đích Trong quá khứ đã từng xảy ra các vụ tấn công DoS đặc biệt nghiêm trọng với các website thương mại hàng đầu thế giới, có tính bảo mật rất cao như Amazon, Yahoo, eBay, Microsoft… gây thiệt hại hàng triệu USD
Tuy nhiên, việc phòng ngừa, ngăn chặn cũng như tiến hành điều tra, xử lý các đối tượng này lại chưa được thực sự quan tâm đúng mức Do vậy, trong nhiều trường hợp, chúng ta bị đặt vào trạng thái bị động, không phản ứng kịp trước các cuộc tấn công Vì
Trang 3vậy em chọn đề tài “ Tìm hiểu giải pháp phát hiện tấn công từ chối dịch vụ sử dụng phương pháp phân tích thống kê”
Nội dung đồ án được tổ chức như sau:
Chương 1: Tổng quan về tấn công từ chối dịch vụ DoS/DDoS Nêu khái niệm, mục
đích, mục tiêu của tấn công từ chối dịch vụ Các cách thức một kẻ tấn công phải thực hiện nhằm tạo ra một cuộc tấn công từ chối dịch vụ
Chương 2: Tìm hiểu giải pháp phát hiện tấn công dịch vụ bằng phương pháp phân tích thông kê
Chương 3: Thực nghiệm kết quả
Trang 4CHƯƠNG 1: TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS/DDOS
đó DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ thậm chí cả một
hệ thống mạng rất lớn Về bản chất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ và làm mất khả năng xử lý các yêu cầu dịch vụ từ các khách hàng khác Tấn công DoS nói chung không nguy hiểm như các kiểu tấn công khác, vì kẻ tấn công ít có khả năng thâm nhập hay chiếm được thông tin dữliệu của hệ thống Tuy nhiên, nếu máy chủ tồn tại mà không thể cung cấp thông tin, dịch
vụ cho người sử dụng thì sự tồn tại này là không có ý nghĩa, đặc biệt là các hệ thống phục
vụ các giao dịch điện tử thì thiệt hại là vô cùng lớn Đối với hệ thống máy chủ được bảo mật tốt, khó thâm nhập, việc tấn công từ chối dịch vụ DoS được các hacker sử dụng như
là “cú chót” để triệt hạ hệ thống đó
Nó bao gồm: làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích cuối cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm (Client)
Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch
vụ hoặc phải dừng hoạt động, song từ nhiều nguồn tấn công khác nhau, phân tán trên mạng Sự khác biệt cơ bản giữa tấn công DoS và DDoS là DDoS sử dụng một mạng lưới
Trang 5tấn công rộng khắp, gồm nhiều máy tấn công nằm rải rác trên mạng (còn gọi là các máy tính ma - Zoombi, hay mạng Botnet)
Có nhiều loại công cụ tấn công DoS khác nhau và mỗi loại sử dụng những cơ chế riêng để làm tràn ngập hệ thống nhưng kết quả cuối cùng vẫn là như nhau – làm cho hệ thống mục tiêu trở nên quá bận rộn hay bị quá tải mà không thể đáp ứng được các yêu cầu của người dùng, và một khi không thể đáp ứng được những yêu cầu này sẽ làm thiệt hại về mặt kinh tế, uy tín cho đơn vị chủ quản của trang web bị tấn công (thường thì DoS hay nhắm vào các trang web có chức năng kinh doanh trực tuyến, ứng dụng thương mại điện tử) Ví dụ như vào các kì đại hội thể thao diễn ra như Euro, WorldCup thì các nhà cái như Bet365.Com, SportingBet … có rất nhiều khách hàng đăng kí tham gia dự đoán kết quả của những trận cầu nóng bỏng đen đến các nguồn lợi khổng lồ Và các hacker biết rất rõ những điều này, chính vì vậy họ thường hăm dọa những nhà cái trên sẽ tấn công DoS / DDoS làm tê liệt trang web ngăn không cho khách hàng truy cập, còn nếu không muốn bị tấn công thì phải đồng ý trả cho các hacker một khoản tiền lớn Hình thứctống tiền này được các băng nhóm tội phạm mạng ưa chuộng vì đem đến hiệu quả cao
- Dấu hiệu khi bị tấn công DoS
Thông thường thì hiệu suất mạng sẽ rất chậm
Không thể sử dụng website
Không truy cập được bất kỳ website nào
Tăng lượng thư rác nhanh chóng
Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máyđang bị tấn công Ví dụ băng thông của router giữa Internet và Lan có thể bịtiêu thụ bởi tấn công, làm tổn hại không chỉ máy tính ý định tấn công mà còn
là toàn thể mạng
1.2 Lịch sử các cuộc tấn công và phát triển của DoS
- Các tấn công DoS bắt đầu vào khoảng đầu những năm 90 Đầu tiên, chúng hoàntoàn “nguyên thủy”, bao gồm chỉ một kẻ tấn công khai thác băng thông tối đa từ nạn
Trang 6nhân, ngăn những người khác được phục vụ Điều này được thực hiện chủ yếu bằngcách dùng các phương pháp đơn giản như ping floods, SYN floods và UDP floods Sau
đó, các cuộc tấn công trở nên phức tạp hơn, bằng cách giả làm nạn nhân, gửi vài thôngđiệp và để các máy khác làm ngập máy nạn nhân với các thông điệp trả lời (Smurf
