Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS MỤC LỤC PHẦN I: TỔNG QUAN I TỔNG QUAN AN TOÀN MẠNG VÀ TẤN CÔNG MẠNG I.1 Nguy đe doạ an ninh, an tồn thơng tin I.2 Những vấn đề đảm bảo an ninh an toàn mạng I.3 Đối tượng công mạng I.4 Các lỗ hổng bảo mật phương thức công mạng II GIỚI THIỆU KỸ THUẬT TẤN CÔNG DOS/DDOS .6 II.1 Khái niệm kỹ thuật công DoS/DDoS .6 II.2 Lịch sử công phát triển DoS/DDoS II.3 Tác hại công DoS/DDoS hệ thống mạng II.4 Phạm vi nghiên cứu đề tài niên luận PHẦN II: CƠ SỞ LÝ THUYẾT 10 I LÝ THUYẾT VỀ TẤN CÔNG TRÊN MẠNG .10 II LÝ THUYẾT VỀ LOẠI HÌNH TẦN CƠNG TRÊN MẠNG 10 III LÝ THUYẾT VỀ KỸ THUẬT TẤN CÔNG DDOS .11 III Khái niệm kỹ thuật công DDoS .11 III.2 Kiến trúc tổng quan DDoS attack-network: 12 III.3 Phân loại công DDoS 14 III.4 Một số công cụ DDoS 15 III.5 Một số đặc tính cơng cụ DdoS attack: 16 PHẦN III: GIẢI QUYẾT VẤN ĐỀ 21 III.1 GIỚI THIỆU CÔNG CỤ TRINOO VÀ CÁCH THỨC HOẠT ĐỘNG 21 III.1.1 Giới thiệu công cụ Trinoo 21 III.1.2 Nguyên lý hoạt động công cụ Trinoo .21 III.2 CÁC BƯỚC THỰC HIỆN TẤN CÔNG MỘT SERVER 24 III.2.1 Tải công cụ Trinoo .24 III.2.2 Biên dịch chạy chương trình 24 III.2.3 Kết nối đến master thực công .27 III.2 KẾT QUẢ ĐẠT ĐƯỢC VÀ ĐÁNH GIÁ CÔNG CỤ TRINOO 31 III.2.1 Kết đạt .31 III.2.2 Đánh giá công cụ Trinoo 32 PHẦN IV: KẾT LUẬN .33 Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS I KẾT QUẢ ĐẠT ĐƯỢC 33 II HẠN CHẾ .33 III HƯỚNG PHÁT TRIỂN 33 IV KẾT LUẬN 33 BẢNG CHÚ THÍCH .35 TÀI LIỆU THAM KHẢO 35 Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS PHẦN I: TỔNG QUAN I TỔNG QUAN AN TỒN MẠNG VÀ TẤN CƠNG MẠNG I.1 Nguy đe doạ an ninh, an tồn thơng tin Máy tính có phần cứng chứa liệu hệ điều hành quản lý, đa số máy tính máy tính cơng ty, doanh nghiệp nối mạng Lan Internet Nếu máy tính, hệ thống mạng bạn không trang bị hệ thống bảo vệ chẳng khác bạn khỏi phòng mà qn khóa cửa, máy tính bạn mục tiêu virus, worms, unauthorized user … chúng cơng vào máy tính hệ thống bạn lúc Vậy an tồn mạng có nghĩa bảo vệ hệ thống mạng, máy tính khỏi phá hoại phần cứng hay chỉnh sửa liệu (phần mềm) mà không cho phép từ người cố ý hay vơ tình An tồn mạng cung cấp giải pháp, sách, bảo vệ máy tính, hệ thống mạng để làm cho người dùng trái phép, phần mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống mạng bạn An tồn thơng tin có mục đích phải tổ chức việc xử lý, ghi nhớ trao đổi thơng tin cho tính cẩn mật, toàn vẹn, sẵn sàng đáng tin cậy bảo đảm mức độ đầy đủ Ngày vấn đề an tồn thơng tin xem quan tâm hàng đầu xã hội, có ảnh hưởng nhiều đến hầu hết ngành khoa học tự nhiên, kỹ thuật, khoa học xã hội kinh tế Mạng Internet mang lại nhiều lợi ích nhiên tiềm ẩn nguy an toàn lớn Các cơng mạng có chủ đích, đối tượng cơng khơng phải vu vơ, cơng có chủ đích đạt mục đích dùng lại gây thiệt hại vơ to lớn, nguy an tồn thơng tin nhiều nguyên nhân, đối tượng công đa dạng… Thiệt hại từ vụ công mạng lớn, đặc biệt thông tin thuộc lĩnh vực kinh tế, an ninh, an ninh-quốc phịng… Do đó, việc xây dựng hàng rào kỹ thuật để ngăn chặn truy cập trái phép trở thành nhu cầu cấp bách hoạt động truyền thông Theo số liệu thống kê trạng mối đe dọa bảo mật Internet lần thứ 19 Symantec công bố, Việt Nam đứng thứ 12 toàn cầu hoạt động đe dọa công mạng Những xu hướng đe dọa bảo mật ngày gia tăng bật mà tổ chức Việt Nam cần quan tâm là: cơng có chủ đích cao cấp, mối đe dọa thiết bị di động, vụ công độc hại cắp liệu Thực tế, nguy an ninh anh toàn mạng máy tính cịn phát sinh từ bên Nguy an ninh từ bên xảy thường lớn nhiều, nguyên nhân người sử dụng có quyền truy nhập hệ thống nắm điểm yếu hệ thống hay vơ tình tạo hội cho đối tượng khác xâm nhập hệ thống Sự phát triển không ngừng lĩnh vực công nghệ thông tin tạo điều kiện thuận lợi cho mặt đời sống xã hội, bên cạnh mặt thuận lợi, có nhiều nguy an tồn, bảo mật thơng tin liệu Đề tài: Tìm hiểu công mạng dùng kỹ thuật DoS/DDoS I.2 Những vấn đề đảm bảo an ninh an tồn mạng Vấn đề liệu: thơng tin lưu trữ hệ thống máy tính cần bảo vệ yêu cầu tính bảo mật, tính tồn vẹn hay tính kịp thời Thơng thường u cầu bảo mật coi yêu cầu quan trọng thông tin lưu trữ mạng Tuy nhiên, thơng tin khơng bí mật, u cầu tính tồn vẹn quan trọng Không cá nhân, tổ chức lãng phí tài nguyên vật chất thời gian để lưu trữ thơng tin mà khơng