1. Trang chủ
  2. » Công Nghệ Thông Tin

Tìm hiểu về kỹ thuật tấn công từ chối dịch vụ DoS

18 256 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Nội dung

LỜI NÓI ĐẦU Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào có hệ thống mạng dù lớn hay nhỏ. Hiện nay, các hacker trong và ngoài nước luôn tìm cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ. Những thông tinnhạy cảm thường ảnh hưởng tới sống còn của công ty. Chính vì vậy, các nhà quản trịmạng luôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và cố gắng hoàn thiệnhệ thống mình để bớt lỗ hổng. Tuy nhiên, một kiểu tấn công rất cổ điển là tấnncông từ chối dịch vụ chưa bao giờ mất đi tính nguy hiểm đối với hệ thống mạng. Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục. DoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàn cuộc tấn công. Với yêu cầu cấp thiết như vậy, nhóm em xin trình bày về đề tài “Tìm hiểu về kỹ thuật tấn công từ chối dịch vụ DoS” . Mục đích giúp mọi người có thể hiểu được các kiểu tấn công và từ đó đưa ra cách phòng chống Dos   MỤC LỤC I.Tấn Công Mạng4 1.Tấn công mạng là gì?4 2.Mục đích của tấn công mạng4 II.Tấn công từ chối dịch vụ DOS5 1.Giới thiệu về DOS5 2.Các mục đích của tấn công DOS5 3.Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS6 4.Dấu hiệu khi bị tấn công DoS6 5.Hậu quả khi bị tấn công Dos6 III.Các kỹ thuật tấn công DOS cơ bản7 1.Winnuke7 2.Ping of death8 3.Teardrop9 4.SYN Attack10 5.Land Attack11 IV.CÁCH PHÒNG CHỐNG DOS12 1.Cách phòng chống ở các máy bị tấn công12 2.Phát hiện tiềm năng tấn công12 3.Cách làm giảm các cuộc tấn công13 V.Demo tấn công mạng DOS14 1.1Tài nguyên14 1.2Triển khai14 1.3Phòng thủ15 VI.Tài liệu tham khảo18   I.Tấn Công Mạng 1.Tấn công mạng là gì? -Tấn công mạng là hình thức tấn công xâm nhập vào một hệ thống mạng máy tính, cơ sở dữ liệu, hạ tầng mạng, website, thiết bị của một cá nhân hoặc một tổ chức nào đó. -Các hình thức tấn công mạng: oTấn công mạng (penetration testing) là phương pháp Hacker mũ trắng xâm nhập vào một hệ thống mạng, thiết bị, website để tìm ra những lỗ hổng, các nguy cơ tấn công nhằm bảo vệ cá nhân hoặc tổ chức. oTấn công mạng (network attack) là hình thức, kỹ thuật Hacker mũ đen tấn công vào một hệ thống để thay đổi đối tượng, lấy cắp dữ liệu hoặc tống tiền. 2.Mục đích của tấn công mạng -Sử dụng trái phép tài khoản người dùng và đặc quyền -Đánh cắp phần cứng -Đánh cắp phần mềm -Chạy mã độc hại làm cho các hệ thống bị thiệt hại -Chạy mã độc hại và chiếm đoạt dữ liệu -Đánh cắp hoặc sửa đổi dữ liệu được lưu trữ -Sử dụng dữ liệu cho lợi ích tài chính hoặc hoạt động gián điệp công nghiệp -Thực hiện các hành động ngăn chặn người dùng hợp pháp có thẩm quyền truy cập vào các dịch vụ mạng và các nguồn lực -Thực hiện hành động để làm cạn kiệt tài nguyên mạng và băng thông.  I.Tấn công từ chối dịch vụ DOS 1.Giới thiệu về DOS -Denial Of Services Attack (tấn công từ chối dịch vụ ) là kiểu tấn công rất lợi hại, với loại tấn công này, bạn chỉ cần một máy tính kết nối Internet là đã có thể thực hiện việc tấn công được máy tính của đối phương . -Thực chất của DoS attack là hacker sẽ chiếm dụng một lượng lớn tài nguyên trên server ( tài nguyên đó có thể là băng thông, bộ nhớ, cpu, đĩa cứng, ... ) làm cho server không thể nào đáp ứng các yêu cầu từ các máy của nguời khác ( máy của những người dùng bình thường ) và server có thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot. 2.Các mục đích của tấn công DOS -Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường. -Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ. -Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó -Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào. -Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị: oDisable Network - Tắt mạng oDisable Organization - Tổ chức không hoạt động oFinancial Loss – Tài chính bị mất  3.Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài nguyên chúng thường sử dụng để tấn công là gì: oBăng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS. oTấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp. Bạn thử tưởng tượng khi nguồn điện vào máy chủ web bị ngắt thì người dùng có thể truy cập vào máy chủ đó không. oPhá hoại hoặc thay đổi các thông tin cấu hình. 4.Dấu hiệu khi bị tấn công DoS -Thông thường thì hiệu suất mạng sẽ rất chậm -Không thể sử dụng internet. -Không truy cập được bất kỳ website nào -Tăng lượng thư rác nhanh chóng. 5.Hậu quả khi bị tấn công Dos -Làm giảm băng thông (tốc độ đường truyền mạng) -Làm hư hỏng phần vật lý của mạng máy tính -Không thể kết nối với thông tin bên ngoài mạng nội bộ -Phá vỡ cấu hình thông tin định tuyến -Máy tính, PC bị chậm chờn, đơ, không hoạt động bình thường -Có thể bị tắc nghẽn mạng trầm trọng nếu nhiễm Dos   II.Các kỹ thuật tấn công DOS cơ bản 1.Winnuke DoS attack loại này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x. Hacker sẽ gởi các gói tin với dữ liệu "Out of Band" đến cổng 139 của máy tính đích.( Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các gói tin có cờ Out of Band được bật ). Khi máy tính của victim nhận được gói tin này, một màn hình xanh báo lỗi sẽ được hiển thị lên với nạn nhân do chương trình của Windows nhận được các gói tin này nhưng nó lại không biết phản ứng với các dữ liệu Out Of Band như thế nào dẫn đến hệ thống sẽ bị crash .   2.Ping of death Tấn công Ping of Death (hay PoD) có thể làm tê liệt cả mạng lưới dựa trên lỗ hổng của hệ thống TCP/IP. Kích thước tối đa cho 1 gói dữ liệu là 65,535 bytes. Nếu ta gửi các gói tin lớn hơn nhiều so với kích thước tối đa thông qua lệnh “ping” đến máy đích thì sẽ làm máy tính đích bị treo. Nhưng gửi 1 gói tin lớn hơn kích thước quy định là điều trái với luật của giao thức TCP/IP,vì vậy Hacker đã khéo léo gửi các gói tin trên các đoạn phân mảnh. Khi máy tính victim ráp các phân mảnh dữ liệu thì sẽ nhận thấy gói tin quá lớn. Điều này sẽ gây ra lỗi tràn bộ đệm và treo các thiết bị. Nhưng đến nay thì hầu hết các thiết bị được sản xuất sau năm 1998 đã miễn dịch với loại tấn công này.   3.Teardrop Như ta đã biết , tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình : dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu . Lợi dụng sơ hở đó , ta chỉ cần gởi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn ! 