CÁC KỸ THUẬT TẤNCÔNG DoS

Tấn công băng thông nhằm làm tràn ngập mạng mục tiêu với những traffic không cần thiết.

Với mục đích làm giảm tối thiểu khả năng của các traffic hợp lệ đến đƣợc hệ thống cung cấp dịch vụ của mục tiêu.

Có hai loại BandWith DepletionAttack:

+ Flood attack: Điều khiển các Agent gởi một lƣợng lớn traffic đến hệ thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông.

+ Amplification attack: Điều khiển các agent hay client tự gửi message đến một địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi message đến hệ thống dịch vụ của mục tiêu.Phƣơng pháp này làm gia tăng traffic không cần thiết, làm suy giảm băng thông của mụctiêu.

2.2.2. Tấn công tràn ngập yêu cầu dịch vụ

Một kẻ tấn công hoặc nhóm zombie cố gắng làm cạn kiệt tài nguyên máy chủ bằng cách thiết lập và phá hủy các kết nối TCP. Nó bắt đầu gửi yêu cầu trên tất cả kết nối và nguồn gốc từ server kết nối tốc độcao.

2.2.3. Tấn công tràn ngập SYN

Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phƣơng thức bắt tay giữa bên gởi và bên nhận trƣớc khi truyền dữ liệu. Bƣớc đầu tiên, bên gửi gởi một SYN REQUEST packe(Synchronize). Bên nhận nếu nhận đƣợc SYN REQUEST sẽ trả lời bằng SYN/ACK REPLY packet. Bƣớc cuối cùng, bên gửi sẽ truyền packet cuối cùng ACK và bắt đầu truyền dữ liệu.

Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY nhƣng không nhận đƣợc ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽ resend lại SYN/ACK REPLY cho đến hết thời gian timeout. Toàn bộ tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận đƣợc ACK packet cuối cùng sẽ bị“phong tỏa” cho đến hết thời gian timeout.

Nắm đƣợc điểm yếu này, attacker gởi một SYN packet đến nạn nhân với địa chỉ bên gởi là giả mạo, kết quả là nạn nhân gởi SYN/ACK REPLY đến một địa chỉ khác và sẽ không bao giờ nhận đƣợc ACK packet cuối cùng, cho đến hết thời gian timeout nạn nhân mới nhận ra đƣợc điều này và giải phóng các tài nguyên hệ thống. Tuy nhiên, nếu lƣợng SYN packet giả mạo đến với số lƣợng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tàinguyên.

Hình 2.2: Tấn công tràn ngập SYN

2.2.4. Tấn công tràn ngập ICMP

Kiểu tấn công ICMP là thủ phạm gửi số lƣợng lớn của gói tin giả mạo địa chỉ nguồn tới server đích để phá hủy nó và gây ra ngừng đáp ứng yêu cầu TCP/IP.

Sau khi đến ngƣỡng ICMP đạt đến, các router từ chối yêu cầu phản hồi ICMP từ tất cả địa chỉ trên cùng vùng an toàn cho phần còn lại.

Hình 2.3: Tấn công tràn ngập ICM

2.2.5. Tấn công điểm nối điểm

Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình điểm nối điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website giả mạo củavictim.

Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kết nối trực tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức.

Dùng phƣơng pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại website.

2.2.6. Tấn công cố định DoS

Tấn công cố định DoS hay PDoS còn đƣợc gọi nhƣ phlashing, là một cuộc tấn công gây tổn thƣơng một hệ thống nhiều đến nổi nó đòi hỏi phải thay thế hoặc cài đặt lại phần cứng, Không giống nhƣ các cuộc tấn công DDoS, PDoS một cuộc tấn công khai thác lỗ hổng bảo mật cho phép quản trị từ xa trên các giao diện quản lý phần cứng của nạn nhân, chẳng hạn nhƣ router, máy in, hoặc phần cứng mạng khác.

Tấn công thực hiện dùng phƣơng pháp nhƣ"xây dựng hệ thống”. Dùng phƣơng pháp này, tấn công gửi cập nhập phần cứng lừa đảo tới victim.