biết tính đắn thơng tin Vấn đề tài nguyên hệ thống: sau kẻ công làm chủ hệ thống chúng sử dụng máy để chạy chương trình dị tìm mật để công vào hệ thống mạng I.3 Đối tượng công mạng Là đối tượng sử dụng kỹ thuật mạng để dị tìm lỗ hổng bảo mật hệ thống để thực xâm nhập chiếm đoạt thông tin bất hợp pháp Các đối tượng công mạng bao gồm: Hacker: Xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu hệ thống Masquerader: Giả mạo thông tin, địa IP, tên miền, định danh người dùng Eavesdropping: Là đối tượng nghe trộm thông tin mạng để lấy cắp thông tin I.4 Các lỗ hổng bảo mật phương thức công mạng Các loại lỗ hổng bảo mật:  Lỗ hổng loại C: Cho phép thực hình thức cơng theo kiểu DoS (Denial of Services – Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng trệ, gián đoạn hệ thống, không phá hỏng liễu đoạt quyền truy cập hệ thống  Lỗ hổng loại B: Lỗ hổng cho phép người sử dụng có thêm quyền hệ thống mà khơng cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thông tin  Lỗ hổng loại A: Cho phép người ngồi hệ thống truy cập bất hợp pháp vào hệ thống, phá hủy tồn hệ thống Các hình thức cơng mạng phổ biến: Tấn công trực tiếp: Sử dụng máy tính để cơng máy tính khác với mục đích dị tìm mật mã, tên tài khoản tương ứng, … Kẻ cơng sử dụng số chương trình giải mã để giải mã file chứa password hệ thống máy tính nạn nhân Do đó, mật ngắn đơn giản thường dễ bị phát Kỹ thuật đánh lừa (Social Engineering): Đây thủ thuật nhiều hacker sử dụng cho công thâm nhập vào hệ thống mạng máy tính tính đơn giản mà hiệu Kỹ thuật thường sử dụng để lấy cắp mật khẩu, thông tin, công vào phá hủy hệ thống Ví dụ, kỹ thuật đánh lừa Fake Email Login Đề tài: Tìm hiểu công mạng dùng kỹ thuật DoS/DDoS Kỹ thuật công vào vùng ẩn: Những phần bị dấu website thường chứa thông tin phiên làm việc client Các phiên làm việc thường ghi lại máy khách không tổ chức sở liệu máy chủ Vì vậy, người cơng sử dụng chiêu thức View Source trình duyệt để đọc phần đầu từ tìm sơ hở trang Web mà họ muốn cơng Từ đó, cơng vào hệ thống máy chủ Tấn công vào lỗ hổng bảo mật: Hiện, lỗ hổng bảo mật phát nhiều hệ điều hành, web server hay phần mềm khác, Các hãng sản xuất cập nhật vá lỗ hổng đưa phiên sau vá lại lỗ hổng phiên trước Do đó, người sử dụng phải cập nhật thông tin nâng cấp phiên cũ mà sử dụng để tránh hacker lợi dụng điều công vào hệ thống Khai thác tình trạng tràn đệm: Tràn đệm tình trạng xảy liệu gửi nhiều so với khả xử lý hệ thống hay CPU Nếu hacker khai thác tình trạng tràn đệm họ làm cho hệ thống bị tê liệt làm cho hệ thống khả kiểm soát Nghe trộm: Các hệ thống trao đổi thông tin qua mạng không bảo mật tốt lợi dụng điều này, hacker truy cập vào data paths để nghe trộm đọc trộm luồng liệu truyền qua Kỹ thuật giả mạo địa chỉ: Thơng thường, mạng máy tính nối với Internet bảo vệ tường lửa Tường lửa hiểu cổng mà người vào nhà hay phải qua Tường lửa hạn chế nhiều khả cơng từ bên ngồi gia tăng tin tưởng lẫn việc sử dụng tài nguyên chia sẻ mạng nội Kỹ thuật chèn mã lệnh: Một kỹ thuật công sử dụng cho số kỹ thuật công khác chèn mã lệnh vào trang web từ máy khách người công Kỹ thuật chèn mã lệnh: cho phép người công đưa mã lệnh thực thi vào phiên làm việc web người dùng khác Khi mã lệnh chạy, cho phép người công thực nhiều hành vi giám sát phiên làm việc trang web tồn quyền điều khiển máy tính nạn nhân Kỹ thuật công thành công hay thất bại tùy thuộc vào khả linh hoạt người cơng Tấn cơng vào hệ thống có cấu hình khơng an tồn: Cấu hình khơng an tồn lỗ hổng bảo mật hệ thống Các lỗ hổng tạo ứng dụng có thiết lập khơng an tồn người quản trị hệ thống định cấu hình khơng an tồn Chẳng hạn cấu hình máy chủ web cho phép có quyền duyệt qua hệ thống thư mục Việc thiết lập làm lộ thơng tin nhạy cảm mã nguồn, mật hay thông tin khách hàng Tấn công dùng Cookies: Cookie phần tử liệu nhỏ có cấu trúc chia sẻ website trình duyệt người dùng Cookies lưu trữ file liệu nhỏ dạng text (size 4KB) Chúng site tạo để lưu trữ, truy tìm, nhận biết thơng tin người dùng ghé thăm site vùng mà họ qua site Những thông tin bao gồm tên, định danh người dùng, mật khẩu, sở thích, thói quen, Đề tài: Tìm hiểu công mạng dùng kỹ thuật DoS/DDoS Can thiệp vào tham số URL: Đây cách công đưa tham số trực tiếp vào URL Việc cơng dùng câu lệnh SQL để khai thác