4.SYN Attack Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ IP nguồn không có thực. Hệ thống đích khi nhận được các SYN packets này sẽ gởi trở lại các địa chỉ không có thực đó và chờ đợi để nhận thông tin phản hồi từ các địa chỉ IP giả . Vì đây là các địa chỉ IP không có thực, nên hệ thống đích sẽ sẽ chờ đợi vô ích và còn đưa các "request"chờ đợi này vào bộ nhớ , gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi thông tin phản hồi không có thực này . Nếu ta gởi cùng một lúc nhiều gói tin có địa chỉ IP giả như vậy thì hệ thống sẽ bị quá tải dẫn đến bị crash hoặc boot máy tính . Một cách để ngăn ngừa kiểu tấn công SYN attack là đơn giản loại bỏ các gói TCP header trong đó chỉ có cờ SYN được thiết lập. Nói cách khác, loại bỏ tất cả các gói tin đầu tiên trong một kết nối TCP mới. Trong nhiều trường hợp, một router không nên cho phép các kết nối TCP được thiết lập bởi client. Trong trường hợp này, việc lọc các TCP segment ban đầu giúp ngăn ngừa SYN attack. 5.Land Attack

VIỆN ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO BÀI TẬP LỚN MÔN: AN NINH MẠNG MÁY TÍNH Đề tài : Tìm hiểu kỹ thuật công từ chối dịch vụ DoS Giảng viên hướng dẫn: T.s Nguyễn Đức Tuấn Sinh viên thực hiện: Nhóm : Ngô Tuấn Thành – 15A06 Nguyễn Vương Tài Mẫn – 15A06 Hà Nội - 2019 LỜI NÓI ĐẦU Bảo mật an ninh mạng đặt lên hàng đầu với cơng ty có hệ thống mạng dù lớn hay nhỏ Hiện nay, hacker ngồi nước ln tìm cách cơng xâm nhập hệ thống để lấy thông tin nội Những thông tinnhạy cảm thường ảnh hưởng tới sống cơng ty Chính vậy, nhà quản trịmạng ln cố gắng bảo vệ hệ thống tốt cố gắng hồn thiệnhệ thống để bớt lỗ hổng Tuy nhiên, kiểu công cổ điển tấnncông từ chối dịch vụ chưa tính nguy hiểm hệ thống mạng Hậu mà DoS gây không tiêu tốn nhiều tiền bạc, công sức mà nhiều thời gian để khắc phục DoS vấn đề nan giải chưa có biện pháp chống hồn tồn cơng Với u cầu cấp thiết vậy, nhóm em xin trình bày đề tài “Tìm hiểu kỹ thuật cơng từ chối dịch vụ DoS” Mục đích giúp người hiểu kiểu cơng từ đưa cách phòng chống Dos MỤC LỤC I Tấn Công Mạng Tấn cơng mạng gì? Mục đích công mạng II Tấn công từ chối dịch vụ DOS Giới thiệu DOS Các mục đích cơng DOS Mục tiêu mà kẻ công thường sử dụng công DoS Dấu hiệu bị công DoS Hậu bị công Dos III Các kỹ thuật công DOS Winnuke Ping of death Teardrop SYN Attack 10 Land Attack .11 IV CÁCH PHÒNG CHỐNG DOS 12 Cách phòng chống máy bị cơng .12 Phát tiềm công 12 Cách làm giảm công .13 V Demo công mạng DOS 14 1.1 Tài nguyên 14 1.2 Triển khai 14 1.3 Phòng thủ 15 VI Tài liệu tham khảo .18 I Tấn Cơng Mạng Tấn cơng mạng gì? - Tấn cơng mạng hình thức cơng xâm nhập vào hệ thống mạng máy tính, sở liệu, hạ tầng mạng, website, thiết bị cá nhân tổ chức - Các hình thức công mạng: o Tấn công mạng (penetration testing) phương pháp Hacker mũ trắng xâm nhập vào hệ thống mạng, thiết bị, website để tìm lỗ hổng, nguy công nhằm bảo vệ cá nhân tổ chức o Tấn công mạng (network attack) hình thức, kỹ thuật Hacker mũ đen cơng vào hệ thống để thay đổi đối tượng, lấy cắp liệu tống tiền Mục đích công mạng - Sử dụng trái phép tài khoản người dùng đặc quyền - Đánh cắp phần cứng - Đánh cắp phần mềm - Chạy mã độc hại làm cho hệ thống bị thiệt hại - Chạy mã độc hại chiếm đoạt liệu - Đánh cắp sửa đổi liệu lưu trữ - Sử dụng liệu cho lợi ích tài hoạt động gián điệp công nghiệp - Thực hành động ngăn chặn người dùng hợp pháp có thẩm quyền truy cập vào dịch vụ mạng nguồn lực - Thực hành động để làm cạn kiệt tài nguyên mạng băng thông I Tấn công từ chối dịch vụ DOS Giới thiệu DOS - Denial Of Services Attack (tấn công từ chối dịch vụ ) kiểu công lợi hại, với loại công này, bạn cần máy tính kết nối Internet thực việc cơng máy tính đối phương - Thực chất DoS attack hacker chiếm dụng lượng lớn tài nguyên server ( tài ngun băng thơng, nhớ, cpu, đĩa cứng, ) làm cho server đáp ứng