2.2.7. Tấn công tràn ngập ở cấp độ dịch vụ

Tấn công làm tràn ở cấp độ ứng dụng là kết quả mất dịch vụ của mạng đặc biệt nhƣ là: email, tài nguyên mạng, tạm thời ngừng ứng dụng và dịch vụ,... Dùng kiểu tấn công này, kẻ tấn công phá hủy mã nguồn chƣơng trình và file làm ảnh hƣởng tới hệ thống máytính.

Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng: Tràn ngập ứng dụng web tới lƣu lƣợng ngƣời sử dụng hợp lệ.

Ngắt dịch vụ cụ thể của hệ thống hoặc con ngƣời.

Làm tắt nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ công nguy hiểm SQL.

2.3. MẠNG BOTNET 2.3.1. Khái niệm botnet 2.3.1. Khái niệm botnet

Botnet là từ chỉ một tập hợp các rô bôt phần mềm hoặc các con bot hoạt động một cách tự chủ. Từ này còn đƣợc dùng để chỉ một mạng các máy tính sử dụng phần mềm tính toán phântán.

2.3.2. Hoạt động

Tuy từ "botnet" có thể dùng để chỉ một nhóm bot bất kỳ, chẳng hạn IRC bot, từ này thƣờng đƣợc dùng để chỉ một tập hợp các máy tính đã bị tấn công và thỏa hiệp và đang chạy các chƣơng trình độc hại, thƣờng là sâu máy tính, trojan horse hay backdoor, dƣới cùng một hạ tầng cơ sở lệnh và điều khiển. Một chƣơng trình chỉ huy botnet có thể điều khiển cả nhóm bot từ xa, thƣờng là qua một phƣơng tiện chẳng hạn nhƣ IRC, và thƣờng là nhằm các mục đích bất chính. Mỗi con bot thƣờng chạy ẩn và tuân theo chuẩn RFC1459 (IRC). Thông thƣờng, kẻ tạo botnet trƣớc đó đã thỏa hiệp một loạt hệ thống bằng nhiều công cụ đa dạng (tràn bộ nhớ đệm, ...). Các bot mới hơn có thể tự động quét môi trƣờng của chúng và tự lan truyền bản thân bằng cách sử dụng các lỗ hổng an ninh và mật khẩu yếu. Nếu một con bot có thể quét và tự lan truyền qua càng nhiều lỗ hổng an ninh, thì nó càng trở nên giá trị đối với một cộng đồng điều khiểnbotnet.

H nh 2.4: Hoạt động botnet

Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngày càng ẩn kĩ. Do đa số các mạng IRC truyền thống thực hiện các biện pháp cấm truy nhập đối với các botnet đã từng ngụ tại đó, những ngƣời điều khiển botnet phải tự tìm các server cho mình. Một botnet thƣờng bao gồm nhiều kết nối, chẳng hạn quay số, ADSL và cáp, và nhiều loại mạng máy tính, chẳng hạn mạng giáo dục, công ty, chính phủ và thậm chí quân sự. Đôi khi, một ngƣời điều khiển giấu một cài đặt IRC server trên một site công ty hoặc giáo dục, nơi các đƣờng kết nối tốc độ cao có thể hỗ trợ một số lớn cácbotkhác. Chỉđếngầnđây, phƣơngphápsửdụngbot để chỉhuycácbotkhácmới phát triển mạnh, do đa số hacker không chuyên không đủ kiến thức để sử dụng phƣơng phápnày.

2.3.3. Tổ chức

Các server botnet thƣờng liên kết với nhau, sao cho một nhóm có thể chứa từ 20 máy riêng biệt tốc độ cao đã bị phá hoại, các máy này nối với nhau với vai trò các server nhằm mục tiêu tạo môi trƣờng dƣ thừa lớn hơn. Các cộng đồng botnet thực tế thƣờng bao gồm một hoặc nhiều ngƣời điều khiển những ngƣời tự coi là có quyền truy nhập hợp lệ tới một nhóm bot. Những điều khiển viên này hiếm khi có các hệ thống chỉ huy phân cấp phức tạp trong họ; họ dựa vào các quan hệ thân hữu cá nhân. Mâu thuẫn thƣờng xảy ra giữa những điều khiển viên về chuyện ai có quyền đối với máy nào, và những loại hành động nào là đƣợc phép hay không đƣợc phép làm.