attack, IP spoofing…)
- Các tấn công này phải được đồng bộ hoá một cách thủ công bởi nhiều kẻ tấn công
để tạo ra một sự phá huỷ có hiệu quả Sự dịch chuyển đến việc tự động hoá sự đồng bộ,kết hợp này và tạo ra một tấn công song song lớn trở nên phổ biến từ 1997, với sự rađời của công cụ tấn công Dos đầu tiên được công bố rộng rãi, Trinoo Nó dựa trên tấncông UDP flood và các giao tiếp master-slave (khiến các máy trung gian tham gia vào trong cuộc tấn công bằng cách đặt lên chúng các chương trình được điều khiển từ xa).Trong những năm tiếp theo, vài công cụ nữa được phổ biến – TFN (tribe flood
network), TFN2K, vaf Stacheldraht
- Tuy nhiên, chỉ từ cuối năm 1999 mới có những báo cáo về những tấn công nhưvậy, và đề tài này được công chúng biết đến chỉ sau khi một cuộc tấn công lớn vào cácsite công cộng tháng 2/2000 Trong thời gian 3 ngày, các site Yahoo.com,
amazon.com, buy.com, cnn.com và eBay.com đã đặt dưới sự tấn công (ví dụ như
Yahoo bị ping với tốc độ 1 GB/s) Từ đó các cuộc tấn công Dos thường xuyên xảy ra ví
dụ : Vào ngày 15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công DoS cực mạnh vàlàm gián đoạn websites trong vòng 2 giờ; Vào lúc 15:09 giờ GMT ngày 27 tháng 3
Trang 7năm 2003: toàn bộ phiên bản tiếng anh của website Al-Jazeera bị tấn công làm giánđoạn trong nhiều giờ
- Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to
Castle Wolfenstein, Halo, Counter-Strike …bị nhóm RUS tấn công với hệ thống điều
khiển chủ yếu đặt tại Nga, Uzbekistan và Belarus
- Trong suốt các tuần đầu của cuộc chiến Nam Ossetia 2008, các trang web của chính phủ Georgia luôn trong tình trạng quá tải, gồm các trang web ngân hàng quốc gia và của tổng thống Georgia Mikhail Saakashvili Chính phủ Nga phủ nhận mọi sự cáobuộc cho rằng họ đứng đằng sau vụ tấn công
- Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đámnhư Facebook, Twitter, LiveJournal và một số website của Google được thực hiện chỉ để
"khóa miệng" một blogger có tên Cyxymu ở Georgia
- Ngày 28/11/2010, WikiLeaks bị tê liệt vì DDoS ngay khi họ chuẩn bị tung
ra những tài liệu mật của chính phủ Mỹ
- Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website
Visa.com sau khi tổ chức những cuộc tấn công tương tự vào Mastercard và PayPal để trảđũa cho việc chủ WikiLeaks bị tạm giam ở Anh
- Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công
- Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt
vì DDoS
1.3 Mục đích, mục tiêu của tấn công DoS
1.3.1 Mục đích
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập(flood), khi đó hệ thống
sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường
- Cố gắng làm ngắt kết nối giữa 2 máy, và ngăn chặn quá trình truy nhập vào dịch vụ
- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
Trang 8-Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào các dịch
- Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên
- Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS
- Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hòa, hệ thống điện, hệ thống làm mát và nhiều tài nguyên khác của doanh nghiệp
- Phá hoại hoặc thay đổi các thông tin cấu hình
- Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hòa…
1.4 Phân loại
Có nhiều loại công cụ tấn công DoS khác nhau và mỗi loại sử dụng những cơ chế riêng để làm tràn ngập hệ thống nhưng kết quả cuối cùng vẫn là như nhau – làm cho hệ thống mục tiêu trở nên quá bận rộn hay bị quá tải mà không thể đáp ứng được các yêu cầu của người dùng, và một khi không thể đáp ứng được những yêu cầu này sẽ làm thiệt hại về mặt kinh tế, uy tín cho đơn vị chủ quản của trang web bị tấn công (thường thì DoS hay nhắm vào các trang web có chức năng kinh doanh trực tuyến, ứng dụng thương mại điện tử) Ví dụ như vào các kì đại hội thể thao diễn ra như Euro, WorldCup thì các nhà cái như Bet365.Com, SportingBet … có rất nhiều khách hàng đăng kí tham gia dự đoán kết quả của những trận cầu nóng bỏng đen đến các nguồn lợi khổng lồ Và các hacker
Trang 9biết rất rõ những điều này, chính vì vậy họ thường hăm dọa những nhà cái trên sẽ tấn công DoS / DDoS làm tê liệt trang web ngăn không cho khách hàng truy cập, còn nếu không muốn bị tấn công thì phải đồng ý trả cho các hacker một khoản tiền lớn Hình thứctống tiền này được các băng nhóm tội phạm mạng ưa chuộng vì đem đến hiệu quả cao.