yêu cầu từ máy nguời khác ( máy người dùng bình thường ) server nhanh chóng bị ngừng hoạt động, crash reboot Các mục đích cơng DOS - Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập (flood), hệ thống mạng khơng có khả đáp ứng dịch vụ khác cho người dùng bình thường - Cố gắng làm ngắt kết nối hai máy, ngăn chặn trình truy cập vào dịch vụ - Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ - Cố gắng ngăn chặn dịch vụ khơng cho người khác có khả truy cập vào - Khi công DoS xảy người dùng có cảm giác truy cập vào dịch vụ bị: o Disable Network - Tắt mạng o Disable Organization - Tổ chức không hoạt động o Financial Loss – Tài bị Mục tiêu mà kẻ công thường sử dụng công DoS Như biết bên công DoS xảy kẻ công sử dụng hết tài nguyên hệ thống hệ thống đáp ứng cho người dùng bình thường tài nguyên chúng thường sử dụng để cơng gì: o Băng thông hệ thống mạng (Network Bandwidth), nhớ, ổ đĩa, CPU Time hay cấu trúc liệu mục tiêu công DoS o Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hồ, hệ thống điện, hệt hống làm mát nhiều tài nguyên khác doanh nghiệp Bạn thử tưởng tượng nguồn điện vào máy chủ web bị ngắt người dùng truy cập vào máy chủ khơng o Phá hoại thay đổi thơng tin cấu hình Dấu hiệu bị cơng DoS - Thơng thường hiệu suất mạng chậm - Không thể sử dụng internet - Không truy cập website - Tăng lượng thư rác nhanh chóng Hậu bị công Dos - Làm giảm băng thông (tốc độ đường truyền mạng) - Làm hư hỏng phần vật lý mạng máy tính Khơng thể kết nối với thơng tin bên ngồi mạng nội Phá vỡ cấu hình thơng tin định tuyến Máy tính, PC bị chậm chờn, đơ, khơng hoạt động bình thường Có thể bị tắc nghẽn mạng trầm trọng nhiễm Dos - II Các kỹ thuật công DOS Winnuke DoS attack loại áp dụng cho máy tính chạy Windows9x Hacker gởi gói tin với liệu "Out of Band" đến cổng 139 máy tính đích.( Cổng 139 cổng NetBIOS, cổng chấp nhận gói tin có cờ Out of Band bật ) Khi máy tính victim nhận gói tin này, hình xanh báo lỗi hiển thị lên với nạn nhân chương trình Windows nhận gói tin lại khơng biết phản ứng với liệu Out Of Band dẫn đến hệ thống bị crash Ping of death Tấn công Ping of Death (hay PoD) làm tê liệt mạng lưới dựa lỗ hổng hệ thống TCP/IP Kích thước tối đa cho gói liệu 65,535 bytes Nếu ta gửi gói tin lớn nhiều so với kích thước tối đa thơng qua lệnh “ping” đến máy đích làm máy tính đích bị treo Nhưng gửi gói tin lớn kích thước quy định điều trái với luật giao thức TCP/IP,vì Hacker khéo léo gửi gói tin đoạn phân mảnh Khi máy tính victim ráp phân mảnh liệu nhận thấy gói tin q lớn Điều gây lỗi tràn đệm treo thiết bị Nhưng đến hầu hết thiết bị sản xuất sau năm 1998 miễn dịch với loại công Teardrop Như ta biết , tất liệu chuyển mạng từ hệ thống nguồn đến hệ thống đích phải trải qua q trình : liệu chia thành mảnh nhỏ hệ thống nguồn, mảnh phải có giá trị offset định để xác định vị trí mảnh gói liệu chuyển Khi mảnh đến hệ thống đích, hệ thống đích dựa vào giá trị offset để xếp mảnh lại với theo thứ tự ban đầu Lợi dụng sơ hở , ta cần gởi đến hệ thống đích loạt gói packets với giá trị offset chồng chéo lên Hệ thống đích khơng thể xếp lại packets này, khơng điều khiển bị crash, reboot ngừng hoạt động số lượng gói packets với giá trị offset chồng chéo lên lớn ! SYN Attack Trong SYN Attack, hacker gởi đến hệ thống đích loạt SYN packets với địa IP nguồn khơng có thực Hệ thống đích nhận SYN packets gởi trở lại địa