Đang tải... (xem toàn văn)
Botnet có thể được dùng cho nhiều mục đích khác nhau, do mạng botnet là một mạng tập hợp của rất rất nhiều máy tính, nên hacker có thể dùng bonet để thực hiện các cuộc tấn công từ chối[r]
(1)TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO THỰC TẬP TỐT NGHIỆP
Đề tài: Nghiên cứu công từ chối dịch vụ (DDOS) phương pháp cơng phịng cơng
Giáo Viên Hướng Dẫn: Th.s Nguyễn Tuấn Tú Sinh Viên Thực Tập
Lớp: CNTT1-K16
Hà Nội, 2017
(2)Chương 1: Tổng quan DDos
1.1: DDos gì:
1.2: Phân loại công DDos
1.3 : Mục tiêu công từ chối dịch vụ
Chương 2:Các phương pháp công DDos 11
2.1: Botnets 11
2.2: Mục đích sử dụng mạng Botnets 11
2.3: Botnet điều khiển nào? 14
2.4: Các bước xây dựng mạng Botnets 16
2.5: Cách phân tích mạng Bot 17
2.6: Các dấu hiệu nhận biết máy tính bị nhiễm virus 18
2.7: Mơ hình cơng 19
2.8: Kỹ thuật tìm kiếm lỗ hổng 22
Chương 3:Các phương pháp phịng cơng 38
3.1: Biện pháp ngăn chặn 38
3.2: Giai đoạn ngăn ngừa 40
3.3: Giai đoạn đối đầu với công 41
3.4: Giai đoạn sau cơng DDos 41
Chương 4: Các ví dụ công DDos 42
4.1: Tấn công Smurf 42
4.2: Tấn công Buffer overflow 45
4.3: Tấn công Ping of Death 45
4.4: Tấn công Teardrop 47
(3)Chương 1: Tổng quan DDos
1.1: DDos gì:
DDoS (Distributed Denial of Service Attack) nhiều máy tính nhiều hệ thống máy tính yêu cầu tài nguyên máy đích làm cho máy đích khơng đủ tài ngun để phục vụ, hậu treo (mất khả phục vụ) khởi động lại
Hacker thường công từ chối dịch vụ thường nhắm vào trang tin tức mạng hay máy chủ ngân hàng, cổng tốn thẻ tín dụng v.v
Hình 1.1: Cách thức DDos hoạt động
Cách thực hiện: Hacker lợi dụng máy chủ Free Proxy thể giới sử dụng BOTNET để điều khiển công, viết tools upload lên diễn đàn để tools tự động gửi yêu cầu tới máy chủ cần công
Hệ thống chống DDOS
Đối với Cloud Server Cloud Desktop cấu hình trực tiếp windows cài soft chống DDOS lên
(4)Chạy HA (High Availability): dự phòng, server gặp vấn đề, server khác active, người dùng không nhận thấy gián đoạn dịch vụ
1.2: Phân loại công DDos
Tấn công vào băng thông mạng
Trong phương pháp kẻ công điều khiển mạng lưới Agent đồng loạt gửi gói tin ICMP hay UDP đến nạn nhân làm cho băng thông mạng nạn nhân bị tải phục vụ Ví dụ trường hợp ICMP flood, nạn nhân phải gửi trả lại gói tin ICMP_REPLY tương ứng Do số lượng Agent gửi đến nạn nhân lớn nên việc gửi lại gói ICMP_REPLY dẫn đến nghẽn mạng Trong trường hợp UDP flood tương tự
Phương pháp công đặc biệt nguy hiểm băng thông mạng nạn nhân bị tải mà ảnh hưởng đến mạng lân cận Hiện nay, với phát triển công cụDdos, hầu hết hỗ trợ giả mạo địa IP
Tấn công vào giao thức
Điển hình phương pháp cơng TCP SYN flood Kẻ cơng lợi dụng q trình bắt tay bước giao thức TCP Kẻ công liên tục khởi tạo kết nối TCP Nạn nhân tiến hành gửi lại trả lời với SYN ACK để chờ ACK từ phía máy khách
Tuy nhiên, kẻ công không gửi ACK đến nạn nhân hay nói cách khác khơng làm trình bắt tay bước Cứ vậy, nạn nhân tốn nhiều tài nguyên nhớ để chờ phiên TCP Do nạn nhân phục vụ tốn nhớ đề chờ kết nối ảo kẻ công khởi tạo
Tấn cơng gói tin khác thường
(5)Kết hệ thống khơng thể xử lý tình trạng bất thường bị treo Một trường hợp khác công Lan Attack Kẻ công gửi gói tin TCP SYN có địa nguồn, địa đích số cổng giống Nạn nhân liên tục khởi tạo kết nối với Do hệ thống bị treo bị chậm lại
Tấn công qua phần mềm trung gian
Trong phương pháp công này, kẻ công sử dụng phần mềm hợp lệ máy nạn nhân Khai thác số thuật toán tiến hành đưa tham số trường hợp xấu Do vậy, máynạn nhân phải xử lý trình bị treo Đây phương pháp cơng đơn giản lại có hiệu cao Nhưng nguy hiểm kẻ công đột nhập vào máy nạn nhân để ăn cắp thông tin cá nhân nạn nhân