sở liệu máy chủ bị lỗi Điển hình cho kỹ thuật cơng công lỗi “SQL INJECTION” Kiểu công gọn nhẹ hiệu người công cần công cụ công trình duyệt web backdoor Từ chối dịch vụ: Kiểu công thông thường làm tê liệt số dịch vụ, gọi DOS (Denial of Service - Tấn công từ chối dịch vụ) Các công lợi dụng số lỗi phần mềm hay lỗ hổng bảo mật hệ thống, hacker lệnh cho máy tính chúng gửi yêu cầu đến máy chủ ứng dụng, thường server mạng Các yêu cầu gởi đến liên tục làm cho hệ thống nghẽn mạch số dịch vụ không đáp ứng cho khách hàng thật II GIỚI THIỆU KỸ THUẬT TẤN CÔNG DOS/DDOS II.1 Khái niệm kỹ thuật công DoS/DDoS Một công từ chối dịch vụ (tấn công DoS - Viết tắt Denial of Service) hay công từ chối dịch vụ phân tán (tấn công DDoS - Viết tắt Distributed Denial of Service) kiểu công mà người làm cho hệ thống sử dụng, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống nhằm ngăn chặn người dùng hợp pháp truy nhập tài nguyên mạng hệ thống Nếu kẻ công khơng có khả thâm nhập vào hệ thống, chúng cố gắng tìm cách làm cho hệ thống sụp đổ khơng có khả phục vụ người dùng bình thường cơng Denial of Service (DoS) Mặc dù cơng DoS khơng có khả truy cập vào liệu thực hệ thống làm gián đoạn dịch vụ mà hệ thống cung cấp Như định nghĩa DoS công vào hệ thống khai thác yếu hệ thống để cơng, mục đích cơng DoS II.2 Lịch sử công phát triển DoS/DDoS Các công DoS bắt đầu vào khoảng đầu năm 90 Đầu tiên, chúng hoàn toàn “nguyên thủy”, bao gồm kẻ công khai thác băng thông tối đa từ nạn nhân, ngăn người khác phục vụ Điều thực chủ yếu cách dùng phương pháp đơn giản ping floods, SYN floods UDP floods Sau đó, công trở nên phức tạp hơn, cách giả làm nạn nhân, gửi vài thông điệp để máy khác làm ngập máy nạn nhân với thông điệp trả lời (Smurf attack, IP spoofing…) Các công phải đồng hố cách thủ cơng nhiều kẻ công để tạo phá huỷ có hiệu Sự dịch chuyển đến việc tự động hoá đồng bộ, kết hợp tạo công song song lớn trở nên phổ biến từ 1997, với đời công cụ công DDoS công bố rộng rãi, Trinoo Nó dựa cơng UDP flood giao tiếp master-slave (khiến máy trung gian tham gia vào công cách đặt lên chúng chương trình điều khiển từ xa) Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS Các mốc thời gian hình thành hình thức cơng DoS/DDos giới:  1998, Chương trình Trinoo Distributed Denial of Service (DDoS) viết Phifli  5-1999, Trang chủ FBI ngừng họat động cơng (DDOS)  6-1999, Mạng Trinoo cài đặt kiểm tra 2000 hệ thống  Cuối tháng đầu tháng năm 1999, Tribal Flood Network đầu tiiên đời, chương trình Mixter Phát triển  9-1999, Công cụ Stacheldraht bắt đầu xuất hệ thống Châu âu Hoa kỳ  21-10-1999, David Dittrich thuộc trường đại học Washington làm phân tích cơng cụ cơng từ chối dịch vụ  21-12-1999, Mixter phát hành Tribe Flood Network 2000 (TFN2K)  10:30 7-2-2000, Yahoo! bị công từ chối dịch vụ ngưng trệ hoạt động vòng đồng hồ Web site Mail Yahoo GeoCities bị công từ 50 địa IP khác với nhửng yêu cầu chuyễn vận lên đến gigabit /s  8-2-2000, nhiều website lớn Buy.com, Amazon.com, eBay, Datek, MSN, CNN.com bị công từ chối dịch vụ  2- 2004, đợt công DDoS lớn xuất phát từ lượng lớn máy tính bị nhiễm virus Mydoom làm trang web tập đồn SCO khơng thể truy nhập Virus Mydoom chứa đoạn mã độc hại chạy hàng ngàn máy tính bị lây nhiễm đồng loạt cơng trang web tập đoàn SCO  12- 2010, nhóm tin tặc có tên “Anonymous” đạo diễn loạt công DDoS gây ngừng hoạt động trang web tổ chức tài chính, Mastercard, Visa International, Paypal PostFinance  20111, Sony bị vướng vào vụ công mạng nhằm vào hệ thống Playstation Network (PSN) họ Hậu thông tin 100 triệu tài khoản người dùng bị công đánh cắp, bao gồm số tài khoản ngân hàng, tên khách hàng, tên tài khoản địa khách hàng Hacker khai thác lỗ hổng hệ thống bảo mật Sony để triển khai công Ddos (tấn công từ chối dịch vụ) quy mô lớn Kết Sony bị kiện nặng bị phạt 250.000 bảng Anh khơng thể bảo vệ thông tin cá nhân người sử dụng (thậm chí số nguồn tin cho số thiệt hại Sony vụ phải lên tới 15 triệu USD)  9-2012, đợt công DDoS lớn nhóm tin tặc “Izz ad-Din al-Qassam Cyber Fighters” thực gây ngắt quãng hoặt ngừng hoạt động trang web ngân hàng trực tuyến ngân hàng lớn Mỹ Các công Dos/DDos Việt Nam:  16:15 1-12-2005, Website hacker lớn việt nam HVAOnline bị đánh sập DDos với kỹ thuật “xflash” Là dùng