khơng có thực chờ đợi để nhận thơng tin phản hồi từ địa IP giả 10 Vì địa IP khơng có thực, nên hệ thống đích sẽ chờ đợi vơ ích đưa "request"chờ đợi vào nhớ , gây lãng phí lượng đáng kể nhớ máy chủ mà phải dùng vào việc khác thay cho phải chờ đợi thông tin phản hồi thực Nếu ta gởi lúc nhiều gói tin có địa IP hệ thống bị tải dẫn đến bị crash boot máy tính Một cách để ngăn ngừa kiểu công SYN attack đơn giản loại bỏ gói TCP header có cờ SYN thiết lập Nói cách khác, loại bỏ tất gói tin kết nối TCP Trong nhiều trường hợp, router không nên cho phép kết nối TCP thiết lập client Trong trường hợp này, việc lọc TCP segment ban đầu giúp ngăn ngừa SYN attack Land Attack Land Attack gần giống SYN Attack, thay dùng địa IP khơng có thực, hacker dùng địa IP hệ thống nạn nhân Điều tạo nên vòng lặp vơ tận 11 hệ thống nạn nhân đó,giữa bên cần nhận thơng tin phản hồi bên chẳng gởi thơng tin phản hồi III CÁCH PHỊNG CHỐNG DOS Cách phòng chống máy bị cơng - Cài đặt phần mềm anti-virus, anti-Trojan cập nhập - Tăng nhận thức vấn đề bảo mật kỹ thuật ngăn chặn người sử dụng từ tất nguồn internet - Tắt dịch vụ không cần thiết, gỡ bỏ ứng dụng không sử dụng, quét tất files nhận từ nguồn bên - Cấu hình thường xuyên cập nhập xây dựng cấu phòng thủ lõi phần cứng phần mềm hệ thống Phát tiềm công - Bộ lọc xâm nhâp: Bảo vệ từ công tràn ngập có nguồn gốc từ tiền tố hợp lệ Nó cho phép người khởi tạo truy tìm nguồn gốc thực - Bộ lọc ra: Quét header gói tin gói tin IP mạng Bộ lọc không chứng thực lưu lượng nguy hiểm không khỏi mạng bên - Ngắt TCP: Cấu hình ngắt TCP ngăn ngừa cơng cách ngắt yêu cầu kết nối TCP hợp lệ 12 Cách làm giảm công - Nhà cung cấp tăng băng thông kết nối quan trọng để ngăn ngừa giảm xuống công - Nhân máy chủ cung cấp thêm bảo vệ an toàn - Cân tải cho server cấu trúc nhiều server cải tiến hiệu suất bình thường giảm ảnh hưởng công DoS - Thiết lập cách thức router truy cập server với điều chỉnh logic lưu lượng vào tới mức độ an toàn để server xử lý 13 IV Demo công mạng DOS 1.1 Tài nguyên - M1 (máy công) : 192.168.136.137/Kali Linux - M2 (máy bị công) : 192.168.136.133/Kali Linux 1.2 Triển khai - Máy cơng sử dụng cơng cụ có sẵn Kali Linux Hping3 để công gây lụt gói tin TCP : - -V : hiển thị thơng số -c : số lượng gói tin -d : kích cỡ gói tin -S : cờ flag SYN 14 - Khi bị công, máy bị công bị chiếm băng thông làm hệ thống mạng bị ngập (flood) - Tấn công làm tiêu thụ tài nguyên máy để xử lý gói tin đến 1.3 Phòng thủ - Khi bị cơng, sử dụng cơng cụ Wireshark để bắt gói tin di chuyển mạng 15 Source : IP nguồn (kẻ cơng) Destination : IP đích (kẻ bị công) Protocol : giao thức Length : độ dài gói tin - Khi xác định địa IP kẻ công Chúng ta sử dụng iptables thêm luật để ngăn chặn công : -A : thêm luật (append) -s : địa IP cần chặn -j : chuyển packet đến target DROP : thả packet ( không hồi âm cho client) 16 - Kết sau cấu hình iptables Chúng ta thấy máy khơng gửi gói tin - Nhưng nhược điểm nhận gói tin mà kẻ công gửi tới 17 V Tài liệu tham khảo - https://vi.wikipedia.org/wiki/Tấn_công_từ_chối_dịch_vụ - https://www.paloaltonetworks.com/cyberpedia/what-is-a-denialof-service-attack-dos - https://quantrimang.com/tim-hieu-ve-tan-cong-tu-choi-dich-vudos-34926 - https://securitydaily.net/tim-hieu-ve-tan-cong-tu-choi-dich-vudos/ - 18

Ngày đăng: 07/06/2019, 11:33

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w