2.3.4. Xây dựng và khai thác

Ví dụ này minh họa cách thức một botnet đƣợc tạo và dùng để gửi thƣ rác (spam).

1) Một điều phối viên botnet phát tán virus hoặc sâu máy tính, làm nhiễm các máy tính cá nhân chạy Windows của những ngƣời dùng bình thƣờng, dữ liệu của virus hay sâu đó là một ứng dụng trojan-con bot.

2) Tại máy tính bị nhiễm, con bot đăng nhập vào một server IRC nào đó(hay là một web server). Server đó đƣợc coi là command-and-control server (C&C).

3) Một ngƣời phát tán spam mua quyền truy nhập botnet từ điều phối viên. 4) Ngƣời phát tán spam gửi các lệnh qua IRC server tới các máy tính bị nhiễm, làm cho các máy tính này gửi các thông điệp rác tới các máy chủ thƣ điện tử.

H nh 2.5: Cách thức một botnet đƣợc tạo và gửi spam

2.4. MỘT SỐ CÔNG CỤ TẤN CÔNG 2.4.1. LOIC

LOIC là ứng dụng tấn công từ chối dịch vụ, đƣợc viết bằng C#. Loic thực hiện tấn công từ chối dịch vụ tấn công(hoặc khi đƣợc sử dụng bởi nhiều cá nhân, một cuộc tấn công DDoS) trên một trang web mục tiêu làm lũ lụt các máy chủ với các gói tin TCP hoặc UDP với ý định làm gián đoạn dịch vụ của một máy chủ cụ thể. Công cụ LOIC là một botnet tình nguyện kết nối đến một máy chủ từ xa mà chỉ đạo các cuộc tấn công. Hiện nay, có 40.000 ngƣời kết nối với botnet.

Hình 2.6: Công cụ LOIC

Hình 2.7: Dùng LOIC tấn công DDoS

2.4.2. DoS HTTP

DoSHTTP là một phần mềm sử dụng dễ dàng, mạnh mẽ để tấn công tràn ngập HTTP nhằm mục địch kiểm thử trên Windows. DoSHTTP gồm xác nhận URL, chuyển hƣớng HTTP và giám sát hiệu suất. Công cụ DoSHTTP có thể giúp các chuyên gia CNTT thử nghiệm hiệu năng máy chủ web và đánh giá độ bảo mật.

Hình 2.8: Công cụ DoSHTTP

2.5. BIỆN PHÁP ĐỐI PHÓ 2.5.1. Kỹ thuật phát hiện

Kỹ thuật phát hiện dựa trên nhận biết, phân biệt nhờ tăng lên dòng dữ liệu không hợp lệ và trƣờng hợp flask từ lƣu lƣợng gói tin hợp lệ. Tất cả kỹ thuật phát hiện định nghĩa tấn công không bình thƣờng và đáng chú ý độ lệch từ khoảng thời gian lƣu lƣợng mạng trạng thái thống kê bình thƣờng.

2.5.1.1. Hoạt động định hình

Một tấn công đƣợc nhận biết bằng: Tăng hoạt động giữa các clusters.

Tăng toàn bộ số lƣợng rõ ràng clusters (tấn công DDoS).

Hoạt động định hình thu đƣợc bằng cách giám sát thông tin header của gói tin trong mạng. Nó là tốc độ trung bình lƣu lƣợng mạng bao gồm gói tin liên tiếp với trƣờng gói tin giốngnhau.

2.5.1.2. Phân tích wavelet

Phân tích wavelet đƣợc mô tả là tín hiệu vào đầu cuối bao gồm quang phổ. Phân tích mỗi quang phổ năng lƣợng xác định hiện tƣợng bất thƣờng.

Wavelets cung cấp đồng bộ thời gian và mô tả tần số. Họ xác định thời gian chính xác gồm các tần số hiện diện.