banner cài đặt sẵn mã cơng đến HVAOnline vài website có lượng truy cập lớn Đề tài: Tìm hiểu công mạng dùng kỹ thuật DoS/DDoS  8-12-2014, Website Liên đồn Bóng đá Việt Nam bị cơng DDoS Làm gián đoạn website 48h  4-7-2013, hàng hoạt website báo điện tử việt nam như: Dantri, Vietnamnet, Tuổi Trẻ… bị công từ chối dịch vụ DDos làm người dùng truy cập website khó II.3 Tác hại cơng DoS/DDoS hệ thống mạng Về mặt kinh tế: Thiệt hại công đong đo, định lượng tiền Nó ảnh hưởng đến thương hiệu, an ninh quốc gia Vật chất đánh giá mức độ nguy hiểm, vơ hình lớn nhiều hình ảnh, thương hiệu tổ chức, cá nhân, doanh nghiệp, liên quan đế lợi ích kinh tế trị để khắc phụ hậu mà gây Khi bị công Dos/DDos làm ngưng hoạt động dịch vụ hệ thống, gây thiệt hại lớn đến doanh thu gây lòng tin khách hàng ảnh hưởng đến hình ảnh cá nhân tổ chức bị cơng Ví dụ điển hình ngày 7/3/2000, yahoo.com phải ngưng phục vụ hàng trăm triệu user toàn giới nhiều liền Vài ngày sau, kiện tương tự diễn nạn nhân hãng tin CNN, amazon.com, buy.com, Zdnet.com, E-trade.com, Ebay.com Tất nạn nhân gã khổng lồ internet thuộc nhiều lĩnh vực khác Theo Yankke Group, tổng thiệt hại công lên đến 1.2 triệu USD Về mặt kỹ thuật: Dos/DDos tạo nhiều yêu cầu đến server làm cạn kiệt tài nguyên hệ thống khiến hệ thống ngập lụt đường truyền, làm ngắt quãng trình cung cấp dịch vụ cho người dùng hợp pháp, chí khiến hệ thống ngừng hoạt động đáp ứng yêu cầu người dùng bình thường Trong tình trạng tạm dừng hoạt động không cách gây mát liệu quan trọng tổ chức như: giao dịch tài chính, khó khơi phục lại nhiều thời gian khôi phục lại dịch vụ hệ thống II.4 Phạm vi nghiên cứu đề tài niên luận Với thời gian kiến thức có giới hạn Trong niên luận nghiên cứu kỹ thuật công từ chối dịch vụ phân tán (DDoS) Sử dụng cơng cụ có tên “Trinoo” cung cấp internet để thử nghiệm, hình thức cơng DDoS theo mơ hình “Agent – Handler” Lý lựa chọn: Trinoo công cụ công làm tạm ngưng hoạt động máy chủ website lớn: Yahoo.com, CNN, amazon.com, buy.com, Zdnet.com, E-trade.com, Ebay.com thử nghiệm hình thức cơng DDoS với cơng cụ Trinoo có cịn hoạt động thời điểm Đề tài: Tìm hiểu công mạng dùng kỹ thuật DoS/DDoS PHẦN II: CƠ SỞ LÝ THUYẾT I LÝ THUYẾT VỀ TẤN CÔNG TRÊN MẠNG Tấn cơng mạng hình thức xâm nhập trái phép vào hệ thống mạng tổ chức, cá nhân nhằm đánh cắp liệu, ngăn chặn người dùng hợp lệ sử dụng dịch vụ Các cơng thực nhằm vào thiết bị mạng bao gồm công vào thiết bị định tuyến, web, thư điện tử hệ thống DNS, server phục vụ Mail, FTP, Web, II LÝ THUYẾT VỀ LOẠI HÌNH TẦN CƠNG TRÊN MẠNG Giới hacker có nhiều phương thức công mạng phương thức ưa chuộng công DoS DDoS, phương thức công đơn giản đem lại hiệu to lớn cho hacker Authentication attacks: Authentication đóng vai trị quan trọng việc đảm bảo tính an ninh web application Khi user cung cấp thông tin username password để xác thực tài khoản cỉa mình, web application cấp quyền truy xuất dựa vào login name nhập vào lưu CSDL Kiểu công không dựa vào an ninh hệ điều hành client Nó phụ thược vào mức độ an ninh phức tạp mật thực cơng hacker vượt rào xác thực vào hệ thống với quyền mong muốn Với quyền quản trị cao “admin” hacker thay đổi toàn hệ thống HTTP Response Splitting: Lỗi HTTP Response Splitting công vào ứng dụng web diễn khơng thể xử lý thơng tin đầu vào người dùng nhập Kẻ công từ xa gửi yêu cầu HTTP đặc biệt làm cho máy chủ web định dạng yêu cầu nhầm tưởng chứa u cầu HTTP khơng phải Chỉ yêu cầu thứ xử lý người sử dụng HTTP Response Splitting cho phép tiến hành lượng lớn công kiểu web cache poisioning, deface, “cross-user defacement”, chặn ăn cắp thông tin người dùng Cross site Scritpting Directory traversal: Directory traversal hay biết với số tên khác “dotdot-slash”, “Path Traversal”, “directory clumbing” “backtracking” hình thức cơng truy cập đến file thư mục mà lưu bên thư mục webroot Hình thức cơng khơng cần sử dụng công cụ mà đơn thao tác biến với “/” (dot-dotslash) để truy cập đến file, thư mục, bao gồm source code, file hệ thống File Inclusion Attacks: Khi trang web sử dụng lệnh include, require để gọi đến file khác Và sơ ý để người dùng thay đổi file cần gọi đến Như website đứng trước nguy bị công File Inclusion Tùy vào mức độ bảo mật Server, hacker include đến file Server (local include) include