Để giải quyết yêu cầu, hệ thống phải tốn tài nguyên (CPU, bộ nhớ, đường truyền,
…) Mà tài nguyên này thì là hữu hạn Do đó hệ thống sẽ không còn tài nguyên để phục vụ các yêu cầu sau
Hình thức chủ yếu của kiểu này tấn công từ chối dịch vụ phân tán
Loại 2 : Làm cho hệ thống bị treo, tê liệt do tấn công vào đặc điểm của hệ thống hoặc lỗi
về an toàn thông tin
Tin tặc lợi dụng kẽ hở an toàn thông tin của hệ thống để gửi các yêu cầu hoặc các gói tin không hợp lệ (không đúng theo tiêu chuẩn) một cách cố ý, khiến cho hệ thống bị tấn công khi nhận được yêu cầu hay gói tin này, xử lý không đúng hoặc không theo trình tự đã được thiết kế, dẫn đến sự sụp đổ của chính hệ thống đó
Điển hình là kiểu tấn công Ping of Death hoặc SYN Flood
Trang 10những kẻ tấn công sẽ cố gắng khai thác hoặc định vị để tấn công vào trong chúng cho đếnkhi hắn nhận được kết quả mong muốn: mục tiêu bị phải chuyển sang trạng thái offline.
1.5.1 Tấn công thông qua kết nối (SYN Flood Attack)
Được xem là một trong những kiểu tấn công DoS kinh điển nhất Lợi dụng sơ hở của thủ tục TCP khi “bắt tay ba chiều”, mỗi khi client (máy khách) muốn thực hiện kết nối (connection) với server (máy chủ) thì nó thực hiện việc bắt tay ba lần (three – ways handshake) thông qua các gói tin (packet)
Bước 1: Client (máy khách) sẽ gửi các gói tin (packet chứa SYN=1) đến máy chủ
để yêu cầu kết nối
Bước 2: Khi nhận được gói tin này, server sẽ gửi lại gói tin SYN/ACK để thông báo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên cho việc yêu cầu này Server sẽ giành một phần tài nguyên hệ thống như bộ nhớ đệm (cache) để nhận và truyền dữ liệu Ngoài ra, các thông tin khác của client như địa chỉ IP và cổng (port) cũng được ghi nhận
Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách hồi âm lại gói tin chứa ACK cho server và tiến hành kết nối
Trang 11Do TCP là thủ tục tin cậy trong việc giao nhận (end-to-end) nên trong lần bắt tay thứ hai,server gửi các gói tin SYN/ACK trả lời lại client mà không nhận lại được hồi âm của client để thực hiện kết nối thì nó vẫn bảo lưu nguồn tài nguyên chuẩn bị kết nối đó vàlập lại việc gửi gói tin SYN/ACK cho client đến khi nào nhận được hồi đáp của máy client.