2.5.1.3. Phát hiện thay đổi điểm theo trình tự

Thuật toán phát hiện thay đổi điểm mô tả lƣu lƣợng thống kê nguyên nhân thay đổi bởi cuộc tấn công. Họ bắt đầu lọc lƣu lƣợng dữ liệu tới đích bằng địa chỉ, cổng hoặc giao thức và lƣu trữ kết quả thành chuỗi thời gian. Để nhận diện và định vị cuộc tấn công DoS các thuật toán cusum xác định độ lệch trong mức trung bình thực tế cục bộ so với dự kiến trong chuỗi thời gian giao thông. Bạn cũng có thể dùng nhận biết worm thông thƣờng bằng hoạt động scanning.

2.5.2. Biện pháp đối phó chiến lƣợc DoS/ DDoS

Hấp thụ cuộc tấn công: Dùng khả năng phụ để hấp thụ tấn công, yêu cầu kế hoạch trƣớc.

Làm giảm dịch vụ: Nhận biết dịch vụ nguy hiểm và dừng dịch vụ không nguy hiểm.

Tắt dịch vụ: Tắt tất cả dịch vụ cho tới khi cuộc tấn công giảm bớt.

2.5.3. Biện pháp đối phó tấn công DoS/ DDoS 2.5.3.1. Bảo vệ thứ cấp victims 2.5.3.1. Bảo vệ thứ cấp victims

Cài đặt phần mềm anti-virus, anti-Trojan và cập nhập bản mới.

Tăng nhận thức về vấn đề bảo mật và kỹ thuật ngăn chặn ngƣời sử dụng từ tất cả nguồn trêninternet.

Tắt dịch vụ không cần thiết, gỡ bỏ ứng dụng không sử dụng,và quét tất cả files nhận từ nguồn bên ngoài.

Cấu hình và thƣờng xuyên cập nhập xây dựng cơ cấu phòng thủ trên lõi phần cứng và phần mềm hệ thống.

2.5.3.2. Phát hiện và vô hiệu hóa handers

Phân tích lƣu lƣợng mạng:Nghiên cứu giao tiếp giao thức và mô hình giữa handlers và client hoặc handlers và agents để nhận biết node mạng có thể lây với cáchandler.

Vô hiệu hóa botnet handler: Thông thƣờng vài DDoS handler đƣợc triển khai gần bằng so với số lƣợng agent. Vô hiệu hóa một vài handler có thể làm cho nhiều agent không hữu dụng, để cản trở cuộc tấn công DDoS.

Giả mạo địa chỉ nguồn: Có một xác suất lớn giả mạo địa chỉ nguồn gói tin tấn công DDoS sẽ không hiện giá trị địa chỉ nguồn của mạng cụ thể.

2.5.3.3. Phát hiện tiềm năng tấn công

+Bộ lọc xâm nhâp: Bảo vệ từ tấn công tràn ngập có nguồn gốc từ các tiền tố hợp lệ.Nócho phép ngƣời khởi tạo truy tìm nguồn gốc thực sự.

+ Bộ lọc đi ra: Quét header gói tin của gói tin IP ra một mạng. Bộ lọc đi ra không chứng thực hoặc lƣu lƣợng nguy hiểm không đƣợc ra khỏi mạng bênngoài.

+ Ngắt TCP: Cấu hình ngắt TCP ngăn ngừa tấn công bằng cách ngắt và yêu cầu kết nối TCP hợplệ.

2.5.3.4. Làm lệch hƣớng tấn công

+ Hệ thống thiết lập với giới hạn bảo mật, cũng biết nhƣ là honeypot, hoạt động cám dỗ đối với kẻ tấn công.

+ Phục vụ nghĩa là giành thông tin từ kẻ tấn công bằng cách lƣu trữ một bản ghi các hoạt động, học kiểu tấn công và công cụ phần mềm kẻ tấn công sử dụng.

+ Dùng phòng thủ chiều sâu tiếp cận với IPSec tại điểm mạng khác nhau chuyển hƣớng đáng ngờ luồng DoS đến vài honeypot.

Honeypot là một hệ thống tài nguyên thông tin đƣợc xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật.