đến file Server khác (remote include) Với mức độ hacker có nhiều cách để up shell Nếu server bảo mật kẻ cơng đọc file toàn hệ thống, file website khác máy chủ Lỗi hay dụng để công local: kiểu công máy chủ, website qua site bị lỗi máy chủ Nếu có quyền ghi, tất file bị thay đổi: deface trang chủ, chèn mã độc để thu thập thông tin đăng nhập, ẩn dấu backdoor để lần sau vào Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS tiếp Có thể lấy thông tin truy nhập sở liệu (database) qua file cấu hình website, sau truy nhập vào sở liệu: xem liệu, xóa, thay đổi liệu Trong trường hợp này, sở liệu MySql cho phép sử dụng hàm load_file() DoS, DDoS: Đây phương pháp phá hoại mạng cổ điển đầy hiệu giới hacker Phương pháp không thực để đánh cắp thông tin hay liệu nạn nhân Tác hại phương pháp cơng làm giảm khả đáp ứng hệ thống dẫn đến hệ thống bị chậm tê liệt Và điều nguy hiểm hệ thống quan trọng ngân hàng hay phủ XSS: kĩ thuật công cách chèn vào website động (ASP, PHP, CGI, JSP …) thẻ HTML hay đoạn mã script nguy hiểm gây nguy hại cho người sử dụng khác Trong đoạn mã nguy hiểm chèn vào hầu hết viết Client-Site Script javascript, Jscript, DHTML thẻ HTML XSS thường sử dụng với mục đích như: Đánh cắp thơng tin nạn nhân, giúp hacker truy cập vào thông tin nhạy cảm, lấy quyền truy cập miễn phí vào nội dung phải trả tiền có được, dị xét sở thích người sử dụng mạng, thay đổi diện mạo (deface) trang web Tấn cơng từ chối dịch vụ (DoS) Virus, worms Trojan: Đây có lẽ kỹ thuật công mạng nhiều người biết đến kể người khơng am hiểu CNTT vấn nạn cho người sử dụng CNTT Khi virus kết hợp với ta gọi mối đe dọa hỗn hợp Chúng tổng hợp đặc tính virus, worm, Trojan Horse đoạn code gây tổn thương máy chủ mạng Internet Bằng nhiều phương pháp kỹ thuật, cơng nhanh chóng lan tỏa gây thiệt hại diện rộng Những đặc trưng pha trộn là: Gây thiệt hại, truyền “bệnh” theo nhiều phương pháp, công từ nhiều hướng Kể từ virus đời xem loại virus nguy hiểm với đa số virus không cần can thiệp người mà tự động phát triển III LÝ THUYẾT VỀ KỸ THUẬT TẤN CƠNG DDOS III Khái niệm kỹ thuật cơng DDoS Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service) kiểu công làm hệ thống máy tính hay hệ thống mạng tải, gây ngắt quãng dịch vụ cung cấp cho người dùng phải dừng hoạt động cách làm cạn kiệt tài nguyên máy chủ dịch vụ, thời gian xử lý CPU, nhớ, băng thông đĩa, sở liệu, song từ nhiều nguồn công khác nhau, phân tán mạng Trong công DDoS, máy chủ dịch vụ bị “ngập” hàng loạt lệnh truy cập từ lượng kết nối khổng lồ từ nhiều máy công nhiều nơi Khi số lệnh truy cập lớn, máy chủ q tải khơng có khả xử lý yêu cầu Hậu người dùng truy cập vào dịch vụ trang web bị công DDoS DDoS sử dụng mạng lưới công rộng khắp, gồm nhiều máy công nằm rải rác mạng III.2 Kiến trúc tổng quan DDoS attack-network: Kỹ thuật cơng DDoS attack-network có hai mơ hình chính: 10 Đề tài: Tìm hiểu công mạng dùng kỹ thuật DoS/DDoS PHẦN III: GIẢI QUYẾT VẤN ĐỀ III.1 GIỚI THIỆU CÔNG CỤ TRINOO VÀ CÁCH THỨC HOẠT ĐỘNG III.1.1 Giới thiệu công cụ Trinoo Trinoo (Trinoo Distributed Denial of Service) công cụ sử dụng cho kỹ thuật công DDoS hoạt động theo mơ hình Agent – Handler với mục đích làm cạn kiệt tài nguyên hệ thống viết ngôn ngữ C vào năm 1998 Phifli 7/2/2000 Yahoo! bị công từ chối dịch vụ ngưng trệ hoạt động vòng đồng hồ Ngày 8/2/2000 nhiều website lớn Buy.com, Amazon.com, eBay, Datek, MSN, CNN.com bị công từ chối dịch vụ công cụ Trinoo với 50 địa IP số nhỏ so với server lớn III.1.2 Nguyên lý hoạt động công cụ Trinoo Một công DDoS Trinoo thực kết nối Hacker Trinoo Master dẫn cho Master để phát động công DDoS đến hay nhiều mục tiêu Trinoo Master liên lạc với Deadmons đưa địa dẫn đến để công hay nhiều mục tiêu khoảng thời gian xác định Cả Master Deamon bảo vệ Passwd biết passwd điều khiển chúng, điều khơng có khó khăn chủ nhân thực chúng Những password thường mã hố bạn thiết lập biên dịch Trinoo từ Source => Binnary Khi chạy, Deadmons dấu nhắc chờ password nhập vào, password nhập sai tự động cịn password nhập tự động chạy hệ thống Trong công cụ Trinoo thành phần deamon master chạy hệ hiều hành Linux Trinoo sử dụng số thư viện ngơn ngữ C có HDH Linux mà HDH Windows không hổ trợ Trinoo gồm phần: client, master daemon  Client: không nằm gói cơng cụ Trinoo, Client máy tính Attacker telnet đến master Quá trình liên lạc với client – master qua giao thức TCP master la  Master: đóng vai trị Handler nhận lệnh điều khiển từ xa từ Attacker điều khiển daemon qua giao thức UDP Master lắng nghe điều khiển từ attacker cổng 27665, liên lạc đến daemon qua cổng 27444/UDP Và lắng nghe từ daemon qua cổng 31335/UDP  Daemon: đóng vai trị Agent nhận lệnh điều khiển từ master giao thức UDP, lắng nghe từ master cổng 27444/UDP, liên lạc với master cổng 31335/UDP Hệ thống Trinoo bảo vệ mật khẩu, nhập mật vào hệ thống Trinoo 19 Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS Bảng Mật mặc định Trinoo: STT Mật Mô tả l44adsl Mật trinoo daemon gOrave Mật master khởi động betaalmostdon Mật điều khiển từ xa chung cho trinoo master e killme Mật trinoo master điều khiển lệnh "mdie" Bảng Các câu lệnh Trinoo: STT Lệnh Mô tả Trinoo Master die quit mtimer N dos IP mdie pass mping mdos info msize 10 nslookup host 11 usebackup 12 13 bcast help [cmd] Chuyển tớI file Broadcast lưu tạo lệnh “killdead” Liệt kê danh sách tất Broadcast khai thác Đưa danh sách lệnh 14 mstop Ngừng lại cuốc công DOS Trinoo daemon Tấn công đến địa IP xác định GửI gói tin UDP (065534) đến cổng UDP địa IP xác định aaa pass IP khoảng thời gian xác định mặc định 120s hay từ > 1999 s bbb pass N Đặt thờI gian giới hạn cho công DOS Shutdown Log off Đặt thờI gian để công DoS , vớI N nhận giá trị từ 1-1999 giây Tấn công đến địa IP xác định Vơ hiệu hố tất Broadcast, passwd xác Một lệnh gửi tới “d1e l44adsl” Broadcast để Shutdown chúng Một password riêng biệt đặt cho mục Gửi lệnh ping tới “png l44adsl” Broadcast Send nhiều lênh DOS “xyz l44adsl 123:ip1:ip2” đến Broadcast Hiển thị thông tin Trinoo Đặt kích thước đệm cho gói tin send suốt thời gian DoS Xác định tên thiết bị Host mà Master Trinoo chạy 20 Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS Shi pass png pass die pass rsz N xyz pass 123:ip1:ip Gửi chuỗi “*HELLO*” tới dánh sách Master Server biên dịch chương trình cổng 31335/UDP Send chuỗi “Pong” tớI Master Server phát hành lệnh điều khiển cổng 31335/UDP Shutdown Trinoo Là kích thước đệm dùng để cơng , tính byte cơng DOS nhiều mục tiêu lúc Hình Sơ đồ hoạt động Trinoo Trong phạm vị đề tài niên luận sử dụng mạng LAN ảo Oracle VM VirtualBox để chạy thử nghiệm trinoo Mạng LAN ảo bao gồm: STT Host Số lượng Hệ điều hành Web server Windows 2008 R2 64bit Daemon Ubuntu 15.04 32bit Master Ubuntu 15.04 32bit Client Ubuntu 15.04 32 bit 21 Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS Địa IP: STT IP 192.168.21.0 192.168.21.4 192.168.21.3 192.168.21.2 192.168.21.7 Mô tả LAN Web server Daemon Master Client III.2 CÁC BƯỚC THỰC HIỆN TẤN CƠNG MỘT SERVER III.2.1 Tải cơng cụ Trinoo Trinoo cung cấp miễn phí tại: https://iHacker.io, tập tin tải đưới định dạng “.zip” Hình Các tập tin thư mục tập tin zip công cụ Trinoo Công cụ Trinoo bao gồm tập tin thư viện ngôn ngữ C tập tin “.c” để thực thi, Trinoo chạy theo dòng lệnh khơng có giao diện đồ họa III.2.2 Biên dịch chạy chương trình Phần cơng cụ Daemon: Trong cơng cụ Trinoo deamon cài đặt chạy client lắng nghe lệnh từ master Phần daemon thư mục daemon Hình Nội dung thư mục daemon Trong thư mục daemon bao gồm: 22 Đề tài: Tìm hiểu công mạng dùng kỹ thuật DoS/DDoS  Makefile: dùng để biên dịch tập tin ns.c sang tập tin nhị phân  ns.c: chứa mã nguồn daemon Biên dịch tập tin ns.c chạy daemon lắng nghe từ master: B1: Mở tập tin “ns.c” tìm đến dòng “char *master[] = { … }” đặt địa IP master Có thể đặt nhiều địa IP master Hình Thay đổi địa IP master B2: Mở Terminal linux thư mục daemon Hình Khởi động terminal thư mục daemon B3: Gán quyền thực thi cho tập tin “makefile” chạy tập tin “makefile” Code: chmod +x makefile /makefile B4: Gán quyền thực thi cho tập tin “ns” chạy tập tin “ns” Code: chmod +x ns /ns 23 Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS Hình 10 Tạo tập tin ns thực thi B5: Sau chạy tập tin “ns” tiến trình chạy hệ thống sẳn sàng lắng nghe từ master Hình 11 Tiến trình ns chạy hệ thống Phần cơng cụ master: Trong trinoo master có nhiệm vụ lắng nghe từ Attacker lệnh cho daemon thực thi Hình 12 Nội dung thư mục master Trong thư mục master bao gồm:       bf_tab.h: thư viện trinoo blowfish.h: thư