Điểm mấu chốt là ở đây là làm cho client không hồi đáp cho Server Và có hàng nhiều, nhiều client như thế trong khi server vẫn “ngây thơ” lặp lại việc gửi packet đó và giành tài nguyên để chờ “người về” trong lúc tài nguyên của hệ thống là có giới hạn! Cáchacker tấn công sẽ tìm cách để đạt đến giới hạn đó
Trang 12Nếu quá trình đó kéo dài, server sẽ nhanh chóng trở nên quá tải, dẫn đến tình trạngcrash (treo) nên các yêu cầu hợp lệ sẽ bị từ chối không thể đáp ứng được Có thể hình dung quá trình này cũng giống hư khi máy tính cá nhân (PC) hay bị “treo” khi mở cùng lúc quá nhiều chương trình cùng lúc vậy
Thông thường, để giả địa chỉ IP gói tin, các hacker có thể dùng Raw Sockets (không phải gói tin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc của gói tin Khi một gói tin SYN với IP giả mạo được gửi đến server, nó cũng như bao gói tin khác, vẫn hợp lệ đối với server và server sẽ cấp vùng tài nguyên cho đường truyền này, đồng thời ghi nhận toàn bộ thông tin và gửi gói SYN/ACK ngược lại cho Client Vì địa chỉ IP
Trang 13của client là giả mạo nên sẽ không có client nào nhận được SYN/ACK packet này để hồi đáp cho máy chủ Sau một thời gian không nhận được gói tin ACK từ client, server nghĩ rằng gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, cứ như thế, các kết nối
(connections) tiếp tục mở
Nếu như kẻ tấn công tiếp tục gửi nhiều gói tin SYN đến server thì cuối cùng server
đã không thể tiếp nhận thêm kết nối nào nữa, dù đó là các yêu cầu kết nối hợp lệ Việc không thể phục nữa cũng đồng nghĩa với việc máy chủ không tồn tại Việc này cũng đồng nghĩa với xảy ra nhiều tổn thất do ngưng trệ hoạt động, đặc biệt là trong các giao dịch thương mại điện tử trực tuyến
Trang 14Đây không phải là kiểu tấn công bằng đường truyền cao, bởi vì chỉ cần một máy tính nối Internet qua ngã dial-up đơn giản cũng có thể tấn công kiểu này (tất nhiên sẽ lâu hơn chút).
1.5.2 Lợi dụng tài nguyên của nạn nhân để tấn công
- Tương tự như SYN flood
- Nhưng hacker sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn trong gói tin
- Đẩy mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nó UDP flood
Trang 15- Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính mụctiêu cần tấn công hoặc của một máy tính trong cùng mạng
- Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi và nhận các góitin echo trên 2 máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback), khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng, và cản trở hoạt động chia sẻ tài nguyên mạng của các máy tính khác trong mạng
1.5.3 Sử dụng băng thông- DDoS (Distributed Denial of Service)
Xuất hiện vào mùa thu 1999, so với tấn công DoS cổ điển, sức mạnh của DDoS cao hơn gấp nhiều lần Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băngthông (bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt động Đây là phương pháp tấn công hiện đại có sự kết hợp của nhiều tầng tính toán phân tán Khác biệtđáng chú ý trong phương pháp tấn công này là nó bao gồm hai giai đoạn khác nhau Giai đoạn đầu tiên, thủ phạm bố trí các máy tính phân tán trên Internet và cài đặt các phần mềm chuyên dụng trên các máy chủ để hỗ trợ tấn công Giai đoạn thứ hai, máy tính bị xâm nhập (được gọi là Zombie) sẽ cung cấp thông tin qua kẻ trung gian (được gọi là Master) để bắt đầu cuộc tấn công Để thực hiện thì kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính/mạng máy tính trung gian (đóng vai trò zombie) từ nhiều nơi
để đồng loạt gửi ào ạt các gói tin (packet) với số lượng rất lớn nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác định nào đó Một cuộc tấn công DDoS cần phải được chuẩn bị kỹ lưỡng bởi kẻ tấn công Trước tiên là bước chiếm dụng các máy khác làm lực lượng cho bản thân Việc này được thực hiện bằng cách tìm máy dễ bị tổn thương, sau đó đột nhập vào chúng, và cài đặt mã tấn công Tiếp theo đó,
kẻ tấn công thiết lập các kênh giao tiếp giữa các máy, để chúng có thể được kiểm soát và tham gia cuộc tấn công một cách có phối hợp Việc này được thực hiện bằng cách sử dụng một kiến trúc handler/agent hoặc một điều khiển và kênh điều khiển thông qua mạng IRC Một khi các mạng DDoS được xây dựng, nó có thể được sử dụng để tấn công nhiều lần, chống lại các mục tiêu khác nhau
Trang 16Theo cách này thì dù băng thông có bao nhiêu đi chăng nữa thì cũng không thể chịu đựng được số lượng hàng triệu các gói tin đó nên hệ thống không thể hoạt động được nữa và như thế dẫn đến việc các yêu cầu hợp lệ khác không thể nào được đáp ứng, server sẽ bị “đá văng” khỏi internet
Nói nôm na là nó giống như tình trạng kẹt xe vào giờ cao điểm vậy Ví dụ rõ nhất
là sự “cộng hưởng” trong lần truy cập điểm thi đại học vừa qua khi có quá nhiều máy tínhyêu cầu truy cập cùng lúc làm dung lượng đường truyền hiện tại của máy chủ không tài nào đáp ứng nổi
Ngoài ra, với kiểu tấn công như vậy sẽ giấu đi thông tin của kể tấn công thực sự: chính là kẻ đưa ra các lệnh điều khiển cho các Zombie Mô hình đa cấp của các cuộc tấn công DDoS cộng với khả năng giả mạo của các gói tin và mã hóa thông tin đã gây nhiều khó khăn cho quá trình tìm kiếm, phát hiện kẻ tấn công thực sự
Hiện nay, đã xuất hiện dạng virus/worm có khả năng thực hiện các cuộc tấn công DDoS.Khi bị lây nhiễm vào các máy khác, chúng sẽ tự động gửi các yêu cầu phục vụ đến
Trang 17một mục tiêu xác định nào đó vào thời điểm xác định để chiếm dụng băng thông hoặc tài nguyên hệ thống máy chủ Trường hợp của MyDoom là ví dụ tiêu biểu cho kiểu này Một cuộc tấn công DDoS cần phải được chuẩn bị kỹ lưỡng bởi kẻ tấn công Trước tiên là bước chiếm dụng các máy khác làm lực lượng cho bản thân Việc này được thực hiện bằng cách tìm máy dễ bị tổn thương, sau đó đột nhập vào chúng, và cài đặt mã tấn công Tiếp theo đó, kẻ tấn công thiết lập các kênh giao tiếp giữa các máy, để chúng có thểđược kiểm soát và tham gia cuộc tấn công một cách có phối hợp Việc này được thực hiện bằng cách sử dụng một kiến trúc handler/agent hoặc một điều khiển và kênh điều khiển thông qua mạng IRC Một khi các mạng DDoS được xây dựng, nó có thể được sử dụng để tấn công nhiều lần, chống lại các mục tiêu khác nhau.
1.5.4 Sử dụng nguồn tài nguyên khác
Trang 18- Kiểu tấn công này cần một hệ thống rất quan trọng là mạng khuyếch đại
Hacker dùng địa chỉ của máy tính cần tấn công để gửi gói tin ICMP echo cho toàn
bộ mạng (broadcast) Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn tấn công Kết quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy
- Trong mạng chuyển mạch gói, dữ liệu được chia thành nhiều gói tin nhỏ, mỗi gói tin có một giá trị offset riêng và có thể truyền đi theo nhiều con đường khác nhau để tới đích Tại đích, nhờ vào giá trị offset của từng gói tin mà dữ liệu lại được kết hợp lại như ban đầu Lợi dụng điều này, hacker có thể tạo ra nhiều gói tin có giá trị offset trùng lặp nhau gửi đến mục tiêu muốn tấn công Kết quả là máy tính đích không thể sắp xếp được những gói tin này và dẫn tới bị treo máy vì bị "vắt kiệt" khả năng xử lý
- Lợi dụng việc cấu hình thiếu an toàn như việc không xác thực thông tin trong việc gửi/nhận bản tin cập nhật (update) của router mà kẻ tấn công sẽ thay đổi trực tiếp hoặc
từ xa các thông tin quan trọng này khiến cho những người dùng hợp pháp không thể sử dụng dịch vụ
- Lợi dụng quyền hạn của chính bản thân kẻ tấn công đối với các thiết bị trong hệ thống mạng để tiếp cận phá hoại các thiết bị phần cứng như router, switch…
- Ngoài ra còn có kiểu tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS
(Distributed Reflection Denial of Service)
Xuất hiện vào đầu năm 2002, là kiểu tấn công mới nhất, mạnh nhất trong họ DoS Nếu được thực hiện bởi kẻ tấn công có tay nghề thì nó có thể hạ gục bất cứ hệ thống nào trên thế giới trong phút chốc
Mục tiêu chính của DRDoS là chiếm đoạt toàn bộ băng thông của máy chủ, tức là làm tắc nghẽn hoàn toàn đường kết nối từ máy chủ vào xương sống của Internet và tiêu hao tài nguyên máy chủ Trong suốt quá trình máy chủ bị tấn công bằng DRDoS, không