Nhìn chung mạng tấn công DDoS có hai mô hình chính là: Agent Handler và IRC Based.
Mô hình Agent Handler: Theo mô hình này kẻ tấn công sẽ sử dụng Handler để điều khiển tấn công, mạng tấn công sẽ gồm ba thành phần: Agent, Client và Handler (xem hình 3.2).
Client: là phần mềm cơ sở để kẻ tấn công điều khiển mọi hoạt động của mạng tấn công. Handler: là một thành phần phần mềm trung gian giữa Agent và Client
Agent: là thành phần thực hiện tấn công mục tiêu, nhận điều khiển từ Client thông qua các Handler.
52
Hình 3.2: Kiến trúc mạng tấn công kiểu Agent Handler
Kẻ tấn công sẽ từ Client giao tiếp với các Handler để xác định số lượng Agent đang trực tuyến, điều chỉnh thời điểm tấn công và cập nhật các Agent. Tùy theo cách mà chúng cấu hình mạng tấn công, các Agent sẽ chịu sự quản lý của một hay nhiều Handler. Thông thường những kẻ tấn công sẽ đặt Handler trên một bộ định tuyến hay một máy chủ có lưu lượng lớn. Việc này nhằm làm cho các giao tiếp giữa Client, Handler và Agent khó bị phát hiện. Các giao tiếp này thông thường xảy ra trên các giao thức TCP, UDP hay ICMP. Chủ nhân thực sự của các Agent thông thường không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu DDoS, do họ không đủ kiến thức hoặc các Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như không thể thấy ảnh hưởng gì đến hiệu năng của hệ thống.
Mô hình IRC-Based: Kẻ tấn công sử dụng các mạng Internet relay chat (IRC) để điều khiển, khuếch đại và quản lý kết nối với các máy tính trong mạng Botnet.(xem hình 3.3)
Internet Relay Chat (IRC) là một hệ thống mà nhiều người dùng có thể trò chuyện trực tuyến với nhau, IRC cho phép người dùng tạo một kết nối đến nhiều người dùng khác và trò chuyện theo thời gian thực. Kiến trúc củ mạng IRC bao gồm nhiều máy chủ IRC trên khắp mạng internet, giao tiếp với nhau trên nhiều kênh. Mạng IRC cho phép người dùng tạo ba loại kênh là: công cộng (public), riêng tư (private) và bí mật (serect). - Kênh công cộng: Cho phép mọi người dùng của kênh đó thấy được tên IRC và nhận được tin nhắn của mọi người dùng khác trên cùng kênh.
- Kênh riêng tư: được thiết kế để giao tiếp với các đối tượng được cho phép. Không cho phép những người dùng không cùng kênh thấy được tên IRC và tin nhắn trên kênh đó. Tuy nhiên, nếu người dùng ngoài kênh này dùng một số lệnh channel locator thì có thể biết được sự tồn tại của kênh đó.
- Kênh bí mật: tương tự như kênh riêng tư nhưng người dùng không thể xác định bằng lệnh channel locator.
Kẻ tấn công Kẻ tấn công
Handler Handler Handler Handler
Agent Agent Agent Agent Agent
Nạn nhân
53
Hình 3.3: Kiến trúc mạng tấn công kiểu IRC
Tấn công dựa trên nền tảng IRC-Based cũng tương tự như Agent Handler nhưng mô hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent (không sử dụng Handler). Sử dụng mô hình này, kẻ tấn công còn có thêm một số lợi thế khác như: Các giao tiếp dưới dạng tin nhắn làm cho việc phát hiện chúng là vô cùng khó khăn. Nguồn lưu lượng IRC có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ. Không cần phải duy trì danh sách các Agent, kẻ tấn công chỉ cần đăng nhập vào máy chủ IRC là đã có thể nhận được các báo cáo về trạng thái các Agent do các kênh gửi về. Ngoài ra mạng IRC cũng là một môi trường chia sẻ các tập tin tạo điều kiện phát tán các mã Agent lên nhiều máy khác.