viện trinoo strfix.h: thư viện trinoo master.c: tập tin chứa mã nguồn master blowfish.c: tập tin class trinoo phục vụ cho master.c makefile: biên dịch tập tin master.c để thực thi Biên dịch thực thi master: B1: Gán quyền thực thi cho “makefile” thực thi “makefile” Code: chmod +x makefile /makefile 24 Đề tài: Tìm hiểu công mạng dùng kỹ thuật DoS/DDoS B2: Gán quyền thực thi cho master chạy master Code: chmod +x master /master B3: Sau thực thi trinoo dấu nhắc “ ?? ” yêu cầu nhập mật để đăng nhập vào hệ thống ta nhập mật mặc định master “gOrave” Hình 13 Biên dịch master B4: Sau nhập mật master chạy sẳn sàng lắng nghe từ Attacker Hình 14 Đăng nhập thành cơng vào trinoo III.2.3 Kết nối đến master thực công Telnet đến server master: B1: Trên linux mở Terminal telnet đến địa IP master cổng 27665 Code: telnet 27665 VD: telnet 192.168.21.2 27665 Hình 14 Kết nối thành công đến master B2: Sau kết nối thành công đến master, trinoo yêu cầu mật để đăng nhập vào hệ thống sử dụng mật mặc định trinoo “betaalmostdone” Nếu nhập sai mật trinoo master báo lỗi tự động ngắt kết nối 25 Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS Hình 15 Nhập sai mật trinoo master B3: Sau nhập mật trinoo dấu nhắc “trinoo>” bạn đăng nhập thành công vào hệ thống trinoo Hình 16 Nhập mật trinoo đăng nhập thành công B4: Đặt thời gian đề công giá trị từ 1-1999 giây Code: mtimer N đó: < N < 1999 VD: mtimer 350 Hình 17 Đặt thời gian cơng B5: Đặt kích thước đệm cho gói tin send suốt thời gian DoS Code: msize VD: msize 6500 B6: Liệt kê danh sách tất Broadcast khai thác Code: 26 Đề tài: Tìm hiểu công mạng dùng kỹ thuật DoS/DDoS bcast B7: Tấn công đến địa IP xác định Code: dos VD: dos 192.168.21.4 Hình 18 Dos đến đại IP xác định B6: Sau thực thi lệnh dos daemon gửi hàng loạt gói tin UDP sai cấu trúc đến ip đích khiến máy đích tải Hình 19 Daemon gửi gói tin UDP đến IP máy nạn nhân Hình 20 Máy nạn nhân tải 27 Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS Hình 21 Quá trình ping đến máy nạn nhân (1 trước dos dos) B7: Trong dos mà muốn dừng lại ta sử dụng lệnh “mstop” Code: mstop B8: Vô hiệu hố tất Broadcast, mật xác Code: mdie mật mặc định sử dụng cho lệnh “mdie”: killme VD: mdie killme B9: Đăng xuất khỏi master Code: log off B10: Shutdown master server Code: die Ngồi cịn số lệnh điều khiển master tham khảo bảng phần III.1.2 28 Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS III.2 KẾT QUẢ ĐẠT ĐƯỢC VÀ ĐÁNH GIÁ CÔNG CỤ TRINOO III.2.1 Kết đạt Trong phạm vi đề tài niên luận công cụ thử ngiệm mạng LAN ảo bị giới hạn phần cứng kết đạt mong đợi Hình 22 Hình ảnh trước cơng công Những điều làm được:  Làm cạn kiệt tài nguyên xử lý CPU khiến trình truy cập đến server khó khăn  Hiệu suất hệ thống giảm làm số tiến trình bị treo Bên cạnh cịn số vấn đề chưa đạt kết thật tốt như:  Việc công chiếm hết tài nguyên xử lý CPU không làm cạn kiệt tài nguyên RAM  Tấn công làm chiếm 80% - 95% lực xử lý CPU, thời gian CPU chạy hết công suất ngắn III.2.2 Đánh giá công cụ Trinoo Ưu điểm: Trinoo phiên viết vào năm 1998 theo mơ hình Agent - Handler đến thời điểm (11/2015) Trinoo trải qua 17 năm tuổi cơng cụ cịn hoạt động tốt đến ngày Trinoo lập trình ngơn ngữ C – ngơn ngữ có thời gian xử lý nhanh tạo nên mạnh cho Trinoo gửi hàng loạt gói tin UDP lúc đến mục tiêu gây ngập lụ hệ thống Cách thức hoạt động trinoo đơn giản tất kết nối điều khiển thực từ xa khiến cho việc lần dấu vết Attacker khó khăn Trinoo chạy thường trú 29 Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS máy tính 24/24 nên thực công thời gian hết nối điều khiển từ xa nên Attacker phát động cơng thời gian Hạn chế: Trinoo khơng có tính giả mạo địa nên địa IP bị chặn tưởng lửa máy chủ đích Nếu daemon có số lượng nhỏ làm cơng thất bại Tóm lại, Trinoo cơng cụ công DDoS đơn giản dể thực mang lại hiệu cao 30 Đề tài: Tìm hiểu công mạng dùng kỹ thuật DoS/DDoS PHẦN IV: KẾT LUẬN I KẾT QUẢ ĐẠT ĐƯỢC Với mục tiêu tìm hiểu kỹ thuật cơng DDoS cách thức để công máy chủ cơng cụ sẳn có Sau q trình tìm hiểu thực nhóm đạt kết Với máy chủ điều khiển, máy trạm dùng để công, Attacker telnet điểu khiển từ xa trình cơng Tất q trình giai đoạn cơng điều thực qua dịng lệnh Nếu Attacker kết nối với máy chủ điều khiển qua máy chủ proxy làm cho Attacker “tàn hình” việc