Một số công cụ công dùng Proxy
Trinoo
Trinoo cho phép kẻ cơng kiểm sốt số máy để u cầu gửi đồng loạt gói tin UDP làm tê liệt mục tiêu Master Trinoo điều khiển deamon trinoo như:
Đồng loạt gửi gói tin UDP Dừng việc gửi gói tin
Thay đổi cấu hình deamon trinoo
(6)Hình 1.2: Cơng cụ cơng Proxy Flood Network (TFN)
TFN công cụ công vào băng thông TFN hỗ trợ công kỹ thuật ICMP flood, UD.2 TribeP flood, TCP SYN flood Hiên tại, TFN hỗ trợ việc giả mạo địa IP Hoạt động hầu hết hệ điều hành DDos
Trinity
Có thể nói Trinity cơng cụ nguy hiểm Nó có khả cơng với hầu hết kỹ thuật UDP, SYN số dạng flood khác Tuy nhiên cịn kết nối internet thông qua mạng Relay Chat (IRC) AOL’s ICQ Trinity thường sử dụng cổng 6667 chương trình backdoor lắng nghe cổng 33270 qua kết nối TCP
Knight
(7)Kaiten
Kaiten biến thể Knight Kaiten hỗ trợ kỹ thuật công UDP flood, TCP flood, SYN Có khả giả mạo địa IP Kaiten công cụ sử dụng mơ hình IRC-Based
Và số cơng cụ khác
MASTER HTTP
Hình 1.3: Master Http
LOIC (sourceforge.net/projects/loic/)
(8) 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) viết Phifli
Tháng – 1999 Trang chủ FBI ngừng họat động công (DDOS)
Tháng – 1999 Mạng Trinoo cài đặt kiểm tra 2000 hệ thống Cuối tháng đầu tháng năm 1999, Tribal Flood Network đời Cuối
tháng năm 1999
Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington làm phân tích cơng cụ cơng từ chối dịch vụ
Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 ( TFN2K )
– -2000 Yahoo! ( Một trung tâm tiếng ) bị công từ chối dịch vụ ngưng trệ hoạt động vòng đồng hồ Web site Mail Yahoo GeoCities bị công từ 50 địa IP khác với nhửng yêu cầu chuyễn vận lên đến gigabit/s
8-2 nhiều Web site lớn Buy.com, Amazon.com, eBay, Datek, MSN, CNN.com bị công từ chối dịch vụ
Lúc tối ngày 9-2/2000 Website Excite.com đích vụ công từ chối dịch vụ, liệu luân chuyễn tới tấp vòng kết thúc, gói liệu hư hỏng nặng
Qua ta thấy rõ vụ công từ chối dịch vụ (Denial Of Services Attack ) công việc gửi nhửng gói liệu tới máy chủ (Flood Data Of Services Attack) tới tấp mối lo sợ cho nhiều mạng máy tính lớn nhỏ
(9)server dung lượng ổ cứng, nhớ, CPU, băng thông … Lượng tài nguyên tùy thuộc vào khả huy động công Hacker Khi Server khơng thể đáp ứng hết yêu cầu từ client người sử dụng từ server nhanh chóng bị ngừng hoạt động, crash reboot
Tấn cơng từ chối dịch vụ có nhiều dạng Ping of Death, Teardrop, Aland
Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS
1.3 : Mục tiêu công từ chối dịch vụ
Làm tiêu tốn tài nguyên hệ thống,có thể làm hết băng thong,đầy dung lượng lưu trữ đĩa tăng thời gian xử lý
Phá vỡ thành phần vật lý mạng máy tính Làm tắc nghẽn thơng tin liên lạc bên bên ngồi Phá vỡ thơng tin cấu thơng tin định tuyến
Phá vỡ trạng thái thông tin việc tự động reset lại phiên TCP
Làm tải lực xử lý,dẫn đến hệ thống thực thi công việc khác
Những lỗi gọi tức microcode máy tính
Những lỗi gọi tức chuỗi thị,dẫn đến máy tính rơi vào tình trạng hoạt động không ổn định bị
Những lỗi khai thác hệ điều hành dẫn đến việc thiếu thốn tài nguyên bị tharshing.Ví dụ sử dụng tất lực có sẵn dẫn đến khơng cơng việc thực tế hoàn thành
Gây crash hệ thống
(10)(11)Chương 2:Các phương pháp cơng DDos
2.1: Botnets gì
Botnet mạng máy tính tạo lập từ máy tính mà hacker điều khiển từ xa Các máy tính mạng botnet máy bị nhiễm malware bị hacker điều khiển Một mạng botnet có tới hàng trăm ngàn, chí hàng triệu máy tính
Nếu máy tính bạn thành phần mạng botnet, có nghĩa bị nhiễm số loại malware (như virus, sâu máy tính ) Hacker tạo mạng sử dụng, điều khiển hàng trăm ngàn máy tính nạn nhân để phục vụ cho mục đích riêng chúng
2.2: Mục đích sử dụng mạng Botnets