2.5.3.5. Làm dịu cuộc tấn công

+ Cân bằngtải:

- Nhà cung cấp tăng băng thông trên kết nối quan trọng để ngăn ngừa và giảm xuống tấncông.

- Nhân bản máy chủ có thể cung cấp thêm bảo vệ an toàn.

- Cân bằng tải cho mỗi server trên cấu trúc nhiều server có thể cải tiến hiệu suất bình thƣờng nhƣ là giảm ảnh hƣởng của cuộc tấn côngDoS.

+ Hoạt động điềuchỉnh:

- Thiết lập cách thức router truy cập một server với điều chỉnh logic lƣu lƣợng đi vào tới mức độ sẽ an toàn để server xử lý.

- Bộ xử lý có thể ngăn ngừa tràn ngập thiệt hại tới server.

- Bộ xử lý này có thể mở rộng để điều chỉnh luồng tấn công DDoS đối lập lƣu lƣợng hợp pháp của ngƣời sử dụng cho kết quả tốt hơn.

2.5.3.6. Pháp lý

- Phân tích router, firewall, và IDS logs để nhận biết nguồn của lƣu lƣợng DoS. Mặc dù kẻ tấn công thông thƣờng giả mạo địa chỉ nguồn, dấu vết IP trả lại với trợ giúp ngay lập tức của ISP và thực thi pháp luật các cơ quan có thể cho phép bắt các thủ phạm.

- Phân tích mẫu lƣu lƣợng: Dữ liệu có thể đƣợc phân tích sau tấn công để tìm kiếm đặc điểm riêng biệt trong lƣu lƣợng tấn công.

- Mẫu lƣu lƣợng tấn công DDoS có thể giúp ngƣời quản trị mạng phát triển kỹ thuật lọc để ngăn ngừa đi vào hoặc đi ra mạng.

- Dùng những đặc điểm, dữ liệu có thể đƣợc dùng để cập nhập cân bằng tải và điều chỉnh biện pháp đốiphó.

2.5.4. Kỹ thuật để phòng thủ chống lại botnet

+ Lọc: Các gói tin cần phải đƣợc có nguồn gốc hợp lệ, cho phép địa chỉ trống, bao gồm tôpô và cấp phát không gian. Bất kỳ lƣu lƣợng vào không sử dụng hoặc địa chỉ ip dành riêng không thật và nên lọc tại ISP trƣớc khi vào đƣờng

linkinternet.

+ Lọc lỗ đen: Lỗ đen là nơi trên một một mạng, nơi đó lƣu lƣợng đƣợc chuyển tiếp hoặc hủy bỏ.Kỹ thuật lọc này dùng giao thức cập nhập định tuyến để điều khiển bảng định tuyến tại biên một mạng để hủy lƣu lƣợng không thích nghi trƣớc nó xâm nhập vào mạng của nhà cung cấp dịch vụ.

+ Lọc nguồn ip uy tín trên Cisco IPS: IPS cisco nhận đe dọa cập nhập từmạng Cisco SensorBase (trung tâm kiểm soát tấn công) chứa thông tin chi tiết phân biệt mối đe dọa trên internet, bao gồm tuần tự kẻ tấn công, botnet harvester, malware bùng phát và dark net.

+ Cung cấp dịch vụ phòng chống DDoS từ ISP: Bật bảo vệ IP nguồn trên switch ngăn ngừa một host gửi gói tin giả mạo trở thành bot.

2.5.5. Một số Biện pháp đối phó DoS/ DDoS .

Một số biện phápnhƣ:

- Hiệu quả của cơ chế mã hóa cần đề xuất cho mỗi công nghệ băng thông rộng.

- Cải tiến giao thức định tuyến đƣợc kỳ vọng.

- Tắt những dịch vụ không sử dụng và không bảo mật.

- Khóa tất cả gói tin có nguồn đi vào từ cổng dịch vụ để khóa lƣu lƣợng ánh xạ từserver.

- Cập nhập kernel tới phiên bản mớinhất.

- Ngăn ngừa truyền địa chỉ gói tin lậu ở mức độ ISP.

Xây dựng và khai thác

Biện pháp đốiphó tấncông DoS/DDoS