lần dấu vết Attracker Việc công diển thời gian nơi không giới hạn thời gian địa lý, Các daemon master chạy chiếm tài nguyên hệ thống ẩn vào hệ thống nên khó phát II HẠN CHẾ Để cơng server làm chúng tê liệt hồn tồn cần số lượng daemon phục vụ cho q trình cơng Các master phải chạy máy chủ điều khiển daemon diện rộng với số lượng lớn Chỉ có máy tính kết nối internet daemon hoạt động, khơng có kết nối internet daemon trở nên vô dụng III HƯỚNG PHÁT TRIỂN Tấn công từ chối dịch vụ DDoS kỹ thuật cơng nguy hiểm khó phịng chống hiệu Cùng với phát triển công nghệ thông tin truyền thông, hướng phát triển từ sử dụng kỹ thuật công DDoS chuyển sang DDoS (DistributedReflection Denial of Service) công từ chối dịch vụ theo phương pháp phản xạ hình thức cơng loại công nguy hiểm nhất, kẻ cơng cần tạo server lớn dùng máy tính cơng thơng qua server lớn mà chúng tạo Kỹ thuật cơng khó ngăn chặn gây thiệt hại lớn không kịp ngăn chặn cơng IV KẾT LUẬN Qua đề tài nhận thấy kỹ thuật công DoS/DDoS cách thực đơn giản đạt hiệu cao, huy động được lượng máy lớn công mục tiêu Tấn công DDoS kết hợp với công lổ hổng an ninh hệ thống, muc tiêu bị chiếm tồn quyền quản trị hệ thống cơng trở nên vơ nguy hiểm hơn, kỹ thuật công DDoS khó phịng chống hiệu quy mơ lớn chất phân tán khơng thể loại bỏ khỏi mạng Internet việc làm khó đố với cơng nghệ Để hạn chế công phương pháp đối phó cách tăng cường khả xử lý hệ thống trang bị thêm phần cứng mang lại hiệu tốt, sử dụng tường lửa cho phép lọc nội dung thông tin để ngăn chặn kết nối nhằm công hệ thống 31 Đề tài: Tìm hiểu cơng mạng dùng kỹ thuật DoS/DDoS BẢNG CHÚ THÍCH ST T Thuật ngữ Master Daemon Attacker telnet Mô tả Chương trình dùng để điều khiển máy trạm Chương trình lắng nghe điều khiển từ master công đến mục tiêu Người điều khiển master daemon công Điều khiển máy tính từ xa dịng lệnh TÀI LIỆU THAM KHẢO [1] Wikipedia, Tấn công từ chối dịch vụ, https://vi.wikipedia.org, 05/10/2015 [2] Th.s Tô Nguyễn Nhật Quang, Các kỹ thuật công: DoS, DDoS, DRDoS & Botnet, http://123doc.org/document/22043-cac-ky-thuat-tan-cong-dos-ddosdrdos-botnet.htm, 05/10/2015 [3] Nguyễn Hằng, Website hacker lớn Việt Nam bị công DDoS, http://vietbao.vn/Vi-tinh-Vien-thong/Website-hacker-lon-nhat-Viet-Nam-bi-tanco ng-DDoS/10936557/224/, 05/10/2015 [4] Thanh Xuân, Website Liên đồn Bóng đá Việt Nam bị cơng DDoS, http://vnreview.vn/tin-tuc- an-ninh-mang, 05/10/2015 [5] Quantrimang.com, Hàng loạt báo điện tử lớn bị công DDoS, http://quantrimang.com/hang-loat-bao-dien-tu-lon-dang-bi-tan-cong-ddos-97042, 05/10/2015 [6] voer.edu.vn, Distributed denial of service (DDOS), http://voer.edu.vn/m/distributed-denial-of-service-ddos/9dd616a0, 10/10/2015 [7] Vu Thi Quyen, Nghiên cứu giải pháp chống công ddos cho website trường cao đẳng bách khoa hưng yên, http://dlib.ptit.edu.vn/bitstream/1234/1183/1/TTLV%20Vu%20Thi %20Quyen.pdf, 10/10/2015 [8] Nguyễn Quang Hà, Đề Tài Tìm hiểu công mạng dùng kỹ thuật DoS/DDoS/DRDoS, http://text.123doc.org/document/956362-de-tai-tim-hieuve-tan-cong-tren-mang-dung-ky-thuat-dos-ddos-drdos.htm, 22/10/2015 [9] echip.com.vn, Việt Nam xếp thứ hạng 12 tồn cầu hoạt động cơng đe doạ mạng http://echip.com.vn/viet-nam-xep-thu-hang-12-tren-toan-cau-ve-cac-hoat-dong-tancong-de-doa-mang-a20140512090821781-c1072.html [10] Saman Taghavi Zargar, James Joshi, Member and David Tippe, A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks, IEEE Communications Surveys & Tutorials, 2013 [11] TheJF, Lịch sử DDOS, http://root.vn/threads/lich-su-ddos.5089/, 29/10/2015 [12] iHacker.io, Trinoo Tool, http://iHacker.io, 1/10/2015 32 Đề tài: Tìm hiểu công mạng dùng kỹ thuật DoS/DDoS 33 ... phí tại: https://iHacker.io, tập tin tải đưới định dạng “.zip” Hình Các tập tin thư mục tập tin zip công cụ Trinoo Công cụ Trinoo bao gồm tập tin thư viện ngôn ngữ C tập tin “.c” để thực thi, Trinoo... server lớn Unix, Linux hay Solaris Agent thông thường chạy hệ điều hành phổ biến windows cần số lượng lớn dễ khai thác III.5.4 Các chức công cụ DDoS: Mỗi công cụ DDoS có tập lệnh riêng, tập lệnh... nhiều website lớn Buy.com, Amazon.com, eBay, Datek, MSN, CNN.com bị công từ chối dịch vụ  2- 2004, đợt công DDoS lớn xuất phát từ lượng lớn máy tính bị nhiễm virus Mydoom làm trang web tập đồn SCO